Реализации виртуальной локальной сети. Лава 9Реализация виртуальных

302
Часть II. Коммутация в локальных сетях
302
Appliance trust: none
! Обратите внимание, выполнение следующей команды приводит к
! появлению одной пустой строки вывода.
SW1# show interfaces trunk
SW1#
Прежде всего рассмотрим важные сведения, содержащиеся в выводе команды show interfaces switchport в начале примера 9.3. Вывод демонстрирует применение стандартного значения административного режима dynamic auto. В коммутаторе
SW2 также применяется значение dynamic auto, поэтому в выводе команды состоя(
ния коммутатора SW1 показано как access, а это значит, что магистральное соедине(
ние отсутствует. В третьей затененной строке показан единственный поддерживаемый тип магистрального соединения (802.1Q) в коммутаторе 2960. (На коммутаторе, под(
держивающем оба протокола, ISL и 802.1Q, это было бы значение negotiate, озна(
чающее переговоры о типе или инкапсуляции магистрального соединения.) Наконец,
фактически применяемый тип магистрального соединения указан как native, а зна(
чит, используется собственная сеть VLAN в соответствии с протоколом 802.1Q.
Пример завершается командой show interfaces trunk, но без вывода. Эта команда выводит информацию обо всех интерфейсах магистральных каналов, рабо(
тающих в настоящий момент, т.е. она перечисляет интерфейсы, которые в настоя(
щее время используют магистральное соединение VLAN. Не перечисляя интерфей(
сы, эта команда также подтверждает, что канал связи между коммутаторами не яв(
ляется магистральным соединением.
Теперь рассмотрим пример 9.4, демонстрирующий новую конфигурацию, где магистральное соединение разрешено. В данном случае коммутатор SW1 настроен командой switchport mode dynamic desirable, требующей от коммутатора на(
чать процесс переговоров, а не ждать их от другого устройства. Как только команда будет введена, появятся регистрационные сообщения, свидетельствующие об от(
ключении, а затем о включении интерфейса, как обычно происходит при переходе интерфейса из режима доступа в режим магистрального канала.
Пример 9.4. Изменение режима коммутатора SW1
с dynamic auto на dynamic desirable
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# interface gigabit 0/1
SW1(config-if)# switchport mode dynamic desirable
SW1(config-if)# ^Z
SW1#
01:43:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to down
01:43:49: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to up
SW1# show interfaces gigabit 0/1 switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: trunk
Стр. 302

Глава 9. Реализация виртуальных локальных сетей
303
303
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
! строки опущены для краткости
! Следующая команда раньше выводила одну пустую строку, а теперь ее вывод
! содержит информацию об одной действующей магистрали.
SW1# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 desirable 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/1 1-4094
Port Vlans allowed and active in management domain
Gi0/1 1-3
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 1-3
SW1# show vlan id 2
VLAN Name Status Ports
---- -------------------- ---------- ------------------------------------
2 Freds-vlan active Fa0/13, Fa0/14, G0/1
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ------ ---- ------ ------ -------- --- -------- ------ -------
2 enet 100010 1500 - - - - - 0 0
Remote SPAN VLAN
----------------
Disabled
Primary Secondary Type Ports
------- --------- ----------------- -------------------------------------
Для проверки того, что магистральное соединение теперь работает, в середине примера 9.4 введена команда show interfaces switchport. Обратите внимание:
в ее выводе по(прежнему отображаются административные параметры, демонстри(
рующие введенные в конфигурацию значения, но наряду с ними отображаются ра(
бочие настройки, благодаря чему можно узнать, какие действия в настоящее время выполняются коммутатором. В данном случае коммутатор SW1 находится в рабочем режиме магистрального канала с применением инкапсуляции dot1Q.
В конце примера приведен вывод команды show interfaces trunk, который отображает интерфейс G0/1, подтверждая, что теперь он работает как магистраль.
Смысл вывода этой команды обсуждается в следующем разделе.
Для подготовки к экзаменам следует быть готовым интерпретировать вывод ко(
манды show interfaces switchport, разбираться в том, как по ее выводу опреде(
лять заданный административный режим, и знать, должно ли в канале быть создано магистральное соединение, если применяются указанные настройки. В табл. 9.2 пере(
числены сочетания административных режимов магистрального соединения и ожи(
даемые режимы работы (магистральный или доступа), устанавливаемые в результате
Стр. 303

304
Часть II. Коммутация в локальных сетях
304
применения заданных параметров. В левой части таблицы указаны административные режимы, используемые коммутатором на одном конце канала, а в верхней части —
административные режимы, заданные для коммутатора на другом конце канала.
Таблица 9.2. Ожидаемый рабочий режим магистрали
на основании параметров административных режимов
Административный
режим
access
dynamic
auto
trunk
dynamic
desirable
access access access
Не используется *
access dynamic auto access access trunk trunk trunk
Не используется *
trunk trunk trunk dynamic desirable access trunk trunk trunk
* Когда коммутатор на одном конце находится в режиме access, а на другом конце в режиме trunk, возникают проблемы. Избегайте такой комбинации.
Компания Cisco рекомендует отключать переговоры магистральных каналов на большинстве портов для повышения их защиты. Большинство портов на большин(
стве коммутаторов используется для подключения пользователей. Не забывайте,
переговоры DTP можно отключить в целом с помощью подкоманды интерфейса switchport nonegotiate.
Контроль сетей VLAN, поддерживаемых на магистральном канале
Список разрешенных сетей VLAN (allowed VLAN list) — это механизм, позволяю(
щий сетевым инженерам административно отключать сети VLAN от магистраль(
ного канала. Стандартно коммутаторы включают в список разрешенных сетей
VLAN каждой магистрали все возможные сети VLAN (от VLAN 1 до VLAN 4094).
Однако впоследствии инженер может сократить количество сетей VLAN, которым разрешено использовать магистральный канал. Для этого используется следующая подкоманда интерфейса:
switchport trunk allowed vlan {add | all | except | remove} список_vlan
Эта команда предоставляет удобный способ добавления и удаления сетей VLAN
из списка разрешенных. В частности, параметр add позволяет коммутатору добав(
лять сети VLAN к существующему списку разрешенных сетей VLAN, а с помощью параметра remove можно удалить сети VLAN из существующего списка коммутато(
ра. Под параметром all подразумеваются все сети VLAN, поэтому он может при(
меняться для переустановки коммутатора в стандартную конфигурацию (разрешаю(
щую применение магистрали для сетей VLAN от 1 до 4094). С другой стороны, па(
раметр except является довольно сложным; он позволяет добавить к списку все се(
ти VLAN, не указанные в команде. Например, выполнение подкоманды интерфейса switchport trunk allowed vlan except 100-200 добавит к существующему списку разрешенных сетей сети VLAN 1–VLAN 99 и сети VLAN 201–VLAN 4094.
Кроме списка разрешенных сетей VLAN, коммутатор может руководствоваться другими причинами для запрета передачи через определенную магистраль трафика конкретной сети VLAN. Все пять причин запрета прохождения трафика перечисле(
ны ниже.
Стр. 304

Глава 9. Реализация виртуальных локальных сетей
305
305
Причины невозможности передачи трафика сети VLAN по магистральному каналу

Сеть VLAN удалена из списка разрешенных сетей VLAN для магистрального канала.

Сеть VLAN отсутствует в конфигурации коммутатора (как свидетельствует вывод команды show vlan).

Сеть VLAN существует, но административно отключена (командой shutdown).

Сеть VLAN автоматически отсечена протоколом VTP.

Экземпляр STP сети VLAN перевел магистральный интерфейс в состояние блокировки.
ВНИМАНИЕ!
Последние две причины не рассматриваются в этой книге, но упоминаются здесь для порядка.
Первая причина (список разрешенных сетей VLAN) уже упоминалась в этом разде(
ле, а теперь обсудим две следующие. Если у коммутатора нет информации о существо(
вании какой(то сети VLAN (т.е. команды vlan идентификатор_vlan в конфигура(
ции коммутатора нет, что подтверждает вывод команды show vla ), то он не будет пе(
ренаправлять фреймы этой сети VLAN ни по какому интерфейсу. Кроме того, сеть
VLAN может существовать в конфигурации коммутатора, но быть административно отключенной либо глобальной командой конфигурации shutdown vlan идентифи-
катор_vlan, либо командой shutdown в режиме конфигурации VLAN. Когда сеть
VLAN отключена, коммутатор больше не будет перенаправлять ее фреймы даже по магистральным каналам. В результате коммутаторы не перенаправляют фреймы несу(
ществующих или отключенных сетей VLAN ни по одному из магистральных каналов.
В этой книге есть смысл перечислить причины невозможности передачи трафи(
ка сети VLAN по магистральному каналу: команда show_interfaces_trunk вы(
водит список идентификаторов VLAN в том же порядке, на основании тех же при(
чин. Вывод указанной команды содержит продолжение в виде трех списков сетей
VLAN, поддерживаемых магистральным каналом.

Сети VLAN, разрешенные на магистральном канале (стандартно 1((4094).

Сети VLAN из первой группы, настроенные и активные (не отключенные).

Сети VLAN из второй группы, не отсеченные протоколом VTP и не блокиро(
ванные протоколом STP.
Чтобы получить представление об этих трех списках в выводе команды show interfaces trunk, рассмотрим пример 9.5, демонстрирующий варианты запрета передачи трафика сетей VLAN через магистральный канал по разным причинам.
Вывод указанной команды получен на коммутаторе SW1 (см. рис. 9.12) после на(
стройки конфигурации в соответствии с предыдущими примерами этой главы.
Другими словами, сети VLAN 1–3 существуют в конфигурации коммутатора SW1
и не отключены. Магистральное соединение между коммутаторами SW1 и SW2 на(
ходится в рабочем состоянии. Затем в ходе выполнения данного примера на комму(
таторе SW1 настраиваются следующие параметры конфигурации.
Стр. 305

306
Часть II. Коммутация в локальных сетях
306
Этап 1
Настройка сети VLAN 4
Этап 2
Отключение сети VLAN 2
Этап 3
Удаление сети VLAN 3 из списка разрешенных сетей VLAN магистрального канала
Пример 9.5. Списки разрешенных и активных сетей VLAN
! Три списка сетей VLAN в выводе следующей команды показывают разрешенные
! сети VLAN (1–4094), разрешенные и активные сети VLAN (1–3) и
! разрешенные, активные, неотсеченные и перенаправляемые STP
! сети VLAN (1–3).
SW1# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 desirable 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/1 1-4094
Port Vlans allowed and active in management domain
Gi0/1 1-3
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 1-3
! После этого в конфигурации коммутатора выполняется настройка новой сети
! VLAN 4, сеть VLAN 2 отключается, а сеть VLAN 3 удаляется из списка
! разрешенных сетей VLAN для этой магистрали.
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# vlan 4
SW1(config-vlan)# vlan 2
SW1(config-vlan)# shutdown
SW1(config-vlan)# interface gi0/1
SW1(config-if)# switchport trunk allowed vlan remove 3
SW1(config-if)# ^Z
! Три списка сетей VLAN в выводе следующей команды показывают разрешенные
! сети VLAN (1, 2 и 4–4094), разрешенные и активные сети VLAN (1 и 4) и
! разрешенные, активные, неотсеченные и перенаправляемые протоколом STP
! сети VLAN (1 и 4).
SW1# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 desirable 802.1q trunking 1
! Далее сеть VLAN 3 исключается, поскольку она была удалена из списка
! разрешенных сетей VLAN.
Port Vlans allowed on trunk
Gi0/1 1-2,4-4094
! Сеть VLAN 2 исключается, поскольку она отключена. Сети VLAN 5-4094
! исключаются, поскольку на коммутаторе SW1 они не настроены.
Port Vlans allowed and active in management domain
Gi0/1 1,4
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 1,4
Стр. 306

Глава 9. Реализация виртуальных локальных сетей
307
307
Обзор
Резюме

Локальная сеть (LAN) объединяет все устройства в том же широковещатель(
ном домене.

Без виртуальных сетей коммутатор полагает, что все его интерфейсы нахо(
дятся в том же широковещательном домене.

Коммутатор VLAN может настроить часть интерфейсов на один широкове(
щательный домен, а часть на другой, создав в результате два широковеща(
тельных домена. Эти созданные коммутатором индивидуальные широкове(
щательные домены и являются виртуальными локальными сетями (VLAN).

Ниже приведен список наиболее распространенных причин создания мень(
ших широковещательных доменов (сетей VLAN).
  Сокращение дополнительных затрат процессоров всех устройств за счет сокращения количества устройств, получающих каждый широковеща(
тельный фрейм.
  Улучшение защиты за счет сокращения количества хостов, получающих ко(
пии фреймов при их лавинной рассылке коммутатором (широковещание,
групповая передача и одноадресатные фреймы с неизвестным получателем).
  Улучшение защиты хостов, пересылающих важные данные, за счет их помещения в отдельную сеть VLAN.
  Возможность более гибкого объединения пользователей в группы (напри(
мер, по отделам) вместо физического разделения по местоположению.
  Упрощение поиска проблемы в сети, поскольку большинство проблем локализуется в области набора устройств, формирующих широковеща(
тельный домен.
  Сокращение дополнительных затрат на работу протокола распределен(
ного связующего дерева (STP) за счет ограничения VLAN одним комму(
татором доступа.

Настройка сети VLAN с одним коммутатором требует немного усилий: доста(
точно настроить каждый порт так, чтобы указать ему номер VLAN, к которой он принадлежит.

Когда сети VLAN используются в сетях с несколькими соединенными между собой коммутаторами, на каналах связи между ними применяется магист(
ральное соединение VLAN.

Магистральное соединение VLAN подразумевает использование коммутато(
рами процесса назначения тегов VLAN, когда передающий коммутатор до(
бавляет к фрейму другой заголовок перед его передачей по магистральному каналу. Этот дополнительный заголовок включает поле идентификатора
VLAN (VLAN ID), позволяющего передающему коммутатору ассоциировать фрейм с конкретной сетью VLAN, а получающему коммутатору узнать, к ка(
кой именно VLAN принадлежит данный фрейм.
Стр. 307

308
Часть II. Коммутация в локальных сетях
308

В последние годы компания Cisco использует два разных протокола магист(
ральных соединений: протокол межкоммутаторных соединений (ISL) и про(
токол 802.1Q стандарта IEEE.

Для каждого магистрального канала стандарт 802.1Q определяет также один специальный идентификатор VLAN, обозначающий собственную сеть VLAN
(стандартно это VLAN 1).

При создании территориальной локальной сети, содержащей много сетей
VLAN, требуется обеспечить всем устройствам возможность передавать дан(
ные на все остальные устройства.

Окончательное решение подразумевает передачу функций маршрутизации ап(
паратным средствам коммутатора LAN. Производители уже довольно давно начали объединять аппаратные и программные средства коммутаторов уровня
2 с маршрутизаторами уровня 3, выпуская коммутаторы уровня 3 (они же многоуровневые коммутаторы). Коммутаторы уровня 3 могут быть настроены так, чтобы действовать только как коммутаторы уровня 2 или коммутаторы уровня 2 с маршрутизаторами уровня 3.

Последовательность настройки конфигурации VLAN и назначения интер(
фейсов.
Этап 1 Чтобы настроить конфигурацию новой сети VLAN, выполните следующие действия:
A. В режиме настройки конфигурации введите глобальную команду конфигурации vlan идентификатор_vlan для создания сети VLAN и перейдите в режим настройки конфигурации сети VLAN.
B. (Необязательно.) Чтобы присвоить сети VLAN имя, введите подкоманду
VLAN name имя. Если этого не сделать, именем VLAN будет VLANZZZZ, где
ZZZZ — десятичный идентификатор из четырех цифр
Этап 2 Для каждого интерфейса доступа (интерфейса, принадлежащего не магистральному каналу, а отдельной сети VLAN) выполните следующие действия:
A. Используя команду interface, перейдите в режим конфигурации каждого настраиваемого интерфейса.
B. Используя подкоманду интерфейса switchport access vlan
идентификатор_vlan, укажите номер VLAN, связанной с данным интерфейсом.
C. (Необязательно). Чтобы отключить магистральное соединение на том же интерфейсе и запретить переговоры о создании магистрального канала,
используйте подкоманду интерфейса switchport mode access

Протокол создания магистралей VLAN (((( это собственный протокол компа(
нии Cisco, выполняющийся на ее коммутаторах. Он анонсирует каждую сеть
VLAN, настроенную на одном коммутаторе командой vlan номер, чтобы о ней узнали все остальные коммутаторы в территориальной локальной сети.
Стр. 308