Реализации виртуальной локальной сети. Лава 9Реализация виртуальных

294
Часть II. Коммутация в локальных сетях
294
Рис. 9.10. Маршрутизация между сетями VLAN
с использованием коммутатора уровня 3
Подробнее конфигурация VLAN рассматривается в двух разделах этой главы. В пер(
вом описана настройка интерфейсов доступа, т.е. интерфейсов коммутатора, не ис(
пользуемых для магистральных соединений VLAN. Настройка интерфейсов, исполь(
зуемых для магистральных соединений VLAN, рассматриваются во втором разделе.
Создание сетей VLAN и назначение интерфейсов доступа
В этом разделе показано, как создать сеть VLAN, присвоить ей имя и добавить в нее интерфейсы. Чтобы можно было сосредоточиться на рассмотрении этой темы, в при(
мерах настоящего раздела используется один коммутатор, который не нуждаются в магистрали VLAN.
Чтобы коммутатор Cisco начал перенаправлять фреймы в определенную сеть
VLAN, его нужно настроить, указав на существование еще одной сети VLAN. Кроме того, у коммутатора должны быть немагистральные интерфейсы (интерфейсы дос
тупа (access interface)), принадлежащие этой сети VLAN, и (или) магистральные ка(
налы, поддерживающие эту VLAN. Этапы настройки интерфейсов доступа приве(
дены ниже, настройка магистрального канала — в соответствующем разделе далее.
Последовательность настройки конфигурации VLAN и назначения интерфейсов
Этап 1
Чтобы настроить конфигурацию новой сети VLAN, выполните следующие действия:
A. В режиме настройки конфигурации введите глобальную команду конфигурации vlan идентификатор_vlan для создания сети VLAN и перейдите в режим настройки конфигурации сети VLAN.
B. (Необязательно.) Чтобы присвоить сети VLAN имя, введите подкоманду VLAN
name имя. Если этого не сделать, именем VLAN будет VLANZZZZ, где ZZZZ —
десятичный идентификатор из четырех цифр
Этап 2
Для каждого интерфейса доступа (интерфейса, принадлежащего не магистральному каналу, а отдельной сети VLAN) выполните следующие действия:
A. Используя команду interface, перейдите в режим конфигурации каждого настраиваемого интерфейса.
Стр. 294

Глава 9. Реализация виртуальных локальных сетей
295
295
B. Используя подкоманду интерфейса switchport access vlan
идентификатор_vlan, укажите номер сети VLAN, связанной с данным интерфейсом.
C. (Необязательно). Чтобы отключить магистральное соединение на том же интерфейсе и запретить переговоры о создании магистрального канала, используйте подкоманду интерфейса switchport mode access.
Хоть этот список и выглядит устрашающе, на самом деле процесс настройки одиночного коммутатора довольно прост. Например, если порты коммутатора сле(
дует распределить по трем сетям VLAN (11, 12 и 13), достаточно ввести три коман(
ды: vlan 11, vlan 12 и vlan 13. Затем для каждого интерфейса введите команду switchport access vlan 11 (или 12, или 13), чтобы присвоить соответствующий интерфейс надлежащей сети VLAN.
Первый пример: полная настройка сети VLAN
В примере 9.1 показан процесс настройки, сводящийся к добавлению новой сети
VLAN и назначению интерфейсов доступа к ней. На рис. 9.11 представлена сеть,
рассматриваемая в данном примере, с одним коммутатором LAN (SW1) и тремя се(
тями VLAN (1, 2 и 3), в каждой из которых имеются по два хоста. В этом примере приведены подробные сведения о выполнении двухэтапного процесса настройки сети VLAN 2 и назначения ей интерфейсов; настройка конфигурации сети VLAN 3
рассматривается в следующем примере.
Рис. 9.11. Сеть с одним коммутатором и тремя сетями VLAN
Пример 9.1. Настройка сетей VLAN и назначение им интерфейсов
SW1# show vlan brief
VLAN Name Status Ports
---- ------------------- ----------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2 1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
Стр. 295

296
Часть II. Коммутация в локальных сетях
296
1005 trnet-default act/unsup
! Выше, сети VLAN 2 и 3 еще не существуют. Ниже добавляется сеть VLAN 2,
! командой name Freds-vlan, с присвоением ей двух интерфейсов.
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# vlan 2
SW1(config-vlan)# name Freds-vlan
SW1(config-vlan)# exit
SW1(config)# interface range fastethernet 0/13 - 14
SW1(config-if)# switchport access vlan 2
SW1(config-if)# end
! Ниже подкоманда интерфейса show running-config выводит списки команд
! на интерфейсах Fa0/13 и Fa0/14.
SW1# show running-config
! Часть строк опущена для краткости vlan 2
name Freds-vlan
!
! еще часть строк опущена для краткости interface FastEthernet0/13
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 2
switchport mode access
!
SW1# show vlan brief
VLAN Name Status Ports
---- -------------------- ---------- ------------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2 2 Freds-vlan active Fa0/13, Fa0/14 1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW1# show vlan id 2
VLAN Name Status Ports
---- -------------------- ---------- ------------------------------------
2 Freds-vlan active Fa0/13, Fa0/14
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ------ ---- ------ ------ -------- --- -------- ------ -------
2 enet 100010 1500 - - - - - 0 0
Remote SPAN VLAN
----------------
Disabled
Primary Secondary Type Ports
------- --------- ----------------- -------------------------------------
Стр. 296

Глава 9. Реализация виртуальных локальных сетей
297
297
Этот пример начинается с выполнения команды show vlan brief, позволяю(
щей убедиться в том, что пять не удаляемых сетей VLAN имеют стандартные пара(
метры, а все интерфейсы назначены сети VLAN 1. (Сеть VLAN 1 не может быть уда(
лена, но может использоваться. На настоящий момент сети VLAN 1002–1005 не могут быть удалены и не могут использоваться для доступа.) Следует отметить, что рассматриваемый коммутатор 2960 имеет 24 порта Fast Ethernet (Fa0/1–Fa0/24)
и два порта Gigabit Ethernet (Gi0/1 и Gi0/2), в выводе первой команды все они при(
надлежали сети VLAN 1.
Далее показан процесс создания сети VLAN 2 и назначение ей интерфейсов
Fa0/13 и Fa0/14. Обратите внимание, что в данном примере используется команда interface range, применяющая подкоманды интерфейса switchport access vlan 2 к обоим интерфейсам в диапазоне, что подтверждается выводом команды show running-config в конце примера.
После добавления данной конфигурации для получения информации о новой сети VLAN в этом примере повторно выполняется команда show vlan brief. В ее выводе указаны сеть VLAN 2, имя
Freds-vlan и присвоенные ей интерфейсы
Fa0/13 и Fa0/14.
Сеть в примере на рис. 9.11 использует в качестве портов доступа шесть интер(
фейсов коммутатора. Такие порты не должны использовать магистральное соеди(
нение, они должны быть присвоены конкретной сети VLAN командой switchport access vlan идентификатор_vlan. Однако, согласно конфигурации в приме(
ре 9.1, эти интерфейсы могли вести переговоры, чтобы стать портами магистраль(
ного канала (стандартное состояние коммутатора). Это позволяет порту догово(
риться о магистральном соединении и решить, действовать ли как интерфейс дос(
тупа или как магистральный интерфейс.
Для портов, которые всегда должны быть портами доступа, имеет смысл ввести необязательную подкоманду интерфейса switchport mode access. Она указыва(
ет коммутатору, что порту позволено быть только интерфейсом доступа. Более под(
робная информация о командах, позволяющих порту вести переговоры об исполь(
зовании магистральных соединений, приведена в следующем разделе.
Второй пример: сокращенная настройка сети VLAN
Пример 9.1 демонстрирует несколько необязательных команд конфигурации,
побочным эффектом которых является немного более продолжительная настройка.
Альтернативная конфигурация в примере 9.2 намного короче, в нем добавляется сеть VLAN 3 (как показано на рис. 9.11), ее следует считать продолжением приме(
ра 9.1. Обратите также внимание, что до начала этого примера на коммутаторе SW1
отсутствуют данные о сети VLAN 3.
Пример 9.2. Более короткий пример настройки сети VLAN (сети VLAN 3)
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# interface range Fastethernet 0/15 - 16
SW1(config-if-range)# switchport access vlan 3
% Access VLAN does not exist. Creating vlan 3
SW1(config-if-range)# ^Z
Стр. 297

298
Часть II. Коммутация в локальных сетях
298
SW1# show vlan brief
VLAN Name Status Ports
---- -------------------- ---------- ------------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2 2 Freds-vlan active Fa0/13, Fa0/14 3 VLAN0003 active Fa0/15, Fa0/16 1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Пример 9.2 демонстрирует, как коммутатор может динамически создать сеть VLAN
(эквивалент глобальной команды конфигурации vlan идентификатор_vlan), когда подкоманда интерфейса switchport access vlan применяется к ненастроенной в настоящий момент сети VLAN. В начале этого примера на коммутаторе SW1 отсутст(
вует информация о сети VLAN 3, а когда используется подкоманда интерфейса switchport access vlan 3, коммутатор понимает, что такой сети не существует и,
как упомянуто в затененном сообщении этого примера, создает сеть VLAN 3, исполь(
зуя стандартное имя (VLAN0003). Никаких других действий по созданию этой сети
VLAN не требуются. В конце рассматриваемого процесса обнаруживается, что на ком(
мутаторе существует сеть VLAN 3, а в сети VLAN 3 находятся интерфейсы Fa0/15
и Fa0/16, о чем свидетельствует затененная часть вывода команды show vlan brief.
Протокол создания магистралей VLAN (VTP)
Прежде чем перейти к следующим примерам конфигурации, следует узнать о преж(
нем протоколе Cisco — протоколе создания магистралей VLAN (VLAN Trunking Protocol —
VTP). Это собственный протокол компании Cisco, выполняющийся на ее коммутаторах.
Он анонсирует каждую сеть VLAN, настроенную на одном коммутаторе командой vlan
номер, чтобы о ней узнали все остальные коммутаторы в территориальной локальной се(
ти. Однако по разным причинам в большинстве корпоративный сетей протокол VTP не используют.
Эта книга не пропагандирует протокол VTP. Но он оказывает некоторое влияние на работу коммутаторов Cisco Catalyst, даже если и не используется. В этом кратком разделе протокол VTP обсуждается достаточно подробно, чтобы можно было заме(
тить небольшие отличия в его работе.
Каждый коммутатор может работать в одном из трех режимов VTP: серверном,
клиентском или прозрачном. Коммутаторы используют серверный и клиентский режимы, когда протокол VTP применяется по прямому назначению: для динамиче(
ского анонсирования информации о конфигурации сетей VLAN. Однако при мно(
жестве коммутаторов Cisco и версий операционной системы IOS протокол VTP не может быть отключен на коммутаторе Cisco полностью; вместо этого коммутатор переводит его в прозрачный режим.
Стр. 298

Глава 9. Реализация виртуальных локальных сетей
299
299
В данной книге мы пытаемся, по возможности, игнорировать протокол VTP. Для этого во всех приведенных примерах коммутаторы используются в прозрачном ре(
жиме протокола VTP (глобальная команда vtp mode transparent) или при его отключении (глобальная команда vtp mode off). Обе позволяют администратору задать как стандартный, так и расширенный диапазон сетей VLAN, а коммутатор перечисляет команды vlan в файле конфигурации running-config.
И наконец, встретив в практическом применении (выполняя упражнения лабо(
раторных работ с реальными коммутаторами или их эмуляторами) необычное пове(
дение сетей VLAN, проверьте состояние протокола VTP командой show vtp status. Если коммутатор будет использовать серверный или клиентский режим
VTP, то обнаружится следующее:

серверные коммутаторы могут настраивать сети VLAN только в стандартном диапазоне (1((1005);

клиентские коммутаторы не могут настраивать сети VLAN;

команда show running-config не отображает команды vlan.
Выполняя практические задания экзаменов CCENT и CCNA по настройке ком(
мутатора, по возможности переведите коммутатор в прозрачный режим или вообще отключите протокол VTP.
ВНИМАНИЕ!
Экспериментируя с параметрами VTP на реальном коммутаторе, будьте очень осторожны.
Если этот коммутатор подключен к другим коммутаторам, которые в свою очередь подклю(
чены к коммутаторам, используемым в рабочей сети LAN, вполне можно вызвать проблемы,
переписав конфигурации VLAN других коммутаторов. Будьте внимательны и никогда не экс(
периментируйте с параметрами VTP на коммутаторе, если к нему подключены другие комму(
таторы, особенно если есть физические каналы связи с рабочими сетями LAN.
Конфигурация магистрального соединения VLAN
Настройка магистрального соединения между двумя коммутаторами Cisco может быть очень простой, если она осуществляется только статически. Например, если два коммутатора Cisco 2960 соединены друг с другом, они поддерживают только протокол 802.1Q, но не ISL. Достаточно добавить буквально одну подкоманду ин(
терфейса для порта коммутатора на каждой стороне канала связи (
switchport mode trunk), и будет получен магистральный канал VLAN, поддерживаемый всеми сетями VLAN, известными каждому коммутатору.
Однако конфигурация магистрали на коммутаторах Cisco имеет еще много воз(
можностей, включая несколько вариантов для динамических переговоров о разных параметрах магистрали. Они могут быть либо заданы предварительно, либо комму(
таторы могут сами договориться о них следующим образом.

Тип магистрального соединения: протокол IEEE, протокол 802.1Q или перего(
воры о применяемом протоколе.

Административный режим: всегда магистральный канал, никогда магист(
ральный канал или переговоры.
Стр. 299

300
Часть II. Коммутация в локальных сетях
300
Сначала рассмотрим тип магистрального соединения. Коммутаторы Cisco, под(
держивающие протоколы ISL и 802.1Q, способны вести переговоры об используе(
мом типе при помощи протокола динамического согласования магистральных каналов
(Dynamic Trunk Protocol — DTP). Если оба коммутатора поддерживают оба прото(
кола, они используют протокол ISL; в противном случае они используют общий протокол. Современные коммутаторы Cisco не поддерживают устаревший протокол
ISL. Коммутаторы, поддерживающие оба типа магистрального соединения, исполь(
зуют подкоманду интерфейса switchport trunk encapsulation {dot1q | isl
| negotiate} для того, чтобы задать тип или позволить протоколу DTP договари(
ваться о типе.
Протокол DTP позволяет также согласовать административный режим локаль(
ных портов коммутаторов. Под административным режимом (administrative mode)
подразумевается настройка конфигурации, определяющая, должно ли использо(
ваться магистральное соединение в интерфейсе. У каждого интерфейса также есть
рабочий режим (operational mode), когда интерфейс выполняет присущие ему дейст(
вия, возможно, выбранные протоколом DTP в ходе переговоров с другим устройст(
вом. Для определения административного режима магистрали коммутаторы Cisco используют подкоманду интерфейса switchport mode с параметрами, перечис(
ленными в табл. 9.1.
Таблица 9.1. Параметры команды
switchport mode,
определяющие административный режим магистрали
Параметр
Описание
access
Всегда быть портом доступа (а не магистрального канала)
trunk
Всегда быть портом магистрального канала dynamic desirable
Передавать и отвечать на сообщения переговоров, чтобы динамически решить, использовать ли магистральное соединение dynamic auto Пассивно ожидать получения сообщений переговоров. При получении таковых вести переговоры об использовании магистрального соединения
В качестве примера рассмотрим два коммутатора на рис. 9.12. Это сеть, показан(
ная на рис. 9.11, дополненная магистральным каналом к новому коммутатору SW2,
часть портов которого подключена к сетям VLAN 1 и VLAN 3. Для магистрального соединения оба коммутатора используют канал связи Gigabit Ethernet. В данном случае магистральное соединение не создается динамически, поскольку у обоих коммутаторов (2960) стандартно задан административный режим dynamic auto,
а это значит, что ни один из них не инициализирует процесс согласования магист(
рального соединения. После изменения конфигурации одного коммутатора для ис(
пользования режима dynamic desirable, предназначенного для инициализации переговоров, на коммутаторах проводится согласование магистрального соедине(
ния, а именно — соединения по протоколу 802.1Q, поскольку коммутаторы 2960
поддерживают только протокол 802.1Q.
Пример 9.3 начинается с отображения стандартной конфигурации двух коммута(
торов на рис. 9.12 и позволяет убедиться в отсутствии магистрального соединения между ними.
Стр. 300