Сетевые комутаторы

ip default-gateway 192.168.1.254

j

! Настраиваем порт, который  соединяет коммутатор с маршрутизатором  routerl

interface fastethernet 0/3

description Connection to routerl

no shutdown

ПРИМЕЧАНИЕ 

Какими бы тривиальными они  ни казались, всегда очень важно  добавлять описания интерфейсов.

Настройка любого интерфейса требует качественного описания, и не ради коммутатора, а для

того, чтобы сохранить  вас в здравом уме.

Теперь, когда управляющая VLAN-сеть настроена, можно выполнять 

эхо-запросы между коммутатором и маршрутизатором.

switchl#ping 192.168.1.254

Type escape sequence to abort.

Sending 5. 100-byte ICMP Echos to 192.168.1.254, timeout is 2 seconds:

i и 11

Success rate is 100 percent (5/5). round-trip min/avg/max - 1/2/6 ms

Отчет команды show VLAN brief содержит все интерфейсы, входящие в сеть

VLAN 1. Именно такого результата  мы и ожидали, поскольку пока  не настраивали 

их для других VLAN-сетей:

switchl#show VLAN brief

VLAN Name Status Ports

1 default active Fa0/1. Fa0/2. Fa0/3, Fa0/4,

Fa0/5. Fa0/6. FaO/7, Fa0/8,

FaO/9, Fa0/10. FaO/11. FaO/12.

Fa0/13. Fa0/14. Fa0/15. Fa0/16.

FaO/17. Fa0/18. Fa0/19. FaO/20.

FaO/21, FaO/22, FaO/23. Fa0/24

Команда show mac-address-table выводит все МАС-адреса, которые уже успел

узнать коммутатор (в данном случае — только МАС-адрес маршрутизатора):

Базовая конфигурация коммутатора 

367

switchl#show mac-address-table

Dynamic Address Count: 1

Secure Address Count: 0

Static Address (User-defined) Count: 0

System Self Address Count: 47

Total MAC addresses: 48

Maximum MAC addresses: 2048

Non-static Address Table:

Destination Address Address Type VLAN Destination Port

00b0.64f3.5ae0 Dynamic 1 FastEthernet0/3

Автоматическое распознавание 

На интерфейсах предусмотрена  возможность автоматического распознавания 

и установки скорости и  параметра дуплексной передачи. Общеизвестно, что эти 

функции автоопределения, к сожалению, не отличаются высоким качеством и

часто выполняют настройку  неверно, а неправильный параметр дуплексной 

передачи может привести к серьезным проблемам, связанным  с задержками в сети

и периодическим разрывам соединений.

В полудуплексном режиме обоим  устройствам может показаться, что 

кабель свободен, — тогда  они одновременно начнут передачу, что приведет к

коллизии. Коллизии считаются  обычным явлением, однако если ошибок в

общем числе сигналов более  одного процента, то это указывает  на какие-то 

неполадки.

В полудуплексном режиме счетчик  коллизий не работает. Несоответствие

параметра дуплексной передачи ослабляет защиту от коллизий, поэтому  лучше 

всегда явно задавать эти  значения при конфигурировании интерфейса, 

применяя команды speed и duplex:

interface fastethernet 0/3

speed 100

duplex full

Для проверки настройки используйте  команду show interface, точно так же,

как на маршрутизаторе:

switch#show interface fastethernetO/3

FastEthernet0/3 is up. line protocol is up

Hardware is Fast Ethernet, address is 0030.809b.9f83 (bia 0030.809b.9f83)

MTU 1500 bytes. BW 100000 Kbit. DLY 100 usee, rely 255/255. load 1/255

Encapsulation ARPA. loopback not set. keepalive not set

Full-duplex. ЮОМЬ/s. lOOBaseTX/FX

ARP type: ARPA. ARP Timeout 04:00:00

ВНИМАНИЕ 

Если устройство замедляет  работу сети, проверьте параметры  скорости и дуплексной передачи на

коммутаторе и самом устройстве. Увеличение числа CRC-ошибок, ошибки синхронизации и пакеты

с недопустимо малой длиной могут быть признаком неверного  параметра дуплекса.

368

Глава 14. Коммутаторы и  виртуальные локальные сети

Пример VLAN-конфигурирования

В предыдущем примере мы настроили  только управляющую VLAN-сеть для 

коммутатора (VLAN 1). Чтобы сделать  сеть более реалистичной, давайте  разобьем

нашу сеть на четыре VLAN-сети:

VLAN 1;

VLAN 2 — управление персоналом (Human Resources, HR);

VLAN 3 — разработка (Development, Dev);

VLAN 4 — продажи (Sales).

На рис. 14.4 показано, каким  образом эти виртуальные локальные  сети будут 

настроены в нашей сети.

Рис. 14.4. Разбиение сети на части 

Как видите, в сетях VLAN 2 и VLAN 3 есть собственные маршрутизаторы,

тогда как сеть VLAN 4 составлена из трех узлов, напрямую подключенных к 

коммутатору.

VLAN-команды для интерфейсов 

Чтобы сделать интерфейс  членом виртуальной локальной сети, используйте для

него команду switchport access, которая связывает интерфейс с конкретной

VLAN-сетью. В следующей  конфигурации вы видите команды  switch для сети,

показанной на рис. 14.4:

i

interface FastEthernetO/1

description HR router (VLAN 2)

switchport access VLAN 2

j

interface FastEthernetO/2

description Development router (VLAN 3)

Транкинг

369

switchport access VLAN 3

! Это подключение к  маршрутизатору из предыдущего  примера 

! Пока здесь нет VLAN-параметров 

interface FastEthernetO/3

description Connection to Routerl

i

interface FastEthernetO/4

description Salesl (VLAN 4)

switchport access VLAN 4

!

interface FastEthernetO/5

description Sales2 (VLAN 4)

switchport access VLAN 4

i

interface FastEthernetO/6

description Sales3 (VLAN 4)

switchport access VLAN 4

i

Теперь, если выполнить команду  show VLAN brief, вы увидите, что

интерфейсы принадлежат  именно тем виртуальным локальным  сетям, которым 

нужно:

Switchl#show VLAN brief

VLAN Name Status Ports

1 default active FaO/3. FaO/7, FaO/8. FaO/9.

FaO/10, FaO/11

2 VLAN0002 active FaO/1

3 VLAN0003 active FaO/2

4 VLAN0004 active FaO/4, FaO/5. FaO/6

Отлично! Мы настроили наши VLAN-сети в точности так, как хотели. 

Однако в данной сети есть очень большая проблема. Как вы помните из предыдущего 

обсуждения, каждая VLAN-сеть представляет собой отдельную подсеть, 

поэтому сети VLAN 2, VLAN 3 и VLAN 4 логически  разделены. В нашей 

конфигурации у маршрутизатора 1 есть доступ только к сети VLAN 1, а  все остальные 

VLAN-сети не могут обращаться  ни друг к другу, ни к маршрутизатору 1. Так 

что же предпринять? Нужно  сделать маршрутизатор 1 членом всех 

виртуальных локальных сетей, и для этого мы применим транкинг.

Транкинг

Транкинг (trunking) позволяет объединить два устройства так, чтобы они

оказались одновременно в  нескольких виртуальных локальных  сетях. Например,

предположим, что у вас  есть несколько коммутаторов и вы хотите настроить их

так, чтобы у каждого  коммутатора были порты в сетях VLAN 1, 2 и 3. Один из

способов добиться этого (плохой) — подключить к каждому маршрутизатору

кабель, связывающие его с каждой из VLAN-сетей. Таким образом, у каждого

интерфейса будет порт в одной из виртуальных локальных  сетей. Однако это 

не только лишний расход портов и кабелей, но и ужасная путаница. Намного 

370

Глава 14. Коммутаторы и  виртуальные локальные сети

лучше применить транкинг, то есть организовать магистральную сеть (транк)

между устройствами, и тогда  коммутаторы смогут легко обмениваться между

собой информацией о своих VLAN-сетях.

Вернемся к нашему предыдущему  примеру с четырьмя VLAN-сетями на

коммутаторе. Как я только что сказал, для каждой VLAN-сети на 

маршрутизаторе можно  выделить отдельный интерфейс, однако транкинг решает проблему

намного элегантнее. Для того чтобы лучше понять эту концепцию, взгляните на

рис. 14.5.

Рис. 14.5. Преимущества транкинга

На рис. 14.5 показаны два  варианта подключения виртуальных  локальных 

сетей к маршрутизатору. В  левой части (без транкинга) мы видите, что для 

подключения к каждой VLAN-сети мы использовали отдельные интерфейс  и кабель — 

какая неразбериха! Намного более аккуратна правая часть рисунка (с транкин-

гом), которая демонстрирует, что можно воспользоваться субинтерфейсами уже

выбранного нами интерфейса FastEthernet 0/1 и включить магистральную сеть

(транк). Каждому субинтерфейсу на маршрутизаторе дается VLAN-идентифика-

тор. Перед тем как отправлять трафик по транку, маршрутизатор помечает 

исходящие пакеты соответствующими VLAN-идентификаторами, а когда коммутатор

получает пакеты на порту  транка, он идентифицирует VLAN-метку и

пересылает пакеты в соответствующую  виртуальную локальную сеть.

Можно выбрать один из двух протоколов транкинга:

ISL (Inter-Switch Link)

Это — фирменный протокол Cisco, поэтому он работает только на 

устройствах от Cisco и поддерживает сети Ethernet, FDDI и Token Ring.

802.1 Q

Этот протокол представляет собой промышленный стандарт, прекрасно 

работающий в смешанных средах.

ВНИМАНИЕ 

Транкинг работает только на портах, поддерживающих скорость от 100 Мбит/с и выше; таким

образом, невозможно использовать транкинг для Ethernet-соединения скоростью 10 Мбит/с.

По умолчанию все порты  коммутатора являются портами доступа. Для того

чтобы использовать порт в  качестве транка, необходимо настроить его командой

Транкинг

371

switchport mode trunk. Также можно задать тип инкапсуляции при помощи 

команды switchport trunk encapsulation (по умолчанию — ISL):

! Это подключение к  маршрутизатору из предыдущего  примера 

interface FastEthernetO/3

description Connection to router 1

switchport mode trunk

! Установка протокола  транкинга 802.lq вместо ISL

switchport trunk encapsulation dotlq

i

Ограничение числа виртуальных

локальных сетей на транке

По умолчанию на транке могут работать VLAN-сети с 1-й по 1005-ю для ISL

и с 1-й по 4095-ю для 802.1Q. Для  ограничения числа виртуальных локальных

сетей, передающих свои данные через порт транка, можно использовать 

следующие команды, добавляющие VLAN-сети в список разрешенных и  удаляющие их

из списка:

switchport trunk allowed VLAN remove

switchport trunk allowed VLAN add

В каком-то смысле список разрешенных  сетей работает так же, как список

доступа. Проверить список разрешенных VLAN-сетей можно при помощи 

команды show interface switchport all owed-VLAN. Здесь видно, что все VLAN-сети

разрешены:

switchl#show interface faO/8 switchport allowed-VLAN

"ALL"

Если бы у нас были VLAN-сети со 2-й по 200-ю и мы хотели бы разрешить

для данной магистрали сети только с 150-й по 155-ю, то можно было бы 

настроить список так:

interface fastethernetO/8

switchport mode trunk

switchport trunk allowed VLAN remove 2-200

switchport trunk allowed VLAN add 150-155

Эти команды сначала удаляют  из списка все определенные нами VLAN-сети,

а затем добавляют те, которые  мы хотели бы разрешить. Можно проверить 

результат командой show:

switchl#show interface faO/8 switchport allowed-VLAN

"1,150-155.201-1005"

Виртуальные локальные сети 1-я и с 1002-й по 1005-ю зарезервированы  и 

удалить их невозможно. Коммутатор автоматически добавляет их в  список 

разрешенных.

Завершение настройки  сети

В предыдущем разделе мы настроили  наш коммутатор для поддержки 

нескольких VLAN-сетей, показанных на рис. 14.4. Теперь, когда нам известно о тран-

кинге, можно завершить пример, включив транкинг на маршрутизаторе; таким

372

Глава 14. Коммутаторы и  виртуальные локальные сети

образом, у маршрутизатора будут субинтерфейсы во всех виртуальных

локальных сетях коммутатора. Эту конфигурацию часто называют «router on a stick»

(дословно — маршрутизатор  на палочке, или эскимо).

Конфигурирование маршрутизатора 1:

hostname Routerl

i

interface FastEthernetO/0

no ip address

i

interface FastEthernetO/0.1

description VLAN1 - management VLAN

encapsulation isl 1

ip address 192.168.1.254 255.255.255.0

no ip redirects

i

interface FastEthernetO/0.2

description HR VLAN 2

encapsulation isl 2

ip address 192.168.2.254 255.255.255.0

no ip redirects

i

interface FastEthernetO/0.3

description Development VLAN 3

encapsulation isl 3

ip address 192.168.3.254 255.255.255.0

no ip redirects

i

interface FastEthernet0/0.4

description Sales VLAN 4

encapsulation isl 4

ip address 192.168.4.254 255.255.255.0

no ip redirects

Далее показаны команды конфигурирования коммутатора 1. Единственное,

что изменилось в части, относящейся  к включению транкинга на интерфейсе

FastEthernetO/З, выделено полужирным шрифтом. Остальные команды

конфигурирования показаны просто для полноты.

hostname switchl

j

interface VLAN1

ip address 192.168.1.1 255.255.255.0

no ip route-cache

I

interface FastEthernetO/l

description HR router (VLAN 2)

switchport access VLAN 2

i

interface FastEthernetO/2

description Development router (VLAN 3)

switchport access VLAN 3

i

interface FastEthernetO/3

description ISL trunk back to Routerl

switchport mode trunk

Транкинг

373

interface FastEthernetO/4

description Salesl (VLAN 4)

switchport access VLAN 4

i

interface FastEthernetO/5

description Sales2 (VLAN 4)

switchport access VLAN 4

interface FastEthernetO/6

description Sales3 (VLAN 4)

switchport access VLAN 4

Для проверки конфигурации можно  отправить эхо-запросы с 

маршрутизатора 1 на HR- и Dev-маршрутизаторы:

Routerl#ping 192.168.2.1

Type escape sequence to abort.

Sending 5. 100-byte ICMP Echos to 192.168.2.1. timeout is 2 seconds:

111 j I

Success rate is 100 percent (5/5). round-trip min/avg/max = 4/4/4 ms

Routerl#ping 192.168.3.1

Type escape sequence to abort.

Sending 5. 100-byte ICMP Echos to 192.168.3.1. timeout is 2 seconds:

и i j i

Success rate is 100 percent (5/5). round-trip min/avg/max = 4/4/4 ms

На коммутаторе проверим, что для порта, предназначенного для соединения

с маршрутизатором 1, действительно  включен транкинг:

switchl#show interface fastethernetO/3 switchport

Name: FaO/3

Switchport: Enabled

Administrative mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: isl

Operational Trunking Encapsulation: isl

Negotiation of Trunking: Disabled

Access Mode VLAN: 0 ((Inactive))

Trunking Native Mode VLAN: 1 (default)

Trunking VLANs Enabled: ALL

Trunking VLANs Active: 1-4

Pruning VLANs Enabled: NONE

Дополнительная безопасность портов

Один из способов защитить порт — ограничить число распознаваемых МАС-ад-

ресов. Это предотвратит подключение пользователями слишком большого 

количества устройств (через  концентратор или коммутатор).

Чтобы включить эту функцию  на коммутаторах серий 2900 и 3500, 

используйте команды port security и port security max-mac-count. В следующем примере

мы разрешаем порту  распознавать только один МАС-адрес:

interface FastEthernet 0/2

port security

port security max-mac-count 1

374

Глава 14. Коммутаторы и  виртуальные локальные сети

Проверить настройку можно  следующей командой:

switchl#show port security faO/2

Secure Port Secure Addr Secure Addr Security Security Action

Cnt (Current) Cnt (Max) Reject Cnt

FastEthernetO/2 1 1 0 Send Trap

Для того чтобы дополнить  этот пример, заставим коммутатор автоматически 

отправлять нам SNMP-ловушку (предполагая, что протокол SNMP уже 

настроен для пересылки информации на нашу станцию сетевого управления). Также

можно просто выключить порт коммутатора:

interface FastEthernet 0/2