Виртуальные Локальные Сети: VLAN
Часть 3
Другой возможностью при настройке VLAN является использование дружественных имен при добавлении сетей VLAN в вашу сеть. На практике, проще использовать номера и документировать то, что вы настроили в ваших коммутаторах. Это может быть проще для пользователей, ссылаться на VLAN 1 как на Marketing VLAN, или ссылаться на VLAN 2 как на Sales VLAN. Если ваша организация решила вложить деньги в Cisco Route Switch Module (RSM), вы, возможно, захотите заняться цифровой схемой вашей VLAN. RSM это полнофункциональный Cisco маршрутизатор, устанавливаемый в коммутатора серии Catalyst 5 x 00. RSM не имеет внешних интерфейсных портов, потому что он имеет интерфейс на соединительной плате коммутатора Catalyst. Интерфейсы настраиваются как сети VLAN в карте RSM, и согласуется с виртуальными сетями, объявленными в вашем коммутаторе Catalyst. Для административных целей проще ссылаться на цифры, поэтому если пользователи находятся в VLAN 2, вам проще запомнить, какой интерфейс маршрутизатора нужно проверить для решения проблем. Однако если вы решили использовать дружественные имена, коммутатор Catalyst будет поддерживать и их.
Настройка сетей VLAN, используя имена
-
Загрузитесь в коммутатор, используя консольный порт. Если у коммутатора настроен IP адрес и маршрут по умолчанию (default route),вы можете использовать Telnet.
-
Перейдите в привилегированный режим (enable mode).
-
Разрешите протокол VTP версии 2, набрав set vtp v2 enable .
-
Объявите VTP домен, набрав set vtp domain name .
-
Переведите коммутатор в режим сервера, набрав set vtp mode server .
-
Вы можете разрешить режим отсечения (pruning), набрав set vtp pruning enable .
-
Вы можете установить пароль, набрав set vtp password password .
-
Создайте виртуальную сеть VLAN, набрав set vlan 2 name vlan_name state active .
Если вы хотите задать имя вашей VLAN, убедитесь, что вы использовали параметр NAME и имя сети VLAN на 8 шагу.
Группирование портов коммутатора в сети VLANСледующим шагом является назначение портов в вашу VLAN. Эта опция обеспечивает гибкость при эффективном назначении портов коммутатора в требуемую VLAN без потери портов. Предположим, вы имеете Catalyst 5500 с десятью 24-портовыми картами, всего 240 портов. Теперь предположим, что вы имеете 60 пользователей в VLAN 1 и ожидаете, что их число возрастет до 150. Также вы имеете 40 пользователей в VLAN 2 и ожидаете их рост до 8080. Вы могли бы определить точно 60 портов в VLAN 1 и 40 портов в VLAN 2, или вы можете назначить дополнительные порты в сети VLAN, учитывая их предстоящий рост.
На практике бывает легче объявить дополнительные порты в каждой VLAN и сгруппировать их по физическим картам для уменьшения бремени администрирования. Например, назначить в вашу VLAN 1 порты последовательно, начиная с порта 1 до порта 24 карты номер 3. Повторив это назначение VLAN 1 для карт 4, 5, 6, 7 и 8 вы подключите 144 точки в VLAN 1. Теперь назначьте порты с 1 по 24 карты номер 9 и повторите это для карт 10, 11 и 12 и вы будете иметь 96 портов в VLAN 2. Рисунок ниже иллюстрирует эти две VLAN и связанные с ними порты.
Назначение портов в VLAN
Последовательное назначение портов будет поддерживать ваши ежедневные затраты на администрирование минимальными. Что проще понять - две VLAN, назначенные последовательно в коммутаторе или разбросанные по разным картам. Например, это будет выглядеть странно, если VLAN 1 была назначена для карт 3 – 6 и VLAN 2 для карт 7 – 8. Затем VLAN 1 добавляет 24 пользователя в карту 9. Теперь очень важно, чтобы ваша документация выросла. Что, если вы заболели, и человек без соответствующего опыта добавил пользователей в VLAN 2, но подключил их в карту, назначенную в VLAN 1. Помните: делайте все простым.
Важно обращать внимание на разные опции группирования портов коммутатора в зависимости от типа линейной карты. Catalyst 5000 24 Port 10/100 Dedicated Switch Module позволяет вам назначать каждый порт в отдельную VLAN, если необходимо. Модуль коммутатора Catalyst 5000 «24 Port 100 Mb Group Switching Module» содержит три переключаемых порта для 24 пользовательских портов. Порты 1 – 8 связаны с коммутируемым портом #1, порты 9 – 16 связаны с портом #2 и порты 17 – 24 связаны с портом #3. Поэтому вы можете объявить максимум три различных VLAN в модуле групповой коммутации. Потратьте время для изучения руководства по настройке для понимания того, какие возможности группирования портов в VLAN поддерживается картой.
Для примера, мы настроим 24-портовый 10/100 Dedicated Switch Module. Допустим, вы имеете десять карт в слотах 3 – 12, и VLAN 1 и 2 уже объявлены. Помните, что вы свободны в назначении портов для улучшений в организации - назначаем их последовательно для облегчения администрирования.
Объединение портов коммутатора в VLAN
- Загрузитесь в коммутатор, используя консольный порт. Если в коммутаторе настроен IP адрес и маршрут по умолчанию, вы можете использовать Telnet.
- Перейдите в привилегированный режим.
- Назначьте порты в VLAN 1, набрав set vlan 1 3/1-24, 4/1-24, 5/1-24
- Назначьте порты в VLAN 2, набрав set vlan 2 6/1-24, 7/1-24
Проверьте, что вы правильно настроили порты вашего коммутатора, используя команды:
Показ состояния портов Catalyst 5500
Просмотр назначений VLAN в Catalyst 5500
ВНИМАНИЕ : VLAN 1 назван"default" VLAN в коммутаторах Cisco
После настройки портов вашего коммутатора в VLAN, вы должны рассмотреть возможность включения опции portfast в ваших портах для уменьшения шанса появления ежедневных проблем со связью. Помните, что коммутатор принимает участие в spanning-tree процессе; каждый порт коммутатора должен гарантировать, что он не создает цикла в сети. Например, представьте, что пользователь случайно подключил кросс-кабель в порт коммутатора, назначенный в VLAN 1 и соединил другой конец в другой порт коммутатора, также назначенный в VLAN 1. Итак, был создан цикл в сети, который теперь должен быть устранен. STA будет заботиться об этом, и на протяжении этого процесса состояние обоих портов будут изменяться при ре-калькуляции. Существует пять главных состояний, в которых может находиться порт:
- Blocking . Состояние всех портов по умолчанию, фреймы не переправляются портами в этом состоянии. После того, как коммутатор включен, все порты находятся в этом состоянии.
- Listening . Состояние, следующее за состоянием blocking . Порт коммутатора так же не пересылает фреймы, но принимает участие в процессе spanning-tree для определения, нужно ли продолжать для пересылки фреймов.
- Learning . Это состояние следует за состоянием listening . Порт коммутатора не пересылает фреймы, но готовится к переходу в состояние forwarding . Порт коммутатора анализирует фреймы для обучения MAC адресам.
- Forwarding. Это состояние следует за состоянием learning . Теперь порт коммутатора пересылает фреймы и продолжает принимать участие в процессе spanning-tree . Это состояние требуется устройствам для нормального функционирования.
- Disabled . Это состояние следует за состоянием listening . Порт коммутатора не пересылает фреймы.
Когда устройство первый раз присоединяется к порту, порт переходит из состояния blocking в состояние listening и затем в состояние learning перед тем, как начать переправлять фреймы, подразумевая, что процесс spanning-tree не нашел избыточных путей.
К счастью, Cisco обеспечивает возможность обойти этот процесс, когда устройство присоединяется к коммутатору . Опция portfast переведет порт в состояние forwarding , пропустив режимы listening и learning . По умолчанию, режим portfast отключен на всех портах. Рабочая станция или сервер, подключенные к порту с выключенным режимом portfast может сначала выглядеть как отключенный от сети. После того, как порт перейдет в состояние forwarding (после некоторого промежутка времени), устройство будет функционировать нормально. С выключенной функцией portfast, рабочая станция или сервер могут быть неспособны использовать программу ping, получить своевременно DHCP адрес или загрузиться в Novell Directory Services или сервер NetWare. Это происходит потому, что порт коммутатора не переправляет эти фреймы для запроса ping, DHCP, или загрузки в NDS. Вы можете избежать этих проблем, разрешив функцию portfast на всех портах, где подключены рабочие станции или серверы. Но будьте внимательны, так как эта команда может вызвать циклы в вашей сети.
Разрешение опции Portfast
-
Загрузитесь в коммутатор, используя консольный порт. Если в коммутаторе настроен IP адрес и маршрут по умолчанию, вы можете использовать Telnet.
-
Перейдите в привилегированный режим.
-
Разрешите режим portfast для VLAN 1, набрав команду set spantree portfast 3/1-24 enable .
-
Вы увидите следующее предупреждение :
to a single host. Connecting hubs, concentrators, switches, bridges, etc. to
a fast start port can cause temporary spanning tree loops. Use with caution.
Разрешение режима Portfast на Catalyst 5500
Далее проверьте, что вы настроили portfast правильно. Столбец Fast-Start содержит значение Enabled или Disabled . Enabled показывает, что режим fast-start включен и порт начнет переправлять фреймы, как только устройство будет присоединено и включено. Число показывает номер карты в коммутаторе. Вы также можете набрать эту же команду без номера для того, чтобы увидеть информацию portfast для всех портов.
Проверка настройки функции portfast в Catalyst 5500
5. Настройка VLAN Транков
Тpанки используются для обмена информацией о VLAN между коммутаторами, обеспечивая тем самым возможность построения сетей VLAN, перекрывающих физические границы коммутатора. Концепция транкинга подобна протоколам маршрутизации, используемым для построения сетевой топологии. Коммутаторы используют транковые протоколы для того, чтобы определить, на какой порт посылать фреймы, если VLAN перекрывает физические границы. Используя транковый протокол, одна и та же VLAN может быть объявлена на каждом этаже 12-этажного дома. Коммутаторы Catalyst поддерживают различные транковые методы:
- Inter-Switch Link (ISL) Fast Ethernet (100 Mbps), Gigabit Ethernet (1000 Mbps)
- IEEE 802.1Q Fast Ethernet (100 Mbps), Gigabit Ethernet (1000 Mbps)
- IEEE 802.10 Fiber/Copper Distributed Data Interface (FDDI)/(CDDI) (100 Mbps)
- LAN Emulation ATM (155 Mbps OC-3 and 622 Mbps OC-12)
Это всегда хорошая идея, посмотреть "Release Notes" новых версий операционной системы коммутатора, так как они включают новые функции и возможности коммутаторов. Это поможет убедиться в том, что коммутатор будет поддерживать функции, требуемые для построения вашей сети.
Далее мы кратко обсудим транковые протоколы ISL и IEEE 802.1Q и изучим команды для настройки ISL. Протоколы IEEE 802.10 и LAN Emulation выходят за границы обсуждения этой главы.
Настройка ISL ТранкаISL это танковый протокол, разработанный компанией Cisco исключительно для своих продуктов. Он позволяет устанавливать транки между коммутаторами, которые поддерживают Ethernet, FDDI, или Token Ring фреймы. Маршрутизаторы Cisco, настроенные на поддержку ICL могут понимать и осуществлять маршрутизацию между VLAN без физического подключения интерфейсных портов к каждой VLAN. Используя ISL, один Fast Ethernet порт маршрутизатора может осуществлять маршрутизацию пакетов между двумя VLAN на коммутаторах.
Настройка ISL
-
Определите, какой порт вы будете использовать как транк.
-
Загрузитесь в коммутатор, используя консольный порт или Telnet.
-
Перейдите в привилегированный режим.
-
Настройте порт как ISL транк, используя команду set trunk mod_num/port_num on .
-
Удалите сети VLAN с транка (не обязательно), используя команду clear trunk mod_num/port_num vlan_num .
-
Добавьте сети VLAN в транк (не обязательно), используя команду set trunk mod_num/port_num vlan_num .
Проверьте правильность настройки ваших транковых портов, используя команду show trunk.
Проверка настройки транков маршрутизатора Catalyst 5500
Настройка Транков IEEE 802.1Q
Промышленный стандарт IEEE 802.10Q был разработан для рабочего взаимодействия систем. Он позволяет производить обмен информацией VLAN между сетевыми устройствами различных производителей. Например, коммутатор Cisco, работающий с протоколом IEEE 802.1Q может связываться с коммутатором другого производителя, так же работающим с протоколом IEEE 802.1Q. Возможности IEEE 802.1Q доступны в коммутаторах серии Catalyst версии 4.1 и выше. Проверьте руководство по настройке коммутатора для изучения команд настройки данного протокола.
Внедрение виртуальных сетей VLAN требует дополнительных инструментов для обнаружения и устранения проблем связи. Имеется несколько способов быстро идентифицировать и решить проблемы связи, используя коммутаторы Catalyst. Следующие три проблемы и предложенные решения должны помочь понять материал, изложенный в этой главе.
ПРОБЛЕМА: Рабочая станция в VLAN 1 не может связаться с другой рабочей станцией в VLAN 1. Рабочие станции подключены в один и тот же коммутатор.
Вариант #1: Проверьте скорость порта и установки дуплекса на рабочей станции. Коммутаторы Cisco обеспечивают авто-определение скорости порта и режима дуплекса. В зависимости от сетевой карты и установленного программного обеспечения вы можете иметь те или иные проблемы связи. На практике очень часто скорость и режим дуплекса устанавливаются вручную.
Пример: Используя команду set port speed 3/1 10, установите скорость на 10 Мбит, как показано ниже
Установка скорости портов Catalyst 5500
Используйте команду set port duplex 3/1 half для установки режима полдуплекса, как показано ниже
Установка режима дуплекса портов Catalyst 5500
Используйте команду show port status 3/1 для проверки изменений, как показано ниже:
Проверка скорости и режима дуплекса портов Catalyst 5500
Вариант #2: Проверьте назначение VLAN для порта. Помните, что устройство, подключенное к порту коммутатора, настроенному в другую VLAN, не сможет связываться без связывающего маршрутизатора.
Пример: Используйте команду show port 4/1 для проверки назначений VLAN.
ПРОБЛЕМА: Рабочая станция в VLAN 1 не может связываться с другой рабочей станцией в VLAN 1. Рабочие станции подключены в различные коммутаторы.
Вариант #1: Проверьте назначения VLAN для портов. Помните, что устройства, подключенные к портам в разные VLAN, не могут связываться между собой.
Пример: Используйте команду show port mod_num/port_num для проверки назначений VLAN. Повторите эту операцию на обоих коммутаторах с соответствующими номерами портов. Проверьте, что обе рабочие станции подключены и являются членами VLAN 1.
Проверка назначения портов в VLAN коммутатора Catalyst 5500
Вариант #2: Проверьте, что транкинг включен и нормально функционирует между коммутаторами.
Пример: Используйте команду show trunk для проверки состояния транков. Проверьте поля Port, Mode, Encapsulation и Status.
Проверка транков Catalyst 5500
ПРОБЛЕМА: Рабочая станция не может связываться ни с каким сервером или рабочей станцией и вы не уверены, в какой порт станция подключена, так как кабели не маркированы.
Вариант: Определите MAC адрес рабочей станции любой доступной утилитой и проверьте CAM таблицу на коммутаторе для этого адреса.
Пример: Используйте команду show cam <mac_address> для определения порта, к которому подключена рабочая станция, как показано ниже. Используйте команду show port mod_num/port_num для проверки назначений VLAN. Например, вы можете набрать show cam 00-80-C7-BB-2A-4D для отображения порта, к которому подключена рабочая станция, имеющая такой MAC адрес. Проверьте VLAN и поля "Dest MAC/Route Destination" и "Destination Ports". Используйте значение порта назначения для продолжения решения проблем, используя команду SHOW PORT .
Поиск MAC адреса в коммутаторе Catalyst 5500
Итоги
VLAN обеспечивают гибкость в разработке и внедрении инфраструктуры коммутируемой сети. Они тесно связаны с коммутаторами и предоставляют ценные возможности, такие как повышенная безопасность, возможность создания рабочих групп, базирующихся на функциональных потребностях пользователей и контроль за широковещательным трафиком. Раньше коммутаторы просто обеспечивали повышенную производительность в сравнении с обычными концентраторами; следующее поколение коммутаторов предложило возможность создания виртуальных сетей VLAN для будущего увеличения производительности сети и сегментации вашей сети.
Сети VLAN является частью любой серьезной сетевой разработки, но вы должны понимать потребности пользователей и пути потоков информации до внедрения виртуальных сетей. Взвесьте преимущества использования дополнительных VLAN с точки зрения производительности и администрирования: Дадут ли дополнительные VLAN увеличение производительности или они будут только причиной увеличения нагрузки на маршрутизаторы? Как вы будете управлять новыми VLAN? Будет ли проще управлять и обслуживать вашу сеть при использовании дополнительных VLAN?
Протокол Spanning-Tree был разработан для обнаружения циклов в сетях и используется в коммутируемых сетях. Недостаток физических циклов в сети в том, что хотя они обеспечивают избыточность, но увеличивают задержки сходимости в сети. После того, как транк перестал работать, spanning tree переведет ваш запасной порт в рабочее состояние после того, как убедится, что не создаст циклов в вашей топологии.
Коммутаторы Cisco обеспечивают VLAN 1 по умолчанию и назначает все активные порты в эту VLAN. Так же объявлены по умолчанию другие VLAN для FDDI и Token Ring. Если ваша сеть состоит из множества коммутаторов, вы имеете два варианта обмена информацией между коммутаторами о VLAN в вашей сети. VLAN Trunk Protocol (VTP), разработанный Cisco, позволяет добавлять, удалить и изменять сети VLAN с центральной точки администрирования. Вы можете создать коммутатор "VTP сервер" и все другие коммутаторы будут клиентами; или они все могут быть серверами, которые могут обновлять информацию о VLAN в вашей сети. Другой возможностью является перевод вашего коммутатора в "прозрачный" режим и вручную настроить сети VLAN в каждом коммутаторе. Потратьте время для разработки процесса добавления, перемещения и изменения пользователей, так как это будет иметь значение при изменении VLAN во всех коммутаторах. Если ваши пользователи будут перемещаться с этажа на этаж или между зданиями и их VLAN должны "следовать за ними", возможно, вам необходимо позаботиться о VTP. Если ваши пользователи не будут перемещаться или вы имеете централизованное место для серверов, "прозрачный" режим может быть лучшим решением. Когда ресурсы централизованы в VLAN в одном месте, и вы используете DHCP для IP адресации рабочих станций, расположение пользовательской VLAN не играет роли. Добавления, перемещения и изменения просты и не зависят от VLAN.
После того, как вы создали ваши VLAN, вы захотите назначить их на порты в ваших коммутаторах Catalyst. Есть различные пути назначения портов в VLAN в зависимости от того, какие платы портов вы установили в стойку. В нашем примере мы настроили 24-портовый 10/100 Мбит модуль, в котором каждый порт может быть назначен в отдельную VLAN. По умолчанию, все порты модулей, установленных в стойку, назначены в VLAN 1.
VLAN транки нужны для обмена информацией о VLAN между коммутаторами. Имеется несколько методов для транков, включая ISL, IEEE 802.1Q, IEEE 802.10 и LAN Emulation. ISL это протокол, разработанный компанией Cisco для обмена информацией о VLAN между коммутаторами и маршрутизаторами.
Сети VLAN позволяют разрабатывать гибкую конфигурацию, которую можно легко перестраивать согласно потребностей пользователя. Очень важно взвесить преимущества, даваемые созданием множества VLAN и перспективами их администрирования. Это является частью детальной проработки топологии сети и может дать множество преимуществ вашим пользователям. Коммутаторы Cisco обеспечивают как возможность добавления, изменения и удаления виртуальных сетей VLAN, так и возможность их простого и легкого назначения для портов.
Двухминутный обзор-
Термин VLAN это сокращение от Virtual Local-Area Network и наиболее часто ассоциируется с коммутаторами.
-
Группы Серверов (Server farms ) могут содержать общие файлы, приложения и серверы баз данных, обычно сгруппированные в отдельную сеть или сети VLAN и требуется маршрутизатора для связи их с пользователями, находящимися за физическими границами этого коммутатора.
-
Концентратор получает фрейм в порт, затем копирует его и передает (повторяет) его во все порты (кроме того, из которого он был получен).
-
Коммутатор пакетов поступает с фреймами более интеллигентно, "с пониманием" - коммутатор считывает MAC адрес отправителя и сохраняет его в таблице коммутации.
-
Два наиболее часто используемых метода, используемые производителями, это cut-through и store and forward.
-
Виртуальные сети (VLAN) предлагают следующие преимущества:
- Контроль широковещательного трафика
- Функциональные рабочие группы
- Повышенная безопасность
- В отличие от традиционных сетей LAN, ограниченных интерфейсами маршрутизатора/моста, VLAN может рассматриваться как широковещательный домен с логически настраиваемыми границами.
- Наиболее основным преимуществом технологии VLAN является возможность создания рабочих групп, ориентированных более на функциональные потребности, чем на физическое расположение или тип носителя.
- Сети VLAN также предлагают дополнительные преимущества безопасности. Пользователи объявленной группы не могут получить доступ к данным другой группы потому, что каждая VLAN это закрытая логически объявленная группа.
- VLAN может быть назначена для:
- Порта (наиболее частое использование)
- MAC адресу (очень редко)
- Идентификатору пользователя User ID (очень редко)
- Сетевому адресу (редко в связи с ростом использования DHCP)
- Протокол Spanning-Tree позволяет иметь избыточные физические в мостовой сети, но только один физический канал будет переправлять фреймы.
- Прозрачная мостовая схема используется в основном в окружении Ethernet. Этот метод возлагает ответственность определения пути от источника к приемнику на мост.
- Source-route bridging используется в окружении Token Ring. Данный метод возлагает ответственность поиска пути к получателю на отправляющую станцию.
- Коммутаторы Catalyst имеют по умолчанию несколько объявленных VLAN.
- Перед созданием сетей VLAN, потратьте время на разработку логических схемы вашей сети.
- Для того чтобы коммутаторы автоматически обменивались информацией о VLAN через транковые порты, вам необходимо настроить протокол VLAN Trunk Protocol (VTP), который позволяет коммутаторам рассылать информацию о VLAN в виде информационных сообщений соседним сетевым устройствам.
- Назначение портов в ваши VLAN обеспечивает гибкость эффективного назначения без потери портов.
- Транки используются для обмена информацией о VLAN между коммутаторами, обеспечивая тем самым возможность строить виртуальные сети, перекрывающие физические границы устройств.
- ISL это транковый протокол, разработанный компанией Cisco исключительно для своих продуктов. Он позволяет иметь транковый порт между коммутаторами, по которому можно транспортировать Ethernet, FDDI, или Token Ring фреймы.
- IEEE 802.10Q это промышленный стандарт транкового протокола, разработанный для взаимодействия систем. Он позволяет обмениваться информацией о VLAN между сетевыми устройствами разных производителей.
- Имеется несколько методов быстрого обнаружения и устранения проблем связи, используя коммутаторы Catalyst.
Спасибо за внимание!
/ Обмен ссылками / Неизвестные сети /