Вы находитесь на странице: 1из 18

Данный урок начинает новый курс - «Коммутация в локальных сетях, профессиональный».

В
этом курсе будет рассмотрен ряд вопросов, касающихся построения современных сетей с
многоуровневой коммутацией, будет рассмотрен ряд важных для проектирования современных
локальных сетей технологий.
Первый урок данного курса посвящен виртуальным локальным сетям, важнейшей технологии,
на которую опираются современные локальные сети. Тема VLAN уже была изучена нами в одном из
предыдущих курсов, сегодняшний материал отчасти будет повторением изученного ранее, а
отчасти снабдит Вас новой и полезной информацией о работе виртуальных локальных сетей.

Рекомендации по проектированию сетей

При плохом проектировании сети возникают следующее проблемы:


– увеличиваются дополнительные расходы на поддержку сети;
– ухудшается сервисная поддержка сети;
– ограничивается поддержка новых приложений и сетевых решений;
– уменьшается доступ к центральным ресурсам для конечных пользователей.
Вот несколько моментов, на которые следует обратить внимание:
• Домены отказа. Одной из главных задач грамотного дизайна сети является уменьшение
области действия ошибки, если она все-таки произойдет При нечетко определенных границах
областей второго и третьего уровнем модели OSI , отказ в одной сетевой области, может привести
к далеко идущим последствиям.
• Широковещательные домены. Для уменьшения распостранения широковещательного
трафика, необходимо определить границы доменов вещания, а также оптимальное количество
устройств.
• Увеличение количества unicast трафика на неизвестные MAC -адреса. При неправильном
проектировании сети увеличивается количество узлов в канальной сети, что может привести к
переполнению таблицы коммутации и вечному самообучению коммутаторов. При самообучении
коммутатора unicast трафик с неизвестным(отсутствующим в таблице) MAC-адресом передается
широковещательно(unicast flood). Поэтому для решения данной проблемы необходимо правильно
спроектировать сеть, исходя из паспортного размера таблицы MAC-адресов коммутатора и
возможности будущего масштабирования сети.
• Нежелательное распространение трафика группового вещания. Групповое вещание - это
средство передачи трафика от источника группе получателей, используя один групповой MAC и IP
адрес. Групповое вещание передается так же как unicast flood и широковещание — на все порты
коммутатора. Правильный дизайн сети способен уменьшить количество портов, участвующих в
передаче multicast.
• Трудность в управлении и поддержке. Если при проектировании сети были допущенные
определенные ошибки, то данная сеть может быть недостаточно структурированной ,содержать
не полную документацию, анализ путей прохождения трафика может быть затруднен. При этом
возникают проблемы при поддержке и обслуживании сети. Поиск и устранение ошибок в такой
сети отнимает много времени.
• Безопасность. Если при проектировании сети было уделено недостаточно внимания
вопросам защиты на уровне доступа, в будущем это может вызвать проблемы с безопасностью
всей сети.

Проектирование топологий VLAN

Иерархическая адресация предполагает, что блоки сетевых адресов применяются в


сегментах и VLAN по очереди, что позволяет рассматривать сеть как единое целое. Преимущества
использования иерархической адресации:
• Простота в управлении и поиске неисправностей. Использование иерархической IP
адресации упрощает управление сетью, а также помогает более точно определить причины
проблемы.
• Минимизация ошибок. Использование иерархической IP адресации помогает
минимизировать ошибки и дублирование IP адресов.
• Уменьшение записей в таблице маршрутизации. При использовании иерархической IP
адресации протоколы маршрутизации могут агрегировать маршруты для передачи данных.
Агрегирование позволяет использовать одну или несколько строчек в таблице для маршрутизации
данных в достаточно большие группы сетей.
Агрегирование маршрута оптимизирует таблицу маршрутизации, уменьшая количество
записей:
• уменьшается нагрузка на центральный процессор маршрутизатора при построении таблицы
маршрутизации и при ее просмотре для маршрутизации пакета;
• уменьшается использование оперативной памяти маршрутизатора;
• ускоряется сходимость после изменения в сети;
Составная Модель Сети Предприятия (ECNM) служит модульной основой для проектирования
и развертывания сетей. Некоторые рекомендации при использовании ECNM:
• Разработайте схему, в которой блоки по 4, 8, 16, 32, или 64 адреса назначаются на группу
подсетей, подключенных к одному блоку коммутаторов уровня доступа или распределения. Это
позволит в дальнейшем агрегировать эти подсети в один или несколько маршрутов.
• В уровне распределения здания используйте IP адреса, продолжающие диапазоны уровня
доступа.
• Каждому VLAN соответствует одна IP-подсеть.
• При адресации подсетей старайтесь разбивать диапазон адресов на блоки одинакового
размера, по возможности избегая использования VLSM. Это поможет избежать ошибок с
пересечениями диапазонов и дублированием адресов.
Предложенные выше рекомендации позволят избежать многих проблем. Например, на
предприятии работают около 250 сотрудников, и планируется построение сети с применением
рекомендаций ECNM.

В таблице представлено количество пользователей в каждом отделе.


Отдел Количество пользователей Расположение
IT отдел 45 Здание A
Отдел кадров 10 Здание A
Коммерческий отдел 102 Здание В
Отдел Маркетинга 29 Здание В
Финансовый отдел 18 Здание С
Бухгалтерия 26 Здание С

Из таблицы видно, что требуется шесть VLAN для создания сети, по одному на каждую группу
пользователей. Решено использовать сеть 10.0.0.0/8 для всего предприятия. Коммерческий отдел
самый большой, он требует как минимум 102 адреса. Исходя из этого выбираем маску для данного
отдела 255.255.255.0 (/24). Она позволяет использовать 254 адреса, таким образом существует
хороший запас на случай расширения отдела. Также решено использовать ,с учетом будущего
расширения, один блок уровня распределения на здание, и определенные диапазоны адресов для
VLAN, подключаемых к этим блокам.

Здание A – 10.1.0.0/16.
Здание B – 10.2.0.0/16.
Здание C – 10.3.0.0/16.

Здание А

Отдел VLAN IP Подсети


IT отдел VLAN 11 10.1.1.0 /24
Отдел кадров VLAN 12 10.1.2.0 /24
Не используемые адреса 10.1.3.0-10.1.254.0

Здание В

Отдел VLAN IP Подсети


Коммерческий отдел VLAN 21 10.2.1.0 /24
Отдел Маркетинга VLAN 22 10.2.2.0 /24
Не используемые адреса 10.2.3.0-10.2.254.0

Здание С
.
Отдел VLAN IP Подсети
Отдел Маркетинга VLAN 31 10.3.1.0 /24
Финансовый отдел VLAN 32 10.3.2.0 /24
Не используемые адреса 10.3.3.0-10.3.254.0

Для назначения сетевым устройствам выделим адреса из неиспользованного диапазона


адресов. Предположим компания, после проектирования, примет решение об использовании
дополнительных технологий, таких как IP телефония - можно будет взять IP адреса из
неиспользованных диапазонов.

Основные сетевые технологии

На сегодняшний день существует много технологий, на базе которых можно построить сеть
достаточно большого масштаба . Выбор технологии во многом зависит от типа и количества
трафика, который предполагается передавать по сети. В основном используются комбинации
медных и оптических линий связи, в зависимости от расстояния, требования к
помехозащищенности участка,безопасности и пр.
1) Fast Ethernet (100 Mbps Ethernet). Эта технология (IEEE 802.3u) передает данные на
скорости в 100 Mbps, используя в основном медную витую пару, c помощью Fast Ethernet
достаточно легко повысить скорость Ethernet c 10 Mbps до 100, внося минимальные изменения в
кабельную инфраструктуру и оборудования
2) Gigabit Ethernet. Является расширением стандарта 802.3, повышает скорость передачи
данных до 1 Gbps. Используется в основном оптоволоконный кабель (802.3z), также существует
стандарт 802.3ab , описывающий применение медного кабеля ― витой пары.
3) 10-Gigabit Ethernet . В июне 2002 была представлена новая технология 10-Gigabit Ethernet
как расширенный стандарт Ethernet. Данная технология - следующий шаг для
масштабирования сети и увеличения функциональных возможностей предприятия. С
развертыванием 10-Gigabit Ethernet, увеличивается производительность сети в 10 раз по
сравнению с Gigabit Ethernet.
4) EtherChannel. Обеспечивает объединения полосы пропускания при помощи второго уровня
между двумя коммутаторами. EtherChannel связывает определенные порты Ethernet в один
логический канал, который обеспечивает суммарную пропускную способность до 1600 Mbps
(восемь 100 Mbps каналов + полный дуплекс) или до 16 Gbps (8 гигабитов канал + полный
дуплекс) между двумя коммутаторами Cisco. Для обеспечения высокоскоростной передачи
данных все интерфейсы EtherChannel должны быть сконфигурированы на использование
одинаковой скорости, настроек дуплексной передачи и членчтва в VLAN. Технология
EtherChannel будет изучена нами в данном курсе.

Определение Необходимого Оборудования и Кабельной системы

Существует четыре основные цели в дизайне любой высокоэффективной сети:


• безопасность;
• высокая доступность;
• масштабируемость;
• управляемость.
При правильном применении ECNM можно достичь всех этих целей. При этом может
потребоваться изменение сетевой инфраструктуры и замена оборудования. Заменить хабы и
недостаточно производительные коммутаторы на более новые модели на уровне доступа здания.
Рекомендуется использовать оборудование с достаточной плотностью портов доступа, учитывая
приблизительно 30% прирост. Если позволяет бюджет организации, используйте модульные
коммутаторы доступа. При планировании соединений уровня доступа с уровнем распределения
здания, помните, что каналы передают совокупный трафик от конечных узлов к коммутатору
распределения . При этом необходимо гарантировать, высокую пропускную способность канала.
Для повышения пропускной способности используйте EtherChannel по мере необходимости.
Для поддержки текущей нагрузки на уровне доступа задания необходимо выбрать
коммутатор с достаточной производительностью, чтобы обеспечить поддержку всех коммутаторов
уровня доступа. Так же необходимо спланировать наличие дополнительных магистральных портов
для добавления EtherChannel-линков при появлении новых устройств уровня доступа. . В
зависимости от размера сети, устройства уровня распределения здания могут быть с
фиксированным количеством портов или модульными. Оборудование магистральной сети кампуса
должно поддерживать скоростную передачу данных между другими подмодулями. Убедитесь, что
правильно определили потребности в пропускной способности для масштабируемости и
избыточности. У Cisco есть on-line инструменты для помощи проектировщикам в выборе
устройств и портов uplink. Необходимо так же определить граничные соотношения пропускной
способности магистральных каналов и устройств, которые эти каналы обслуживают.
Магистральные каналы от уровня доступа к уровню распределения. Соотношение пропускной
способности должно быть не больше чем 20:1, то есть рекомендуется, чтобы магистральный канал
обладал минимум 1/20 суммы пропускных способностей портов, которые он обслуживает .
Например, если 2 24-портовых FastEthernet коммутатора со скоростью access-портов 100Мб/сек
подключаются к коммутатору уровня распределения, пропускная способность аплинка
рекомендуется не менее чем (2*24*100 Мб/сек) /20=4800Мб/сек / 20= 240 Мб/сек
Магистральные каналы от уровня распределения к уровня ядра: отношение пропускных
способностей не больше чем 4:1.
Каналы между оборудование ядра: отношение пропускной способности канала,
соединяющего коммутаторы ядра и сумму пропускных способностей портов уровня распределения,
подключенных к ядру должно быть 1:1.

Планирование пути прохождения трафика.

В таблице представленной ниже перечислены возможные типы трафика в сети.

Тип трафика Описание трафика


Управление В сети присутствует много различных типов управляющего
сетью трафика. Примеры такого трафика: bridge protocol data units
(BPDUs), обновления Cisco Discovery Protocol (CDP), Simple Network
Management Protocol (SNMP) и Remote Monitoring (RMON).
Некоторые проектировщики определяют отдельный VLAN для
передачи управляющего трафика.
IP Существует два типа трафика IP телефонии: подключение
телефония между конечными устройствами (например, IP телефоны,
Softswitch, такие как Cisco CallManager) и пакеты голосовых
данных. Для голосовых данных необходимо определить приоритет
данных (применение технологии QoS) поэтому при
проектировании необходимо выделить VLAN для данных нужд.
Широковещатель Примерами такого трафика, являются радиопередачи IPTV.
ный IP Данное программное обеспечение формирует поток данных от
сервера обработки данных к рабочим станциям. Трафик
порождает большое количество данных, которые необходимо
передать по сети. Коммутатор должен фильтровать трафик, чтобы
не передавать потоковые данные на устройства, для которых они
не предназначены. Маршрутизаторы должны гарантировать, что
широковещательный трафик передается в те области сети, где он
необходим.
Простые данные Это – типичный трафик, необходимый для передачи данных в
сети. Примеры этого типа трафика - Server Message Block (SMB),
Netware Core Protocol (NCP), Simple Mail Transfer Protocol (SMTP),
Structured Query Language (SQL) и HTTP.
Scavenger class Класс «мусорщика» включает весь траффик , который
превышает обычные нормальные значения значения.
Используется, для защиты сети от превышения пропускной
способности сети «паразитным» трафиком, который, например,
может быть сгенерирован вирусами и прочими нежелательными
программами на пользовательских ПК. Этот класс так же
используется для некритичного трафика, такого как, например,
трафик peer-to-peer приложений.

IP телефония

Размер сети определяет ее дизайн и размещение различных типов устройств.


Широковещание и IP телефония совместно используют некоторые типы трафика. Если сеть
спроектирована согласно правилам ECNM , в ней есть устройства , ограничивающие
распространение разных типов трафика, например, широковещательного, определяющие границы
уровней доступа, распределения и ядра. Дизайн сети и типы используемых приложений
определяют расположение источников трафика. Групповая рассылка и IP-телефония сообща
используют некоторые типы трафика. Если Cisco CallManager передает музыку в режиме ожидании,
то, это широковещательный трафик. При планировании размещения серверов следует учитывать
такие моменты:
• Сервер Cisco CallManager должен обладать высокой доступностью. Следует использовать
отказоустойчивые , дублированные соединения для подключения такого сервера к сети. Для
передачи голосового трафика рекомендуется выделить отдельный VLAN. Сервер Cisco CallManager,
согласно дизайна ECNM, размещается в группе серверов.
• Транковые соединения между коммутаторами должны быть правильно сконфигурированы
для передачи трафика голосового VLAN до всех участков сети, где есть потребители этого
трафика.
• Когда Вы используете передачу голосовых данных, рекомендуется на уровне доступа
использовать два VLAN: для трафика данных – native VLAN и для передачи голоса -отдельный voice
VLAN.

Трафик группового (multicast )вещания

Многоуровневый дизайн идеален для управления прохождением и распределения IP-


multicast трафика. Управление групповой рассылкой осуществляется с помощью протокола
маршрутизации Protocol Independent Multicast (PIM). Также управление широковещательным
трафиком предоставлено протоколами Internet Group Membership Protocol (IGMP) или Cisco Group
Multicast Protocol (CGMP). При использовании нескольких высокоскоростных потоков группового
вещания крайне необходимо обратить внимание на правильную конфигурацию этих протоколов..
Ниже представлены основные моменты, на которые необходимо обратить внимание при
проектировании сети с использованием IP-multicast трафика:
• Сервера, использующие групповую рассылку могут располагаться в выделенном для группы
серверов участке сети или распределены по сети в подходящих местах.
• Определите коммутаторы, которые будут работать как точки консолидации PIM , и
разместите их как можно ближе к центру области, в которой сконцентрированы получатели
multicast трафика.

Сквозные VLAN

Сквозные VLAN обозначают VLAN, порты которых широко распределены по всей сети
предприятия, и не группируются в обособленном блоке уровня распределения или доступа. Если в
сети существует несколько сквозных VLAN, то необходимы транковые соединения между
коммутаторами для передачи трафика разных VLAN через всю сеть.
Основные характеристики сквозных VLAN:
• Не привязываются к определенному местоположению.
• Пользователи группируются в такие VLAN независимо от физического местоположения.
• Если расположение пользователя изменяется, он остается в том же VLAN.
• Все устройства в данном VLAN используют одну и ту же IP-подсеть.
• Обычно группировка пользователей в сквозные VLAN осуществляется из соображений
управления сетью
Ниже представлены основные причины для использования такого дизайна:
• Группировка пользователей.
• Пользователи могут быть сгруппированы в общей IP-сети независимо от их физического
местоположения в сети.
• Безопасность. В сети могут содержаться ресурсы, которые необходимо предоставить только
определенной группе пользователей (например, начальникам территориально разнесенных
отделов, или администраторам и техническим специалистам, располагающимся в разных местах
сети), или может существовать причина для ограничения определенного вида трафика в
отдельном VLAN.
• Применение QoS. Можно назначить приоритеты, отличающиеся от общей политики сети для
трафика такого VLAN.
• Ограничение использования маршрутизации. Если большая часть пользовательского
трафика такого VLAN предназначена для устройств, принадлежащих тому же VLAN, то можно
применить выделение таких устройств в «сквозной» VLAN , чтобы избежать маршрутизации между
ними.
• Специальные цели VLAN. Иногда отдельный VLAN необходим для передачи определенного
типа трафика, который должен быть передан по всей сети (например,групповая рассылка
голосовые данные, гостевой VLAN).
Важные моменты при проектировке сквозных VLAN: порты коммутаторов должны быть
зарезервированы за каждым пользователем и сконфигурированы на коммутаторах. Так как
пользователи «сквозного»VLAN могут находится в любом месте сети, все коммутаторы должны
быть подготовлены для использования такого VLAN . Это означает, что все коммутаторы , которые
передают трафик «сквозного» VLAN, должны иметь идентичные базы данных VLAN. Также следует
учитывать, что трафик таких VLAN проходит через все коммутаторы сети, даже если на них нет
активных портов доступа в этом VLAN, соответственно, поиск и устранение ошибок в сети,
использующей сквозные VLAN, может быть несколько затруднен. В любом случае, принимать
решение о использовании такого подхода необходимо тщательно взвесив реальную потребность в
нем и все достоинства и недостатки использования «сквозных» VLAN в каждом конкретном случае,
исходя из требований предприятия.

Локальные VLAN
В прошлом при проектировании сети старались придерживаться правила 80/20. Правило было
основано на наблюдении, что 80 процентов трафика является внутрисегментным, а 20 процентов
трафика необходимы для передачи внешним сегментам. Таким образом, «сквозные » VLAN
использовались довольно часто.
На сегодняшний день при проектировании сети сервера обычно размещаются в выделенном
участке сети, называемом группой серверов, также возрастает частота доступа к внешним
ресурсам, вроде Интернет , при этом доступ к ним часто осуществляется не через один, а два или
больше каналов. По этим причинам сегодня более актуально соотношение 20/80, в котором 80
трафика выделяется на межсегментную передачу данных, и 20 процентов на внутрисегментный
трафик.
Также, «сквозные » VLAN были более выгодны, когда присвоение IP-адресов было ручным и
нелегким процессом. Выгодны потому, что при перемещении пользователя в сети он оставался в
том же VLAN, и не было необходимости проводить дополнительную работу по конфигурации его
стека TCP/IP. Сегодня возможности автоматической конфигурации, значительно упрощающей дело,
используются повсеместно, и преимущества «сквозных » VLAN в этом плане уже не так актуальны.
Сейчас более выгодно группировать пользователей по месторасположению, уменьшая
географическую протяженность VLAN, объединяя в них порты соседних коммутаторов, при этом
объединение пользователей по рабочим функциям не является определяющим фактором.
Особенно это выгодно с точки зрения управляемости сети и облегченного поиска ошибок в ней.
VLAN, которые ограничиваются в зависимости от местоположения, коммутаторами и портами,
расположенными как можно более близко друг к другу, блоками уровня доступа или
распределения -называются «локальными». Пользователи «локальных» VLAN объединяются по
принципу общности географического расположения в сети. Трафик «локальных» VLAN для
достижения удаленных сегментов требует маршрутизации. Локальный» VLAN обычно ограничен
пределами здания. «Локальные» VLAN, согласно правилам дизайна ECNM, используются на уровне
доступа и не распространяются за пределы ближайшего коммутатора уровня распределения.(в
отказоустойчивой топологии с дублирующимися элементами -ближайших коммутаторов уровня
распределения). Такой дизайн сети может существенно облегчить поиск ошибок и уменьшить
время на их устранение.
Преимущества в использовании такого подхода состоят в четко определенных и логичных
путях следования трафика. При возникновении ошибки, область ее действия ограничена
небольшой группой коммутаторов — это , как правило, не затрагивает большую часть сети, а
значит увеличивает ее доступность и отказоустойчивость, а также позволяет более эффективно и
в короткий строк устранить проблему. При использовании вариаций STP все магистральные связи
могут быть использованы как резервные друг для друга. Разбиение сети на физические модули
существенно повышает ее масштабируемость — одинаковая иерархическая структуризация блоков
позволяет легко добавлять новые блоки .

Создание VLAN

Режимы настройки VLAN

При создании VLAN на большинстве коммутаторов Cisco, работающих под управлением IOS
поддерживаются 2 режима настройки VLAN: глобальный и режим правки базы данных VLAN.
Предпочтителен именно глобальный режим, так как он более дружественен. При этом, каждое
изменение вступает в силу немедленно по нажатии клавиши ENTER. Глобальный режим
конфигурации позволяет работать как с VLAN стандартного диапазона, так и с расширенными, в то
время как в режиме правки БД доступна работа только с стандартными VLAN (информация о
расширенных VLAN хранится не в базе, а в конфигурационном файле).
Режим базы данных VLAN – сеансово-ориентированный режим. При добавлении, удалении или
изменении параметров VLAN, изменения не применяются, пока не будет введена команда exit или
apply. Можно также выйти из режима базы данных VLAN и не применять изменения, используя
команду abort. Чтобы использовать данный режим необходимо ввести команду vlan database
находясь в режиме привилегированного исполнения, после чего можно добавлять, удалять, и
изменять параметры VLAN в диапазоне 1 - 1005. Будучи менее удобным и функциональным, режим
редактирования VLAN БД будет убран в будущих релизах, как не соответствующий идеологии IOS.

Access-порты и VLAN

При подключении системы к порту коммутатора возникает необходимость указать, какой


VLAN принадлежит указанный порт, в соответствии с общей структурой сети. Для указания
принадлежности конечных устройств к какой-либо VLAN, порт коммутатора, к которому
подключено соответствующее устройство, настраивается, как принадлежащий одной VLAN
данных, и так им образом становится портом доступа (переключается в режим access).
Для указания членства порта в какой-либо VLAN большинство коммутаторов требуют
использования конфигурационной команды switchport. Как правило, устройство помещается в одну
VLAN с другими устройствами, подключенными к тому же самому коммутатору или группе
коммутаторов. Основные характеристики access-портов:
• принадлежит одной VLAN. VLAN, в которую входит access-порт, должен быть описан в базе
данных VLAN иначе, порт будет связан с неактивной VLAN, не пересылающей кадры
• поскольку access-порт является частью VLAN, он входит в соответствующий broadcast-
домен,получая все broadcast и multicast пакеты, рассылаемые на всю VLAN.
• конечному устройству назначается IP-адрес из той же подсети, что и остальным устройствам
из этой VLAN.

Динамическая конфигурация

Коммутатор может динамически менять членство access-портов в VLAN, базируясь на MAC-


адресе конечного устройства. Для этого необходимо наличие VMPS-сервера, хранящего базу
соответствий и обрабатывающего запросы от коммутаторов. Обмен с VMPS-сервером происходит
немедленно по получении коммутатором информации о MAC-адресе устройства, подключенного к
порту. Подобный подход очень полезен в крупных организациях, в которых высока динамика
перемещения рабочих станций. Вне зависимости от того, к какому порту подключится устройство,
этот порт будет автоматически подключено к соответствующей VLAN. Использование
динамических VLAN требует наличия специального оборудования, и не рассматривается в этом
курсе.

Команды настройки VLAN

Ниже представлены основные команды для создания и настройки VLAN.


switch (config) # vlan vlan-id Создание VLAN с определенным идентификатором vlan-id.
switch (config) # no vlan vlan-id Удаление VLAN с определенным идентификатором vlan-id.
switch (conf ig-vlan) #name vlan_name Назначение имени для VLAN.
switch (config-if) # switchport mode access Переводит порт в режим access, обычно следом
идет команда switchport access vlan vlan-id
switch (config-if ) # switchport access vlan vlan-id Переносит access-порт в VLAN с номером vlan-
id
switch (config-if ) # no shutdown Включает порт (или интерфейс).
switch (config) #shutdown vlan vlan-id Приостанавливает локальную передачу данных через
VLAN. Не изменяет информацию о VLAN в базе данных.
switch # show vlan Показывает параметры для всех VLAN или только для указанной VLAN на
коммутаторе. Показывает конфигурацию интерфейса switchport.

Пошаговая инструкция создания VLAN

Для того чтобы сконфигурировать VLAN необходимо выполнить следующие шаги:


• Шаг 1 Создание VLAN. Прежде, чем назначить порту коммутатора определенную VLAN,
необходимо создать VLAN. Для создания VLAN необходимо зайти в режим конфигурации и
использовать команду vlan :
Switch(config)#vlan vlan_id
vlan_id - Любое число от 1-4094,если поддерживается платформой коммутатора и 1-1024, если
нет. Если VLAN не существует, то при создании VLAN назначается данный vlan_id. Изменение
можно будет сделать в режиме конфигурации.
• Шаг 2 Проверка конфигурации VLAN. Для проверки создания VLAN необходимо ввести show
vlan в режиме глобальной конфигурации. Основные записи при использовании данной команды
представлены ниже.
VLAN Номер VLAN
Name Название VLAN (если указано)
Status Состояние VLAN (активна или не приостановлена)
Ports Порты, входящие в VLAN
Type Тип среды передачи данных VLAN
SAID Идентификатор безопасности для VLAN
MTU Максимальная единица передачи данных VLAN
Parent Родительский VLAN, если существует
RingNo Номер кольца VLAN, если существует
BrdgNo Количество мостов VLAN, если есть
STP Тип используемого STP протокола
BrdgMode Режим моста для VLAN
Trans 1 Транслирующий мост 1
AREHops Максимальное количество переходов по всем маршрутам
передачи кадра
STEHops Максимальное количество переходов STP при передачи кадра

• Шаг 3 Связь порта с определённой VLAN. Для конфигурации access-порта коммутатора


необходимо (1) перевести его в соответствующий режим и (2) указать соответствующую VLAN.
Switch(config-if)#switchport mode access

Значение Описание
Создает интерфейс, для функционирования как порт второго
уровня. На многих коммутаторах установлен по умолчанию. No
switchport
switchport обратная команда на некоторых платформах, которая
переводит порт из второго уровня в третий уровень.
Команда устанавливает порт коммутатора в режим доступа к
Mode access определенному VLAN. Альтернативные варианты способа доступа
для функциональных возможностей порта недоступна.

Switch(config-if)#switchport access vlan vlan_id

Значение Описание
switchport Указывает конфигурацию второго уровня порта коммутатора.
access Указывает дальнейшую конфигурацию доступа порта коммутатора.
Указывает дальнейшую конфигурацию второго уровня порта
vlan vlan id
коммутатора.

• Шаг 4 Проверка конфигурации коммутатора. Ниже представлен листинг проверки


настройки порта коммутатора.
show interface type slot/port switchport
show running-config interface type slot/port
show vlan
Switch# show running-config interface fastethernet 5/6
Building configuration.
Current configuration :33 bytes
interface FastEthernet 5/6
switchport access vlan 200
switchport mode access
end

• Шаг 5 Проверка работы VLAN. Ниже представлена пошаговая инструкция для тестирования
VLAN
Шаг 5.1 Необходимо проверить настройки конечного пользователя. Обратить внимание на
правильность IP адреса, сетевой маски и шлюза по умолчанию.
Шаг 5.2 Командой ping проверить достижимость шлюза по умолчанию.
Шаг 5.3 Если командой ping шлюз по умолчанию отвечает, то конфигурация VLAN верна.
• Шаг 6 Меры безопасности VLAN. Необходимо обратить внимание на меры безопасности
представленные ниже:
– Необходимо создать область "parking-lot" для VLAN с определенным VID, в которуе
необходимо перенести все неиспользуемые порты коммутатора. VID должен быть любой
неиспользуемый, кроме VLAN1.
– Отключить неиспользуемые порты коммутатора.

Магистральные линии

Для передачи трафика, принадлежащего нескольким VLAN, используются так называемые


транки. Транк - линк канального уровня между устройствами, использующими соответствующий
транковый протокол. Транки позволяют пересылать данные нескольких VLAN по одному линку
(осуществляют мультиплексирование), и позволяют распространить VLAN на несколько
коммутаторов. При прохождении кадра, принадлежащего какой-либо VLAN через транк, транковый
протокол снабжает кадр идентификатором соответствующей VLAN при помещении кадров в линк.
Принимающее устройство использует этот идентификатор для помещения кадра в
соответствующую VLAN, при этом VID (идентификатор VLAN) изымается. Как было указано выше,
для обеспечения работы транка требуется поддержка соответствующего протокола обоими
сторонами. В качестве сторон могут выступать:
• Два коммутатора.
• Коммутатор и маршрутизатор.
• Коммутатор и транк-совместимый сетевой адаптер сетевого узла, такого как сервер
например.
Каждый кадр, передаваемый через транк, должен быть снабжен идентификатором
соответствующей VLAN, который убирается, если дальнейший путь кадра лежит через access-порт.
Это может быть произведено лишь при помощи специального протокола, так как стандартный
кадр канального уровня не имеет соответствующих информационных структур. Оборудование
Cisco поддерживает 2 таких протокола:
• Inter-Switch Link (ISL): Cisco ISL.
• 802.1Q: Стандартный транковый протокол IEEE.
ISL использует инкапсуляцию и поле "протокол", позволяющее пересылать через транк кадры
разных базовых сетевых технологий, что делает его более гибким, но. ISL, будучи проприетарным
протоколом, поддерживается исключительно оборудованием Cisco, что несколько ограничивает
область его применения. В то же время, 802.1Q будучи открытым, не поддерживает иных БСТ
кроме Ethernet, так как его работа заключается в модификации заголовка кадра Ethernet путем
внедрения поля "тег", несущего специфическую информацию в заголовок Ethernet.

Протокол ISL

ISL - проприетарный протокол компании Cisco, один из способов конфигурирования транков.


Это исходный вариант поддержки транков оборудованием Cisco, так как появился задолго до
принятия транковых стандартов IEEE. Работа ISL заключается в инкапсуляции исходных кадров
путем снабжения их заголовком и трейлером ISL. Поскольку используется полностью новый,
протоколонезависимый заголовок ISL, набор возможностей ISL гораздо шире, чем у
альтернативного транкового протокола IEEE 802.1Q:
• Поддержка нескольких БСТ (Ethernet, Token Ring, FDDI, ATM).
• Поддержка PVST.
• Не используется native VLAN (инкапсулируется каждый кадр).
• Исходные кадры не подвергаются модификации.

Процедура инкапсуляции ISL.

После выбора ISL в качестве транкового протокола, каждый кадр включая заголовок и
контрольную сумму, идущую как трейлер, инкапсулируется перед отправкой через транк.
Инкапсуляция добавляет заголовок в начало, и трейлер в конец исходного кадра. Заголовок ISL
содержит VID - идентификатор VLAN, из которой получен кадр. На стороне получателя заголовок и
трейлер ISL убираются, и кадр в исходном виде отсылается в VLAN, номер которого был указан в
заголовке ISL. Корректно обработать кадры, инкапсулированные ISL, может только порт,
работающий в режиме ISL-транка. В остальных случаях, служебные структуры кадра будут неверно
интерпретированы, что как правило, приводит к сбросу кадра, как содержащего ошибки.

Заголовок ISL.

Заголовок ISL содержит разнообразные поля, описывающие исходный кадр. Эта информация
используется для пересылки, идентификации среды передачи и идентификации VLAN. Набор полей
заголовка ISL изменяется в зависимости типа VLAN и среды передачи данных. ASIC порта Ethernet
использует заголовок ISL длиной в 26 байт, и FCS длиной в 4 байта. В среднем, Cisco добавляет
около 30 байт к кадру практически любой БСТ, но общий размер кадра изменяется, и он ограничен
MTU исходной БСТ.

Заголовок ISL для Ethernet содержит следующие информационные поля:


• DA (destination address):Адрес получателя. Длина 40 бит, содержит мультикаст адрес 0x01-
00-0C-00-00 или 0x03-00-0c-00-00.
• Type: 4-битный идентификатор инкапсулированной БСТ: Ethernet (0000), Token Ring (0001),
FDDI (0010), ATM (0011).
• User: 4-битный идентификатор, расширяющий поле "Type" или несущий значение
приоритета Ethernet (0 -низший, 3 - высший). Стандартное значение — 0000.
• SA (source address): 48-битное поле, содержащее MAC-адрес порта коммутатора,
передающего кадр.
• LEN (length): 16-битное значение, описывающее длину кадра без полей DA, Type, User, SA,
LEN, и CRC.
• AA AA 03: Заголовок Standard Subnetwork Access Protocol (SNAP) 802.2 logical link control (LLC).
• HS (high bits of source address): Первые 3 байта адреса отправителя инкапсулированного
кадра (содержат идентификатор производителя).
• VID: 15-битное значение идентификатора VLAN. Для 1024 VLAN используются первые 10 бит.
• BPDU (bridge protocol data unit): 1-битное значение, устанавливаемое если кадр является
BPDU (кадр протокола Spanning-Tree, CDP или VTP). При установленном флаге кадр передается на
обработку управляющему блоку коммутатора.
• INDX (index): 16-битноый идентификатор номера исходного порта. Используется для
диагностики, игнорируется на принимающей стороне.
• RES: 16 бит, зарезервированы для БСТ Token Ring и FDDI.
• Encapsulated Frame: Полный и немодифицированный исходный кадрканального уровня.

Трейлер ISL.

Трейлер инкапсуляции ISL содержит CRC (контрольную сумму) исходного кадра и служебной
информации ISL. Принимающая сторона использует это значение для проверки целостности кадра
ISL. При обнаружении ошибки CRC кадр отбрасывается. Если ошибки нет, трейлер отбрасывается,
как и заголовок. Длина трейлера 32 бита.

Протокол 802.1Q

Как и ISL, 802.1Q - протокол, позволяющий пересылать данные из нескольких VLAN по одному
физическому линку. Это стандарт IEEE для организации транков. Вместо инкапсуляции, 802.1Q
внедряет в заголовок Ethernet новое поле - тег, обновляет контрольную сумму кадра и в таком
виде его передает через транк. 802.1Q (dot1q), является преимущественным выбором в
мультивендорных сетях, так как стандарт имеет статус международного и совместим с
оборудованием разных производителей.
802.1Q обладает следующими возможностями:
• Поддержка Ethernet и Token Ring.
• Поддержка 4096 VLAN.
• Поддержка Common Spanning Tree (CST), Multiple Spanning Tree Protocol (MSTP), и Rapid
Spanning Tree Protocol (RSTP).
• Поддержка топологии точка-точка.
• Поддержка нетегированного трафика в транке (native VLAN).
• Расширенная поддержка QOS.
Для идентификации VLAN и передачи прочей служебной информации, 802.1Q добавляет тег,
состоящий из нескольких служебных полей, к заголовку Ethernet, помещая его между полями
"Адрес отправителя" и "Длина/тип" , и пересчитывает контрольную сумму кадра перед отправкой.
Тег 802.1Q состоит из следующих полей:
• EtherType: содержит значение 0х8100, указывающее на принадлежность кадра протоколу
802.1Q.
• PRI: 3 бита, приоритет кадра.
• Token Ring Encapsulation Flag: 1 бит. Указывает, что инкапсулирован кадр, принадлежащий
БСТ Token Ring.
• VID: Идентификатор VLAN. По умолчанию поддерживаются обычные и расширенные VLAN.
Если кадр попадает на устройство, не поддерживающее стандарт 802.1Q, он обрабатывается
и пересылается дальше, как самый обычный кадр. Это позволяет использовать стандартные
устройства Ethernet в качестве транзитных на пути транка. Главное - устройство должно
поддерживать MTU 1622 или выше.

802.1Q Native VLAN

При настройке транка 802.1Q, на каждой стороне обязательно указывается т.н. "native VLAN".
Предназначение этого параметра - идентификация VLAN для входящих кадров Ethernet, в которых
отсутствует тег. Тег есть - берем номер VLAN из него, нет тега - из значения Native VLAN. Так же
это значение используется при работе порта в режиме access. В ISL, в свою очередь, по транковому
порту не могут передаваться неинкапсулированные кадры. Если такой (неинкапсулированный)
кадр приходит на порт, работающий в режиме ISL-транк, он отбрасывается. У каждого порта есть
параметр, называемый PVID (Port VLAN ID). Порту, работающему в режиме 802.1Q назначается PVID
эквивалентный native VID. Для каждого режима(trunk или access) транк поддерживает только 1
native VLAN. По умолчанию, все access-порты и native VLAN всех портов 802.1Q в коммутаторах
Cisco Catalyst принадлежат VLAN 1. Для корректной работы, на всех портах 802.1Q, подключенных
к одному сегменту, должна быть настроена одинаковая native VLAN. При некорректной настройке
native VLAN на портах, подключенных к одному и тому же транку, могут возникать петли
канального уровня из-за некорректной отработки STP.

Диапазоны номеров VLAN


У каждой VLAN в сети должен быть свой уникальный номер (VID). Диапазон значений VID,
совместимый с ISL - от 1 до 1024. В стандарте IEEE 802.1Q указан диапазон от 1 до 4094.

Диапазон
Диапазон Предназначение Пересылаются VTP
значений
Зарезервирован Только для внутреннего использования. --
0- 4095 Пользователю не видны и недоступны.
1 Нормальный Стандартный VLAN (Cisco). Использовать Да
можно. Изменять и удалять нельзя.
2- Нормальный Можно создавать, использовать, удалять. Да
1001
Зарезервированы для FDDI и Token Ring. Да
1002-1005 Нормальный Удалить нельзя.
Только для Ethernet. Поддерживаются
1006-4094 Расширенный транками 802.1Q. Коммутаторы Cisco Нет
Catalyst не поддерживают VID из
диапазона 1006-1024. Для использования
нужно разрешить Extended System ID.

Хорошей практикой назначения расширенных VLAN является назначение в обратном порядке


(4094 и вниз), так как некоторые коммутаторы используют малые значения расширенных VID для
внутренних нужд.

Команды настройки транка.

В зависимости от операционной системы, используемой на вашем коммутаторе, команды


используемые при настройке транков могут отличаться. Коммутаторы на базе Cisco IOS используют
команды switchport mode, switchport trunk и switchport nonegotiate в режиме настройки интерфейса:

switchport mode { access | dynamic { auto выбор режима работы порта коммутатора. Режимы
| desirable } | trunk} dynamic auto и dynamic desirable предназначены для
организации автоматического переключения порта
между режимами.
switchport trunk native vlan задает native vlan для транка. Диапазон : 1-1001 для
SI(Standard Image) или 1-4094 для EI(Enhanced Image)
switchport nonegotiate запрет на отправку DTP (Dynamic Trunking Protocol)
пакетов через интерфейс
switchport trunk задание характеристик транка. Форма с префиксом
no сбрасывает настройки.
switchport trunk allowed vlan { add | управляем разрешенными VLAN на транке. По
except | remove | all } { диапазон или умолчанию разрешены все.
список | all }
switchport trunk encapsulation { isl | dot1q Указываем, какой транковый протокол использовать.
| negotiate } По умолчанию - negotiate.

Для просмотра состояния порта можно воспользоваться командой exec-режима show


interfaces switchport. По возможности, транки должны быть настроены статически. Тем не менее,
коммутаторы Catalyst компании Cisco поддерживают Dynamic Trunking Protocol (DTP), который
позволяет автоматически переключать порт в режим транк или access, в зависимости от того,
какое оборудование подключено с другой стороны. Это проприетарный протокол компании Cisco.
Таблица состояний линка в зависимости от режимов портов подключенных коммутаторов:

Dynamic Auto Dynamic Desirable Trunk Access


Dynamic Auto Access Trunk Trunk Access
Dynamic Desirable Trunk Trunk Trunk Access
Trunk Trunk Trunk Trunk Не рекомендуется
Access Access Access Не рекомендуется Access

Протокол DTP позволяет указать, при каких условиях линк перейдет в режим транк или
access.

Dynamic Auto Транк включается по DTP-запросу соседа.


Dynamic Desirable Пытается договориться по DTP с соседом о включении транка.
Trunk Включает транк невзирая на соседей.
Access Не включает транк.
Nonegotiate Отключает отсылку кадров DTP в режимах Access и Trunk.
Посмотреть состояние DTP можно при помощи команды show dtp interface [интерфейс]. Эта
команда недоступна на коммутаторах Catalyst 2950 и 3550, но доступна на 2960 и 3560. Еще раз,
обращаем ваше внимание на тот факт, что хорошей практикой считается (и настоятельно
рекомендуется) включать транки статически, для чего использовать команды switchport mode trunk
и switchport nonegotiate.

Настройка транка.

Для настройки транка на интерфейсе используются описанные ниже команды Cisco IOS.
Чтобы настроить транк на интерфейсе коммутатора, выполните следующие шаги:
• Перейдите в режим настройки интерфейса.
• Выключите интерфейс для предотвращения некорректной автонастройки.
• Выберите инкапсуляцию. Учтите, некоторые коммутаторы поддерживают только ISL а
некоторые - только 802.1Q (напр. Catalyst 2950 и 2960).
• Переключите интерфейс в режим транка.
• Для 802.1Q укажите native vlan.
• Укажите разрешенные VLAN для интерфейса. Это необходимо, если распространение VLAN
ограничено лишь некоторыми транками и считается хорошим стилем при настройке
корпоративных сетей, приводя к оптимальной работе транков.
• Используйте команду no shutdown для включения интерфейса.
• Используйте show-команды для проверки конфигурации.

Пример:

S(config)# interface fastethernet 0/1


S(config-if)# shutdown
S(config-if)# switchport trunk encapsulation dot1q
S(config-if)# switchport mode trunk
S(config-if)# switchport trunk allowed vlan 10,20,100,1002-1005
S(config-if)# switchport trunk native vlan 99
S(config-if)# switchport nonegotiate
S(config-if)# no shutdown
S# show interfaces fastethernet 0/1 switchport
Name: fa0/1
Switchport: Enabled
Administrative mode: trunk
Operational mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (adm)
Trunking VLANs Enabled: 10,20,100,1002-1005
pruning VLANs Enabled: 2-1001
.............................................
S# show running-config interface fastethernet 0/1
Building configuration...
Current configuration:
!
interface FastEthernet 0/1
switchport mode trunk
...............................

Технология VTP

Домены VTP

В сети крупного предприятия с большим количеством коммутаторов поддержка таблиц VLAN


превращается в сложную административную задачу, которая отнимает много рабочего времени.
Также, ввиду большого количества информации, существует высокая вероятность чисто
механической ошибки при ручном заполнении и обновлении списков VLAN .Для автоматизации этой
задачи разработан протокол VTP (VLAN Trunking Protocol). Коммутаторы, которые используют
одинаковые настройки VLAN, организуются в логические группы, которые называются доменами
управления VTP. Информация о VLAN распространяется через транки и обновляется по протоколу
VTP, позволяя всем коммутаторам в домене поддерживать идентичные таблицы VLAN.
Коммутаторы обмениваются только общей информацией о VLAN, такой как имя, описание, VLAN ID.
При этом информация о принадлежности портов к определенному VLAN является локальной для
каждого коммутатора и не включается в VTP-объявление.

Рис. 1

На рисунке 1 коммутаторы Cat-01 – Cat-04 входят в VTP-домен с именем EngineerDep.


Конфигурация базы данных VLAN, вручную внесенная администратором на Cat-01, к примеру,
автоматически будет распространена на остальные коммутаторы домена.
Работа VTP подчиняется следующим правилам:
• Коммутатор может состоять только в одном VTP-домене
• VTP-домен может быть сколько угодно малым и состоять только из одного коммутатора
• Обновления VTP распространяются только между коммутаторами, входящими в один VTP-
домен, в зависимости от режима работы VTP на каждом коммутаторе
• По-умолчанию VTP не сконфигурирован на коммутаторе, и коммутатор не принимает участия
в работе VTP до тех пор, пока необходимые настройки не будут получены через транковое
соединение или заданы вручную администратором.
• В объявления VTP включаются VLAN с ID от 1 по 1005
• Сообщения VTP рассылаются по портам, сконфигурированным в режиме trunk

Протокол VTP

Протокол VTP –это протокол 2 уровня модели OSI, задачей которого является поддержка
целостности и актуальности базы данных VLAN на коммутаторах, принадлежащих одному VTP-
домену. Сообщения VTP передают информацию о создании, удалении , изменении имен VLAN.
Коммутаторы, входящие в один домен, обмениваются VTP-обновлениями по транковым связям и
поддерживают одинаковую и актуальную информацию о базе данных VLAN. Это позволяет
использовать минимальное количество ручных конфигураций при создании/изменении
информации в базе данных – все изменения нужно сделать только на одном коммутаторе домена,
после чего информация об изменении автоматически распространится на остальные коммутаторы.
На данный момент существуют версии 1,2,3 протокола VTP. Наиболее универсальной и
распространенной является версия 2, но по-умолчанию коммутаторы марки Catalyst
сконфигурированы на использование версии 1. Версия 2 имеет следующие отличия:
• Поддержка коммутаторов Token Ring
• Проверка на непротиворечивость новых параметров конфигурации
• Распространение обновлений с нераспознанным типом, длиной, значением
• Пересылка VTP-обновлений от коммутаторов, работающих в «прозрачном» (transparent)
режиме без проверки версии протокола
На некоторых моделях коммутаторов, которые используют Cisco Catalyst Operation System,
доступна версия 3 протокола VTP. Она позволяет использовать следующие расширения:
• Поддержка расширенного диапазона VLAN
• Поддержка «частных»(private) VLAN
• Поддержка групп VLAN и распространение привязки экземпляров MST к группам
• Улучшенные возможности аутентификации
• Защита от ошибочной отправки неверной базы VLAN в домен
• Взаимодействие с предыдущими версиями VTP
• Возможность конфигурации по портам
При использовании VTP следует принимать во внимание, что коммутаторы в рамках одного
домена должны использовать одинаковую версию протокола. Следовательно, не стоит переводить
коммутаторы на работу по версии 2, не убедившись, что все они поддерживают эту версию.

Режимы работы VTP

VTP может быть сконфигурирован для работы в одном из трех режимов:


• Сервер. В этом режиме возможно создание, изменение и удаление VLAN. Коммутатор
отправляет и ретранслирует объявления VTP, а также синхронизирует конфигурацию VLAN с
последними обновлениями VTP, хранит конфигурацию в NVRAM
• Клиент. Внесение изменений в базу VLAN недоступно. Ретранслирует полученные от сервера
объявления VTP. Синхронизирует конфигурацию VLAN с последними обновлениями VTP. Хранит
конфигурацию в оперативной памяти
• Прозрачный режим. Доступно создание, изменение и удаление VLAN в локальной базе
данных. Ретранслирует полученные от сервера объявления VTP. НЕ синхронизирует конфигурацию
VLAN. Хранит конфигурацию локальной базы в NVRAM

Отсечение трафика (VTP Pruning)

В домене VTP информация обо всех VLAN распространяется на все коммутаторы. Однако
порты, принадлежащие каждому конкретному VLAN, существуют далеко не везде.

Рис. 2
В приведенном выше примере (рис.2) VTP распространяет информацию о существовании VLAN
с ID 101 на все коммутаторы домена. Но порты, принадлежащие VLAN 101 , есть только на Cat-01 и
Cat-06. В обычной ситуации это означает, что широковещательный трафик этого VLAN будет
распространяться по всем транковым портам домена, хотя в доброй половине его он не нужен.
Естественно, такое положение не лучшим образом сказывается на производительности транковых
соединений и домена в целом. Эту ситуацию можно улучшить, используя конфигурирование
allowed-vlan на транковых портах, но это требует достаточно частой ручной конфигурации и
больших затрат времени. Чтобы автоматизировать задачу оптимизации распространения
широковещательного трафика в VTP домене, была разработана технология отсечения (VTP Pruning)
Применение этой технологии ограничивает распространение широковещательно трафика только
теми транками, которые необходимо пройти, чтобы добраться до всех получателей в своем VLAN.
На рис. 2 широковещательный трафик VLAN 101 ограничен транковыми соединениями Cat-06<--
>Cat-03<-->Cat-01. Cat-01 и Cat-03, на которых включен VTP Pruning, отсекают ненужный
широковещательный трафик на тех транках, за которыми нет возможных получателей этого
трафика. Технологию отсечения можно использовать только на коммутаторах, работающих в
режиме сервера, т.о. использование VTP Pruning необходимо учитывать еще на этапе
проектирования сети. Также необходимо учитывать возможность размещения портов каждого
VLAN в как можно более компактных группах, на ближайших коммутаторах. Так, если бы на
коммутаторах Cat-04 и Cat-05 существовали порты, принадлежащие VLAN 101 , то в использовании
отсечения не было бы никакого смысла – трафик этого VLAN проходил бы по всем транковым
соединениям, и возможность оптимизации и увеличения пропускной способности транков была бы
недоступна. Также следует понимать, что, несмотря на отсечение трафика определенного VLAN,
коммутатор все равно поддерживает для него дерево STP.

Общий порядок работы VTP

VTP объявления распространяются по домену коммутаторами, работающими в том или ином


режиме VTP, каждые 5 минут (по-умолчанию), или в срок, сконфигурированный администратором.
Они отправляются по VLAN 1, используя групповое вещание канального уровня. Коммутатор не
принимает участия в работе протокола до тех пор, пока на нем не будет сконфигурировано или
получено в конфигурационном сообщении имя домена VTP.
Одним из наиболее важных элементов работы VTP является версия конфигурации
(configuration revision number). При начальной конфигурации номер версии устанавливается в 0.
После изменения базы VLAN коммутатор-сервер увеличивает версию конфигурации на 1 и
рассылает обновление в домен. Приняв такое обновление, остальные коммутаторы домена
сравнивают номер версии своей конфигурации с полученным, и , если он больше, вносят
изменения в базу, иначе обновление игнорируется.
Общий порядок выглядит следующим образом:
Необходимо сконфигурировать имя VTP-домена, режим работы VTP и пароль для
аутентификации (при необходимости). Режим работы будет определять – какие коммутаторы
будут отправлять обновления, а какие – ретранслировать их. Коммутаторы , работающие в режиме
сервера, отправляют обновления , содержащие общую для домена конфигурацию базы данных
VLAN. Устройство, получившее обновление, проверяет имя домена и пароль на соответствие
локально заданным. Если предыдущие параметры совпадают – проверяется номер версии
конфигурации. Если номер версии в объявлении больше, чем текущий на коммутаторе, в базу
данных VLAN вносятся изменения, полученные в этом обновлении, если коммутатор работает в
режиме сервера или клиента. При необходимости коммутатор может запросить дополнительную
информацию.
Коммутаторы обмениваются тремя типами VTP-обьявлений
• Суммарное обновление – отправляется коммутаторами-серверами каждые 300 секунд или
при изменении базы данных VLAN . В это сообщение включается: имя домена, версия протокола,
номер версии конфигурации, отметка времени и некоторое количество частичных обновлений,
содержащих записи базы данных.
• Частичное обновление – отправляется в случае изменения базы данных, содержит запись,
описывающую обновление определенного VLAN ID
• Запрос обновления клиентом – когда коммутатор отправляет запрос на обновление своей
базы. Коммутатор, получивший суммарное обновление с номером версии, большим чем локальный,
может отправить запрос и получить в ответ суммарное и все частичные обновления.

Конфигурация VTP

При конфигурации VTP используется следующий порядок:


• Разработать дизайн сети, с определением ролей коммутаторов (server, client, transparent),
определить границы доменов
• Проверить правильность базы данных VLAN на каждом коммутаторе , который будет
сконфигурирован как сервер.
• Определить пароль (при необходимости). Пароль должен совпадать у всех коммутаторов ,
принадлежащих одному домену
• Указать номер версии, если он по каким-либо причинам отличается от дефолтного.

Задание имени домена:

Switch(vlan)#vtp domain ?
WORD The ascii name for the VTP administrative domain.
Switch(vlan)#vtp domain engineerdep
Changing VTP domain name from NULL to engineerdep

Имя домена – регистрозависимое! EngineerDep и engineerdep – имена разных доменов. Чтобы


избежать потенциальных ошибок – лучше использовать имена доменов со всеми символами в
нижнем регистре, либо со всеми в верхнем ( для удобочитаемости конфигурации.)

Задание режима работы VTP. По-умолчанию коммутатор работает в режиме VTP Server:

Switch(vlan)#vtp ?
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.

Switch(vlan)#vtp server
Device mode already VTP SERVER.

Если коммутатор добавляется к уже существующей сети, возможно будет необходимо


использовать режим client .

Switch(vlan)#vtp client
Setting device to VTP CLIENT mode.

Задание пароля для аутентификации VTP

Switch(vlan)#vtp password ?
WORD The ascii password for the VTP administrative domain.
Switch(vlan)#vtp password cisco
Setting device VLAN database password to cisco

Включение использования 2-ой версии протокола:


Switch(vlan)#vtp v2-mode
V2 mode enabled.

Проверка конфигурации VTP

Switch#show vtp ?
counters VTP statistics
password VTP password
status VTP domain status

Switch#show vtp status


VTP Version :2
Configuration Revision :0
Maximum VLANs supported locally : 255
Number of existing VLANs :5
VTP Operating Mode : Client
VTP Domain Name : EngineerDep
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x12 0xE9 0x14 0x7E 0x4C 0xBD 0x36 0x51
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

Добавление нового коммутатора к существующему VTP-домену

При добавлении нового коммутатора в домен необходимо не подключать его к сети, пока он
не будет сконфигурирован до конца. Помните о том, что коммутатор по-умолчанию
сконфигурирован как сервер, следовательно, он может отправить в сеть ошибочное обновление,
сразу, после того как будет задано имя домена и правильный пароль, но до того как
сконфигурированы остальные параметры. В худшем случае это обновление может полностью
заменить базу данных во всем домене, удалив все сконфигурированные VLAN!
Рекомендованная полседовательность действий при включении нового коммутатора в
существующую сеть:
• Первым делом необходимо изменить режим работы VTP на transparent – это установит
версию конфигурации в 0 , а также не позволит коммутатору каким-либо образом повлиять на
конфигурацию VLAN в домене.
• Далее –удалить файл vlan.dat – это очистит локальную конфигурацию VLAN.
• Изменить имя домена на заведомо неверное и установить режим client .
• Перезагрузить коммутатор, чтобы информация о VLAN удалилась из оперативной памяти.
• Проверить конфигурацию, чтобы убедится , что коммутатор в режиме клиента и
configuration revision number =0
• Установить правильное имя домена и пароль, и только после этого подключить коммутатор
к сети .
• С помощью команд show vtp status, show vtp counters, show vlan – проверить правильность
полученной конфигурации.
Наиболее распространенные ошибки при конфигурации VLAN

Ошибки с Native VLAN

Номер Native VLAN , сконфигурированный по обеим сторонам транка, должен быть


одинаковым. В Native VLAN входит весь untagged-трафик , и если он попадет в разные VLAN , в
сети возникнут проблемы с передачей трафика от устройств, передающих нетегированные кадры.
При конфигурации Native VLAN следует обращать внимание на следующие моменты :
• Номер Native VLAN на обоих интерфейсах транковой связи должен совпадать, иначе транк
может не работать.
• По-умолчанию, Native VLAN присвоен номер 1. В целях безопасности следует изменить этот
номер на такой, который не используется нигде в сети, или выделить для этой цели специальный
номер VLAN.

Switch(config-if)#switchport trunk native vlan vlan-id

Если существует несовпадение номеров Native VLAN на портах транковой связи, эту ошибку
можно определить с помощью CDP , если он используется – будет сообщаться об ошибке “native
VLAN mismatch”. В некоторых версиях Cisco IOS CDP может не передавать данных или
автоматически выключаться , если VLAN1 запрещен на транке. Если существует несовпадение
номеров Native VLAN на обоих стронах транка, могут возникать петли второго уровня, поскольку
BPDU протокола STP отправляются нетегированными. При проверке конфигураций следует
помнить, что каждый линк может иметь один назначенный номер Native VLAN в режиме доступа, и
совершенно другой – в режиме транка.

Ошибки транковых линий

Работу транковой линии определяют режим транка, тип инкапсуляции, домен VTP и
аппаратные возможности соединенных портов. Следует учитывать, что DTP-режим по-умолчанию -
dynamic auto, и если порт с другой стороны будет переведен в режим trunk, линия автоматически
переводится в режим транка. Из-за этого могут возникнуть проблемы с безопасностью, так как
порт начинает принимать трафик, предназначенный всем VLAN. При конфигурации портов следует
учитывать все комбинации режимов DTP пары портов, чтобы получить транковые линии и access-
порты там, где это предусмотрено проектом сети, а не там, где это станет неожиданностью.
При использовании DTP следует учитывать такие моменты:
• Имя VTP-домена на обоих коммутаторах должно быть одинаковым
• -Поскольку DTP –это проприетарный протокол Cisco, некоторые устройства в сети могут не
понимать кадры DTP, что может привести к ошибкам конфигурации. Рекомендуется выключать DTP
на портах, связанных с устройствами, не поддерживающими этот протокол.
Если Вы не планируете использовать линк в качестве транка, следует применить к
интерфейсам команду
switchport mode access
чтобы исключить возможность перевода в режим транка.
Чтобы использовать в качестве транка линк, связывающий с устройством, не
поддерживающим DTP, следует использовать команды
switchport mode trunk
switchport nonegotiate
на этом интерфейсе. Таким образом, порт будет переведен в режим транка, но не будет
генерировать DTP-кадры. Вне зависимости от поддержки DTP устройством, наиболее точным и
надежным способом избежать ошибок является статическая конфигурация транков.

Ошибки конфигурации VTP

Отсутствие обновлений чаще всего вызвано неверно сконфигурированным именем VTP-


домена, паролем или версией VTP (следует помнить, что версия по-умолчанию -1). Также возможна
ситуация, когда в базе данных отсутствуют некоторые VLAN. Это может быть вызвано несколькими
причинами:
• Неверное присоединение коммутатора к VTP-домену. Даже если он был переведен в режим
клиента, он может переписать базу данных на сервере, а затем и во всем домене, если не был
сброшен в 0 revision number, и он оказался больше, чем текущая конфигурация в домене;
• Также возможна ситуация, когда недостающие VLAN были вручную удалены с сервера.
• Еще одной причиной может быть отсутствие поддержки всеми коммутаторами
расширенного списка VLAN(с номерами больше 1005)
Следующие рекомендации позволят избежать подобных ошибок
• Четко планируйте
• границы VTP доменов. Далеко не всем коммутаторам в сети предприятия необходимо знать
о существовании всех VLAN. Рекомендуется ограничивать размер домена от коммутатора уровня
распределения. Также не рекомендуется использовать больше 2 коммутаторов в режиме сервера
(основной и резервный), остальные должны быть в режиме клиентов.
• Используйте пароль VTP, таким образом, ни один коммутатор не сможет стать частью VTP-
домена, имея только имя домена, которое может быть получено автоматически из объявлений VTP,
когда Вы этого вовсе не планируете. Используйте ручную конфигурацию VTP, в этом случае Вы
будете уверенны в назначенных режимах и именах доменов.
• При настройке нового VTP домена – сначала сконфигурируйте коммутаторы-клиенты, чтобы
они не рассылали никаких обновлений, только затем сервера – чтобы обновить конфигурацию на
клиентах.
• При кардинальных изменениях в конфигурации базы данных – смените пароль на
коммутаторах-серверах. Таким образом клиенты будут поддерживать рабочую конфигурацию, но
не смогут переписать базу данных или получить частичные обновления, пока не будет завершена
полная конфигурация серверов. Только после этого меняйте пароль на клиентах.