Настройка VLAN
VLAN (Virtual Local Area Network) — это технология логического разделения одной физической коммутируемой сети на несколько независимых широковещательных доменов на канальном уровне модели OSI (L2). Основная функция VLAN — изоляция сетевого трафика между группами устройств без необходимости физического разделения сети.
Как происходит разделение сети на VLANы: - Каждый VLAN имеет идентификатор, VLAN ID (1–4094) - При передаче между коммутаторами кадры Ethernet помечаются тэгом IEEE 802.1Q, в котором содержится VLAN ID - Коммутатор пересылает трафик только внутри одного VLAN - Для передачи трафика между разными VLAN необходимо устройство третьего уровня (маршрутизатор или L3-коммутатор)
Преимущества использования VLAN: - разделение пользователей, сервисов и систем по логическим сегментам; - повышение уровня информационной безопасности; - уменьшение объёма широковещательного трафика (broadcast); - упрощение администрирования и масштабирования сети; - гибкость в изменении сетевой архитектуры без переделки кабельной инфраструктуры.
Сценарии использования: - Разделение по отделам (Бухгалтерия, IT, HR, производство) - Выделение сервисных VLAN (серверы, системы хранения, резервное копирование) - Voice VLAN (для IP-телефонии) - Management VLAN (для управления сетевым оборудованием) - Гостевые сети (с ограниченным доступом)
Необходимые условия и предварительные требования
- Наличие доступа к коммутатору с правами администратора.
- Порты, планируемые к использованию:
- не должны быть заблокированы;
- не должны использоваться другими сервисами (port mirroring, stacking, LAG), если это конфликтует с настройкой VLAN.
Перед началом настройки необходимо продумать: - схему назначения VLAN (номера и назначение каждого VLAN) - список разрешенных VLAN и native VLAN на trunk портах - план IP адресации (для маршрутизации между VLAN)
VLAN 1 существует по умолчанию и может использоваться служебными протоколами.
Основная информация о применяемых технологиях
В рамках технологии VLAN выделяют следующие понятия: access порт, trunk порт, SVI (Switch Virtual Interface).
Access порт
- Принадлежит одному VLAN
- передаёт кадры без тэгов 802.1Q
- Обычно применяется для конечных устройств (ПК, серверы, принтеры)
Trunk порт
- Передаёт трафик от нескольких VLAN
- Использует 802.1Q теги
- В каждом trunk есть один VLAN без тэга, он называется native VLAN и по умолчанию имеет номер 1
- Обычно применяется между коммутаторами или между коммутатором и маршрутизатором
SVI (Switch Virtual Interface)
Устройства, которые находятся в разных VLAN, не могут общаться между собой напрямую. Для связи между ними необходима маршрутизация, которую можно осуществить с помощью виртуального интерфейса третьего уровня. Такой интерфейс называется SVI (Switch Virtual Interface): - принадлежит одному VLAN - на нем можно настроить IP адрес - его можно включить в процесс маршрутизации
Назначение применяемой команды/конфигурации
Switch(config)#vlan ?
<1-4094> VLAN ID
VLAN-LIST VLAN ID list,eg.(1,3,5-10)
- команда для создания VLAN. Номер VLAN может лежать в диапазоне от 1 до 4094. Можно создать один отдельный VLAN, также можно создать сразу несколько VLAN-ов, перечислив их номера через запятую или через дефис.
Switch(config-10ge1/0/1)#port link-type access
- команда для перевода порта в режим access
Switch(config-10ge1/0/1)#port default vlan X
- команда для перевода access порта в VLAN X. Вместо Х необходимо подставить требуемый номер VLAN.
Switch(config-10ge1/0/2)#port link-type trunk
- команда для перевода порта в режим trunk
Switch(config-10ge1/0/2)#port trunk allow-pass vlan
VLAN-LIST VLAN ID list,eg.(1,3,5-10)
all VLAN all,eg.(1-4094)
- команда для задания списка разрешенных VLAN на порту в режиме trunk:
- вместо VLAN-LIST нужно вписать один или несколько VLAN-ов (через запятую или через дефис)
- all - разрешаются все VLANы
- После введение этой команды коммутатор выдает отклик системы:
This operation may take a few seconds, please wait for a moment...
Switch(config)#interface vlan Х
- команда для создания виртуального интерфейса третьего уровня (SVI) для VLAN X. Вместо Х необходимо подставить требуемый номер VLAN. Предварительное требование: перед созданием SVI убедитесь, что требуемый VLAN уже создан (команда vlan)
Switch(config-vlanif-10)#ip address ?
A.B.C.D IP address
A.B.C.D/M IP address and wildcard bits
dhcp Dhcp-allocate
- команда для задания IP адреса на интерфейсе. Маску можно писать в десятичном виде (например, 255.255.255.0) или в виде количества бит, равных в маске единице (например, /24). Также IP адрес можно получить динамически (для этого необходима связь с DHCP-сервером).
Пример конфигурирования
Задача: - создать VLAN 10 - перевести порт 10gigaethernet 1/0/1 в режим access и поместить его в VLAN 10 - перевести порт 10gigaethernet 1/0/2 в режим trunk и разрешить в нем VLAN 10 - настроить интерфейс SVI для VLAN 10 и задать на нем IP адрес 10.10.10.10/24
Шаг 1. Создание VLAN 10:
configure
vlan 10
Шаг 2. Перевод порта 10gigaethernet 1/0/1 в режим access:
interface 10gigaethernet 1/0/1
port link-type access
Шаг 3. Помещение access порта 10gigaethernet 1/0/1 в VLAN 10:
port default vlan 10
Шаг 4. Перевод порта 10gigaethernet 1/0/2 в режим trunk:
interface 10gigaethernet 1/0/2
port link-type trunk
Шаг 5. Разрешение на trunk порту передавать и принимать трафик VLAN-а 10:
port trunk allow-pass vlan 10
Шаг 6. Создание интерфейса SVI для VLAN 10 и задание на нем IP адреса 10.10.10.10/24:
int vlan 10
ip address 10.10.10.10 255.255.255.0
Полный вывод выполненных конфигураций
Вывод представлен в виде команды show running-config:
configure
vlan 10
interface 10gigaethernet 1/0/1
port link-type access
port default vlan 10
interface 10gigaethernet 1/0/2
port link-type trunk
port trunk allow-pass vlan 10
int vlan 10
ip address 10.10.10.10 255.255.255.0
end
Изучение состояния устройства
Просмотр конфигурации
Данный вывод отображает информацию о настройках в глобальной конфигурации и конфигурации на интерфейсе.
Конфигурации в глобальном режиме
Выполните команду для просмотра настройки в глобальном режиме.
Sw1#show running-config
!Device running configuration:
!version V1.0.2
!1970/01/11 09:19:50
!
hostname Sw1
!
vlan 1,10
!
interface vlan 10
ip address 10.10.10.10/24
!
interface 10gigaethernet 1/0/1
port link-type access
port default vlan 10
!
interface 10gigaethernet 1/0/2
port link-type trunk
port trunk allow-pass vlan 10
!
Просмотр параметров работы
Просмотр параметров в глобальном режиме
Результат настройки VLANов можно посмотреть с помощью команды show vlan. Она предназначена для просмотра краткой сводной информации о VLAN, существующих на коммутаторе, а также их привязки к физическим интерфейсам. Если к созданному VLAN не привязан ни один интерфейс, то данная команда такой VLAN не покажет. Пример:
Sw1#show vlan
Total :2 Static :2 Dynamic :0
--------------------------------------------------------------
-=None, M=Member,U=Untagged
VID 10ge1/0/1-10ge1/0/24 25ge1/1/1-25ge1/1/8
1 UUUU UUUU UUUU UUUU UUUU UUUU UUUU UUUU
Вывод в данном примере показывает: - общее количество VLAN на устройстве (Total) - количество статических и динамических VLAN (Static/Dynamic) - список VLAN и их идентификаторы (VID) - распределение портов по VLAN - режим включения портов в VLAN (None/Untagged/Member), при этом каждый символ соответствует одному порту в указанном выше диапазоне
Для VLAN 1 все порты отображаются как U, то есть все перечисленные порты входят в VLAN 1 в режиме Untagged.
Команда show vlan доступна также с дополнительными параметрами:
Sw1#show vlan ?
<1-4094> Vlan index
all All Vlan ID
property Vlan property
verbose Information
<cr>
Это позволяет посмотреть: - <1-4094> - подробную информацию по конкретному VLAN ID в диапазоне <1-4094>, после ввода VLAN ID необходимо добавить параметр verbose - all - информацию по всем VLAN, включая те, к которым не привязаны интерфейсы - property - логические свойства VLAN, связанные с обработкой трафика (политики unknown traffic, тип, alias и т.д.) - verbose - подробный вывод по каждому VLAN (состав членов, статусы, L3-атрибуты при наличии)
Примеры:
Sw1#show vlan 10 verbose
VLAN ID:10
Vlan alias:N/A
The total number of ipv4 address is:0,ipv6 address is:0
Unknown-multicast:forward
Unknown-unicast:forward
Admin status:up
Physical status:down
Vlan-type:normal
Vlan-status:other
Member(s):N/A
Вывод в данном примере показывает: - Идентификатор VLAN — 10 - Для VLAN не задано текстовое имя/описание (alias) - На VLAN отсутствует L3-адресация (нет IPv4 и IPv6 адресов) - Для неизвестного multicast и unknown unicast трафика указано поведение forward (пересылка) - VLAN включён административно (в конфигурации активирован) (Admin status:up) - VLAN отображается как неактивный в операционном смысле (Physical status:down) - У VLAN отсутствуют привязанные интерфейсы (Member(s):N/A)
Sw1#show vlan all
Total :2 Static :2 Dynamic :0
--------------------------------------------------------------
-=None, M=Member,U=Untagged
VID 10ge1/0/1-10ge1/0/24 25ge1/1/1-25ge1/1/8
1 UUUU UUUU UUUU UUUU UUUU UUUU UUUU UUUU
VID 10ge1/0/1-10ge1/0/24 25ge1/1/1-25ge1/1/8
10 ---- ---- ---- ---- ---- ---- ---- ----
Вывод в данном примере показывает: - VLAN 1 — активен и имеет привязанные к нему интерфейсы - VLAN 10 существует, но ни один порт к нему не привязан
Sw1#show vlan property
The total number of vlans is :2
UMcast=UnknownMcast
VID UMcast Unicast Type Alias
1 forward forward static N/A
10 forward forward static N/A
Вывод в данном примере показывает: - общее количество VLAN: 2 - неизвестный трафик unknown unicast и multicast пересылается - VLAN создан статически (static) - описание VLAN (alias) не задано
Sw1#show vlan verbose
VLAN ID:1
Vlan alias:N/A
The total number of ipv4 address is:1,ipv6 address is:0
Internet address:192.168.100.1/24
Unknown-multicast:forward
Unknown-unicast:forward
Admin status:up
Physical status:up
Vlan-type:normal
Vlan-status:static
Member(s):
Interface Tagged
25ge1/1/8 Untag
25ge1/1/7 Untag
25ge1/1/6 Untag
25ge1/1/5 Untag
25ge1/1/4 Untag
25ge1/1/3 Untag
25ge1/1/2 Untag
25ge1/1/1 Untag
10ge1/0/24 Untag
10ge1/0/23 Untag
10ge1/0/22 Untag
10ge1/0/21 Untag
10ge1/0/20 Untag
10ge1/0/19 Untag
10ge1/0/18 Untag
10ge1/0/17 Untag
10ge1/0/16 Untag
10ge1/0/15 Untag
10ge1/0/14 Untag
10ge1/0/13 Untag
10ge1/0/12 Untag
10ge1/0/11 Untag
10ge1/0/10 Untag
10ge1/0/9 Untag
10ge1/0/8 Untag
10ge1/0/7 Untag
10ge1/0/6 Untag
10ge1/0/5 Untag
10ge1/0/4 Untag
10ge1/0/3 Untag
10ge1/0/2 Untag
10ge1/0/1 Untag
VLAN ID:10
Vlan alias:N/A
The total number of ipv4 address is:0,ipv6 address is:0
Unknown-multicast:forward
Unknown-unicast:forward
Admin status:up
Physical status:down
Vlan-type:normal
Vlan-status:static
Member(s):N/A
Sw1#
Вывод в данном примере показывает: - На VLAN 1 настроен L3-интерфейс с IPv4-адресом - VLAN административно включён и находится в рабочем состоянии - Все перечисленные интерфейсы включены в VLAN 1 в режиме Untagged - VLAN 10 не имеет L3-интерфейса - VLAN 10 включён административно, но физически неактивен, так как не имеет привязанных к нему интерфейсов
Просмотр параметров в режиме интерфейса
Привязку портов к VLAN'ам можно посмотреть с помощью команды show port vlan. Команда также показывает режим работы порта (access/trunk) и для trunk портов - список разрешенных VLAN'ов:
Sw1#show port vlan
Interface Link Type PVID VLAN List
10gigaethernet 1/0/1 access 10 10
10gigaethernet 1/0/2 trunk 1 1,10
Вывод в данном примере показывает: - Интерфейс 10gigaethernet 1/0/1 работает в режиме access и привязан к VLAN 10 - Интерфейс 10gigaethernet 1/0/2 работает в режиме trunk, и на нем разрешены VLANы 1 и 10 - Обратите внимание, что VLAN 1 разрешается в trunk по умолчанию.
Наличие L3 интерфейсов в VLAN'ах можно посмотреть командой show interface vlan config:
Sw1#show interface vlan config
!
interface vlan 10
ip address 10.10.10.10/24
Вывод в данном примере показывает, что на интерфейсе VLAN 10 настроен IP адрес 10.10.10.10/24.
Рекомендации выполнения команд/настроек
Перед началом настройки рекомендуется зафиксировать предыдущую конфигурацию (сделать backup).
Рекомендуется не использовать VLAN 1 для пользовательского трафика.
Trunk порты, соединенные друг с другом, должны иметь одинаковый native VLAN и одинаковый набор разрешенных VLAN, в противном случае возможно отсутствие связности и/или связь разных VLAN между собой на канальном уровне.
Изменения VLAN на trunk-портах могут привести к потере связи, если не согласованы на обоих концах.
История возникновения команды
Настройки и выводы команд выполнялись на версии ПО V1.0.2
Ссылка на внешнюю документацию
Тэгирование кадров Ethernet описано в стандарте IEEE 802.1Q