Objective
A Virtual Local Area Network (VLAN) allows you to logically segment a Local Area Network (LAN) into different broadcast domains. In scenarios where sensitive data
may be broadcast on a network, VLANs can be created to enhance security by designating a broadcast to a specific
VLAN. Only users that belong to a VLAN are able to access and manipulate the data on that VLAN.
You can configure the ports and specify whether the port should be in access or trunk mode, and assign specific
ports to VLANs. This article provides instructions on how to configure an interface VLAN as an access or trunk
port on your switch through the Command Line Interface (CLI).
Introduction
VLAN is a network that is usually segmented by function or application. VLANs
behave much like physical LANs, but you can group hosts even if they are not physically
co-located. A switch port can belong to a VLAN. Unicast, broadcast, and multicast packets are forwarded and
flooded out ports in the same VLAN.
VLANs can also be used to enhance performance by reducing the need to send broadcasts and multicasts to
unnecessary destinations. It also eases network configuration by logically connecting devices without physically
relocating those devices.
Note: To learn how to configure the VLAN settings on your switch through the web-based utility, click here. For CLI-based instructions, click here.
The image below displays an SG350X switch that is configured with the following VLANs:
- VLAN1 — This is the default VLAN. The switch is connected to the router through this VLAN. This can be used
but cannot be modified or deleted. - VLAN10 — Virtual network for the Admin department. The network address is 192.168.10.1 with subnet mask
255.255.255.0 or /24. - VLAN20 — Virtual network for the Finance department. The network address is 192.168.20.1 with subnet mask
255.255.255.0 or /24. - VLAN30 — Virtual network for the Operations department. The network address is 192.168.30.1 with subnet mask
255.255.255.0 or /24.
In a bigger network, the configured VLANs with interfaces assigned as access and trunk ports on switches could
look like this:
The port modes are defined as follows:
- Access Port — The frames received on the interface are assumed to not have a VLAN tag and are assigned to
the specified VLAN. Access ports are used primarily for hosts and can only carry traffic for a single VLAN. - Trunk Port — The frames received on the interface are assumed to have VLAN tags. Trunk ports are for links
between switches or other network devices and are capable of carrying traffic for multiple VLANs.
Note: By default, all interfaces are in trunk mode, which means they can carry traffic for all VLANs. To
know how to assign an interface VLAN as an Access or Trunk port through the web-based utility of the switch,
click here.
To configure VLANs, follow these guidelines:
1. Create the VLANs. To learn how to configure the VLAN settings on your switch through the web-based utility,
click here. For CLI-based instructions, click here.
2. (Optional) Set the desired VLAN-related configuration for ports. For instructions on how to configure the VLAN
interface settings on your switch through the web-based utility, click here. For CLI-based instructions, click here.
3. Assign interfaces to VLANs. For instructions on how to assign interfaces to VLANs through the web-based
utility of your switch, click here.
4. (Optional) Configure VLAN groups on your switch. You can configure any of the following:
- MAC-based VLAN Group Overview — For instructions on how to configure MAC-based VLAN Groups through the
web-based utility of your switch, click here. For CLI-based instructions, click here. - Subnet-based VLAN Groups Overview — For instructions on how to configure subnet-based VLAN Groups through
the web-based utility of your switch, click here. For CLI-based instructions, click here. - Protocol-based VLAN Groups Overview — For instructions on how to configure Protocol-based VLAN Groups
through the web-based utility of your switch, click here. For CLI-based instructions, click here.
5. (Optional) Configure TV VLAN settings on your switch. You can configure any of the following:
- Access Port Multicast TV VLAN — For instructions on how to configure Access Port Multicast TV VLAN through
the web-based utility of your switch, click here. - Customer Port Multicast TV VLAN — For instructions on how to configure Customer Port Multicast TV VLAN
through the web-based utility of your switch, click here.
Applicable Devices | Software Version
- Sx300 Series | 1.4.7.06 (Download latest)
- Sx350 Series | 2.2.8.04 (Download latest)
- SG350X Series | 2.2.8.04 (Download latest)
- Sx500 Series | 1.4.7.06 (Download latest)
- Sx550X Series | 2.2.8.04 (Download latest)
Configure VLAN Interface Settings on the Switch through the CLI
Configure Interface as Access Port and Assign to VLAN
Step 1. Log in to the switch console. The default username and password is cisco/cisco. If you have configured a
new username or password, enter the credentials instead.
Note: The commands may vary depending on the exact model of your switch. In this example, the SG350X
switch is accessed through Telnet.
Step 2. To display the current VLAN on the switch, enter the following:
SG350X#show vlan
Note: In this example, VLANs 1, 10, 20, and 30 are available with no manually assigned ports.
Step 3. From the Privileged EXEC mode of the switch, enter the Global Configuration mode by entering the
following:
SG350X#configure terminal
Step 4. In the Global Configuration mode, enter the Interface Configuration context by entering the following:
SG350X(config)#interface [interface-id | range vlan vlan-range]
The options are:
- interface-id — Specifies an interface ID to be configured.
- range vlan vlan-range — Specifies a list of VLANs. Separate nonconsecutive VLANs with a comma and no spaces.
Use a hyphen to designate a range of VLANs.
Note: In this example, an interface range that covers ports 14 to 24 is entered.
Step 5. In the Interface Configuration context, use the switchport mode command to configure the VLAN
membership mode.
SG350X(config-if-range)#switchport mode access
Step 6. Use the switchport access vlan command to assign the port or range of ports into access ports. A
port in access mode can have only one VLAN configured on the interface which can carry traffic for only one
VLAN.
SG350X(config-if-range)#switchport access vlan [vlan-id | none]
The options are:
- vlan-id — Specifies the VLAN to which the port is configured.
- none — Specifies that the access port cannot belong to any VLAN.
Note: In this example, the range of ports is assigned to VLAN 30.
Step 7. (Optional) To return the port or range of ports to the default VLAN, enter the following:
SG350X(config-if-range)#no switchport access vlan
Step 8. To exit the Interface Configuration context, enter the following:
SG350X(config-if-range)#exit
Step 9. (Optional) Repeat steps 4 to 6 to configure more access ports and assign to the corresponding VLANs.
Note: In this example, interface range 26 to 36 are assigned to VLAN 10, while interface range 38 to 48
are assigned to VLAN 20.
SG350X(config-if)#end
Step 10. Enter the end command to go back to the Privileged EXEC mode:
Step 11. (Optional) To display the configured ports on the VLANs, enter the following:
SG350X#show vlan
Note: The configured ports should be displayed according to the assigned VLANs. In this example, the
interface range 26 to 36 are assigned in VLAN 10, 38 to 48 belong to VLAN 20, and 14 to 24 are configured to
VLAN 30.
Step 12. (Optional) In the Privileged EXEC mode of the switch, save the configured settings to the startup
configuration file, by entering the following:
SG350X#copy running-config startup-config
>
Step 13. (Optional) Press Y for Yes or N for No on your keyboard once the Overwrite file
[startup-config]… prompt appears.
You should now have configured the interfaces on your switch as access ports and assigned to their corresponding
VLANs.
Configure Interface as Trunk Port and Assign to VLAN
Step 1. In the Privileged EXEC mode of the switch, enter the Global Configuration mode by entering the following:
SG350X#configure terminal
Step 2. In the Global Configuration mode, enter the Interface Configuration context by entering the following:
SG350X#interface [interface-id | range vlan vlan-range]
The options are:
- interface-id — Specifies an interface ID to be configured.
- range vlan vlan-range — Specifies a list of VLANs. Separate nonconsecutive VLANs with a comma and no spaces.
Use a hyphen to designate a range of VLANs.
Note: In this example, interface ge1/0/13 is used.
Step 3. In the Interface Configuration context, use the switchport mode command to configure the VLAN
membership mode.
SG350X(config-if)#switchport mode trunk
Step 4. (Optional) To return the port to the default VLAN, enter the following:
SG350X(config-if)#no switchport mode trunk
Step 5. Use the switchport trunk allowed vlan command to specify which VLANs the port belongs to when its
mode is configured as trunk.
SG350X(config-if)#switchport trunk allowed vlan [all | none | add vlan-list | remove vlan-list | except vlan-list]
The options are:
- all — Specifies all VLANs from 1 to 4094. At any time, the port belongs to all VLANs existing at the
time. - none — Specifies an empty VLAN list. The port does not belong to any VLAN.
- add vlan-list — List of VLAN IDs to add to the port. Separate nonconsecutive VLAN IDs with a comma
and no spaces. Use a hyphen to designate a range of IDs. - remove vlan-list — List of VLAN IDs to remove from a port. Separate nonconsecutive VLAN IDs with a
comma and no spaces. Use a hyphen to designate a range of IDs. - except vlan-list — List of VLAN IDs including all VLANs from range 1-4094 except VLANs belonging to
vlan-list.
Note: In this example, port ge1/0/13 belongs to all VLANs except VLAN 10.
Step 6. To exit the Interface Configuration context, enter the following:
SG350X(config-if)#exit
Step 7. (Optional) To return the port or range of ports to the default VLAN, enter the following:
SG350X(config-if)#no switchport trunk allowed vlan
Step 8. (Optional) Repeat steps 2 to 6 to configure more trunk ports and assign to the corresponding VLANs.
Note: In this example, interface ge1/0/25 belongs to VLAN 10 and not in VLAN 20, while interface ge1/0/27
belongs to all VLANs except VLAN 10.
Step 9. Enter the end command to go back to the Privileged EXEC mode:
SG350X(config-if)#end
Step 10. (Optional) To display the configured ports on the VLANs, enter the following:
SG350X#show vlan
Note: The configured ports should be displayed according to the assigned VLANs. In this example, the trunk
port gi1/0/25 belongs to VLAN 10 and VLAN 30, gi1/0/13 and gi1/0/37 both belong to VLAN 20 and VLAN 30.
Step 11. (Optional) In the Privileged EXEC mode of the switch, save the configured settings to the startup
configuration file, by entering the following:
SG350X#copy running-config startup-config
Step 12. (Optional) Press Y for Yes or N for No on your keyboard once the Overwrite file
[startup-config]… prompt appears.
You should now have configured the interfaces on your switch as trunk ports and assigned to their corresponding
VLANs.
Important: To proceed with configuring the VLAN group settings on your switch, follow the guidelines above.
Other links you might find valuable
- Configure Port to Virtual Local Area Network (VLAN) Settings on a Switch
- Configure Port Virtual Local Area Network (VLAN) Membership of an Interface on a Switch
- Configure Private Virtual Local Area Network (VLAN) Settings on a Switch
- Configure Private VLAN Membership Settings on a Switch through the CLI
- Product Page that contains links to all switch related articles
Revision History
| Revision | Publish Date | Comments |
|---|---|---|
|
1.0 |
13-Dec-2018 |
Initial Release |
Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.
Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах Cisco Catalyst.
Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.
VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола VTP 3 версии начинается с Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.
Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.
1. Создание VLAN на Cisco Catalyst
Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:
1 — 1005 базовый диапазон (normal-range)
1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
1006 — 4094 расширенный диапазон (extended-range)
При создании или изменении VLAN можно задать следующие параметры:
| VLAN ID | Номер VLAN |
| VLAN name (name) | Имя VLAN |
| VLAN type (media) | Тип VLAN (Ethernet, Fiber Distributed Data Interface [FDDI], FDDI network entity title [NET], TrBRF, или TrCRF, Token Ring, Token Ring-Net) |
| VLAN state (state) | Состояние VLAN (active или suspended) |
| VLAN MTU (mtu) | Максимальный размер блока данных, который может быть передан на канальном уровне |
| SAID (said) | Security Association Identifier — идентификатор ассоциации безопасности (стандарт IEEE 802.10) |
| Remote SPAN (remote-span) | Создание VLAN для удаленного мониторинга трафика (В дальнейшем в такой VLAN можно зеркалировать трафик с какого-нибудь порта, и передать его через транк на другой коммутатор, в котором из этого VLAN трафик отправить на нужный порт с подключенным снифером) |
| Bridge identification number для TrBRF VLAN (bridge) | Идентификатор номера моста для функции TrBRF (Token Ring Bridge Relay Function). Цель функции — создание моста из колец. |
| Ring number для FDDI и TrCRF VLAN (ring) | Номер кольца для типов VLAN FDDI и TrCRF (Token Ring concentrator relay functions). TrCRF называют кольца, которые включены в мост. |
| Parent VLAN number для TrCRF VLAN (parent) | Номер родительского VLAN для типа VLAN FDDI или Token Ring |
| Spanning Tree Protocol (STP) type для TrCRF VLAN (stp type) | Тип протокола связующего дерева (STP) для VLAN типа TrCRF |
| Translational VLAN number 1 (tb-vlan1) | Номер VLAN для первичного преобразования одного типа VLAN в другой |
| Translational VLAN number 2 (tb-vlan2) | Номер VLAN для вторичного преобразования одного типа VLAN в другой |
На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name
Значения по умолчанию:
| VLAN ID | 1 |
| VLAN name | VLANxxxx, где xxxx четыре цифры номера VLAN (Например: VLAN0003, VLAN0200 и т.д.) |
| SAID | 100000 плюс VLAN ID (Например: 100001 для VLAN 1, 100200 для VLAN 200 и т.д.) |
| VLAN MTU | 1500 |
| Translational VLAN number 1 | 0 |
| Translational VLAN number 2 | 0 |
| VLAN state | active |
| Remote SPAN | disabled |
Для создания VLAN нужно:
1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)
sw1> sw1>enable Password: sw1#
2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)
sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#
3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)
sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#
4. Задать необходимые параметры, для созданного VLAN (например имя)
sw1(config-vlan)# sw1(config-vlan)#name TESTVLAN sw1(config-vlan)#
Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:
sw1(config-vlan)#? VLAN configuration commands: are Maximum number of All Route Explorer hops for this VLAN (or zero if none specified) backupcrf Backup CRF mode of the VLAN bridge Bridging characteristics of the VLAN exit Apply changes, bump revision number, and exit mode media Media type of the VLAN mtu VLAN Maximum Transmission Unit name Ascii name of the VLAN no Negate a command or set its defaults parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs private-vlan Configure a private VLAN remote-span Configure as Remote SPAN VLAN ring Ring number of FDDI or Token Ring type VLANs said IEEE 802.10 SAID shutdown Shutdown VLAN switching state Operational state of the VLAN ste Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified) stp Spanning tree characteristics of the VLAN tb-vlan1 ID number of the first translational VLAN for this VLAN (or zero if none) tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none)
5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)
sw1(config-vlan)# sw1(config-vlan)#end sw1#
Не забываем сохранять конфигурацию командой «copy running-config startup-config» в привилегированном режиме
sw1# sw1#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK]
Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:
sw1(config)# sw1(config)#no vlan 200 sw1(config)#
2. Настройка портов на Cisco Catalyst
Порт на коммутаторе Cisco может находиться в одном из режимов:
access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN.
trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать трафик как одного, так и нескольких VLAN через один физический кабель.
На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)
Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.
Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable«
Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable» или «dynamic auto«
Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.
Конфигурация порта по умолчанию:
| Режим порта/интерфейса | switchport mode dynamic auto |
| Разрешённые VLAN, если порт в режиме trunk | с 1 по 4094 |
| VLAN по умолчанию, если порт в режиме access | 1 |
| Native VLAN, если порт в режиме trunk (IEEE 802.1q) | 1 |
Настройка порта в режим автоопределения.
Действия:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21″)
— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)
— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)
— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dynamic desirable sw1(config-if)#switchport access vlan 50 sw1(config-if)#switchport trunk native vlan 100 sw1(config-if)#switchport trunk allowed vlan 2,30-35,40 sw1(config-if)#no shutdown sw1(config-if)#end sw1#
В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.
Настройка access порта.
VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.
Для включения access порта в необходимый VLAN, нужно сделать:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)
— задать режим порта/интерфейса «access» (команда: «switchport mode access«)
— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN
Настройка порта:
sw1> sw1>enable Password: sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 200 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(config)#exit sw1#
Настройка trunk порта.
Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.
Пример:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport trunk allowed vlan 2,30-35,40 sw6(config-if)#no shutdown sw6(config-if)#end sw6#
В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40
Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«
Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk allowed vlan add 100,200 sw6(config-if)# sw6(config-if)#end sw6#
УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«
Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk allowed vlan remove 100,200 sw6(config-if)# sw6(config-if)#end sw6#
Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q
На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)
3. Проверка настройки VLAN
Посмотреть информацию о VTP протоколе: «show vtp status«
Показать информацию обо всех VLAN на коммутаторе: «show vlan«
Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«
Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id switchport«
Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.
Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.
Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.
Пример создания L3 интерфейса для VLAN 200:
sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface vlan 200 sw1(config-if)#ip address 192.168.200.1 255.255.255.0 sw1(config-if)#end sw1#
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco.
В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco
Настройка VLAN на коммутаторах Cisco под управлением IOS
Некоторые обозначения:
- access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
- trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.
Создается VLAN с идентификатором 2 и задается для него имя следующим образом:
sw1(config)# vlan 2
sw1(config-vlan)# name test
Для удаления VLAN с идентификатором 2 используется:
sw1(config)# no vlan 2
Настройка Access портов
Для назначения коммутационного порта в VLAN нужно:
sw1(config)# interface fa0/1
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 2
Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:
sw1(config)# interface range fa0/4 — 5
sw1(config-if-range)# switchport mode access
sw1(config-if-range)# switchport access vlan 10
Чтобы просмотреть информацию о состоянии VLAN нужно:
sw1# show vlan brief
VLAN Name Status Ports
—- ——————————— ——— ——————————-
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Настройка Trunk
Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):
- auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
- desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
- trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
- nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.
По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.
VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.
В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:
sw1(config)# interface fa0/3
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 15
% Access VLAN does not exist. Creating vlan 15
Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:
sw3(config)# vlan 2,10,15
Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.
Настройка статического Trunk
Чтобы создать статический trunk нужно:
sw1(config)# interface fa0/22
sw1(config-if)# switchport mode trunk
Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:
sw1(config-if)# switchport mode trunk
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.
Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:
sw1(config-if)# switchport trunk encapsulation dot1q
После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.
Динамическое создание Trunk
Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:
- auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
- desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
- nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.
Для перевода интерфейса в режим auto:
sw1(config-if)# switchport mode dynamic auto
Для перевода интерфейса в режим desirable:
sw1(config-if)# switchport mode dynamic desirable
Для перевода интерфейса в режим nonegotiate:
sw1(config-if)# switchport nonegotiate
Для проверки текущего режима DTP:
sw# show dtp interface
Разрешенные VLAN’
Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan 1-2,10,15
Чтобы добавить еще один разрешенный VLAN:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan add 160
Для удаления VLAN из списка разрешенных:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan remove 160
Native VLAN
Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.
Для настройки VLAN 5 в native нужно:
sw1(config-if)# switchport trunk native vlan 5
После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.
Настройка процесса маршрутизации между VLAN
Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.
Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.
Настройки для коммутатора sw3:
VLAN / интерфейс 3го уровня IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Fa 0/10 192.168.1.2 /24
Ч
тобы включить маршрутизацию на коммутаторе нужно:
sw3(config)# ip routing
Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:
sw3(config)# interface Vlan2
sw3(config-if)# ip address 10.0.2.1 255.255.255.0
sw3(config-if)# no shutdown
Чтобы задать адрес для VLAN 10:
sw3(config)# interface Vlan10
sw3(config-if)# ip address 10.0.10.1 255.255.255.0
sw3(config-if)# no shutdown
Процесс перевода интерфейсов в режим 3-го уровня
Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:
sw3(config)#interface FastEthernet 0/10
sw3(config-if)# no switchport
sw3(config-if)# ip address 192.168.1.2 255.255.255.0
sw3(config-if)# no shutdown
R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.
Для настройки маршрута по умолчанию нужно выполнить:
sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1
Просмотр информации
Для просмотра информации о транке:
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/22 1-2,10,15
Port Vlans allowed and active in management domain
Fa0/22 1-2,10,15
Port Vlans in spanning tree forwarding state and not pruned
Fa0/22 1-2,10,15
Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:
sw1# show interface fa0/22 switchport
Name: Fa0/22
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (VLAN_1)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Чтобы выполнить просмотр информации о настройках интерфейса (access):
sw1# show interface fa0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: Off
Access Mode VLAN: 15 (VLAN0015)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Просмотреть информацию о VLAN:
sw1# show vlan brief
VLAN Name Status Ports
—- ——————————— ——— ——————————-
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Диапазоны VLAN
VLANs Диапазон Использование Передается VTP
0, 4095 Reserved Только для системного использования. —
1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да
2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да
1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да
1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да
Примеры настройки
Базовая настройка VLAN (без настройки маршрутизации)
Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.
Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.
Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.
Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.
Конфигурация sw1 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация sw3 имеет вид:
!
vlan 2,10,15
!
interface FastEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
!
interface FastEthernet0/2
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация с настройкой маршрутизации между VLAN
Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.
Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.
Конфигурация sw1 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация sw3 имеет вид:
!
ip routing
!
vlan 2,10,15
!
interface FastEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
!
interface FastEthernet0/2
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
!
interface FastEthernet0/10
no switchport
ip address 192.168.1.2 255.255.255.0
!
!
interface Vlan2
ip address 10.0.2.1 255.255.255.0
!
interface Vlan10
ip address 10.0.10.1 255.255.255.0
!
interface Vlan15
ip address 10.0.15.1 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
Настройка VLAN для маршрутизаторов Cisco
Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физических
интерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).
Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:
VLAN IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:
R1(config-if)# encapsulation dot1q
Чтобы создать логический подинтерфейс для VLAN 2:
R1(config)# interface fa0/0.2
R1(config-subif)# encapsulation dot1q 2
R1(config-subif)# ip address 10.0.2.1 255.255.255.0
Чтобы создать логический подинтерфейс для VLAN 10:
R1(config)# interface fa0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 10.0.10.1 255.255.255.0
Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:
interface FastEthernet0/20
switchport trunk encapsulation dot1q
switchport mode trunk
Пример настройки
Конфигурационные файлы для первой схемы:
Для конфигурации sw1:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/20
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,10,15
!
Для конфигурации R1:
!
interface fa0/0.2
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
!
interface fa0/0.10
encapsulation dot1q 10
ip address 10.0.10.1 255.255.255.0
!
interface fa0/0.15
encapsulation dot1q 15
ip address 10.0.15.1 255.255.255.0
!
Настройка native VLAN
В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.
Чтобы задать адрес для физического интерфейса:
R1(config)# interface fa0/0
R1(config-if)# ip address 10.0.1.1 255.255.255.0
Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:
R1(config)# interface fa0/0.99
R1(config-subif)# encapsulation dot1q 99 native
R1(config-subif)# ip address 10.0.99.1 255.255.255.0
Материал из Xgu.ru
Перейти к: навигация, поиск
- Короткий URL: vlan/cisco
- Автор: Наташа Самойленко
< VLAN
На этой странице рассматривается процедура настройки VLAN в Cisco.
На странице VLAN в Cisco/Lab находятся лабораторные, которые можно сделать для того чтобы на практике попробовать настройки, которые описываются на этой странице. Лабораторные подготовлены в Packet Tracer, но аналогично могут быть выполнены и на реальном оборудовании.
Содержание
- 1 Настройка VLAN на коммутаторах Cisco под управлением IOS
- 1.1 Настройка access портов
- 1.2 Настройка транка (trunk)
- 1.2.1 Настройка статического транка
- 1.2.2 Динамическое создание транков (DTP)
- 1.2.3 Разрешённые VLAN’ы
- 1.2.4 Native VLAN
- 1.3 Настройка маршрутизации между VLAN
- 1.4 Перевод интерфейса в режим 3го уровня
- 1.5 Просмотр информации
- 1.6 Диапазоны VLAN
- 1.7 Пример настройки
- 1.7.1 Пример базовой настройки VLAN, без настройки маршрутизации
- 1.7.2 Пример конфигураций с настройкой маршрутизации между VLAN
- 2 Настройка VLAN на маршрутизаторах Cisco
- 2.1 Пример настройки
- 2.2 Настройка native VLAN
- 3 Примечания
[править] Настройка VLAN на коммутаторах Cisco под управлением IOS
Сеть с VLANами на коммутаторах Cisco
Терминология Cisco:
- access port — порт принадлежащий одному VLAN’у и передающий нетегированный трафик
- trunk port — порт передающий тегированный трафик одного или нескольких VLAN’ов
Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN’у.
В современных моделях коммутаторов Cisco ISL не поддерживается.
Создание VLAN’а с идентификатором 2 и задание имени для него:
sw1(config)# vlan 2 sw1(config-vlan)# name test
Удаление VLAN’а с идентификатором 2:
sw1(config)# no vlan 2
[править] Настройка access портов
Назначение порта коммутатора в VLAN:
sw1(config)# interface fa0/1 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 2
Назначение диапазона портов с fa0/4 до fa0/5 в vlan 10:
sw1(config)# interface range fa0/4 - 5 sw1(config-if-range)# switchport mode access sw1(config-if-range)# switchport access vlan 10
Просмотр информации о VLAN’ах:
sw1# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
[править] Настройка транка (trunk)
Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим транка.
Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):
- auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
- desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
- trunk — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
- nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.
По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным.
Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.
VLAN можно создать на коммутаторе с помощью команды vlan.
Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.
В схеме, которая используется для демонстрации настроек, на коммутаторах sw1 и sw2, нужные VLAN будут созданы в момент добавления access-портов в соответствующие VLAN:
sw1(config)# interface fa0/3 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 15 % Access VLAN does not exist. Creating vlan 15
На коммутаторе sw3 access-портов нет. Поэтому необходимо явно создать все необходимые VLAN:
sw3(config)# vlan 2,10,15
Для автоматического создания VLAN на коммутаторах, может использоваться протокол VTP.
[править] Настройка статического транка
Создание статического транка:
sw1(config)# interface fa0/22 sw1(config-if)# switchport mode trunk
На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:
sw1(config-if)# switchport mode trunk Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.
Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.
Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:
sw1(config-if)# switchport trunk encapsulation dot1q
И после этого снова повторить команду настройки статического транка (switchport mode trunk).
[править] Динамическое создание транков (DTP)
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
- auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
- desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
- nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.
Перевести интерфейс в режим auto:
sw1(config-if)# switchport mode dynamic auto
Перевести интерфейс в режим desirable:
sw1(config-if)# switchport mode dynamic desirable
Перевести интерфейс в режим nonegotiate:
sw1(config-if)# switchport nonegotiate
Проверить текущий режим DTP:
sw# show dtp interface
[править] Разрешённые VLAN’ы
По умолчанию в транке разрешены все VLAN.
Можно ограничить перечень VLAN, которые могут передаваться через конкретный транк.
Указать перечень разрешенных VLAN для транкового порта fa0/22:
sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan 1-2,10,15
Добавление ещё одного разрешенного VLAN:
sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan add 160
Удаление VLAN из списка разрешенных:
sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan remove 160
[править] Native VLAN
В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным.
По умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.
Настройка VLAN 5 как native:
sw1(config-if)# switchport trunk native vlan 5
Теперь весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).
[править] Настройка маршрутизации между VLAN
Передача трафика между VLANами с помощью коммутатора Cisco
Все настройки по назначению портов в VLAN, сделанные ранее для sw1, sw2 и sw3, сохраняются.
Дальнейшие настройки подразумевают использование sw3 как коммутатора 3 уровня.
При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.
Настройки на коммутаторе sw3:
| VLAN / интерфейс 3го уровня | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
| Fa 0/10 | 192.168.1.2 /24 |
Включение маршрутизации на коммутаторе:
sw3(config)# ip routing
Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:
sw3(config)# interface Vlan2 sw3(config-if)# ip address 10.0.2.1 255.255.255.0 sw3(config-if)# no shutdown
Задание адреса в VLAN 10:
sw3(config)# interface Vlan10 sw3(config-if)# ip address 10.0.10.1 255.255.255.0 sw3(config-if)# no shutdown
[править] Перевод интерфейса в режим 3го уровня
Интерфейс fa0/10 соединен с маршрутизатором. Этот интерфейс можно перевести в режим 3 уровня.
Перевод fa0/10 в режим интерфейса 3 уровня и задание IP-адреса:
sw3(config)#interface FastEthernet 0/10 sw3(config-if)# no switchport sw3(config-if)# ip address 192.168.1.2 255.255.255.0 sw3(config-if)# no shutdown
R1 используется как шлюз по умолчанию для рассматриваемой сети. Трафик не предназначенный сетям VLAN’ов будет передаваться на R1.
Настройка маршрута по умолчанию:
sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1
[править] Просмотр информации
Просмотр информации о транке:
sw1# show interface fa0/22 trunk Port Mode Encapsulation Status Native vlan Fa0/22 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/22 1-2,10,15 Port Vlans allowed and active in management domain Fa0/22 1-2,10,15 Port Vlans in spanning tree forwarding state and not pruned Fa0/22 1-2,10,15
Просмотр информации о настройках интерфейса (о транке):
sw1# show interface fa0/22 switchport Name: Fa0/22 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Operational Dot1q Ethertype: 0x8100 Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (VLAN_1) Administrative Native VLAN tagging: enabled Operational Native VLAN tagging: disabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL
Просмотр информации о настройках интерфейса (об access-интерфейсе):
sw1# show interface fa0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Operational Dot1q Ethertype: 0x8100 Negotiation of Trunking: Off Access Mode VLAN: 15 (VLAN0015) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Operational Native VLAN tagging: disabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL
Просмотр информации о VLAN’ах:
sw1# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
[править] Диапазоны VLAN
| VLANs | Диапазон | Использование | Передается VTP |
|---|---|---|---|
| 0, 4095 | Reserved | Только для системного использования. | — |
| 1 | Normal | VLAN по умолчанию. Можно использовать, но нельзя удалить. | Да |
| 2-1001 | Normal | Для VLANов Ethernet. Можно создавать, удалять и использовать. | Да |
| 1002-1005 | Normal | Для FDDI и Token Ring. Нельзя удалить. | Да |
| 1006-4094 | Extended | Только для VLANов Ethernet. | Версия 1 и 2 нет, версия 3 да |
[править] Пример настройки
[править] Пример базовой настройки VLAN, без настройки маршрутизации
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы.
На коммутаторе sw3 не настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться только в пределах одного VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Однако, они не могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Не все настройки являются обязательными. Например, перечисление разрешенных VLAN в транке не является обязательным для работы транка, однако, рекомендуется настраивать разрешенные VLAN явно.
Настройки транка на sw1 и sw2 немного отличаются от sw3. На sw3 не задается инкапсуляция для транка (команда switchport trunk encapsulation dot1q), так как в используемой модели коммутатора поддерживается только режим 802.1Q.
Конфигурация sw1:
! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10,15 !
Конфигурация sw2:
! interface FastEthernet0/1 switchport mode access switchport access vlan 10 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 2 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10 !
Конфигурация sw3:
! vlan 2,10,15 ! interface FastEthernet0/1 switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ! interface FastEthernet0/2 switchport mode trunk switchport trunk allowed vlan 1,2,10 !
[править] Пример конфигураций с настройкой маршрутизации между VLAN
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы.
На коммутаторе sw3 настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться как в пределах одного VLAN, так и между различными VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Кроме того, они могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Настройки коммутаторов sw1 и sw2 остались точно такими же, как и в предыдущем разделе.
Добавились дополнительные настройки только на коммутаторе sw3.
Конфигурация sw1:
! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10,15 !
Конфигурация sw2:
! interface FastEthernet0/1 switchport mode access switchport access vlan 10 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 2 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10 !
Конфигурация sw3:
! ip routing ! vlan 2,10,15 ! interface FastEthernet0/1 switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ! interface FastEthernet0/2 switchport mode trunk switchport trunk allowed vlan 1,2,10 ! ! interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ! ! interface Vlan2 ip address 10.0.2.1 255.255.255.0 ! interface Vlan10 ip address 10.0.10.1 255.255.255.0 ! interface Vlan15 ip address 10.0.15.1 255.255.255.0 ! ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 !
[править] Настройка VLAN на маршрутизаторах Cisco
Передача трафика между VLANами с помощью маршрутизатора
Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы[1] на физическом интерфейсе для каждого VLAN.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).
Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.
IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):
| VLAN | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
Для логических подынтерфейсов[1] необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:
R1(config-if)# encapsulation dot1q <vlan-id>
Создание логического подынтерфейса для VLAN 2:
R1(config)# interface fa0/0.2 R1(config-subif)# encapsulation dot1q 2 R1(config-subif)# ip address 10.0.2.1 255.255.255.0
Создание логического подынтерфейса для VLAN 10:
R1(config)# interface fa0/0.10 R1(config-subif)# encapsulation dot1q 10 R1(config-subif)# ip address 10.0.10.1 255.255.255.0
|
|
Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование. |
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:
interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk
[править] Пример настройки
Конфигурационные файлы устройств для схемы изображенной в начале раздела.
Конфигурация sw1:
! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 2,10,15 !
Конфигурация R1:
! interface fa0/0.2 encapsulation dot1q 2 ip address 10.0.2.1 255.255.255.0 ! interface fa0/0.10 encapsulation dot1q 10 ip address 10.0.10.1 255.255.255.0 ! interface fa0/0.15 encapsulation dot1q 15 ip address 10.0.15.1 255.255.255.0 !
[править] Настройка native VLAN
По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.
Задание адреса на физическом интерфейсе:
R1(config)# interface fa0/0 R1(config-if)# ip address 10.0.1.1 255.255.255.0
Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:
R1(config)# interface fa0/0.99 R1(config-subif)# encapsulation dot1q 99 native R1(config-subif)# ip address 10.0.99.1 255.255.255.0
[править] Примечания
- ↑ 1,0 1,1 Хотя глазу приятнее видеть написание слова как подинтерфейс, правильное написание всё же через букву ы; подробнее: [1]. Именно по этой причине правильно — субинтерфейс. Иностранному слову — ностранную приставку.
| |
|
|---|---|
| Устройства | Cisco 871 • Cisco Router • Cisco Switch • Сisco Сatalyst • Cisco IPS • Cisco ASA • PIX • Dynamips |
| Безопасность (коммутаторы и маршрутизаторы) |
Cisco Security • Port security • DHCP snooping • Dynamic ARP Protection • IP Source Guard • Аутентификация при доступе к сети • 802.1X в Cisco • Zone-Based Policy Firewall • Cisco NAT • NAT в Cisco • Cisco SSH |
| Cisco ASA | Cisco ASA/NAT • Cisco ASA/Troubleshooting • Cisco ASA/IPS • Cisco ASA failover • Cisco ASA/Transparent firewall • Cisco ASA/Site-to-Site_VPN • Cisco ASA/Easy_VPN • Cisco ASA/WebVPN • Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) • Центр сертификатов на Cisco ASA |
| VPN | IPsec в Cisco • Cisco IOS Site-to-Site VPN • DMVPN • Cisco Easy VPN • Cisco Web VPN • Cisco ipsec preshared |
| Канальный уровень | CDP • VLAN в Cisco • ISL • VTP • STP в Cisco • Cisco Express Forwarding • Агрегирование каналов • Зеркалирование трафика • QinQ • Frame Relay |
| Сетевой уровень | Маршрутизация в Cisco • RIP • EIGRP • IS-IS • OSPF • BGP • PIM • Multicast • GLBP • VRRP • HSRP • DHCP • IPv6 • IPv6 vs IPv4 • Резервирование Интернет-каналов без использования BGP • Использование BGP для резервирования Интернет-каналов |
| Разное | Режим ROMMON в Cisco • Опция 82 DHCP • 802.1X и RADIUS • SNMP в Cisco • QoS в Cisco • EEM • Troubleshooting • Автоматизация работы устройств Cisco • Cisco NTP • Cisco IP SLA • Cisco Enhanced Object Tracking |
| |
|
|---|---|
| Стандарты, протоколы и основные понятия | 802.1Q • VLAN ID • ISL • VTP • GVRP • Native VLAN |
| В операционных системах |
|
| В сетевом оборудовании |
|
| Разное | man vconfig • Безопасность VLAN • 802.1X и RADIUS • Cisco Private VLAN |
Сегодняшний урок мы посвятим настройкам VLAN, то есть попробуем проделать всё то, о чем говорили на предыдущих уроках. Сейчас мы рассмотрим 3 вопроса: создание VLAN, присваивание портов VLAN и просмотр базы данных VLAN.
Откроем окно программы Cisco Packer tracer с нарисованной мною логической топологией нашей сети.
К первому свитчу SW0 подключены 2 компьютера PC0 и PC1, объединенные в сеть VLAN10 с диапазоном IP-адресов 192.168.10.0/24. Соответственно, IP-адреса этих компьютеров будут 192.168.10.1 и 192.168.10.2. Обычно люди идентифицируют номер VLAN по третьему октету IP-адреса, в нашем случае это 10, однако это не обязательное условие обозначение сетей, вы можете назначить любой идентификатор VLAN, однако такой порядок принят в крупных компаниях, потому что облегчает настройку сети.
Далее расположен свитч SW1, который подключен к сети VLAN20 с IP-адресом 192.168.20.0/24 с двумя ноутбуками Laptop1 и Laptop2.
VLAN10 расположена на 1 этаже офиса компании и представляет собой сеть руководства отдела продаж. К этому же свитчу SW0 подключен ноутбук Laptop0 маркетолога, который относится к VLAN20. Эта сеть распространяется на 2 этаж, где расположены другие сотрудники, и она соединена с отделом продаж, который может быть расположен в другом здании или на 3 этаже этого же офиса. Здесь установлены ещё 3 компьютера – PC2,3 и 4, которые являются частью сети VLAN10.
Сеть VLAN10, как и VLAN20, должна обеспечивать бесперебойную связь всех сотрудников независимо от того, что они располагаются на разных этажах или в разных зданиях. Вот такую концепцию сети мы сегодня рассмотрим.
Давайте приступим к её настройке и начнем с компьютера PC0. Кликнув по иконке, войдем в сетевые настройки компьютера и введем IP-адрес 192.168.10.1 и маску подсети 255.255.255.0. Я не ввожу адрес шлюза по умолчанию, потому что он нужен для выхода из одной локальной сети в другую, а в нашем случае мы не будем разбираться с настройками 3 уровня OSI, нас интересует только 2 уровень, и мы не собираемся рассматривать маршрутизацию трафика в другую сеть.
Мы собираемся настраивать интрасеть и только те хосты, которые в неё входят. Затем мы перейдем к компьютеру PC2 и проделаем то же самое, что и для первого ПК. Теперь проверим, смогу ли я пропинговать PC1 с компьютера PC0. Как видите, пинг проходит, и компьютер с IP-адресом 192.168.10.2 уверенно возвращает пакеты. Таким образом, мы успешно установили связь между PC0 и PC1 через свитч.
Чтобы понять, почему нам это удалось, зайдём в настройки свитча и посмотрим на таблицу VLAN.
Технически данный свитч имеет 5 VLAN: VLAN1 по умолчанию, а также 1002,1003,1004 и 1005. Если посмотреть на 4 последние сети, можно увидеть, что они не поддерживаются и обозначены unsupported. Это виртуальные сети старой технологии – fddi, fddinet, trnet. В настоящее время они не используются, но согласно техническим требованиям до сих пор включаются в новые устройства. Таким образом, фактически наш свитч имеет по умолчанию всего одну виртуальную сеть – VLAN1, поэтому все порты любого свитча Cisco «из коробки» настроены на эту сеть. Это 24 порта Fast Ethernet и 2 порта Gigabit Ethernet. Это значительно облегчает совместимость новых свитчей, потому что по умолчанию все они являются частью одной и той же VLAN1.
Мы должны переназначить порты, которые по умолчанию настроены на работу с VLAN1, на работу с VLAN10. Packet Tracer показывает, что в нашем случае это порты Fa0 и Fa0/2.
Вернемся к свитчу SW0 и настроим два эти порта. Для этого я использую команду configure terminal чтобы зайти в режим глобальной конфигурации, и ввожу команду настройки данного интерфейса – int fastEthernet 0/1. Мне нужно установить для этого порта режим работы access, потому что это access-порт, и я использую команду switchport mode access.
Этот порт конфигурируется как статический access-порт, но если я подключу к нему другой свитч, то благодаря использованию протокола DTP он перейдет в динамический режим trunk. По умолчанию этот порт принадлежит VLAN1, поэтому мне нужно использовать команду switchport access vlan 10. При этом система выдаст нам сообщение о том, что VLAN10 не существует и её необходимо создать. Если помните, в базе данных VLAN у нас существует только одна сеть – VLAN1, и никакой сети VLAN10 там нет. Но мы запросили свитч предоставить доступ к VLAN10, поэтому получили сообщение об ошибке.
Поэтому нам необходимо создать VLAN10 и приписать к ней этот access-порт. После этого, если зайти в базу данных VLAN, можно увидеть созданную только что VLAN0010, которая находится в активном состоянии и которой принадлежит порт Fa0/1.
Мы не вносили никаких изменений в компьютер, а просто настроили порт свитча, к которому он подключен. Теперь попробуем пропинговать IP-адрес 192.168.10.2, что мы удачно проделали несколько минут назад. У нас ничего не получилось, потому что порт, к которому подключен PC0, теперь относится к сети VLAN10, а порт, связанный с компьютером PC1, по прежнему принадлежит VLAN1, и никакой связи между этими двумя сетями не существует. Для того, чтобы установить связь между этими компьютерами, необходимо настроить оба порта на работу с VLAN10. Я снова вхожу в режим глобальной конфигурации и проделываю аналогичные действия для switchport f0/2.
Посмотрим ещё раз на таблицу VLAN. Теперь мы видим, что сеть VLAN10 настроена на портах Fa0/1 и Fa0/2. Как видим, теперь пинг проходит успешно, потому что оба порта свитча SW0, к которым подключены устройства, принадлежат одной и той же сети. Давайте попробуем изменить имя сети, чтобы обозначить её предназначение. Если мы хотим внести какие-либо изменения в VLAN, мы должный войти в настройку этой сети.
Для этого я набираю команду vlan 10, и вы видите, что подсказка командной строки поменялась со Switch (config) # на Switch (config-vlan) #. Если ввести знак вопроса, система покажет нам только 3 возможных команды: exit, name и no. Я могу назначить имя сети с помощью команды name, возвратить команды к состоянию по умолчанию, набрав no или сохранить внесенные изменения, использовав команду exit. Поэтому я ввожу команды name SALES и exit.
Если посмотреть базу данных VLAN, можно убедиться, что наши команды исполнены и бывшая VLAN10 теперь носит название SALES – отдел продаж. Итак, мы подсоединили 2 компьютера нашего офиса к созданной сети отдела продаж. Теперь нужно создать сеть для отдела маркетинга. Для того, чтобы подсоединить к этой сети ноутбук Laptop0, нужно войти в его сетевые настройки и внести IP-адрес 192.168.20.1 и маску подсети 255.255.255.0, шлюз по умолчанию нам не нужен. Затем нужно вернуться к настройкам свитча, войти в настройки порта командой int fa0/3 и ввести команду switchport mode access. Следующей командой будет switchport access vlan 20.
Мы снова получаем сообщение о том, что такой VLAN не существует и её необходимо создать. Можно пойти другим путем – я выйду из настройки порта Switch (config-if), зайду в Switch (config) и введу команду vlan 20, тем самым создав сеть VLAN20. То есть можно сначала создать сеть VLAN20, присвоить ей имя MARKETING, сохранить изменения командой exit, а затем настраивать под неё порт.
Если зайти в базу VLAN командой sh vlan, можно увидеть созданную нами сеть MARKETING и соответствующий ей порт Fa0/3. Я не смогу пропинговать компьютеры с этого ноутбука по двум причинам: у нас имеются разные VLAN и наши устройства принадлежат к разным подсетям. Так как они принадлежат разным VLAN, свитч будет отбрасывать пакеты ноутбука, направленные в другую сеть, потому что у него нет порта, принадлежащего VLAN20.
Как я говорил, компания расширяется, маленького офиса на первом этаже не хватает, поэтому она размещает отдел маркетинга на 2-м этаже здания, устанавливает там компьютеры для 2-х сотрудников и хочет обеспечить связь с отделом маркетинга на первом этаже. Для этого нужно сначала создать транк между двумя свитчами – портом Fa0/4 первого свитча и портом Fa0/1 второго свитча. Для этого я вхожу в настройки SW0 и ввожу команды int f0/4 и switchport mode trunk.
Существует команда инкапсуляции switchport trunk enc, однако в новых свитчах она не применяется, потому что по умолчанию они используют технологию инкапсуляции по протоколу 802.1q. Однако старые модели свитчей Cisco использовали проприетарный протокол ISL, который больше не применяется, так как теперь все свитчи понимают протокол .1Q. Таким образом, у вас больше нет необходимости в использовании команды switchport trunk enc.
Если сейчас зайти в базу данных VLAN, можно увидеть, что из неё исчез порт Fa0/4. Это потому, что в данной таблице указаны только access-порты, которые относятся к конкретной VLAN. Для того, чтобы увидеть транк-порты свитча, необходимо использовать команду sh int trunk.
В окне командной строки мы видим, что порт Fa0/4 включен, осуществляет инкапсуляцию по протоколу 802.1q и принадлежит к native vlan 1. Как мы знаем, если этот транк-порт принимает нетегированный трафик, он автоматически направляет его в сеть native vlan 1. На следующем уроке мы поговорим о настройке native vlan, пока что просто запомните, как выглядят настройки транка для данного устройства.
Теперь я перехожу ко второму свитчу SW1, вхожу в режим настроек int f0/1 и повторяю последовательность настройки порта аналогично предыдущему случаю. Два порта Fa0/2 и Fa0/3, к которым подсоединены ноутбуки сотрудников отдела маркетинга, необходимо настроить на режим access и приписать к сети VLAN20.
В предыдущем случае мы индивидуально настраивали каждый порт свитча, а сейчас я хочу показать вам, как ускорить этот процесс, используя шаблон командной строки. Можно ввести команду для настройки диапазона интерфейсов int range f0/2-3, в результате чего запрос командной строки примет вид Switch (config-if-range)#, и вы сможете ввести один и тот же параметр или применить одну и ту же команду к указанному диапазону портов, например, одновременно для 20 портов.
В предыдущем примере мы несколько раз использовали одни и те же команды switchport mode access и switchport access vlan 10 для нескольких портов свитча. Эти команды можно вводить однократно, если использовать диапазон портов. Сейчас я введу команды switchport mode access и switchport access vlan 20 для выбранного диапазона портов.
Поскольку сеть VLAN20 пока не существует, система создаст её автоматически. Я набираю exit для сохранения внесенных изменений и прошу показать мне таблицу VLAN. Как видите, теперь порты Fa0/2 и Fa0/3 являются частью только что созданной VLAN20.
Теперь я настрою IP-адреса ноутбуков на втором этаже нашего офиса: Laptop1 получит адрес 192.168.20.2 и маску подсети 255.255.255.0, а Laptop2 получит IP-адрес 192.168.20.3. Проверим работоспособность сети, пропинговав первый ноутбук со второго. Как видите, пинг проходит удачно, потому что оба устройства являются частью одной VLAN и подсоединены к одному и тому же свитчу.
Однако ноутбуки отдела маркетинга на первом и втором этажах присоединены к разным свитчам, хотя находятся в одной сети VLAN. Проверим, как обеспечивается связь между ними, для этого я пропингую с Laptop2 ноутбук на первом этаже, имеющий IP-адрес 192.168.20.1. Как видите, все работает без проблем несмотря на то, что ноутбуки подсоединены к разным свитчам. Связь осуществляется благодаря тому, что оба свитча соединены транком.
Могу ли я установить связь между Laptop2 и компьютером PC0? Нет, не могу, потому что они принадлежат к разным VLAN. Теперь проведем настройку сети компьютеров PC2,3,4, для чего сначала создадим транк между вторым свитчем Fa0/4 и третьим свитчем Fa0/1.
Я захожу в настройки SW1 и набираю команду config t, после чего вызываю int f0/4, затем ввожу команды switchport mode trunk и exit. Аналогичным образом я настраиваю третий свитч SW2. Мы создали транк, и вы видите, что после того, как настройки вступили в силу, цвет портов поменялся с оранжевого на зеленый. Теперь необходимо настроить порты Fa0/2,0/3,0/4, к которым подсоединены компьютеры отдела продаж, принадлежащие сети VLAN10. Для этого я вхожу в настройки свитча SW2, выбираю диапазон портов f0/2-4 и применяю к ним команды switchport mode access и switchport access vlan 10. Поскольку на этих портах сеть VLAN10 отсутствует, она создается системой автоматически. Если посмотреть на базу данных VLAN этого свитча, можно увидеть, что теперь порты Fa0/2,0/3,0/4 принадлежат сети VLAN10.
После этого необходимо настроить сеть для каждого из этих 3-х компьютеров, введя IP-адреса и маски подсети. PC2 получает адрес 192.168.10.3, PC3 – адрес 192.168.10.4, а PC4 – IP-адрес 192.168.10.5.
Чтобы ответить на вопрос, работает ли наша сеть, пропингуем компьютер PC0 на первом этаже с компьютера PC4, расположенного на 3-м этаже или в другом здании. Пингование окончилось неудачей, так что попробуем разобраться, почему нам не удалось это сделать.
Когда мы пытались пропинговать Laptop0 с ноутбука Laptop2, все прекрасно работало, не смотря на то, что ноутбуки были подсоединены к разным свитчам. Почему же теперь, когда наши компьютеры отдела продаж так же точно подсоединены к разным свитчам, связанным транком, пинг не проходит? Для того, чтобы разобраться в причине проблемы, нужно вспомнить, как работает свитч.
Когда мы посылаем пакет с компьютера PC4 на свитч SW2, он видит, что пакет поступает на порт Fa0/4. Свитч проверяет свою базу данных и обнаруживает, что порт Fa0/4 относится к сети VLAN10. После этого свитч тегирует фрейм номером сети, то есть прикрепляет к пакету трафика заголовок VLAN10, и отправляет его по транку второму свитчу SW1. Этот свитч «читает» заголовок и видит, что пакет предназначен для сети VLAN10, заглядывает в свою базу данных VLAN и, обнаружив, что никакой VLAN10 там нет, отбрасывает пакет. Таким образом, устройства PC2,3 и 4 без проблем могут общаться друг с другом, но попытка установить связь с компьютерами PC0 и PC1 оканчивается неудачей, потому что свитч SW1 ничего не знает о сети VLAN10.
Мы можем легко исправить эту проблему, зайдя в настройки SW1, создав сеть VLAN10 с помощью команды vlan 10 и введя её название MARKETING. Попробуем повторить пингование – вы видите, что первые три пакеты отбрасываются, а четвертый проходит удачно. Это объясняется тем, что сначала свитч проверял IP-адреса и определял MAC-адрес, это заняло определенное время, поэтому три первых пакета были отброшены таймаутом. Сейчас связь установлена, потому что свитч дополнил свою таблицу MAC-адресов и направляет пакеты прямо на требуемый адрес.
Всё, что я сделал для устранения проблемы – это зашел в настройки промежуточного свитча и создал там сеть VLAN10. Таким образом, даже если сеть непосредственно не связана со свитчем, он все равно должен знать обо всех сетях, участвующих в сетевых соединениях. Однако если в вашей сети имеется сотня свитчей, вы физически не сможете зайти в настройки каждого и вручную сконфигурировать идентификаторы VLAN. Вот почему мы используем протокол VTP, настройку которого рассмотрим на следующем видеоуроке.
Итак, сегодня мы рассмотрели все, что планировали: как создавать VLAN, как присваивать порты VLAN и как просматривать базу данных VLAN. Для создания сетей мы входим в режим глобальной конфигурации свитча и используем команду vlan <номер>, мы также можем присвоить имя созданной сети с помощью команды name <имя>.
Мы также можем создать VLAN другим путем, войдя в режим интерфейса и использовав команду switchport access vlan <номер>. В случае отсутствия сети с таким номером она будет создана системой автоматически. Не забывайте использовать команду exit после внесения изменений в первоначальные настройки, иначе они не сохранятся в базе данных VLAN. Далее вы можете приписать порты к конкретным сетям VLAN, используя соответствующие команды.
Команда switchport mode access переводит интерфейс в статический режим access-port, после чего номер соответствующей VLAN приписывается порту командой switchport access vlan <номер>. Для просмотра базы данных VLAN используется команда show vlan, которую следует ввести в пользовательском режиме EXEC. Для просмотра списка транк-портов нужно использовать команду show int trunk.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
We’ve before written about VLANs and what they can do as a concept. This article will focus on configuring VLANs on Cisco switches.
We will look at each command necessary to configure the topology below. If this topology looks familiar, it is because you saw it in the article which described how VLANs operated on a conceptual level.
We will first look at what goes into configuring the access ports in the topology above, followed by what goes into configuring the trunk ports. Then we will look at some verification and show commands to validate what is configured. Finally, we will look at the default configuration for a switch port, so we know our starting point when we are applying the commands we discuss.
Contents: Configuring VLANs on Cisco Switches
- Access Ports
- Creating the VLAN in the VLAN Database
- Assigning the Switchport to a VLAN
- Trunk Ports
- Native VLAN
- Allowed VLAN List
- Show Commands
- show vlan brief
- show interfaces trunk
- show interfaces switchport
- show interfaces status
- show spanning-tree
- Default Switchport Setting
- Dynamic Trunking Protocol
- Default Access Port Settings
- Default Trunk Port Settings
- Summary
Access Ports
An access port is a switch port that is a member of only one VLAN. There are two parts to configuring an access port: creating the VLAN in the switch’s VLAN Database and assigning the switch port to a VLAN.
Creating the VLAN in the VLAN Database
Before a switch will accept or forward traffic for a VLAN, the VLAN must exist in the switch’s VLAN Database. Adding a VLAN to the VLAN database requires only one command:
From this point, you can also optionally name the VLAN. While not explicitly necessary for traffic to flow, it is best practice to provide a name for each VLAN. This will make the VLAN easier to identify.
To name a VLAN, simply use the name; command directly after creating it.
SwitchX(config-vlan)# name RED
For VLAN 20, we will create and name the VLAN on SwitchX:
SwitchX(config)# vlan 20 SwitchX(config-vlan)# name ORANGE
Note that a VLAN only has to be added to the database once. If a VLAN already exists in the VLAN database, it is not necessary to re-create it – you can jump directly to the next step. Later in this article we will look at some show commands used to determine if a VLAN has already been created.
Assigning the Switchport to a VLAN
Now that the VLAN is in the VLAN database, we can configure a switch port to be an access port for a particular VLAN. There are two commands within the interface configuration mode for this step:
SwitchX(config)# interface Ethernet 0/0 SwitchX(config-if)# switchport mode access SwitchX(config-if)# switchport access vlan 10
The switchport mode access command sets the port as an access port, and the switchport access vlan <#> command designates the port as a member of VLAN 10.
Some versions of Cisco switches automatically create the VLAN in the VLAN Database when you assign an access port to a VLAN:
SwitchX(config)# interface Ethernet 0/1 SwitchX(config-if)# switchport mode access SwitchX(config-if)# switchport access vlan 30 % Access VLAN does not exist. Creating vlan 30
However, it is not recommended that you depend on this. Some switches will do it, some will not. Some switches will not create the VLAN and also not report any errors, leaving you confused as to why traffic might not be flowing. Moreover, this creates the VLAN with a generic name – the name for VLAN 30 above defaults to VLAN0030, which is not very helpful.
As such, we always recommend to create and name a VLAN before assigning it anywhere. If you happen to forget to name it first, you can always update the name of a VLAN in that database after the fact:
SwitchX(config)# vlan 30 SwitchX(config-vlan)# name BLUE
In summary, the two steps to configure an access port:
- Create and optionally (but ideally) name the VLAN
- Set a switch port as an access port and designate it as a member of a VLAN
Both steps will also need to be accomplished for each VLAN and switch port on SwitchY. First we will create and name each VLAN:
SwitchY(config)# vlan 10 SwitchY(config-vlan)# name RED SwitchY(config-vlan)# exit SwitchY(config)# vlan 20 SwitchY(config-vlan)# name ORANGE SwitchY(config-vlan)# exit SwitchY(config)# vlan 30 SwitchY(config-vlan)# name BLUE SwitchY(config-vlan)# exit
Then we will set Eth0/2 and Eth0/3 as access ports in VLANs 10 and 30, respectively:
SwitchY(config)# interface Ethernet 0/2 SwitchY(config-if)# switchport mode access SwitchY(config-if)# switchport access vlan 10 SwitchY(config-if)# exit SwitchY(config)# interface Ethernet 0/3 SwitchY(config-if)# switchport mode access SwitchY(config-if)# switchport access vlan 30 SwitchY(config-if)# exit
The commands above created the following configuration in the running-configuration for each switch:
SwitchXSwitchY
SwitchX# show running-config ... vlan 10 name RED ! vlan 20 name ORANGE ! vlan 30 name BLUE ... interface Ethernet0/0 switchport access vlan 10 switchport mode access ! interface Ethernet0/1 switchport access vlan 30 switchport mode access ...
SwitchY# show running-config ... vlan 10 name RED ! vlan 20 name ORANGE ! vlan 30 name BLUE ... interface Ethernet0/2 switchport access vlan 10 switchport mode access ! interface Ethernet0/3 switchport access vlan 30 switchport mode access ...
Note, if you are following along with this configuration guide in your own lab, you may not see the creation and naming of the VLANs appear in the running configuration. This is because the default VTP mode causes VLAN database information to appear in another file (vlan.dat). To force the configuration to appear in your running-configuration, use the command vtp mode transparent. Beyond that, VTP’s operation is outside the scope of this article.
Trunk Ports
As discussed before, a trunk port is a switch port that is carrying more than one VLAN.
Traffic traversing a trunk port is still in the form of 1s and 0s. To designate which 1s and 0s belong to which VLANs, a VLAN Tag is added to all traffic leaving a trunk port. The 802.1q standard specifies the ubiquitous format for the VLAN tag.
Creating a trunk port involves only one command:
SwitchY(config)# interface Ethernet1/1 SwitchY(config-if)# switchport mode trunk
Just like switchport mode access set the port as an access port, switchport mode trunk will set the port as a trunk port.
Some switches support more than one method for adding the VLAN tag. Namely, some switches support the antiquated ISL method of VLAN tagging. Before these switches allow you to set a port as a trunk port, they force you to set a tagging method, also called an encapsulation method:
SwitchX(config)# interface Ethernet1/1 SwitchX(config-if)# switchport mode trunk Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
For these switches, you simply use the switchport trunk encapsulation dot1q command before setting the switchport as a trunk port:
SwitchX(config)# interface Ethernet1/1 SwitchX(config-if)# switchport trunk encapsulation dot1q SwitchX(config-if)# switchport mode trunk
We will also configure Eth2/1 and Eth2/2 on SwitchX as trunk ports:
SwitchX(config)# interface Ethernet 2/1 SwitchX(config-if)# switchport trunk encapsulation dot1q SwitchX(config-if)# switchport mode trunk SwitchX(config-if)# exit SwitchX(config)# interface Ethernet 2/2 SwitchX(config-if)# switchport trunk encapsulation dot1q SwitchX(config-if)# switchport mode trunk SwitchX(config-if)# exit
This is all you need to create a trunk port. With the configuration above, the switch will forward traffic from all VLANs in the VLAN Database out the configured trunk port.
That being said, there are some additional helpful settings you can apply to a trunk port to modify the default behavior. We will discuss two of them in the sections that follow.
Native VLAN
The Native VLAN is the one VLAN on a trunk port which is allowed to remain untagged. By default, this is set to VLAN 1, but this can be changed by an administrator.
To set the Native VLAN, you use this command:
SwitchX(config)# interface Ethernet 1/1 SwitchX(config-if)# switchport trunk native vlan 2
After setting this command, any time SwitchX is sending traffic on VLAN 2 out the trunk port Eth1/1, it will do so without adding a VLAN tag. Moreover, anytime SwitchX receives untagged traffic on trunk port Eth1/1, SwitchX will assign that traffic to VLAN 2.
An important point to remember: both switches on either end of the same trunk must have the same Native VLAN. Otherwise, you easily run the risk of a host in one VLAN being able to communicate with a host in another VLAN.
Therefore, we will set the same Native VLAN on SwitchY:
SwitchY(config)# interface Ethernet 1/1 SwitchY(config-if)# switchport trunk native vlan 2
We will also set another VLAN as the Native VLAN for Eth2/1 and Eth2/2 ports, facing Router1 and Router2, respectively. This is to show that the Native VLAN configuration is a per-interface configuration, not a per-device configuration. But keep in mind, in most deployments the Native VLAN is typically consistent across all ports.
SwitchX(config)# interface Ethernet 2/1 SwitchX(config-if)# switchport trunk native vlan 3 SwitchX(config-if)# exit SwitchX(config)# interface Ethernet 2/2 SwitchX(config-if)# switchport trunk native vlan 3 SwitchX(config-if)# exit
Allowed VLAN List
By default, when an interface is set as a trunk port, traffic from all the VLANs in the VLAN database is forwarded out that switch port.
There are times, however, where it is wise to limit which VLAN’s traffic is traversing a particular trunk. This can be done by applying what is known as an Allowed VLAN list. An Allowed VLAN list allows the administrator to manually select which VLANs are traversing a trunk port.
Take a look at the illustration. Notice that the trunk port to Router1 is only processing traffic for VLAN 10 and 20, but if the trunk port is left to its default behavior, SwitchX will be forwarding traffic to Router1 from VLANs 10, 20, and 30. The VLAN 30 traffic will simply be dropped by Router1, but it does needlessly add congestion to the link.
To solve this, we will add an Allowed VLAN list to Eth2/1 on SwitchX to restrict which VLANs are traversing the trunk port:
SwitchX(config)# interface Ethernet 2/1 SwitchX(config-if)# switchport trunk allowed vlan 10,20
This will limit the VLANs which are traversing the trunk port to Router1 to only the VLANs which actually need to be on that link.
The trunk port to Router2 can also be limited to only carry traffic for VLAN 20 and 30. Below is another way of applying an Allowed VLAN list which shows how to add VLANs to the list after initially creating it:
SwitchX(config)# interface Ethernet 2/2 SwitchX(config-if)# switchport trunk allowed vlan 20 SwitchX(config-if)# switchport trunk allowed vlan add 30
Notice the important keyword add in the second command above. This instructs the switch to add VLAN 30 traffic to whatever VLANs are already allowed on the link.
Had the keyword add been omitted, the switch will have replaced the current Allowed VLAN List (which was allowing just VLAN 20) with the new one (which was allowing just VLAN 30). If Router1 was the gateway for the traffic in VLAN 20, all that traffic would now be dropped – creating a decidedly poor experience for the users in that VLAN.
As such, it is very important to either apply the full list of VLANs in one command (as in the first example), or to use the add command to add VLANs to the current allowed VLAN list.
You also have the option of using the remove keyword to remove individual VLANs from the allowed VLAN list.
In fact, the remove keyword provides one more way to apply an allowed VLAN list to a trunk port. Take a look at the link between SwitchX and SwitchY. Notice VLAN 20 does not need to be traversing that link.
Rather than simply adding an Allowed VLAN list with VLANs 10 and 30, you can also simply remove VLAN 20 from the default configuration. We’ll show you how it works with the trunk port between the switches (Eth1/1):
SwitchX(config)# interface Ethernet1/1 SwitchX(config-if)# switchport trunk allowed vlan remove 20
This automatically applies an Allowed VLAN list for every VLAN except VLAN 20:
SwitchX# show running-config interface Ethernet 1/1 interface Ethernet1/1 switchport trunk encapsulation dot1q switchport trunk native vlan 2 switchport trunk allowed vlan 1-19,21-4094 switchport mode trunk end
Since the default trunk port behavior was to allow all VLANs, removing VLAN 20 caused the switch to apply an Allowed VLAN list which included every VLAN (1 – 4094), except VLAN 20.
That said, this is typically not the way you would apply a new Allowed VLAN list to an interface – the remove keyword is more often used to remove individual VLANs from an already added Allowed VLAN list. We will remove the Allowed VLAN list on Eth1/1, and leave that port configured as a default trunk port – allowing traffic for all VLANs to traverse the trunk:
SwitchX(config)# interface Ethernet1/1 SwitchX(config-if)# no switchport trunk allowed vlan
The commands above created the following configuration in the running-configuration for each switch:
SwitchXSwitchY
SwitchX# show running-config ... interface Ethernet1/1 switchport trunk encapsulation dot1q switchport trunk native vlan 2 switchport mode trunk ! interface Ethernet2/1 switchport trunk encapsulation dot1q switchport trunk native vlan 3 switchport trunk allowed vlan 10,20 switchport mode trunk ! interface Ethernet2/2 switchport trunk encapsulation dot1q switchport trunk native vlan 3 switchport trunk allowed vlan 20,30 switchport mode trunk ! ...
SwitchY# show running-config ... interface Ethernet1/1 switchport trunk encapsulation dot1q switchport trunk native vlan 2 switchport mode trunk ! ...
Show Commands
The commands above explain the steps for configuring VLANs on Cisco Switches. The output at the end of each section displayed the way the configurations appears in the running-configuration. However, the running-configuration will only show how a device is configured – it will not show how a device operates.
This is an important distinction – a talented network engineer needs to not only know how to configure VLANs, but also how to validate their operation as well. To that end, we will discuss five show commands that can be used to verify a device’s operation – how it is actually handling traffic.
- show vlan brief
- show interfaces trunk
- show interfaces switchport
- show interfaces status
- show spanning-tree
show vlan brief
The show vlan brief command provides two main pieces of information:
- The VLANs which exist in the switch’s VLAN Database
- The access ports configured in each VLAN
Here is what the output from both our switches:
SwitchXSwitchY
SwitchX# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et0/2, Et0/3, Et1/0, Et1/2
Et1/3, Et2/0, Et2/3, Et3/0
Et3/1, Et3/2, Et3/3
10 RED active Et0/0
20 ORANGE active
30 BLUE active Et0/1
SwitchY# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et0/0, Et0/1, Et1/0, Et1/2
Et1/3, Et2/0, Et2/1, Et2/2
Et2/3, Et3/0, Et3/1, Et3/2
Et3/3
10 RED active Et0/2
20 ORANGE active
30 BLUE active Et0/3
For both switches, the command displays VLANs 1, 10, 20, and 30. These are the only VLANs that were created in the VLAN database. Should the switch receive traffic tagged for a VLAN other than these, that traffic will be discarded.
For each VLAN, the VLAN’s name is also provided. Notice VLANs 10, 20, and 30 are named RED, ORANGE, and BLUE, respectively.
Also notice VLAN 1 exists and is named default, despite us not explicitly creating it. This is because VLAN 1 is the default configuration that every switch port starts out in. The switch will not allow you to delete VLAN 1 or change its name.
The Status column reflects whether the VLAN is active on the switch. A VLAN can become inactive for two reasons. The first is explicitly using the shutdown command within the VLAN configuration mode. The second is a VLAN existing in the database, but having no access ports or trunk ports utilizing that VLAN.
On the far right of output, under the Ports column, you get a list of each access port in each VLAN. We configured SwitchX’s Eth0/0 interface in VLAN 10, and the output reflects that. Also notice the port Eth1/1 is nowhere to be found. This is because Eth1/1 was configured as a trunk port, and will not be visible in the output of show vlan brief.
show interfaces trunk
If show vlan brief is the go-to command to show you information about access ports on a switch, then show interfaces trunk is the go-to command to show you information about trunk ports on a switch.
There are four sections to the output of this command. To the untrained eye, it might appear like some of the information is duplicate – but this is not the case.
SwitchXSwitchY
SwitchX# show interfaces trunk Port Mode Encapsulation Status Native vlan Et1/1 on 802.1q trunking 2 Et2/1 on 802.1q trunking 3 Et2/2 on 802.1q trunking 3 Port Vlans allowed on trunk Et1/1 1-4094 Et2/1 10,20 Et2/2 20,30 Port Vlans allowed and active in management domain Et1/1 1,10,20,30 Et2/1 10,20 Et2/2 20,30 Port Vlans in spanning tree forwarding state and not pruned Et1/1 1,10,20,30 Et2/1 10,20 Et2/2 20,30
SwitchY# show interfaces trunk Port Mode Encapsulation Status Native vlan Et1/1 on 802.1q trunking 2 Port Vlans allowed on trunk Et1/1 1-4094 Port Vlans allowed and active in management domain Et1/1 1,10,20,30 Port Vlans in spanning tree forwarding state and not pruned Et1/1 1,10,20,30
The first section of the output lists each interface which is operationally behaving like a trunk port. This will make more sense a little later in the article when we discuss a mechanism that lets a switch port automatically determine whether it should be a trunk port. In the case above, we explicitly configured ports Eth1/1, Eth2/1, and Eth2/2 on SwitchX and port Eth1/1 on SwitchY as trunk ports.
The first section also lists what method of Encapsulation is in use (i.e., what method of VLAN tagging), as well as the VLAN configured as the Native VLAN for each trunk.
The second section, labeled Vlans allowed on trunk, is a reflection of which VLANs have made it through any configured Allowed VLAN lists on each trunk port. On SwitchX, we created two Allowed VLAN lists, one allowing VLAN 10 and 20 on Eth2/1, and another allowing VLANs 20 and 30 on Eth2/2. Interface Eth1/1 did not have any VLANs restricted, so therefore all possible VLANs are listed as allowed on the trunk port – VLANs IDs can only be 1 – 4094.
The third section, labeled Vlans allowed and active in management domain, is a combination of the section before it (Vlans allowed on trunk) and the VLANs which are created in the VLAN database (i.e., visible in show vlan brief). Despite all VLANs being allowed on Eth1/1 (as indicated by the 1-4094 in the second section), only VLANs 1, 10, 20, and 30 exist in the VLAN database.
The fourth section, labeled Vlans in spanning tree forwarding state and not pruned, is a combination of the last two sections and the ports the Spanning Tree Protocol deems as safe to forward traffic.
The Spanning Tree Protocol (STP) exists to ensure the L2 domain does not contain any loops. If any are detected, those ports are disabled. In our topology, there are no loops, so the output of the fourth section looks identical to the output of the third section because STP did not disable any ports. STP is a fascinating protocol, but its operation is outside the scope of this article – it will be the subject of a future article.
show interfaces switchport
The show interfaces switchport command can give you an overwhelming amount of information. Using the command by itself shows you 26 pieces of information for each interface on your switch (or more, depending on the code version you are using).
Rather than try to sift through all that, you can specify a particular interface to get those same 26 pieces of information for just the desired interface using the command show interfaces <intf> switchport.
For the sake of brevity and relevance, the output below has been trimmed to just show the lines which relate to something discussed in this article. There is an example of the full output of this command later in this article.
SwitchX Eth0/1SwitchY Eth2/2
SwitchX# show interfaces Ethernet 0/1 switchport Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 30 (BLUE) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL
SwitchY# show interfaces Ethernet 2/2 switchport Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 3 (Inactive) Trunking VLANs Enabled: 20,30
The description of each line in the output above is in the table that follows.
| Line(s) | Description |
Switchport |
Enabled if the port is functioning as a L2 port. Disabled if the port is functioning as a L3 port. |
Administrative Mode and Operational Mode |
These two tell you how the switchport is configured and how the switchport is operating. In our case, we configured ports as access Ports and trunk Ports and they are reflected above. But as alluded to before, there is a protocol called DTP which allows switchports to automatically negotiate becoming a trunk port. In DTP’s case, you might have a particular Administrative mode set and the Operational mode will reflect whether the switchport is actually acting as a trunk or access port. This will make more sense when we get into the specifics of DTP below. |
Administrative Trunking Encapsulation and Operational Trunking Encapsulation |
DTP not only negotiates trunk status, it also negotiates encapsulation method. These two commands show you what encapsulation method is configured (Administrative) and what encapsulation method is negotiated (Operational). |
Negotiation of Trunking |
This indicates the switchport’s participation in DTP. Again, it will again make more sense below when we elaborate on DTP. |
Access Mode VLAN |
This displays the VLAN membership if the port is configured or negotiated as an access port. Note that even our trunk port (SwitchY’s Eth 2/2) has an entry for this attribute, but it doesn’t have an effect until the interface becomes an access port. |
Trunking Native VLAN |
This displays the Native VLAN setting for the port. Again, even an access port will have an entry for this setting (see SwitchX’s Eth0/1), but it will only have an effect if the interface is configured or negotiated as a trunk port. |
Trunking VLANs Enabled |
This is a reflection of the VLANs permitted via an Allowed VLAN list. Notice SwitchX’s trunk port was limited to just VLANs 20 and 30, and this is reflected in the output above. |
show interfaces status
Typically, the show interfaces status command is associated with seeing whether devices are plugged into a switchport or not (connected vs notconnect in the Status column). However, this command can also reveal some information about the VLAN configuration of a switchport.
Namely, if you see a number in the VLAN column, then the switchport is an access Port in the provided VLAN. And if you see the word trunk, then the switchport is configured as a trunk port.
SwitchXSwitchY
SwitchX# show interfaces status Port Name Status Vlan Duplex Speed Type Et0/0 connected 10 auto auto unknown Et0/1 connected 30 auto auto unknown Et1/1 connected trunk auto auto unknown Et2/1 connected trunk auto auto unknown Et2/2 connected trunk auto auto unknown
SwitchY# show interfaces status Port Name Status Vlan Duplex Speed Type Et0/2 connected 10 auto auto unknown Et0/3 connected 30 auto auto unknown Et1/1 connected trunk auto auto unknown
Note, the output of the command show interfaces status above has been trimmed to focus on just the interfaces that were configured in this article.
show spanning-tree
The show spanning-tree command is obviously mostly associated with verifying the Spanning Tree Protocol, but it can also provide useful VLAN configuration information.
Earlier we talked about show vlan brief, which provides information about interfaces configured as access ports. We also talked about show interfaces trunk, which provides information about interfaces configured as trunk ports. The show spanning-tree vlan <VLAN-ID#> command provides information on both access ports and trunk ports.
Specifically, you can use this command to see every switchport a VLAN is exiting.
SwitchXSwitchY
SwitchX# show spanning-tree vlan 10 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et0/0 Desg FWD 100 128.1 Shr Et1/1 Desg FWD 100 128.6 Shr Et2/1 Desg FWD 100 128.10 Shr SwitchX# show spanning-tree vlan 20 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et1/1 Desg FWD 100 128.6 Shr Et2/1 Desg FWD 100 128.10 Shr Et2/2 Desg FWD 100 128.11 Shr SwitchX# show spanning-tree vlan 30 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et0/1 Desg FWD 100 128.2 Shr Et1/1 Desg FWD 100 128.6 Shr Et2/2 Desg FWD 100 128.11 Shr
SwitchY# show spanning-tree vlan 10 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et0/2 Desg FWD 100 128.3 Shr Et1/1 Root FWD 100 128.6 Shr SwitchY# show spanning-tree vlan 20 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et1/1 Root FWD 100 128.6 Shr SwitchY# show spanning-tree vlan 30 Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Et0/3 Desg FWD 100 128.4 Shr Et1/1 Root FWD 100 128.6 Shr
We configured SwitchX with one access port in VLAN 10 (Eth0/0), and two trunk ports which are permitting VLAN 10 (Eth1/1 and Eth2/1). Looking at the output of the show spanning-tree vlan 10 command on SwitchX, we can see all three of the ports that VLAN 10 traffic is egressing.
You won’t easily be able to determine whether the port is configured as an access port or a trunk port. But you will be able to easily determine to what other devices a VLAN’s traffic is going to by comparing the output of show spanning-tree to show cdp neighbors:
SwitchXSwitchY
SwitchX# show cdp neighbors Capability Codes: R - Router, B - Source Route Bridge, S - Switch, I - IGMP Device ID Local Intrfce Holdtme Capability Platform Port ID router2 Eth 2/2 172 R B Linux Uni Eth 0/2 router1 Eth 2/1 131 R B Linux Uni Eth 0/1 SwitchY Eth 1/1 169 R S I Linux Uni Eth 1/1
SwitchY# show cdp neighbors Capability Codes: R - Router, B - Source Route Bridge, S - Switch, I - IGMP Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchX Eth 1/1 143 R S I Linux Uni Eth 1/1
We can see that VLAN 10 on SwitchX is going to Router1 and SwitchY, as well as a third device (which we know is Host A, who isn’t participating in CDP). VLAN 20 on SwitchY is only going to SwitchX. Using these two commands in conjunction with each other is a great way to trace the L2 path through a network between two devices.
Note, the output of the command show spanning-tree vlan <#> above has been trimmed to focus on just the features discussed in this article.
Default Switchport Setting
Finally, before configuring VLANs with the commands discussed in this article, it is important to know the starting point for each interface.
Nearly all Cisco features come with a certain default configuration. These exist and are in place so that the device can perform (maybe with limited features, but nonetheless) without any configuration required.
Knowing the default configuration is crucial to be an effective engineer because if you know how something works innately, you know exactly what needs to change to get it to work the way you want it to. To that end, we will spend some time discussing the default switch port configuration applied to Cisco switches.
First, here is the output of show interfaces switchport for an unmodified interface. There are three items we must discuss from the output below:
SwitchX# show interfaces eth0/2 switchport Name: Et0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: down Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Appliance trust: none
Dynamic Trunking Protocol
The first items we will discuss from the default switch port configuration above have to do with the Dynamic Trunking Protocol, or DTP. Take a look at these lines from the output above:
Administrative Mode: dynamic auto Operational Mode: down
As discussed before, the two modes correlate to the configured mode (administrative) and the negotiated mode (operational). The distinction exists as a result of the Dynamic Trunking Protocol (DTP).
Cisco created DTP to further the idea of ‘plug and play’ switches. They created a protocol where if two switches were linked to each other, they could automatically determine whether their interlink should be a trunk port or an access port. It works based upon four modes an interface can be set to:
switchport mode dynamic desirable– actively attempt to negotiate trunkswitchport mode dynamic auto– passively attempt to negotiate trunkswitchport mode trunk– statically set as trunkswitchport mode access– statically set as access
The configuration of both sides of the link will determine whether the link will negotiate as a trunk port or an access port. The table below lists every possible combination
| One side of Link | Other side of Link | Result |
|---|---|---|
| Dynamic Desirable | Dynamic Desirable | Trunk |
| Dynamic Desirable | Dynamic Auto | Trunk |
| Dynamic Desirable | Static Trunk | Trunk |
| Dynamic Desirable | Static Access | Access |
| Dynamic Auto | Dynamic Auto | Access |
| Dynamic Auto | Static Trunk | Trunk |
| Dynamic Auto | Static Access | Access |
| Static Trunk | Static Trunk | Trunk |
| Static Trunk | Static Access | Misconfiguration |
| Static Access | Static Access | Access |
The issue with DTP is it provides a means for the other side of a link to modify the behavior of your side of the link. When you control both sides this might not seem like a terrible feature, but if you are ever in a situation where you only control your device, DTP gives too much power to the other side.
As such, it is often recommended to avoid DTP automatically determining the trunk status and instead manually set a port as trunk or access using the commands we discussed earlier in this article (switchport mode trunk or switchport mode access).
Even with the switch port mode statically set, however, your switch will still send DTP frames. This is how the other side knows how your side is configured. Again, if you own both sides the risk is negligible, but if you might not control the other side, then this is undesirable.
You can disable the sending of DTP frames by also adding to the interface configuration this command: switchport nonegotiate. This will disable the periodic sending of DTP frames to advertise the switch port mode of the local switch.
You can view whether a switch port has negotiation disabled in the output of the command above. The specific line which indicates it is the following:
Negotiation of Trunking: On
To summarize, the default DTP behavior of an unmodified interface is:
- switchport mode dynamic auto
- negotiation of DTP enabled
Which means the link will automatically become a trunk if the other side is configured with switchport mode dynamic desirable or if the other side is configured with switchport mode trunk and switchport nonegotiate is not applied.
Default Access Port Settings
From the output above, the following line correlates to the access port configuration:
Access Mode VLAN: 1 (default)
Whether a switch port is statically set (or negotiated) as an access port or not, this attribute exists and is configurable via the switchport access vlan <#> command. Of course, it doesn’t affect the behavior of the switchport unless the switchport becomes an access port.
A potential use case is if you are transitioning a port from a trunk port to an access port, you can “preset” the access-port VLAN so that once you apply the switchport mode access command, it is already in the appropriate VLAN.
In any case, notice the default configuration has every switchport in VLAN 1.
A switch is a device which facilitates communication within networks. You can take a Cisco switch and simply connect two hosts and everything will “just work”. It will do so because all the ports start in VLAN 1, so that there is no L2 segregation between the switch ports on switch’s default configuration. This lines up with Cisco’s goal of making their switches “plug and play”.
Default Trunk Port Settings
Lastly, the following lines in the output above correlate to the trunk port configuration:
Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native ... Trunking Native Mode VLAN: 1 (default) ... Trunking VLANs Enabled: ALL
We discussed DTP earlier, but we did not mention that DTP also negotiates the encapsulation method.
Administrative Trunking Encapsulation indicates whether DTP will determine the encapsulation method or whether it is statically set via the switchport trunk encapsulation command.
Operational Trunking Encapsulation indicates the chosen or configured encapsulation method. If the port becomes a trunk port, there are only two options for this attribute: the ubiquitous 802.1q and the archaic ISL. On an access port, this line will display native (as above), indicating no VLAN tag will be added to traffic leaving this switch port.
Trunking Native Mode VLAN indicates the Native VLAN on the port. Once again, this setting will only take place if the port becomes a trunk port. This setting can be modified with the switchport trunk native vlan <#> command.
Trunking VLANs Enabled reflects the Allowed VLAN list applied to the port. ALL indicates no VLANs have been restricted from the trunk, and therefore every VLAN in the VLAN database will traverse down the trunk. As with the other trunk configurations, this has no effect if the port is in access mode.
Configuring VLANs — Summary
This article is meant to follow the article discussing VLANs as a concept. The focus of this article was to understand the different configuration and verification commands that exist to modify or validate how a switch is behaving in regards to its VLANs.
As with all written guides, practice is key. We encourage you to build out the topology above in a lab or emulator (GNS3 / Packet-Tracer) and to practice configuring VLANs using the commands described above.
If you want an additional challenge, build out the topology in the VLAN Challenge from the other article. Note, you will need to disable CDP and DTP on most of your interfaces to avoid warnings.
If you are able to successfully build out that topology (as well as answer the two challenge questions in the previous article), then you can rest assured knowing you have mastered the concept of Configuring VLANs on Cisco switches.
Configuring VLANs on Cisco Switches – Contents:
- Access Ports
- Creating the VLAN in the VLAN Database
- Assigning the Switchport to a VLAN
- Trunk Ports
- Native VLAN
- Allowed VLAN List
- Show Commands
- show vlan brief
- show interfaces trunk
- show interfaces switchport
- show interfaces status
- show spanning-tree
- Default Switchport Setting
- Dynamic Trunking Protocol
- Default Access Port Settings
- Default Trunk Port Settings
- Summary
This article explains the knowledge necessary for these CCNA exam objectives:
- 2.1 Configure and verify VLANs (normal range) spanning multiple switches
- 2.1.a Access ports (data and voice)
- 2.1.b Default VLAN
- 2.1.c Connectivity
- 2.2 Configure and verify interswitch connectivity
- 2.2.a Trunk ports
- 2.2.b 802.1Q
- 2.2.c Native VLAN
Подборка инструкций по настройке VLAN на оборудовании Cisco. Примеры конфигурирования, описания возможных проблем, настройки и параметры.
Введение в виртуальные локальные сети VLAN
Если вы совсем новичок в теме, начните с этого видео,
посвященного технологии VLAN/
Пожалуй самое доступное объяснение:
Настройка VLAN в Cisco Packet Tracer
В данном уроке мы познакомимся с технологией VLAN, научимся
создавать их на коммутаторах, настраивать access и trunk порты.
Одно из лучших объяснений работы VLAN на оборудовании Cisco.
У кого бесконечный «Translating….» нажмите Ctrl + Shift +
6
Добавлять VLAN в транк только «switchport trunk allowed vlan add», чтобы
остальные не потерялись.
Учтите, что вы не пробросите VLAN без транка.
у коммутаторов есть два режима порта, это access, используется как правило для
конечных устройств (компы, принтеры, телефоны) и trunk — настраивается между
свичами. Access порт тегирует входящий трафик в коммутатор и растегирует
исходящий. Trunk порт не занимается тегированием, он просто прокидывает пакеты
основываясь на метках влана (тегах).
Настройка VLAN+NAT+DHCP
в Cisco Packet
Tracer
Еще одно подробное руководство по настройке VLAN на
оборудовании Cisco.
Маршрутизация между Cisco VLAN. Три варианта дизайна
В этом видео рассказывается о том, как работает
маршрутизация между виртуальными сетями Virtual LAN или Vlan, которая также
называется Inter vlan routing. Подробно
на уровне CCNA рассказывается какой дизайн сети выбрать, в чем преимущества и
недостатки каждого варианта дизайна.
Более чем подходит для подготовке к сертификационному тесту
CCNA Routing and Switching. Вам нужно разделить сеть на Vlan? Нужно настроить
взаимодействие. В видео рассматриваются три варианта построения маршрутизации
между Vlan. Обсуждаются плюсы и минусы каждого, а также применимость на
практике.
Как настроить VLAN
на коммутаторах Cisco Catalyst
2960
В этом видео показано на практике, как создать VLAN на
коммутаторе Cisco 2960, переключить порты в определенный VLAN, а также
передавать трафик между несколькими коммутаторами.
Настройка Native Vlan на Cisco
Native VLAN — это понятие в стандарте 802.1Q, которое
обозначает VLAN на коммутаторе, где все кадры идут без тэга, т.е. трафик
передается нетегированным. По умолчанию это VLAN 1. В некоторых моделях коммутаторов Сisco это можно изменить,
указав другой VLAN как native.
Если коммутатор получает нетегированные кадры на транковом
порту, он автоматически причисляет их к Native VLAN. И точно так же кадры,
генерируемые с не распределенных портов, при попадании в транк-порт
причисляются к Native VLAN.
Трафик, который принадлежит другим VLANам, тегируется с
указанием соответствующего VLAN ID внутри тега.
Пример настройки VLAN 5 как native на коммутаторе Cisco
sw1(config)# interface f0/10
sw1(config-if)# switchport trunk native vlan 5
Теперь весь трафик, принадлежащий VLAN 5 будет передаваться
через транковый интерфейс нетегированным, а весь пришедший на транковый
интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5
(по умолчанию VLAN 1).
Из соображений безопасности (например, для защиты от VLAN
Hopping) рекомендуется в транке выполнять тегирование даже для native VLAN.
Включить тегирование фреймов для native VLAN глобально можно с помощью команды
vlan dot1q tag native, просмотреть текущий статус тегирования можно используя
команду show vlan dot1q tag native.
Switch(config)#no vlan dot1q tag native
Switch#sho vlan dot1q tag native
dot1q native vlan tagging is disabled
Настройка Voice VLAN на Cisco
Большинство IP — телефонов, включая Cisco, имеют маленький
коммутатор на 3 порта внутри IP — телефона. Телефон подключается «в разрыв».
- Первый порт подключается к коммутатору;
- Второй порт подключается к компьютеру;
- Внутренний порт подключает сам телефон;
Как это все работает? Между коммутатором и телефоном у нас
есть так называемый «транк». Порт на телефоне, который подключается к
компьютеру, является портом доступа. Телефона передает весь трафик с компьютера
на коммутатор без каких — либо меток, непомеченным. Трафик с самого телефона
всегда будет помечаться, и в транке будут разрешены только два вышеупомянутых
VLANа.
Если вы уже знакомы с настройкой VLANов, то создание
голосового VLANа не составит для вас вообще никакого труда. Давайте настроим
порт на коммутаторе, где мы будем использовать VLANы 10 и 11.
Сначала мы создаем данные VLANы:
MERION-SW1(config)#vlan 10
MERION-SW1(config-vlan)#name DATA
MERION-SW1(config-vlan)#exit
MERION-SW1(config)#vlan 11
MERION-SW1(config-vlan)#name VOICE
MERION-SW1(config-vlan)#exit
Теперь настроим интерфейс:
MERION-SW1(config)#interface GigabitEthernet
0/1
MERION-SW1(config-if)#switchport mode access
MERION-SW1(config-if)#switchport access vlan 10
MERION-SW1(config-if)#switchport voice vlan 11
MERION-SW1(config-if)#exit
Мы переключили данный порт в режим доступа и настраиваем его
для VLAN 10. Команда switchport voice vlan сообщает коммутатору, чтобы он
использовал VLAN 11 как голосовой VLAN.
Для того, чтобы телефон понял, какой VLAN нужно
использовать, используются два протокола — Cisco Discovery Protocol (CDP) для
телефонов Cisco и Link Layer Discovery Protocol (LLDP) для телефонов от других
вендоров.
Справочная информация
Номера VLAN (VLAN ID)
Номера VLAN
(VLAN ID) могут быть в диапазоне от
1 до 4094:
-
1 — 1005
базовый диапазон (normal-range) - 1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
-
1006
— 4094 расширенный диапазон (extended-range)
Параметры VLAN
При создании или изменении VLAN можно задать следующие параметры:
-
VLAN
ID — Номер VLAN -
VLAN
name (name) — Имя VLAN -
VLAN
type (media) — Тип VLAN (Ethernet, Fiber
Distributed Data Interface [FDDI], FDDI network entity title [NET], TrBRF, или
TrCRF, Token Ring, Token Ring-Net) -
VLAN
state (state) — Состояние VLAN (active или suspended) -
VLAN MTU
(mtu) — Максимальный
размер блока данных, который может быть передан на канальном уровне -
SAID
(said) — Security Association Identifier — идентификатор ассоциации безопасности (стандарт IEEE 802.10) -
Remote SPAN
(remote-span) — Создание VLAN для удаленного
мониторинга трафика (В дальнейшем в такой VLAN можно зеркалировать трафик с какого-нибудь порта, и передать
его через транк на другой коммутатор, в котором из этого VLAN трафик отправить на нужный порт с
подключенным снифером) -
Bridge
identification number для TrBRF VLAN (bridge) — Идентификатор номера моста для
функции TrBRF (Token Ring Bridge Relay Function). Цель функции — создание моста
из колец. -
Ring
number для FDDI и TrCRF VLAN (ring) — Номер кольца для типов VLAN FDDI и TrCRF
(Token Ring concentrator relay functions). TrCRF называют кольца, которые
включены в мост. -
Parent
VLAN number для TrCRF VLAN (parent) — Номер родительского VLAN для типа VLAN
FDDI или Token Ring -
Spanning
Tree Protocol (STP) type для TrCRF VLAN (stp type) — Тип протокола связующего
дерева (STP) для VLAN типа TrCRF -
Translational VLAN number
1 (tb-vlan1) — Номер VLAN для первичного преобразования
одного типа VLAN в
другой -
Translational VLAN number
2 (tb-vlan2) — Номер VLAN для вторичного преобразования
одного типа VLAN в
другой
Значения по умолчанию
| VLAN ID | 1 |
| VLAN name | VLANxxxx, где xxxx четыре цифры номера VLAN (Например: VLAN0003, VLAN0200 и т.д.) |
| SAID | 100000 плюс VLAN ID (Например: 100001 для VLAN 1, 100200 для VLAN 200 и т.д.) |
| VLAN MTU | 1500 |
| Translational VLAN number 1 | 0 |
| Translational VLAN number 2 | 0 |
| VLAN state | active |
| Remote SPAN | disabled |
Cisco IOS — Как настроить VLAN
Посмотреть текущую конфигурацию, в том числе название интерфейсов:
SW01# show running-config
Посмотреть статус конкретного порта:
SW01# show interface GigabitEthernet1/0/21
Перейти в режим настройки конкретного порта:
SW01# configure terminal SW01(config) # interface GigabitEthernet1/0/21 SW01(config-if) #
Удалить какую-либо настройку старой конфигурации на конкретном порте:
SW01(config-if)# no <конкретная полная строка конфигурации порта>
Далее выбираем для порта один из двух режимов — access mode или trunk mode.
Настраиваем порт на режим доступа к одному конкретному VLAN (access mode)
Переключить порт в режим доступа (access mode):
SW01(config-if)# switchport mode access
Задать номер VLAN для порта:
SW01(config-if)# switchport access vlan 100
Примечание: Если указываемый VLAN ранее не был описан в конфигурации, то он будет создан.
Настраиваем порт как транковый (возможен доступ как к нескольким VLAN-ам) (trunk mode)
SW01(config-if)# switchport trunk allowed vlan add 120
Добавить описание к порту:
SW01(config-if)# description Server VM10 (Port 3)
В конце настройки не забываем выйти из режима конфигурации интерфейса и сохранить изменения:
SW01(config-if)# exit SW01(config)# exit SW01# write Building configuration... [OK]
Простой практический пример.
Имеем простенький 24-портовый коммутатор Cisco 2950, на котором нужно создать VLAN и добавить в него пару портов.
Создание VLAN’а с идентификатором 150 и задание имени для него:
SW01# configure terminal SW01(config)# vlan 150 SW01(config-vlan)# name Printers
Просмотр информации о VLAN’ах и распределении портов по этим VLAN-ам:
SW01# show vlan brief
Вывод команды будет примерно таким:
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/2 150 Printers active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
Добавлять порты в VLAN можно по одному. Назначение одного порта коммутатора в VLAN:
SW01(config)# interface Fa0/1 SW01(config-if)# switchport mode access SW01(config-if)# switchport access vlan 150
…или указав сразу диапазон портов.
Назначение диапазона портов с Fa0/1 до Fa0/2 в vlan 150:
SW01(config)# interface range Fa0/1 - 2 SW01(config-if-range)# switchport mode access SW01(config-if-range)# switchport access vlan 150
Настройка транка (trunk) на аплинковом порте (разрешаем все VLAN-ы):
SW01(config)# interface Gi0/1 SW01(config-if)# switchport mode trunk
Не забываем сохранить изменения 
SW01(config-if)# exit SW01(config)# exit SW01# write
Дополнительные источники информации:
В данном посте будут рассматриваться практические вопросы настройки vlan на коммутаторах фирмы cisco, конкретно будет рассмотрена настройка портов доступа. По моему мнению, пост получился довольно интересным, так как в нем кроме настройки vlan, так же рассматриваются основные навыки работы с оборудованием Cisco и симулятором сетей Packet Tracer. В начале данной статьи, поставим перед собой цель – по окончании чтения мы должны научиться конфигурировать порты доступа для vlan на коммутаторах фирмы Cisco, а именно собрать и протестировать сеть, логическая топология которой представлена на рисунке.
Для достижения поставленной цели нам понадобится: в идеальном случае 1 коммутатор фирмы Cisco с поддержкой VLAN, 4 компьютера и 4 патчкорда; в более реальном и наиболее подходящем варианте, нам понадобится компьютер с установленным на него программным обеспечением Cisco Packet Tracer.
Если у нас есть реальное оборудование, то подключаем компьютеры к первым четырем портам коммутатора (далее считаем, что компьютер подключенный к порту 1 – это ПК1, к порту 2 – ПК2 и т.д.). Включаем коммутатор и компьютеры. Подключаемся с одного из компьютеров к коммутатору через консольный кабель.
Если же у нас нет реального оборудования, то запускаем Cisco Packet Tracer и собираем в нем следующую топологию (При сборке учитываем, что PC0 подключен к порту FasteEthernet0/1, PC1 к порту FasteEthernet0/2 и т.д).
Далее будим считать, что ПК 1 (PC 0) и ПК 2 (PC 1) находятся в vlan 1 с адресацией 192.168.1.0/24, ПК 3 (PC 2) и ПК 4 (PC 3) в vlan 2 с адресацией 172.20.20.0/24. Зададим IP адреса компьютерам.
Рассмотрим как это сделать в Packet Tracer. Для этого дважды щелкните левой кнопкой мыши по иконке компьютера в рабочей области. Должно открыть окно настройки хоста, представленное ниже.
Перейдите на вкладку Desktop
Щелкните по значку IP Configuration
Убедитесь что радиобатон находится в положение Static. В поле IP Address введите IP адрес компьютера PC0 – 192.168.1.1, в поле Subnet Mask введите его маску – 255.255.255.0
После этого закройте окно настроек данного хоста и аналогичным образом сконфигурируйте 3 оставшихся. Задайте им следующие IP адреса: PC1 – 192.168.1.2/24, PC2 – 172.20.20.1/24, PC3 – 172.20.20.2/24.
Далее проверим, как применились введенные нами настройки. Для этого опять дважды щелкнем левой кнопкой мыши по одному их хостов, например по PC0. В открывшемся окне выбираем пункт Command Prompt и попадаем в окно консоли данного компьютера (данное действие аналогично тому, как если бы мы выполнили Пуск-Выполнить-cmd на реальном компьютере).
Для проверки конфигурации хоста PC0 выполним команду ipconfig. Результат выполнения команды на рисунке. При желании можно выполнить аналогичную проверку на остальных хостах.
Проверим связность получившейся сети. Для этого пропингуем с PC0 компьютер PC1. Как мы видим пинги успешно проходят.
Далее попробуем пропинговать с PC0 компьютер PC2. Как мы видим пинги не идут.
Почему это происходит? Хотя в данном случае все четыре компьютера находятся в одном vlan (как мы уже обсуждали ранее по умолчанию все порты коммутатора находятся в vlan 1), все они не могут видеть друг друга, так как находятся в разных подсетях. Компьютеры PC0 и PC1 находятся в подсети 192.168.1.0, а компьютеры PC2 и PC3 в подсети 172.20.20.0.
Возможно у вас возникает вопрос а зачем же вообще тогда нужны vlan, если компьютеры и так уже фактически взаимодействуют только парами, как мы хотели в начале статьи. Vlan нужны для того чтобы структурировать сети на коммутаторе и навести в них порядок, а так же для того чтобы было возможно осуществлять маршрутизацию между ними, ведь осуществить маршрутизацию между сетями в той конфигурации которую мы, на данный момент, получили в Packet Tracer будет довольно затруднительно.
Далее перейдем к настройке коммутатора. Откроем его консоль. Для того чтобы это выполнить в Packet Tracer дважды щелкните левой кнопкой мыши по коммутатору в рабочей области.
В открывшемся окне перейдите на вкладку CLI. Вы увидите окно консоли. Нажмите Enter чтобы приступить к вводу команд. Информация, которая в данный момент отражена на консоли, свидетельствует о том что интерфейсы FasteEthernet0/1 – FasteEthernet0/4 успешно поднялись (то есть теперь они находятся в рабочем состоянии).
Перейдем в привилегированный режим выполнив команду enable. Просмотрим информацию о существующих на коммутаторе vlan-ах для этого выполним команду show vlan brief (можно просто sh vl br).
В результате выполнения команды на экране появится: номера vlan – первый столбец, название vlan — второй столбец, состояние vlan (работает он в данный момент или нет) – третий столбец, порты принадлежащие к данному vlan – четвертый столбец. Как мы видим по умолчанию на коммутаторе существует пять vlan-ов. Все порты коммутатора по умолчанию принадлежат vlan 1. Остальные четыре vlan являются служебными и используются не очень часто.
Для реализации сети, которую мы запланировали сделать, создадим на коммутаторе еще два vlan. Для этого в привилегированном режиме выполните команду conft для перехода в режим конфигурации. Вводим команду vlan 2. Данной командой вы создадите на коммутаторе vlan с номером 2. Указатель ввода Switch(config)# изменится на Switch(config-vlan)# это свидетельствует о том, что вы конфигурируете уже не весь коммутатор в целом, а только отдельный vlan, в данном случае vlan номер 2. Если вы используете команду «vlan x», где x номер vlan, когда vlan x еще не создан на коммутаторе, то он будет автоматически создан и вы перейдете к его конфигурированию. Когда вы находитесь в режиме конфигурирования vlan, возможно изменение параметров выбранной виртуальной сети, например можно изменить ее имя с помощью команды name.
Для достижения поставленной в данном посте задачи, сконфигурируем vlan 2 следующим образом:
|
Switch(config)#vlan 2 Switch(config—vlan)#name subnet_192 Switch(config)#interface range fastEthernet 0/1-2 Switch(config—if—range)#switchport mode access Switch(config—if—range)#switchport access vlan 2 |
Разберем данную конфигурацию. Как уже говорилось ранее командой vlan 2, мы создаем на коммутаторе новый vlan с номером 2. Команда name subnet_192 присваивает имя subnet_192 виртуальной сети номер 2. Выполняя команду interface range fastEthernet 0/1-2 мы переходим к конфигурированию интерфейсов fastEthernet 0/1 и fastEthernet 0/2 коммутатора. Ключевое слово range в данной команде, указывает на то, что мы будем конфигурировать не один единственный порт, а целый диапазон портов, в принципе ее можно не использовать, но тогда последние три строки придется заменить на:
|
Switch(config)#interface fastEthernet 0/1 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 2 Switch(config)#interface fastEthernet 0/2 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 2 |
Команда switchport mode access конфигурирует выбранный порт коммутатора, как порт доступа (аксесс порт). Команда switchport access vlan 2 указывает, что данный порт является портом доступа для vlan номер 2.
Просмотрим результат конфигурирования выполнив уже знакомую нам команду show vlan br еще раз:
Как легко заметить из результата выполнения данной команды, у нас на коммутаторе появился еще один vlan с номером 2 и именем subnet_192, портами доступа которого являются fastEthernet 0/1 и fastEthernet 0/2.
Далее аналогичным образом создадим vlan 3 с именем subnet_172, и сделаем его портами доступа интерфейсы fastEthernet 0/3 и fastEthernet 0/4. Результат должен получиться следующим:
В принципе уже все готово, наша сеть уже настроена, так как мы и планировали в начале поста. Осталось лишь ее немного протестировать. Перейдите в консоль компьютера PC 0. Пропингуйте с него остальные 3 компьютера сети. Как вы можете заметить, ничего не изменилось, компьютер PC1 доступен, а компьютеры PC2 и PC3 по прежнему не доступны. Раз ничего не изменилось, то как же мы можем быть уверены, что наша конфигурация vlan действительно работает? Для этого пойдем на маленькую хитрость — зададим компьютерам PC2 и PC3 IP адреса из сети 192.168.1.0/24. Например 192.168.1.3 и 192.168.1.4. И теперь снова попробуем пропинговать с компьютера PC0 остальные компьютеры сети. Как видим снова ничего не изменилось, хотя все четыре компьютера теоретически должны находится в одной подсети 192.168.1.0/24 и видеть друг друга, на практике они находятся в разных виртуальных локальных сетях и поэтому не могут взаимодействовать между собой. Если есть желание проверить это еще раз, то перейдите на компьютер PC 2 и пропингуйте остальные компьютеры. Доступным будет только PC3, так как они вместе находятся в одном vlan номер 3.
Настройка vlan на коммутаторах фирмы Cisco (Часть 2)
Пусть у нас имеется два коммутатора фирмы Cisco, на каждом из этих коммутаторов подняты vlan с номерами 2 и 3. Порт FastEth 0/1 является портом доступа vlan 2, а порт FastEth 0/2 портом доступа vlan 3, одинаково на обоих коммутаторах. К порту FastEth 0/1 первого коммутатора подключен компьютер с IP адресом 192.168.1.1/24, к порту FastEth 0/2 компьютер с IP адресом 192.168.1.101/24. Аналогичным образом ко второму коммутатору подключены компьютеры с IP адресами 192.168.1.2/24 и 192.168.1.102/24 Данная конфигурация изображена на рисунке.
Соберем данную сеть в Packet Tracer. Зададим IP адреса в соответствии с рисунком. Оба коммутатора настроим используя следующие команды:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Switch(config)#vlan 2 Switch(config—vlan)#exit Switch(config)#vlan 3 Switch(config—vlan)#exit Switch(config)#interface fastEthernet 0/1 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 2 Switch(config—if)#exit Switch(config)#interface fastEthernet 0/2 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 3 Switch(config—if)#exit |
Получившаяся схема будет иметь приблизительно следующий вид:
В полученной схеме, ни один из компьютеров не должен видеть другие компьютеры. Так как компьютеры, находящиеся в vlan с одинаковыми номерами находятся на разных коммутаторах не связанных между собой. На данном этапе процесс подготовки завершен, и мы перейдем непосредственно к рассмотрению вопроса передачи данных vlan между коммутаторами.
Решить эту задачу можно двумя способами: используя порты доступа или используя транковые порты(trunk). Рассмотри оба этих способа по очереди.
Сначала рассмотрим вариант использования портов доступа для соединения коммутаторов между собой. Для этого на каждом из коммутаторов сконфигурируем интерфейсы FastEth 0/3 и FastEth 0/4 как порты доступа, порт 0/3 отнесем к vlan 2, а порт 0/4 к vlan 3. Для этого на коммутаторах выполним следующие команды:
|
Switch(config)#interface fastEthernet 0/3 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 2 Switch(config—if)#exit Switch(config)#interface fastEthernet 0/4 Switch(config—if)#switchport mode access Switch(config—if)#switchport access vlan 3 Switch(config—if)#exit |
Для проверки конфигурации выполним команду show vlan brief, ее результат должен быть следующим.
На данный момент мы имеем на каждом коммутаторе по два порта принадлежащих vlan 2 и по два порта принадлежащих vlan 3. Для установления связи между коммутаторами соединим порты FastEth 0/3 обоих коммутаторов между собой, и таким же образом соединим порты FastEth 0/4. Топология в Packet Tracer будет выглядеть следующим образом:
Попробуем теперь с компьютера PC 0 пропинговать остальные компьютеры сети. Компьютер PC 2 будет доступен, остальные нет. Точно так же с PC 1 будет доступен PC 3. Как можно заметить мы добились поставленной цели, разделили сеть на vlan-ы и передали их между коммутаторами. Вот только получилось в данном случае это немного не рационально. Для передачи каждого vlan используется отдельная пара портов и отдельный патчкорд, когда vlan-ов немного такой способ еще допустим, но когда количество vlan-ов большое лучше использовать другой способ.
Для передачи трафика сразу нескольких vlan-ов по одной линии между коммутаторами используются специальные транковые порты (trunk). Для того чтобы настроить данные порты на коммутаторах выполним следующие команды в режиме конфигурирования (в роли trunk портов будут выступать интерфейсы FastEthernet0/3):
|
Switch(config)#interface FastEthernet0/3 Switch(config—if)# switchport mode trunk Switch(config—if)# no switchport access vlan 2 |
Разберем назначение данных команд. С помощью команды «interface FastEthernet0/3» переходим к конфигурированию интерфейса FastEthernet0/3. Выполняя команду «switchport mode trunk» вы переводите данный порт в режим работы в виде транка (то есть режим позволяющий передавать через себя трафик нескольких vlan-ов), данная команда автоматически отменяет введенную нами в конфигурацию интерфейса FastEthernet0/3 команду «switchport mode access». Команда «no switchport access vlan 2» отменяет примененные нами ранее настройки для портов доступа на интерфейсе FastEthernet0/3 (если вы конфигурируете новый интерфейс, то выполнять данную команду не нужно).
После того, как данная конфигурация вбита в коммутатор, настало время изменить физическую конфигурацию нашей сети в PacketTracer. Так как мы настраиваем вариант в котором все vlan между коммутаторами будут передаваться через один линк через порты FastEthernet0/3, то мы смело можем удалить соединение между портами FastEthernet0/4. В таком случае схема примет вид:
По идее все уже должно работать, и оба vlan, настроенные на коммутаторах, должны ходить между ними через один единственный линк. Проверим это. Для этого опять же пропингуем с компьютера PC0 остальные компьютеры сети. Если все настроено верно, то компьютер PC 2 должен стать доступен, а все остальные компьютеры нет.
Используя на интерфейсе команду switchport mode trunk мы перевели его в транковый режим, в котором интерфейс пропускает через себя все существующие на коммутаторе vlan, но иногда необходимо передавать через данный интерфейс не все vlan, а лишь некоторые, как это показано на рисунке.
Попробуем воспроизвести данный случай в Packet Tracer. Для этого добавим пару компьютеров, и зададим им IP адреса в соответствии с рисунком, представленным выше. Новые компьютеры подключаем к интерфейсам FastEthernet0/4 коммутаторов. В результате у вас должна получиться следующая схема:
Перейдем к настройке коммутаторов. Создадим на каждом из них еще по одному vlan с номером 4. Добавим в данный vlan в качестве портов доступа интерфейсы FastEthernet0/4. Проверим полученную конфигурацию. Если все сделано верно то с PC 0 должен пинговаться только PC2, c PC 4 только PC5, а с PC 1 только PC3. То есть трафик всех vlan свободно ходит между коммутаторами, нарушим эту идиллию и разрешим между коммутаторами только трафик vlan 2 и 3. Для этого на обоих коммутаторов выполним команды:
|
Switch(config)#interface fastEthernet 0/3 Switch(config—if)#switchport trunk allowed vlan 2-3 |
Как вы наверное уже догадались команда «switchport trunk allowed vlan 2-3» указывает транковому порту коммутатора, какие vlan ему пропускать через себя. После того как вы выполните эту команду компьютер PC4 должен перестать видеть компьютер PC5. Команда «switchport trunk allowed vlan» при своем использовании каждый раз задает разрешенные порты заново, то есть если вы выполните команду switchport trunk allowed vlan 5, а потом выполните команду switchport trunk allowed vlan 6, то разрешенным окажется только vlan номер 6. Для добавления vlan к списку разрешенных служит команда switchport trunk allowed vlan add x, где x номер добавляемого vlan. Для удаления vlan из списка разрешенных используется команда switchport trunk allowed vlan remove x, где x номер удаляемого vlan. Для просмотра информации о настроенных на коммутаторе транках служит команда show int trunk.
Думаю это все, что для начала нужно знать о настройки vlan на коммутаторах фирмы Cisco. Теперь вы можете хорошенько потренироваться в их настройке собирая различные конфигурации в Packet Tracer.


































































