что такое encapsulation dot1q что
Router & dot1Q
Во многих корпоративных сетях имеется больше одной подсети. Это делается из соображений безопасности, т.к. таким образом легче контролировать трафик между несколькими подразделениями, предоставляя только тот доступ, который нужен подразделению. Как можно заметить, роутеры не могут порадовать изобилием свободных портов (в отличие от коммутаторов), поэтому приходится как-то выкручиваться.
Secondary IP
На интерфейс роутера можно назначить больше одного ip адреса, но это является не практичным и не безопасным решением, когда надо разделить ресурсы компании на разные подсети.
Router & dot1Q
dot1Q – это модифицированное название стандарта IEEE 802.1Q (dot в переводе на русский – точка). Этот стандарт определяет работу Virtual LAN (VLAN), в том числе и тегированные фреймы (которые “ходят” через trunk порты).
Router on a stick (Роутер на палочке) – это название топологии сети, где роутер физически подключен к сети только одним линком (проводом), при этом обслуживает несколько подсетей. Топология реализуется благодаря тому, что единственный имеющийся линк является trunk-ом и может различать фреймы из разных vlan, таким образом для каждого vlan создается свой подинтерфейс.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 73 пользователей
Получить достижение
Код активации можно получить выполнив практическое задание
Уже получили 77 пользователей
Начальные данные
Все “манипуляции” можно осуществлять только при помощи PC0 (либо с других PC в сети).
В данной практической работе сеть уже спланирована, большая часть настроена (рисунок 3.1). На всем сетевом оборудовании настроен telnet-сервер, пароль – cisco123. VLAN уже распределены по всем портам, согласно схеме, там же представлена вся адресация. Например, на PC0 вы можете видеть “.10”, это означает, что он имеет ip адрес 10.13.1.10. Коммутаторы относятся к подсети 10.13.1.0/28.
Рисунок 3.1 Схема сети из практической работы
Выполнение
Познакомиться с функцией secondary ip
К сожалению, Packet Tracer не поддерживает функцию secondary ip, т.е. практического применения здесь не будет.
Реализовать топологию “Роутер на палочке”. Проверить маршрутизацию
Для того что бы реализовать топологию “Роутер на палочке”, между роутером и коммутаторм должен быть trunk. Выполним соответствующую настройку на коммутаторе, который “смотрит” на r1 интерфейсом Fa0/23. Вся настройка выполняется с PC0.
Теперь коммутатор может отправлять тегированные фреймы в сторону r1. Пришло время настраивать r1.
Обратите внимание, что на интерфейсе Fa0/0 не настроена инкапсуляция, но при этом он относится к vlan 1. Тут надо вспомнить как работает trunk. В каждом trunk можно указать лишь один vlan, который будет ходить без тэга, по умолчанию это vlan 1. Таким образом весь не тегированый трафик попадает на Fa0/0, а тегированный трафик попадает на соответствующий vlan-у subinterface.
Subinterface-ы рассматриваются роутером как отдельные, самостоятельные интерфейсы и не смотря на то что они “виртуальные”, настраиваются они аналогично “физическим” интерфейсам. Важное замечание, если физический интерфейс выключен, то и все subinterface-ы, относящиеся к нему, тоже будут выключены.
Теперь удалим лишний интерфейс который мы создали – FastEthernet0/0.133. Делается это при помощи команды no (это очень “мощная команда”, если вы еще не поняли как она работает, просто пользуйтесь ей чаще, редактируйте конфигурацию и тут же ее удаляйте при помощи no).
Самое время проверить маршрутизацию. Для начала проверим доступность некоторых устройств с r1.
С помощью команды tracert изучим путь, от PC1 до CiscoLearning, рисунок 3.2.
Рисунок 3.2 Traceroute от PC1 до CiscoLearning
Первым “прыжком” (hop), PC1 указывает r1 (10.21.1.1), а вторым CiscoLearning (10.99.1.2). Очень важно представлять какой путь проходят данные.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Настройка Router-on-a-Stick на Cisco
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Хотя некоторые считают, что термин «маршрутизатор на палочке» звучит немного глупо, это очень популярный термин, который широко используется в сетях, где нет коммутатора 3-го уровня.
Также такую схему иногда называют “леденец” – lollypop. Находите некоторое сходство?
Пример
Наш пример основан на сценарии, с которым вы, скорее всего, столкнетесь при работе с сетями VoIP. Поскольку реализации VoIP требуют разделения сети передачи данных и сети голоса для маршрутизации пакетов между ними, вам необходим либо коммутатор 3-го уровня, либо маршрутизатор. Эта конфигурация обеспечивает доступность и стабильность VoIP, особенно в часы пик трафика в вашей сети.
Пакеты, передающиеся между VLAN маршрутизируются через один роутер, подключенный к коммутатору, используя один физический порт, настроенный как транк на обоих концах (коммутатор и маршрутизатор).
Этот пример покажет вам, как настроить маршрутизатор и коммутатор Cisco для создания между ними 802.1Q транка и маршрутизации пакетов между вашими VLAN.
Шаг 1 – Настройка коммутатора
Первым шагом является создание необходимых двух VLAN на нашем коммутаторе Cisco и настройка их с IP-адресом. Поскольку все коммутаторы Cisco содержат VLAN1 (VLAN по умолчанию), нам нужно только создать VLAN2.
Далее, нам нужно создать транк порт, который будет соединятся с маршрутизатором. Для этой цели мы выберем порт GigabitEthernet 0/1
При помощи данных команд мы определили, что транк будет использовать инкапсуляцию 802.1Q, установили порт в режим транка и включили функцию portfast trunk spanning-tree, чтобы гарантировать, что порт будет пересылать пакеты немедленно при подключении к устройству, например, маршрутизатору. Внимание: команда spanning-tree portfast trunk не должна использоваться на портах, которые подключаются к другому коммутатору, чтобы избежать петель в сети.
Шаг 2 – Настройка маршрутизатора
Мы закончили с коммутатором и можем переходить к настройке конфигурации нашего маршрутизатора, чтобы обеспечить связь с нашим коммутатором и позволить всему трафику VLAN проходить и маршрутизироваться по мере необходимости.
Чтобы сформировать транк с нашим коммутатором, необходимо создать один под-интерфейс для каждого VLAN, сконфигурированного на нашем коммутаторе. После создания под-интерфейса мы назначаем ему IP-адрес и устанавливаем тип инкапсуляции 802.1Q и указываем номер VLAN, к которому принадлежит под-интерфейс.
Например, команда encapsulation dot1q 2 определяет инкапсуляцию 802.1Q и устанавливает под-интерфейс на VLAN 2.
Для проверки можно использовать на роутере команду show vlans, где будут отображены созданные нами под-интерфейсы, а также при помощи команды show ip route в таблице маршрутизации мы должны увидеть наши под-интерфейсы.
Готово! Теперь при помощи роутера мы можем маршрутизировать файлы между разными VLAN.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Настройка vlan на cisco
Узлы и серверы, подключенные к коммутаторам 2-го уровня, считаются частью сетевого сегмента. Такая организация характеризуется двумя серьезными проблемами:
Коммутаторы выполняют лавинную рассылку широковещательных кадров из всех портов, что приводит к неоправданному потреблению полосы пропускания. С увеличением числа устройств, подключенных к коммутатору, генерируется больше широковещательного трафика, который занимает большую полосу пропускания;
все устройства, подключенные к коммутатору, могут пересылать и получать кадры от всех остальных устройств на этом коммутаторе.
При проектировании сети рекомендуется ограничивать широковещательный трафик областью сети, в которой он необходим. Существуют причины организационного характера, по которым одни узлы могут получать доступ друг к другу, а другие нет. Например, в доступе к бухгалтерскому серверу могут нуждаться только сотрудники бухгалтерии. В коммутируемой сети для ограничения широковещательных рассылок и объединения узлов в группы по интересам создаются виртуальные локальные сети (VLAN).
VLAN — это логический домен широковещательной рассылки, который может охватывать несколько физических сегментов LAN. Она позволяет администратору объединять станции по логической функции, проектной группе или приложению независимо от физического положения пользователей.
Разница между физической и виртуальной (логической) сетями продемонстрирована в следующем примере:
Ученики школы разделены на две группы. Каждому ученику первой группы дана красная карточка для идентификации. Каждому ученику второй группы дана синяя карточка. Директор объявляет, что ученики с красными карточками могут говорить только с другими обладателями красных карточек, а ученики с синими карточками — только с другими обладателями синих карточек. Таким образом, ученики логически разделены на две виртуальные группы или VLAN.
Благодаря такому логическому объединению широковещательный кадр рассылается только группе с красными карточками, несмотря на то, что группа с красными карточками и группа с синими карточками физически находятся в одной школе.
Этот пример также демонстрирует другую функцию VLAN. Широковещательные кадры не пересылаются между VLAN, они остаются внутри одной VLAN.
Каждая VLAN функционирует как отдельная локальная сеть. VLAN может охватывать один или несколько коммутаторов, что позволяет узлам работать так, как если бы они находились в одном сегменте.
VLAN выполняют две основные функции:
ограничение широковещательных рассылок;
объединение устройств в группы; устройства, расположенные в одной VLAN, невидимы для устройств, расположенных в другой VLAN.
Для передачи трафика между VLAN необходимо устройство 3-го уровня.
В коммутируемой сети устройство можно назначить во VLAN в соответствии с его положением, MAC-адресом, IP-адресом или приложениями, которые оно использует чаще всего. Администраторы задают принадлежность устройства VLAN статически или динамически.
Для задания статической принадлежности VLAN администратор должен вручную назначить каждый порт коммутатора в определенную VLAN. Например, порт fa0/3 можно назначить во VLAN 20. Любое устройство, подключающееся к порту fa0/3, автоматически становится членом VLAN 20.
Этот тип принадлежности VLAN проще всего настраивать и он самый популярный, но добавление, перемещение и изменение устройств потребует значительного вмешательства администратора. Например, перемещение узла из одной VLAN в другую потребует либо ручного переназначения порта коммутатора в новую VLAN, либо переключения кабеля рабочей станции в другой порт коммутатора, относящегося к новой VLAN.
Принадлежность устройства сети VLAN полностью прозрачна для пользователей. Пользователи, которые работают с устройством, подключенным к порту коммутатора, не знают, что являются членами VLAN.
Динамическая принадлежность VLAN требует наличия сервера управления политикой VLAN (VMPS). VMPS содержит базу данных, которая сопоставляет MAC-адреса с сетями VLAN. Когда
устройство подключается к порту, VMPS ищет его MAC-адрес в своей базе данных и временно назначает порт в соответствующую VLAN.
Динамическая принадлежность VLAN требует более сложной настройки и организации, но формирует более гибкую структуру, чем статическая принадлежность VLAN. Перемещение, добавление и изменение компонентов в динамической VLAN выполняется автоматически и не требует вмешательства администратора.
Примечание. Не все коммутаторы Catalyst поддерживают VMPS.
Максимальное общее число статических и динамических VLAN зависит от типа коммутатора и версии IOS. По умолчанию в качестве VLAN управления применяется VLAN1.
Администраторы используют IP-адрес VLAN управления для удаленной настройки коммутатора. Удаленный доступ к коммутатору позволяет администратору сети настраивать и обслуживать все конфигурации VLAN.
Кроме того, VLAN управления используется для обмена данными, например трафиком протоколов CDP (Cisco Discovery Protocol) и VTP (VLAN Trunking Protocol), с другими сетевыми устройствами.
При создании сети VLAN назначается номер и имя. Номер VLAN — это любое число из диапазона, доступного коммутатору, кроме VLAN1. Некоторые коммутаторы поддерживают примерно 1000 VLAN, другие — более 4000. Именование VLAN считается рекомендуемым методом управления сетью.
Для настройки VLAN используются следующие команды режима глобальной конфигурации:
Switch(config)#vlan vlan_number
Switch(config-vlan)#name vlan_name
Switch(config-vlan)#exit
назначает порты во VLAN. По умолчанию все порты относятся к VLAN1. Порты можно назначать по одному или диапазонами.
Используйте следующие команды для назначения отдельных портов в сети VLAN:
Switch(config)#interface fa#/#
Switch(config-if)#switchport access vlan vlan_number
Switch(config-if)# exit
Для проверки и обслуживания VLAN используются следующие команды: show vlan
выводит подробный список номеров и имен VLAN, активных на коммутаторе, а также портов, назначенных в каждую из них;
выводит статистику протокола STP, если он настроен, для каждой VLAN.
show vlan brief
выводит сводный список, в котором отображаются только активные VLAN и их порты.
show vlan id номер_id
выводит сведения об определенной VLAN по ее идентификатору.
show vlan name имя_vlan
выводит сведения об определенной VLAN по ее имени.
В организации работники часто добавляются, удаляются или перемещаются между отделами и проектами. Это постоянное движение требует обслуживания VLAN, включая их удаление и переназначение портов.
Удаление VLAN и переназначение портов в другие VLAN — это две разные функции. Когда порт удаляется из определенной VLAN, он возвращается во VLAN1.
Удаление VLAN:
Switch(config)#no vlan номер_vlan
Удаление порта из определенной VLAN:
Switch(config)#interface fa#/#
Switch(config-if)#no switchport access vlan номер_vlan
VLAN выполняют три основные функции:
ограничение размера широковещательных рассылок;
улучшение производительности сети;
повышение безопасности.
Чтобы в полной мере воспользоваться преимуществами VLAN, необходимо распространить их на несколько коммутаторов.
Для портов коммутатора можно задать две разные роли. Порт может быть определен как порт доступа или как магистральный порт.
Порт доступа
Порт доступа принадлежит только одной VLAN. Как правило, отдельные устройства, такие как компьютеры и серверы, подключаются к портам такого типа. Если несколько компьютеров подключаются к одному порту доступа через концентратор, все устройства, подключенные к концентратору, будут принадлежать к одной VLAN.
Магистральный порт
Магистральный порт — это канал типа «точка-точка» между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора или коммутатора и сетевого адаптера узла с поддержкой транкинга 802.1Q.
Без магистральных портов для каждой VLAN требовалось бы отдельное соединение между коммутаторами.
Например, корпорации со 100 VLAN потребуется 100 каналов связи. При такой организации сеть не масштабируется должным образом и очень дорога. Магистральные каналы позволяют решить эту проблему за счет передачи трафика нескольких VLAN через один канал.
IEEE 802.1Q — стандартный и утвержденный метод маркировки кадров. Корпорация Cisco разработала собственный протокол маркировки кадров под названием межкоммутаторный канал (ISL). Коммутаторы более высокого класса, такие как Catalyst 6500, поддерживают оба протокола маркировки, однако большинство коммутаторов LAN, таких как 2960, поддерживают только 802.1Q.
По умолчанию порты коммутатора работают в режиме доступа. Чтобы настроить порт коммутатора в качестве магистрального порта, используйте следующие команды:
Switch(config)#interface fa(controler # / port #)
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation
Коммутаторы, поддерживающие и 802.1Q и ISL, требуют последней инструкции. Коммутатор 2960 не требует этой инструкции, так как поддерживает только 802.1Q.
Параметр согласования используется по умолчанию на многих коммутаторах Cisco. Он позволяет устройству автоматически обнаруживать тип инкапсуляции соседнего коммутатора.
Новые коммутаторы могут обнаруживать тип канала, заданный на противоположной стороне. В зависимости от подключенного устройства канал настраивается в качестве магистрального порта или в качестве порта доступа.
Switch(config-if)#switchport mode dynamic
В требуемый режим порт становится магистральным, если порт на другой стороне находится в режиме desirable или auto.
В автоматический режим порт становится магистральным, если порт на другой стороне находится в режиме trunk или desirable.
Чтобы вернуть магистральный порт в режим доступа, введите одну из следующих команд:
Switch(config)#interface fa (controler # / port #)
Switch(config-if)#no switchport mode trunk
или
Switch(config-if)#switchport mode access
Транкинг позволяет нескольким VLAN пересылать трафик между коммутаторами, используя один порт.
Магистральный канал пропускает трафик с 4-байтным полем метки в кадре, если на обеих сторонах настроен протокол 802.1Q. Метка кадра содержит идентификатор VLAN ID.
Когда коммутатор получает маркированный кадр на магистральном порту, он удаляет метку, прежде чем переслать кадр из порта доступа. Коммутатор пересылает кадр, только если порт доступа относится к той же VLAN, что и маркированный кадр.
Однако некоторые типы трафика должны проходить через канал 802.1Q без идентификатора VLAN. Трафик без идентификатора VLAN называется немаркированным. Примеры немаркированного трафика: CDP (Cisco Discovery Protocol), VTP и определенные типы голосового трафика. Немаркированный трафик сводит к минимуму задержки, связанные с проверкой метки идентификатора VLAN.
Для поддержки немаркированного трафика используется специальная VLAN, которая называется собственной VLAN. Немаркированные кадры, принятые на порте 802.1Q, передаются в собственную VLAN. На коммутаторах Cisco Catalyst в качестве собственной VLAN по умолчанию используется VLAN 1.
Любую VLAN можно настроить в качестве собственной. Убедитесь, что собственная VLAN для магистрального подключения 802.1Q одинакова на обеих сторонах канала. В противном случае в топологии STP могут возникнуть петли.
Введите следующую команду для магистрального подключения 802.1Q, чтобы назначить идентификатор собственной VLAN физическому интерфейсу:
Switch(config-if)#dot1q native vlan vlan-id
Хотя VLAN могут охватывать несколько коммутаторов, только устройства, относящиеся к одной VLAN, могут взаимодействовать друг с другом.
Для соединения между VLAN необходимо устройство 3-го уровня. Такая организация позволяет администратору сети осуществлять строгий контроль над типами трафика, которые передаются из одной VLAN в другую.
Один из методов маршрутизации между VLAN требует отдельного подключения интерфейса к устройству 3-го уровня для каждой VLAN.
Другой метод соединения между VLAN требует функции, которая называется подынтерфейсами. Подынтерфейсы позволяют логически разделить один физический интерфейс на несколько логических путей. Для каждой VLAN настраивается отдельный путь или подынтерфейс.
Взаимодействие между VLAN с использованием подынтерфейсов требует настройки как маршрутизатора, так и коммутатора.
Коммутатор
Настройте интерфейс коммутатора в качестве магистрального канала 802.1Q.
Маршрутизатор
выберите интерфейс маршрутизатора не ниже FastEthernet 100 Мбит/с;
настройте подынтерфейсы с поддержкой инкапсуляции 802.1Q;
для каждой VLAN настраивается один подынтерфейс.
Подынтерфейс позволяет каждой VLAN иметь собственный логический путь и шлюз по умолчанию к маршрутизатору.
Чтобы настроить маршрутизацию между VLAN, выполните следующие действия:
Настройте магистральный порт на коммутаторе.
Switch(config)#interface fa0/2
Switch(config-if)#switchport mode trunk
На маршрутизаторе настройте интерфейс FastEthernet без IP-адреса и маски подсети.
Router(config)#interface fa0/1
Router(config-if)#no ip address Router(config-if)#no shutdown
На маршрутизаторе настройте один подынтерфейс с IP-адресом и маской подсети для каждой VLAN. Каждый подынтерфейс использует инкапсуляцию 802.1Q.
Router(config)#interface fa0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Проверьте конфигурацию и работоспособность маршрутизации между VLAN с помощью следующих команд.
Switch#show trunk
Router#show ip interfaces
Router#show ip interfaces brief
Router#show ip route
С увеличением размера и сложности сети централизованное управление структурой VLAN становится критически важным. Протокол VTP (VLAN Trunking Protocol) — это протокол обмена сообщениями 2-го уровня, который предоставляет метод управления базой данных VLAN с центрального сервера в сетевом сегменте. Маршрутизаторы не пересылают обновления VTP.
Без автоматизированного метода управления корпоративной сетью с сотнями VLAN потребовалась бы ручная настройка каждой VLAN на каждом коммутаторе. Любое изменение структуры VLAN потребовало дополнительной ручной настройки. Один неверно набранный номер может стать причиной неустойчивости соединений по всей сети.
Чтобы решить эту проблему, корпорация Cisco создала протокол VTP, который автоматизирует многие задачи конфигурации VLAN. VTP гарантирует согласованное обслуживание конфигурации VLAN по всей сети и уменьшает необходимость в управлении и мониторинге VLAN.
VTP — это протокол обмена сообщениями с архитектурой «клиент-сервер», который добавляет, удаляет и переименовывает VLAN в одном домене VTP. Все коммутаторы под общим управлением являются частью домена. У каждого домена есть уникальное имя. Коммутаторы VTP обмениваются сообщениями VTP только с другими коммутаторами в домене.
Существует две разные версии VTP: 1 и 2. Версия 1 — версия по умолчанию и она несовместима с версией 2. На всех коммутаторах необходимо настроить одну версию протокола.
VTP использует три режима: серверный, клиентский и прозрачный. По умолчанию все коммутаторы являются серверами. Рекомендуется настроить хотя бы два коммутатора в сети в качестве серверов, чтобы обеспечить резервирование.
При использовании VTP каждый сервер объявляет сообщения через свои магистральные порты. Сообщения включают домен управления, номер версии конфигурации, известные VLAN и параметры каждой VLAN. Кадры объявлений отправляются по адресу многоадресной рассылки, поэтому их получают все соседние узлы.
Каждый коммутатор VTP сохраняет базу данных VLAN, включающую номер версии конфигурации, в энергонезависимой памяти (NVRAM). Если VTP получает обновление с более высоким номером версии, чем номер в базе данных, коммутатор добавляет новые данные в свою базу данных VLAN.
Номер изменения конфигурации VTP начинается с нуля. При внесении изменений номер версии конфигурации увеличивается на единицу.
Номер версии продолжает увеличиваться, пока не достигает 2 147 483 648. При достижении этого значения счетчик сбрасывается в ноль. Кроме того, номер версии сбрасывается при перезагрузке коммутатора.
Проблема, связанная с номером версии, может возникнуть, если кто-то добавит в сеть коммутатор с более высоким номером версии, не перезагрузив его. Поскольку по умолчанию коммутатор находится в серверном режиме, новые, но неверные данные могут перезаписать корректные данные VLAN на всех остальных коммутаторах.
Один из способов обеспечить защиту от этой критической ситуации состоит в задании паролей VTP для проверки коммутаторов. Перед добавлением нового коммутатора в существующую сеть всегда перезагружайте его, чтобы сбросить номер версии. Кроме того, при добавлении коммутатора в сеть, в которой уже есть коммутатор в серверном режиме, убедитесь, что новый коммутатор настроен в прозрачном или клиентском режиме.
Существует три типа сообщений VTP: сводные объявления, сокращенные объявления и запросы объявлений.
Сводные объявления
Коммутаторы Catalyst рассылают сводные объявления каждые 5 минут, а также при изменении базы данных VLAN. Сводные объявления содержат текущее имя домена VTP и номер версии конфигурации.
При добавлении, удалении или изменении VLAN сервер увеличивает номер версии конфигурации и отправляет сводное объявление.
При получении пакета сводного объявления коммутатор сравнивает имя домена VTP со своим именем домена VTP. Если имена домена совпадают, коммутатор сравниваниет номер версии конфигурации со своим номером. Если полученный номер ниже, коммутатор игнорирует пакет. Если номер версии выше, отправляется запрос объявления.
Сокращенные объявления
Сокращенное объявление отправляется после сводного объявления. Сокращенное объявление содержит список данных VLAN.
Сокращенное объявление содержит новые данные VLAN, основанные на сводном объявлении. Если в сети несколько VLAN, потребуется несколько сокращенных объявлений.
Запросы объявлений
VTP-клиенты используют запросы объявлений, чтобы запросить информацию о VLAN. Запросы объявлений необходимы, если коммутатор сброшен или изменено имя домена VTP. Коммутатор получает сводное объявление VTP с более высоким номером версии конфигурации, чем его собственный.
По умолчанию коммутаторы являются серверами. Если коммутатор в серверном режиме отправляет обновление с номером версии, превышающим текущий номер версии, все коммутаторы изменят свои базы данных в соответствии с новым коммутатором.
При добавлении нового коммутатора в существующий домен VTP выполните следующие действия:
Действие 1. Настройте протокол VTP в автономном режиме (версию 1)
Действие 2. Проверьте конфигурацию VTP.
Действие 3. Перезагрузите коммутатор.
Главное назначение VLAN — разделение трафика на логические группы. Трафик из одной VLAN не оказывает влияния на трафик в другой VLAN. Среда VLAN идеальна для трафика, чувствительного к временным задержкам, например голосового.
Голосовой трафик должен получать приоритет над обычным трафиком данных, чтобы избежать перерывов и джиттера при разговоре. Предоставление выделенной VLAN для голосового трафика позволяет голосовому трафику не конкурировать с данными за доступную полосу пропускания.
IP-телефон, как правило, включает два порта — один для голоса, другой для данных. Пакеты, передаваемые между IP-телефоном и компьютером, используют тот же физический канал и тот же порт коммутатора. Для сегментации голосового трафика активируйте голосовую VLAN на коммутаторе.
Беспроводной доступ — другой тип трафика, который использует преимущества VLAN. Беспроводной доступ по своей природе небезопасен и уязвим к хакерским атакам. VLAN, созданные для беспроводного доступа, изолируют некоторые из потенциальных проблем. Угроза целостности беспроводной VLAN не повлияет на другие VLAN в организации.
Большинство беспроводных сред помещают пользователей во VLAN за пределами брандмауэра для повышенной безопасности. Пользователи должны пройти аутентификацию, чтобы получить доступ к внутренней сети из беспроводной сети.
Кроме того, многие организации предоставляют гостевой доступ в свою беспроводную сеть. Гостевые учетные записи предоставляют временные беспроводные услуги, такие как веб-доступ, электронная почта, ftp и SSH, всем. Количество активных учетных записей ограничивается. Гостевые учетные записи включаются в беспроводную VLAN или группируются в собственной
VLAN.
При качественном планировании и проектировании VLAN обеспечивают безопасность, экономят полосу пропускания и локализуют трафик в корпоративной сети. Все эти функции объединяются для улучшения производительности сети.
Некоторые из рекомендуемых методов настройки VLAN в корпоративной сети приводятся ниже.
организация размещения серверов;
отключение неиспользуемых портов;
настройка VLAN управления с номером, отличным от 1;
использование протокола VTP;
настройка доменов VTP;
перезагрузка новых коммутаторов перед их добавлением в существующую сеть.
В то же время VLAN не являются ответом на все проблемы.
Неправильное внедрение VLAN может привести к излишнему усложнению сети, которое станет причиной неустойчивого соединения и снижения производительности сети.
VLAN изолируют определенные типы трафика по соображениям безопасности. Для перемещения трафика между VLAN необходимо устройство 3-го уровня, которое увеличивает стоимость внедрения и повышает уровень запаздывания в сети.
Произведем настройку vlan на сетевом интерфейсе комутатора:
#conf t
Создаем виртуальную сеть
#vlan 2
#name test-vlan
#exit
#switchport mode access
#switchport access vlan 2