06. Multi-to-One VLAN-translation
Функция Multi-to-One VLAN-translation позволяет изменять тег пакетов нескольких VLAN одновременно на тэг нового VLAN на линиях uplink и возвращать оригинальный тэг в портах downlink.
6.2. Конфигурация Multi-to-One VLAN-translation
1. Настройка соответствия VLAN
2. Просмотр сконфигурированных соответствий
1. Настройка соответствия VLAN
Команда
Описание
vlan-translation n-to-1 to in
no vlan-translation n-to-1 to in
! В режиме конфигурации порта
Задать соответствие VLAN
Удалить соответствие VLAN
2. Просмотр сконфигурированных соответствий
Команда
Описание
! В Admin режиме
Просмотр сконфигурированных соответствий трансляции VLAN
6.3. Пример конфигурации Multi-to-One VLAN-translation
Пользователи User A, User B и User C принадлежат VLAN1, VLAN2, VLAN3 соответственно. До выхода в сеть оператора, трафик пользователей User A, User B и User C преобразовывается по VLAN 100 на порту Ethernet 1/0/1 пограничного коммутатора “Switch 1”. Трафик из сети оператора во VLAN 100, предназначенный пользователям User A, User B и User C будет преобразован во VLAN1, VLAN2, VLAN3. Точно такая же операция будет выполнена на порту Ethernet 1/0/1 пограничного коммутатора “Switch 2” для трафика пользователей User D, User E и User F.
Рисунок 24.1 топология Multi-to-One VLAN-translation
Объект
Описание конфигурации
Downlink port 1/0/1 and uplink port 1/0/5 of Switch1 and Switch 2
Downlink port 1/0/1 of Switch1 and Switch2
Конфигурация будет выглядеть следующим образом:
6.4. Решение проблем с Multi-to-One VLAN-translation
не используйте Multi-to-One VLAN-translation одновременно с Dot1q-tunnel;
не используйте Multi-to-One VLAN-translation одновременно с VLAN-translation;
одинаковые MAC-адреса не должны находиться в оригинальном и транслируемом VLAN.
05. VLAN-translation
5.2. Настройка VLAN-translation
1. Включение функции VLAN-translation на порту
2. Создание соответствия VLAN-translation на порту
3. Конфигурирование сброса пакетов при возникновении ошибок трансляции VLAN
4. Просмотр сконфигурированных соответствий VLAN-translation
1. Включение функции VLAN-translation на порту
Команда
Описание
no vlan-translation enable
! В режиме конфигурации порта
Включить функцию VLAN-translation на порту
Выключить функцию VLAN-translation на порту
2. Создание соответствия VLAN-translation на порту
Команда
Описание
no vlan-translation old-vlan-id
! В режиме конфигурации порта
Задать соответствие VLAN-translation
Удалить соответствие VLAN-translation
3. Конфигурирование сброса пакетов при возникновении ошибок трансляции VLAN
Команда
Описание
vlan-translation miss drop
no vlan-translation miss drop
! В режиме конфигурации порта
Сконфигурировать сброс пакетов
Отменить сброс пакетов
4. Просмотр сконфигурированных соответствий VLAN-translation
Команда
Описание
! В Admin режиме
Просмотр сконфигурированных соответствий трансляции VLAN
5.3. Конфигурация VLAN-translation
Сценарий:
Пограничные коммутаторы PE1 и PE2 Интернет-провайдера поддерживают VLAN 20 для передачи трафика между CE1 и CE2 из клиентской сети через собственный VLAN 3. Порт 1/0/1 PE1 Подключен к CE1, порт 1/0/10 подключен к публичной сети, порт 1/0/1 PE2 подключен к CE2, порт 1/0/10 подключен к публичной сети.
Объект
Описание конфигурации
Ethernet1/0/1 of PE1 and PE2.
Ethernet1/0/1 and Ethernet1/0/10 of PE1 and PE2.
Конфигурация будет выглядеть следующим образом:
5.4. Решение проблем с конфигурацией VLAN-translation
VLAN-translation используется только на портах в режиме Trunk;
При включенной функции VLAN-translation правила QoS применяются на VLAN после изменения тэга.
Виртуальные локальные сети (VLAN)
Q-in-Q VLAN
Формат кадра Q-in-Q
На рис. 6.18 изображены форматы обычного кадра Ethernet, кадра Ethernet с тегом 802.1Q, кадра Ethernet с двумя тегами 802.1Q.
Реализации Q-in-Q
Существует две реализации функции Q-in-Q: Port-based Q-in-Q и Selective Q-in-Q. Функция Port-based Q-in-Q по умолчанию присваивает любому кадру, поступившему на порт доступа граничного коммутатора провайдера, идентификатор SP-VLAN, равный идентификатору PVID порта. Порт маркирует кадр независимо от того, является он маркированным или немаркированным. При поступлении маркированного кадра в него добавляется второй тег с идентификатором, равным SP-VLAN. Если на порт пришел немаркированный кадр, в него добавляется только тег с SP-VLAN порта.
Функция Selective Q-in-Q является более гибкой по сравнению с Port-based Q-in-Q. Она позволяет:
Значения TPID в кадрах Q-in-Q
В теге VLAN имеется поле идентификатора протокола тега (TPID, Tag Protocol IDentifier), который определяет тип протокола тега. По умолчанию значение этого поля для стандарта IEEE 802.1Q равно 0x8100.
На устройствах разных производителей TPID внешнего тега VLAN кадров Q-in-Q может иметь разные значения по умолчанию. Для того чтобы кадры Q-in-Q могли передаваться по общедоступным сетям через устройства разных производителей, рекомендуется использовать значение TPID внешнего тега равное 0x88A8, согласно стандарту IEEE 802.1ad.
Роли портов в Port-based Q-in-Q и Selective Q-in-Q
Все порты граничного коммутатора, на котором используются функции Port-based Q-in-Q или Selective Q-in-Q, должны быть настроены как порты доступа (UNI) или Uplink-порты (NNI):
Политики назначения внешнего тега и приоритета в Q-in-Q
Базовая архитектура сети с функцией Port-based Q-in-Q
01. VLAN
Стандарт IEEE 802.1Q определяет процедуру передачи трафика VLAN.
Основная идея технологии VLAN заключается в том, что большая локальная сеть может быть динамически разделена на отдельные широковещательные области, удовлетворяющие различным требованиям, каждый VLAN представляет собой отдельный широковещательный домен.
Благодаря этим функциям технология VLAN предоставляет следующие возможности:
— Повышение производительности сети;
— Сохранение сетевых ресурсов;
— Оптимизация сетевого управления;
— Снижение стоимости сети;
— Повышение безопасности сети;
Ethernet-порт коммутатора может работать в трех режимах: Access, Trunk и Hybrid, каждый режим имеет различный метод обработки при передаче кадров с тэгом или без.
Порт в режиме Access относится только к одному VLAN, обычно используется для подключения конечных устройств, таких как персональный компьютер или WI-FI маршрутизатор в квартире или офисе.
Порт в режиме Trunk относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Обычно используется для соединения коммутаторов.
Порт в режиме Hybrid, также как и Trunk, относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Может использоваться как для подключения персональных компьютеров, так и для соединения коммутаторов.
Ethernet-порты в режимах Hybrid и Trunk могут принимать данные одним, но отправляют разными способами: Hybrid порт может отправлять пакеты в нескольких VLAN в нетэгированном виде, в то время как Trunk может отправлять трафик в нескольких VLAN только с тэгом, за исключением nativeVLAN.
1.2. Конфигурация VLAN
1. Создание и удаление VLAN
Команда
Описание
! В режиме глобальной конфигурации
Cоздание VLAN, вход в режим конфигурирования VLAN
2. Назначение и удаление имени VLAN
Команда
Описание
! В режиме конфигурации VLAN
Назначение имени VLAN
Удаление имени VLAN
3. Назначение портов коммутатора для VLAN
Команда
Описание
no switchport interface
! В режиме конфигурации VLAN
Добавление портов коммутатора во VLAN
Удаление портов коммутатора из VLAN
4. Выбор типа порта коммутатора
Команда
Описание
! В режиме конфигурации порта
Установка текущего порта в режим Trunk, Access или Hybrid
5. Настройка порта в режиме Trunk
Команда
Описание
switchport trunk allowed vlan
no switchport trunk allowed vlan
! В режиме конфигурации порта
Добавление VLAN в Trunk
Вернуть значение по-умолчанию
switchport trunk native vlan
no switchport trunk native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
6. Настройка порта в режиме Access
Команда
Описание
switchport access vlan
no switchport access vlan
! В режиме конфигурации порта
Добавление текущего порта в определенный VLAN.
Вернуть значение по-умолчанию
7. Настройка порта в режиме Hybrid
Команда
Описание
switchport hybrid allowed vlan
no switchport hybrid allowed vlan
! В режиме конфигурации порта
Создание/удаление VLAN, вход в режим конфигурирования VLAN
switchport hybrid native vlan
no switchport hybrid native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
8. Включение/выключение vlan ingress rules глобально
Команда
Описание
vlan ingress enable
no ingress disable
! В режиме конфигурации порта
Включение VLAN ingress rules
выключение VLAN ingress rules
9. Настройка private vlan
Команда
Описание
! В режиме конфигурации VLAN
Настройка текущего vlan в качестве Private VLAN.
Возвращение настроек по-умолчанию
10. Настройка ассоциаций private vlan
Команда
Описание
private vlan association
no private vlan association
! В режиме конфигурации VLAN
Выбрать vlan для ассоциации с private vlan
1.3. Пример конфигурации VLAN
Сценарий:
Представленная на рисунке 19.2, сеть разделена на 3 VLAN: VLAN2, VLAN100, VLAN200 по используемым приложениям, а также по соображениям безопасности. Эти VLAN расположены в разных локациях: A и B. Каждый из двух коммутаторов размещен в своей локации. Устройства в разных локациях могут быть объединены виртуальную локальную сеть, если трафик будет передаваться между коммутаторами A и B.
пункт конфигурации
описание
Коммутатор A и B: порт 2-4
Коммутатор A и B: порт 5-7
Коммутатор A и B: порт 8-10
Коммутатор A и B: порт 11
Соедините порты в режиме trunk на коммутаторах A и B друг с другом, подключите остальные сетевые устройства к соответствующим портам.
1.3.1. Пример конфигурации Hybrid порта
Сценарий:
ПК 1 подключен к интерфейсу Ethernet 1/0/7 Коммутатора “Switch B”, ПК2 подключен к интерфейсу Ethernet 1/0/9 коммутатора “Switch B”, интерфейс Ethernet 1/0/10 “Switch A” подключен к порту Ethernet 1/0/10 коммутатора “Switch B”
Для безопасности ПК1 и ПК2 не должны иметь возможность взаимодействовать друг с другом, но должны иметь доступ к сетевым ресурсам, находящимся за “Switch A”.
Необходимо настроить коммутаторы следующим образом:
Порт
PVID
VLAN, которые может пропускать
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
VLAN для начинающих. Общие вопросы
Виртуализацией сегодня уже никого не удивить. Эта технология прочно вошла в нашу жизнь и помогает более эффективно использовать имеющиеся ресурсы, а также обеспечивает достаточную гибкость в изменении существующей конфигурации, позволяя перераспределять ресурсы буквально налету. Не обошла виртуализация и локальные сети. Технология VLAN (Virtual Local Area Network) позволяет создавать и гибко конфигурировать виртуальные сети поверх физической. Это позволяет реализовывать достаточно сложные сетевые конфигурации без покупки дополнительного оборудования и прокладки дополнительных кабелей.
Прежде чем продолжить сделаем краткое отступление о работе локальных сетей. В данном контексте мы будем говорить об Ethernet-сетях описанных стандартом IEEE 802.3, куда входят всем привычные проводные сети на основе витой пары. Основой такой сети является коммутатор (свич, switch), который работает на втором уровне сетевой модели OSI (L2).
Коммутатор анализирует заголовки каждого входящего кадра и заносит соответствие MAC-адреса источника в специальную MAC-таблицу, после чего кадр, адресованный этому узлу, будет направляться сразу на определенный порт, если МАС-адрес получателя неизвестен, то кадр отправляется на все порты устройства. После получения ответа коммутатор привяжет MAC-адрес к порту и будет отправлять кадры только через него.
Как мы уже говорили выше, к широковещанию прибегает сам коммутатор, когда получает кадр MAC-адрес которого отсутствует в MAC-таблице, а также узлы сети, отправляя кадры на адрес FF:FF:FF:FF:FF:FF, такие кадры будут доставлены всем узлам сети в широковещательном сегменте.
А теперь вернемся немного назад, к доменам коллизий и вспомним о том, что в нем может передаваться только один кадр одновременно. Появление широковещательных кадров снижает производительность сети, так как они доставляются и тем, кому надо и тем, кому не надо. Делая невозможным в это время передачу целевой информации. Кроме того, записи в MAC-таблице имеют определенное время жизни, по окончании которого они удаляются, что снова приводит к необходимости рассылки кадра на все порты устройства.
Чем больше в сети узлов, тем острее стоит проблема широковещания, поэтому широковещательные домены крупных сетей принято разделять. Это уменьшает количество паразитного трафика и увеличивает производительность, а также повышает безопасность, так как ограничивает передачу кадров только своим широковещательным доменом.
Как это можно сделать наиболее простым образом? Установить вместо одно коммутатора два и подключить каждый сегмент к своему коммутатору. Но это требует покупки нового оборудования и, возможно, прокладки новых кабельных сетей, поэтому нам на помощь приходит технология VLAN.
Давайте рассмотрим, как работает коммутатор с виртуальными сетями. В нашем примере мы возьмем условный 8-портовый коммутатор и настроим на нем три порта на работу с одним VLAN, а еще три порта с другим.
Каждый VLAN обозначается собственным номером, который является идентификатором виртуально сети. Порты, которые не настроены ни для какого VLAN считаются принадлежащими Native VLAN, по умолчанию он обычно имеет номер 1 (может отличаться у разных производителей), поэтому не следует использовать этот номер для собственных сетей. Порты, настроенные нами для работы с VLAN, образуют как-бы два отдельных виртуальных коммутатора, передавая кадры только между собой. Каким образом это достигается?
В порт, принадлежащий определенному VLAN, могут быть отправлены только пакеты с тегом, принадлежащим этому VLAN, остальные будут отброшены. Фактически мы только что разделили единый широковещательный домен на несколько меньших и трафик из одного VLAN никогда не попадет в другой, даже если эти подсети будут использовать один диапазон IP. Для конечных узлов сети такой коммутатор нечем ни отличается от обычного. Вся обработка виртуальных сетей происходит внутри.
Такие порты коммутатора называются портами доступа или нетегированными портами (access port, untagged). Обычно они используются для подключения конечных узлов сети, которые не должны ничего знать об иных VLAN и работать в собственном сегменте.
А теперь рассмотрим другую картину, у нас есть два коммутатора, каждый из которых должен работать с обоими VLAN, при этом соединены они единственным кабелем и проложить дополнительный кабель невозможно. В этом случае мы можем настроить один или несколько портов на передачу тегированного трафика, при этом можно передавать как трафик любых VLAN, так и только определенных. Такой порт называется магистральным (тегированным) или транком (trunk port, tagged).
Магистральные порты используются для соединения сетевого оборудования между собой, к конечным узлам сети тегированный трафик обычно не доставляется. Но это не является догмой, в ряде случаев тегированный трафик удобнее доставить именно конечному узлу, скажем, гипервизору, если он содержит виртуальные машины, принадлежащие разным узлам сети.
Так как кадр 802.1Q отличается от обычного Ehternet-кадра, то работать с ним могут только устройства с поддержкой данного протокола. Если на пути тегированного трафика попадется обычный коммутатор, то такие кадры будут им отброшены. В случае доставки 802.1Q кадров конечному узлу сети такая поддержка потребуется от сетевой карты устройства. Если на магистральный порт приходит нетегированный трафик, то ему обычно назначается Native VLAN.
Как работает эта схема? Допустим ПК из синей сети (VLAN ID 40), хочет обратиться к другому узлу синей сети. IP-адрес адресата ему известен, но для того, чтобы отправить кадр нужно знать физический адрес устройства. Для этого ПК источник делает широковещательный ARP-запрос, передавая в нем нужный ему IP-адрес, в ответ на него обладатель этого IP сообщит ему собственный MAC-адрес.
Все кадры, попадающие с порта доступа в коммутатор, получают тег с VLAN ID 40 и могут покинуть коммутатор только через порты, принадлежащие этому VLAN или транк. Таким образом любые широковещательные запросы не уйдут дальше своего VLAN. Получив ответ узел сети формирует кадр и отправляет его адресату. Далее в дело снова вступают коммутаторы, сверившись с MAC-таблицей они отправляют кадр в один из портов, который будет либо принадлежать своему VLAN, либо будет являться магистральным. В любом случае кадр будет доставлен по назначению без использования маршрутизатора, только через коммутаторы.
Совсем иное дело, если узел одного из VLAN хочет получить доступ к узлу другого VLAN. В нашем случае узел из красной сети (VLAN ID 30) хочет получить доступ к узлу синей сети (VLAN ID 40). Узел источник знает IP-адрес адресата и также знает, что этот адрес не принадлежит его сети. Поэтому он формирует IP-пакет на адрес основного шлюза сети (роутера), помещает его в Ethernet-кадр и отправляет на порт коммутатора. Коммутатор добавляет к кадру тег с VLAN ID 30 и доставляет его роутеру.
Роутер получает данный кадр, извлекает из него IP-пакет и анализирует заголовки. Обнаружив адрес назначения, он сверяется с таблицей маршрутизации и принимает решение куда отправить данный пакет дальше. После чего формируется новый Ethernet-кадр, который получает тег с новым VLAN ID сети-получателя в него помещается IP-пакет, и он отправляется по назначению.
Таким образом любой трафик внутри VLAN доставляется только с помощью коммутаторов, а трафик между VLAN всегда проходит через маршрутизатор, даже если узлы находятся в соседних физических портах коммутатора.
Говоря о межвлановой маршрутизации нельзя обойти вниманием такие устройства как L3 коммутаторы. Это устройства уровня L2 c некоторыми функциями L3, но, в отличие от маршрутизаторов, данные функции существенно ограничены и реализованы аппаратно. Этим достигается более высокое быстродействие, но пропадает гибкость применения. Как правило L3 коммутаторы предлагают только функции маршрутизации и не поддерживают технологии для выхода во внешнюю сеть (NAT) и не имеют брандмауэра. Но они позволяют быстро и эффективно осуществлять маршрутизацию между внутренними сегментами сети, в том числе и между VLAN.
Маршрутизаторы предлагают гораздо большее число функций, но многие из них реализуются программно и поэтому данный тип устройств имеет меньшую производительность, но гораздо более высокую гибкость применения и сетевые возможности.
При этом нельзя сказать, что какое-то из устройств хуже, каждое из них хорошо на своем месте. Если мы говорим о маршрутизации между внутренними сетями, в том числе и о межвлановой маршрутизации, то здесь предпочтительно использовать L3 коммутаторы с их высокой производительностью, а когда требуется выход во внешнюю сеть, то здесь нам потребуется именно маршрутизатор, с широкими сетевыми возможностями.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 