Применение сетевого оборудования в промышленности требует учета параметров среды, в которой должны работать устройства. Например, оборудование, предназначенное для установки на заводах, должно выдерживать более широкий диапазон температур, вибраций, физических загрязнений и электрических помех, чем оборудование, устанавливаемое в обычных монтажных телекоммуникационных шкафах. Поскольку управление критически важными процессами может зависеть от канала Ethernet, экономическая стоимость падения связи может быть высокой, и поэтому важным критерием является высокая доступность. Промышленные коммутаторы L2 предназначены для установки на особо важных объектах, заводах и в производственных помещения. Устройства industrial ethernet могут работать при низких температурах, а также имеют повышенную устойчивость к пыли (уровень защиты IP40). Также существуют коммутаторы ip67 , имеющие полную защиту от пыли и выдерживающие погружение в воду на глубину до 1 метра (уровень защиты IP67).
Серия Gazelle - это управляемые промышленные ethernet коммутаторы , предназначенные для автоматизации производства, силовых ведомств, электроэнергетики и др. Устройства могут работать при низких температурах, а также имеют повышенную устойчивость к пыли (уровень защиты IP40 и GB/T 17626.5) и грозозащиту до 6000 вольт.
Базовая настройка коммутатора состоит из нескольких этапов: задание имени хоста и описания портов, настройка VLAN, настройка протокола кольца и включение мониторинга устройства. В следующих пунктах статьи приводятся примеры настройки.
1. Настройка описания портов и hostname
Чтобы было проще определить, какие устройства подключены к интерфейсам коммутатора, рекомендуется задавать портам параметр description . Таким образом обычно описывают, к какому оборудованию или в какое помещение идет кабель из данного порта. Это делается в режиме конфигурации интерфейса командой:
description text
Raisecom является стандартным именем хоста. Рекомендуется менять его на название устройства или места, где оно установлено.
Raisecom#hostname SwitchA
SwitchA#
2. Настройка VLAN
Основное применение VLAN заключается в разделении сети на отдельные логические сегменты. На коммутаторе создается несколько VLAN, а хосты, которые подключаются к устройству, делятся между ними. Таким образом, общаться между собой могут только узлы, находящиеся в одном VLAN. Например, финансовый и IT отделы должены быть помещены в разные подсети, чтобы они не могли получить доступ друг к другу.
Существует 2 режима интерфейса: Trunk и Access. Порты в режиме Access обычно используются для подключения пользовательских устройств, например ПК, телефонов или камер, т.е. организации услуг доступа. Такие интерфейсы пропускают в сторону клиентских устройств пакеты только с уникальным идентификатором своего VLAN и «тегируют» пакеты от них. Пакеты других VLAN отбрасываются.
Порты в режиме Trunk обычно используются для связи коммутаторов между собой. Для них настраивается список VLAN, которые им разрешено пропускать через себя, и все пакеты с тегами этих VLAN будут передаваться через такие порты. Другие пакеты будут отбрасываться.
Существует Native VLAN . Трафик этого VLAN не тегируется даже в Trunk , по умолчанию это 1-й VLAN и по умолчанию он разрешён. Эти параметры можно переопределить. Нужен Native VLAN для совместимости с устройствами, незнакомыми с инкапсуляцией 802.1q. Например, если нужно через Wi-Fi мост передать три VLAN , и один из них является VLAN управления. Если Wi-Fi-модули не понимают стандарт 802.1q, то управлять ими можно, только если этот VLAN настроить, как Native VLAN с обеих сторон.
2.1 Настройка пользовательских VLAN и VLAN управления
Обычно в целях безопасности рекомендуется разделять пользовательский трафик и трафик управления системой. Поэтому для подключения к коммутатору создают отдельный VLAN и задают в нем IP-адрес для подключения по протоколу telnet или ssh. Создадим VLAN 100 и VLAN 200, активируем их, настроим VLAN 200 для управления по адресу 192.168.4.28, а VLAN 100 как пользовательский.
Raisecom(config-gigaethernet1/1/1)#switchport access vlan 100
Raisecom(config)#interface gigaethernet 1/1/2
Raisecom(config-gigaethernet1/1/1)#switchport mode access
Raisecom(config-gigaethernet1/1/1)#switchport access vlan 200
Raisecom(config)#interface ip 1
Raisecom(config-ip1)#ip address 192.168.4.28 255.255.255.0 200
2.2 Настройка Voice VLAN
Иногда требуется разделить голосовой трафик и передачу остальных данных по разным VLAN. Можно настроить интерфейс GE 1/1/1 в режиме Trunk, пустить передачу данных по Native VLAN (VLAN 100), а голосовой трафик по Voice VLAN (VLAN 200 ). Создадим VLAN 100 и VLAN 200, активируем их, настроим VLAN 200 как Voice VLAN:
Raisecom(config)#create vlan 100,200 active
Raisecom(config)#interface gigaethernet 1/1/1
Raisecom(config-gigaethernet1/1/1)#switchport mode trunk
Raisecom(config-gigaethernet1/1/1)#switchport trunk native vlan 100
Raisecom(config-gigaethernet1/1/1)#voice-vlan 200 enable
3. Настройка протокола кольца на примере RSTP
С усложнением структуры сетей и ростом числа коммутаторов в них петли в сети Ethernet становятся большой проблемой. Из-за механизма пакетной широковещательной передачи петля заставляет сеть генерировать большие объемы данных, в результате чего снижается пропускная способность сети и оказывается серьезное влияние на пересылку обычных данных. Сетевой шторм, вызванный петлей, показан на рисунке.
Spanning Tree Protocol (STP) соответствует стандарту IEEE 802.1d и используется для удаления петель. Gazelle S1112i, на которых работает STP, будут обрабатывать пакеты Bridge Protocol Data Unit (BPDU) для выбора корневого коммутатора, корневого порта и designated порта. Интерфейс петли блокируется логически в соответствии с результатами выбора, обрезая структуру петлевой сети до древовидной структуры, которая имеет Gazelle S1112i-PWR в качестве корня. Это предотвращает непрерывное распространение, неограниченную циркуляцию пакетов в петле, широковещательные штормы и снижение производительности обработки пакетов, вызванной повторным приемом одних и тех же пакетов.
Основным недостатком STP является низкая скорость сходимости. Сходимость означает состояние, когда выбраны корневой коммутатор, корневые и designated порты, эти порты переведены в режим пропуска трафика, а остальные порты в режим блокировки трафика. Для улучшения медленной скорости сходимости STP IEEE 802.1w устанавливает протокол быстрого связующего дерева (RSTP), который ускоряет механизм изменения состояния блокировки интерфейса на состояние пересылки.
Пример настройки на Gazelle S1112i описан ниже.
Включим RSTP, поставим приоритет Switch A равным 0, и стоимость пути от Switch B к Switch A равной 10.
Включим RSTP на Switch A, Switch B, и Switch C
Raisecom#hostname SwitchA
SwitchA#config
SwitchA(config)#spanning-tree enable
SwitchA(config)#spanning-tree mode rstp
Raisecom#hostname SwitchB
SwitchB#config
SwitchB(config)#spanning-tree enable
SwitchB(config)#spanning-tree mode stp
Raisecom#hostname SwitchC
SwitchC#config
SwitchC(config)#spanning-tree enable
SwitchC(config)#spanning-tree mode stp
Настроим интерфейсы
SwitchA(config)#interface port 1
SwitchA(config-port)#exit
SwitchA(config-port)#switchport mode trunk
SwitchA(config-port)#exit
SwitchB(config-port)#exit
SwitchB(config)#interface port 2
SwitchB(config-port)#switchport mode trunk
SwitchB(config-port)#exit
SwitchC(config)#interface port 1
SwitchC(config-port)#exit
SwitchC(config)#interface port 2
SwitchC(config-port)#switchport mode trunk
SwitchC(config-port)#exit
Настроим приоритеты
SwitchA(config)#spanning-tree priority 0
SwitchA(config)#interface port 2
SwitchA(config-port)#spanning-tree extern-path-cost 10
SwitchB(config)#interface port 1
SwitchB(config-port)#spanning-tree extern-path-cost 10
4. Настройка мониторинга SNMP v2
Simple Network Management Protocol (SNMP) разработан Инженерной группой по Интернету (IETF) для решения проблем управления сетевыми устройствами, подключенными к Интернету. Через SNMP система может управлять всеми сетевыми устройствами, которые поддерживают SNMP, включая мониторинг состояния сети, изменение конфигурации сетевого устройства, и получение сетевых аварийных сигналов. SNMP является наиболее широко используемым протоколом управления сетью в TCP / IP. SNMP разделен на две части: агент и NMS. Агент и NMS взаимодействуют посредством пакетов SNMP, отправляемых через UDP.
Существует несколько версий протокола SNMP:
SNMP v1 использует механизм аутентификации имени сообщества. Имя сообщества - строка, определенная агентом, действует как пароль. Система управления сетью может подключаться к агенту только путем правильного указания имени его сообщества. Если имя сообщества, содержащееся в пакете SNMP, не будет принято Gazelle S1112i-PWR, пакет будет отброшен.
SNMP v2c также использует механизм аутентификации имени сообщества. SNMP V2c поддерживает больше типов операций, типов данных и кодов с ошибками, что позволяет лучше идентифицировать ошибки.
Рассмотрим пример настройки протокола SNMP.
Настроим IP адрес коммутатора
Raisecom#config
Raisecom(config)#interface ip 0
Raisecom(config-ip)#ip address 20.0.0.10 255.255.255.0 1
Raisecom(config-ip)#exit
Настроим SNMP v1/v2c view
Raisecom(config)#snmp-server view mib2 1.3.6.1.2.1 included
Создадим SNMP v1/v2c community
Raisecom(config)#snmp-server community raisecom view mib2 ro
Включим отправку Trap
Raisecom(config)#snmp-server enable traps
Raisecom(config)#snmp-server host 20.0.0.221 version 2c raisecom
Заключение
В статье было приведено описание индустриальных коммутаторов и их отличия от Enterprise версий. Также были перечислены основные этапы базовой настройки коммутатора ethernet с примерами команд.
В эпоху информационных технологий и интернета все чаще и шире применяются коммутаторы. Они представляют собой особые устройства, использующиеся для передачи пакетов документов на всех адреса сети одновременно. Данную особенность коммутаторов сложно переоценить, поскольку все офисы работают на базе данной функции. Коммутаторы запоминают все текущие адреса работающих станций и устройств, а также проводят фильтрацию трафика по определенной схеме, заданной специалистами. В подходящий момент они открывают порт и проводят пересылку назначенного пакета по всем адресатам.
Для настройки коммутаторов часто используется таблица модульных коммутаторов L3 . Настройка должна осуществляться в следующем порядке. Сначала коммутатор подключается к блоку питания, а он – через розетку к электропитанию. Затем берется сетевой кабель, который обеспечивает соединение коммутатора с сетевой платой вашего компьютера. Здесь следует быть крайне осторожными – на проводках витой пары должны иметься наконечники со спутанными контактами. Все это предусмотрено в инструкции, указанной в техническом паспорте коммутатора.
Приступите к настройке сетевой карты. Для этого нажмите меню «Пуск», выберите в открывшемся меню вкладку «Панель управления». В отрывшемся окне найдите и откройте «Сеть и сетевые подключения». Выделите свою сетевую карту при помощи правой кнопкой мыши. Во вкладке «Подключение по локальной сети» следует активировать раздел «Свойства», после чего прокрутить список вниз до конца, где будет строчка «Протокол Интернет (TCP/IP)». Там нажмите на кнопку «Свойства» и укажите маску и адрес подсети. Во вкладке под названием «Общие» следует прописать IP адрес 192.168.0.2, а также оформить маску подсети, введя цифры 255.255.255.0, после чего следует подтвердить правильность всех записей.
На следующем этапе вы должны будете проверить работу коммутатора. Затем через служебную команду под названием ping следует ввести сетевой адрес своего компьютера в сети, после чего задать отсылку данных через ping 192.168.0.2. Делается это в бесконечном режиме, но если вы захотите его остановить, тогда нужно будет нажать комбинацию клавиш Ctrl+C. Программа сразу же выдаст уведомление о потере данных, возникших при передаче.
Рассмотрим более детально на конкретном примере - настройка коммутатора CISCO CATALYST СЕРИЙ 2900XL И 3500.
Интеллектуальные свитчи (по-русски коммутаторы) Cisco Catalyst серий 2900XL и 3500 предназначены для крупных корпоративных сетей. Они представляют собой коммутаторы высокого класса с микропроцессорным управлением, флэш-памятью, объёмом 4 Мб и DRAM-памятью объёмом 8 Мб. На данных устройствах обычно установлена специализированная операционная система Cisco IOS.
В данной статье я буду преимущественно говорить о версии 12.0.x. (отличия версий, в основном, в вебинтерфейсе и поддержке тех или иных технологий). На каждый из коммутаторов может быть установлено программное обеспечение стандартного (Standard Edition) и расширенного типа (Enterprise Edition). В enterprise edition входят:
- поддержка магистралей 802.1Q,
- протокол TACACS+ для единой авторизации на свитчах,
- модифицированная технология ускоренного выбора Spanning Tree (Cisco Uplink Fast) и др.
Данные свитчи предоставляют множество сервисных возможностей. Кроме этого, они идеально подходят для крупных сетей, так как имеют высокую пропускную способность - до 3-х миллионов пакетов в секунду, большие таблицы адресов (ARP cache) - 2048 mac адресов для Catalyst 2900XL и 8192 для Catalyst 3500, поддерживают кластеризацию и виртуальные сети (VLAN), предоставляют аппаратную безопасность портов (к порту может быть подключено только устройство с определённым mac адресом), поддерживают протокол SNMP для управления, используют удалённое управление через веб-интерфейс и через командную строку (т.е. через telnet или модемный порт). Кроме этого, имеется возможность мониторинга портов, т.е. трафик с одного порта (или портов) отслеживается на другом. Многим покажется полезной возможность ограничивать широковещательный трафик на портах, предотвращая тем самым чрезмерную загрузку сети подобными пакетами. Исходя из всего этого, можно утверждать, что выбор свитчей Cisco Catalyst является идеальным для крупных и средних сетей, так как несмотря на высокую стоимость (>1500$), они предлагают широкий выбор сервисных функций и обеспечивают хорошую пропускную способность. Наиболее привлекательными возможностями данных свитчей являются: организация виртуальных сетей (в дальнейшем VLAN), полностью изолированных друг от друга, но синхронизированных между свитчами в сети, и возможность кластеризации для единого входа в систему управления свитчами и наглядного изображения топологии сети (для веб-интерфейса). Перспективным является использование многопортового свитча в качестве центрального элемента сети (в звездообразной архитектуре). Хотя свитчи поставляются с подробной документацией, но она вся на английском языке и нередко не сообщает некоторых вещей, а иногда, напротив, бывает слишком избыточной. Для начала хотел бы рассказать о первоначальной настройке свитча.
Присоединение консольного кабеля:
Подключите поставляемый плоский провод в разъём на задней панели коммутатора с маркой console.
Подключите другой конец кабеля к com-порту компьютера через соответствующий переходник и запустите программу-эмулятор терминала (например, HyperTerminal или ZOC). Порт консоли имеет следующие характеристики:
а) 9600 бод;
b) Нет чётности;
c) 8 бит данных;
d) 1 бит остановки.
Важное замечание для кластера (объединения нескольких коммутаторов): если вы хотите использовать коммутатор в качестве члена кластера, то можно не присваивать ему IP адрес и не запускать построитель кластера. В случае командного свитча, вам необходимо выполнить следующий пункт.
Присвоение IP коммутатору.
В первый раз, когда вы запускаете свитч, то он запрашивает IP адрес.
Если вы назначаете ему оный, что весьма желательно, то он может конфигурироваться через Telnet.
Необходимые требования к IP
Перед установкой необходимо знать следующую информацию о сети:
IP адрес свитча.
Маска подсети.
Шлюз по умолчанию (его может и не быть).
Ну и пароль для свитча (хотя, скорее всего лучше это придумать самому).
Первый запуск
Выполняйте следующие действия для присвоения коммутатору IP адреса:
Шаг 1. Нажмите Y при первой подсказке системы:
|
Continue with configuration dialog? |
|
: y |
Шаг 2 . Введите IP адрес:
Шаг 5 . Введите IP адрес шлюза:
|
IP address of the default gateway: |
Шаг 6 . Введите имя хоста коммутатора:
Создался следующий файл конфигурации:
|
Initial configuration: interface VLAN1 ip address 172.16.01.24 255.255.0.0 ip default-gateway 172.16.01.01 enable secret 5 $1$M3pS$cXtAlkyR3/ 6Cn8/ snmp community private rw snmp community public ro end Use this configuration. : Continue with configuration dialog. : y |
Шаг 8 . Если всё нормально - жмите Y; нет - N (только учтите, что пароль хранится в зашифрованном виде).
Базовая настройка коммутатора Cisco
Топология
Таблица адресации
Задачи
Часть 1. Создание сети и проверка настроек коммутатора по умолчанию Часть 2. Настройка базовых параметров сетевых устройств
- Настройте базовые параметры коммутатора.
- Настройте IP-адрес для ПК.
Часть 3. Проверка и тестирование сетевого соединения
- Отобразите конфигурацию устройства.
- Протестируйте сквозное соединение, отправив эхо-запрос.
- Протестируйте возможности удалённого управления с помощью Telnet.
- Сохраните файл текущей конфигурации коммутатора.
- Запишите MAC-адрес узла.
- Определите МАС-адреса, полученные коммутатором.
- Перечислите параметры команды show mac address-table.
- Назначьте статический MAC-адрес.
Исходные данные/сценарий
На коммутаторах Cisco можно настроить особый IP-адрес, который называют виртуальным интерфейсом коммутатора (SVI). SVI или адрес управления можно использовать для удалённого доступа к коммутатору в целях отображения или настройки параметров. Если для SVI сети VLAN 1 назначен IP-адрес, то по умолчанию все порты в сети VLAN 1 имеют доступ к IP-адресу управления SVI.
В ходе данной лабораторной работы вам предстоит построить простую топологию, используя Ethernet-кабель локальной сети, и получить доступ к коммутатору Cisco, используя консольное подключение и методы удалённого доступа. Перед настройкой базовых параметров коммутатора нужно проверить настройки коммутатора по умолчанию. К этим базовым настройкам коммутатора относятся имя устройства, описание интерфейса, локальные пароли, баннер MOTD (сообщение дня), IP-адресация, назначение статического МАС-адреса и демонстрация использования административного IP-адреса для удалённого управления коммутатором. Топология состоит из одного коммутатора и одного узла, который использует только порты Ethernet и консоли.
Примечание. В лабораторной работе используется коммутатор Cisco Catalyst 2960 под управлением ОС Cisco IOS 15.0(2) (образ lanbasek9). Допускается использование других моделей коммутаторов и других версий ОС Cisco IOS. В зависимости от модели устройства и версии Cisco IOS доступные команды и выходные данные могут отличаться от данных, полученных при выполнении лабораторных работ.
Примечание. Убедитесь, что информация из коммутатора удалена, и он не содержит файла загрузочной конфигурации. Процедуры, необходимые для инициализации и перезагрузки устройств, приводятся в приложении А.
Необходимые ресурсы:
- 1 коммутатор (Cisco 2960 под управлением ОС Cisco IOS 15.0(2), образ lanbasek9 или аналогичная модель);
- 1 ПК (под управлением ОС Windows 7, Vista или XP с программой эмулятора терминала, например Tera Term, и поддержкой Telnet);
- консольный кабель для настройки устройства Cisco IOS через порт консоли;
- кабель Ethernet, как показано в топологии.
Часть 1. Создание сети и проверка настроек коммутатора по умолчанию
В первой части лабораторной работы вам предстоит настроить топологию сети и проверить настройку коммутатора по умолчанию.
Шаг 1: Подключите кабели в сети в соответствии с топологией.
- Установите консольное подключение в соответствии с топологией. На данном этапе не подключайте кабель Ethernet компьютера PC-A.
- Установите консольное подключение к коммутатору от PC-A с помощью Tera Term или другой программы эмуляции терминала.
Примечание. При использовании Netlab можно отключить интерфейс F0/6 на коммутаторе S1, что имеет такой же эффект как отсутствие подключения между компьютером PC-A и коммутатором S1.
Шаг 2: Проверьте настройки коммутатора по умолчанию.
На данном этапе вам нужно проверить такие параметры коммутатора по умолчанию, как текущие настройки коммутатора, данные IOS, свойства интерфейса, сведения о VLAN и флеш-память.
Все команды IOS коммутатора можно выполнять из привилегированного режима. Доступ к привилегированному режиму нужно ограничить с помощью пароля, чтобы предотвратить неавторизованное использование устройства - через этот режим можно получить прямой доступ к режиму глобальной конфигурации и командам, используемым для настройки рабочих параметров. Пароли можно будет настроить чуть позже.
К привилегированному набору команд относятся команды пользовательского режима, а также команда configure, при помощи которой выполняется доступ к остальным командным режимам. Введите команду enable, чтобы войти в привилегированный режим EXEC.
a. Если в энергонезависимом ОЗУ (NVRAM) коммутатора не хранится какой-либо файл конфигурации, вы окажетесь в командной строке пользовательского режима коммутатора со строкой Switch>. Введите команду enable, чтобы войти в привилегированный режим EXEC.
Switch> enable
Switch#
Обратите внимание, что изменённая в конфигурации строка будет отражать привилегированный режим EXEC.
Проверьте, что конфигурационный файл пустой с помощью команды show running-config привилегированного режима. Если конфигурационный файл был предварительно сохранён, его нужно удалить. В зависимости от модели коммутатора и версии IOS, ваша конфигурация может выглядеть немного иначе. Тем не менее, настроенных паролей или IP-адресов в конфигурации быть не должно. Выполните очистку настроек и перезагрузите коммутатор, если ваш коммутатор имеет настройки, отличные от настроек по умолчанию.
Примечание. В приложении А подробно изложен процесс инициализации и перезагрузки устройств.
b. Изучите текущий файл “running configuration”.
Switch# show running-config
c. Изучите файл загрузочной конфигурации (startup configuration), который содержится в энергонезависимом ОЗУ (NVRAM).
Switch# show startup-config
startup-config is not present
d. Изучите характеристики SVI для VLAN 1.
Switch# show interface vlan1
e. Изучите IP-свойства интерфейса SVI сети VLAN 1.
Switch# show ip interface vlan1
f. Подключите Ethernet-кабель компьютера PC-A к порту 6 на коммутаторе и изучите IP-свойства интерфейса SVI сети VLAN 1. Дождитесь согласования параметров скорости и дуплекса между коммутатором и ПК.
Примечание. При использовании Netlab включите интерфейс F0/6 на коммутаторе S1. Switch# show ip interface vlan1
g. Изучите сведения о версии ОС Cisco IOS на коммутаторе.
Switch# show version
h. Изучите свойства по умолчанию интерфейса FastEthernet, который используется компьютером PC-A.
Switch# show interface f0/6
i. Изучите параметры сети VLAN по умолчанию на коммутаторе.
Switch# show vlan
j. Изучите флеш-память.
Выполните одну из следующих команд, чтобы изучить содержимое флеш-каталога.
Switch# show flash
Switch# dir flash:
В конце имени файла указано расширение, например.bin. Каталоги не имеют расширения файла.
Часть 2. Настройка базовых параметров сетевых устройств
Во второй части лабораторной работы вам предстоит настроить базовые параметры коммутатора и ПК.
Шаг 1: Настройте базовые параметры коммутатора, в том числе имя узла, локальные пароли, баннер MOTD (сообщение дня), адрес управления и доступ через Telnet.
На данном этапе вам нужно настроить ПК и базовые параметры коммутатора, в том числе имя узла и IP-адрес для административного SVI на коммутаторе. Назначение IP-адреса коммутатору - это лишь первый шаг. Как сетевой администратор, вы должны определить, как будет осуществляться управление коммутатором. Telnet и SSH представляют собой два наиболее распространённых метода управления. Однако Telnet не является безопасным протоколом. Вся информация, проходящая между двумя устройствами, отправляется в незашифрованном виде. Используя захват с помощью анализатора пакетов, злоумышленники могут легко прочитать пароли и другие значимые данные.
a. Если в памяти NVRAM коммутатора не хранится файл конфигурации, убедитесь, что вы находитесь в привилегированном режиме. Если строка изменилась на Switch>, введите enable.
Switch> enable
Switch#
b. Войдите в режим глобальной конфигурации.
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Строка снова изменилась для отображения режима глобальной конфигурации.
c. Задайте коммутатору имя узла.
Switch(config)# hostname
S1 S1(config)#
d. Настройте шифрование пароля.
S1(config)# service password-encryption
S1(config)#
e. Задайте class в качестве секретного пароля для доступа в привилегированный режим.
S1(config)# enable secret class
S1(config)#
f. Запретите нежелательный поиск в DNS.
S1(config)# no ip domain-lookup
S1(config)#
g. Настройте баннер MOTD (сообщение дня).
S1(config)# banner motd #
Enter Text message. End with the character ‘#’.
Unauthorized access is strictly prohibited. #
h. Проверьте настройки доступа, переключаясь между режимами.
S1(config)# exit
S1#
*Mar 1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console
S1# exit
S1 con0 is now available
Press RETURN to get started.
Unauthorized access is strictly prohibited.
S1>
i. Вернитесь из пользовательского режима в привилегированный режим. При запросе пароля введите class.
S1> enable
Password:
S1#
Примечание.
При вводе пароль не отображается.
j. Войдите в режим глобальной конфигурации, чтобы назначить коммутатору IP-адрес SVI. Благодаря этому вы получите возможность удалённого управления коммутатором.
Прежде чем вы сможете управлять коммутатором S1 удалённо с компьютера PC-A, коммутатору нужно назначить IP-адрес. Согласно конфигурации коммутатора по умолчанию управление коммутатором должно осуществляться через VLAN 1. Однако в базовой конфигурации коммутатора не рекомендуется назначать VLAN 1 в качестве административной VLAN.
Для административных целей используйте VLAN 99. Выбор VLAN 99 является случайным, поэтому вы не обязаны использовать VLAN 99 всегда.
Итак, для начала создайте на коммутаторе новую VLAN 99. Затем настройте IP-адрес коммутатора на 192.168.1.2 с маской подсети 255.255.255.0 на внутреннем виртуальном интерфейсе (SVI) VLAN
99.
S1# configure terminal
S1(config)# vlan 99
S1(config-vlan)# exit
S1(config)# interface vlan99
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down
S1(config-if)# ip address 192.168.1.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
Обратите внимание, что интерфейс VLAN 99 выключен, несмотря на то, что вы ввели команду no shutdown. В настоящее время интерфейс выключен, поскольку сети VLAN 99 не назначены порты коммутатора.
k. Ассоциируйте все пользовательские порты с VLAN 99.
S1(config)# interface range f0/1 – 24,g0/1 - 2
S1(config-if-range)# switchport access vlan 99
S1(config-if-range)# exit
S1(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Чтобы установить подключение между узлом и коммутатором, порты, используемые узлом, должны находиться в той же VLAN, что и коммутатор. Обратите внимание, что в выходных данных выше интерфейс VLAN 1 выключен, поскольку ни один из портов не назначен сети VLAN 1. Через несколько секунд VLAN 99 включится, потому что как минимум один активный порт (F0/6, к которому подключён компьютер PC-A) назначен сети VLAN 99.
l. Чтобы убедиться, что все пользовательские порты находятся в сети VLAN 99, выполните команду show vlan brief.
S1# show vlan brief
m. Настройте IP-шлюз по умолчанию для коммутатора S1. Если не настроен ни один шлюз по умолчанию, коммутатором нельзя управлять из удалённой сети, на пути к которой имеется более одного маршрутизатора. Он не отвечает на эхо -запросы из удалённой сети. Хотя в этом упражнении не учитывается внешний IP-шлюз, представьте, что впоследствии вы подключите LAN к маршрутизатору для обеспечения внешнего доступа. При условии, что интерфейс LAN маршрутизатора равен 192.168.1.1, настройте шлюз по умолчанию для коммутатора.
S1(config)# ip default-gateway 192.168.1.1
S1(config)#
n. Доступ через порт консоли также следует ограничить. Согласно конфигурации по умолчанию все консольные подключения должны быть настроены без паролей. Чтобы консольные сообщения не прерывали выполнение команд, используйте параметр logging synchronous.
S1(config)# line con 0
S1(config-line)# login
S1(config-line)# logging synchronous
S1(config-line)# exit
S1(config)#
o. Настройте каналы виртуального соединения для удалённого управления (vty), чтобы коммутатор разрешил доступ через Telnet. Если вы не настроите пароли vty, то не сможете получить доступ к устройству через Telnet.
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# end
S1#
*Mar 1 00:06:11.590: %SYS-5-CONFIG_I: Configured from console by console
Шаг 2: Настройте IP-адрес на PC-A.
Назначьте компьютеру IP-адрес и маску подсети в соответствии с таблицей адресации. Здесь описана сокращённая версия данной операции. Для рассматриваемой топологии не требуется шлюз по умолчанию. Однако вы можете ввести адрес 192.168.1.1, чтобы смоделировать маршрутизатор, подключённый к коммутатору S1.
- Нажмите кнопку Пуск > Панель управления.
- Нажмите Просмотр и выберите Мелкие значки.
- Далее выберите Центр управления сетями и общим доступом > Изменение параметров адаптера.
- Правой кнопкой мыши нажмите на Подключение по локальной сети и выберите Свойства.
- Выберите Протокол Интернета версии 4 (TCP/IPv4) > Свойства.
- Выберите параметр Использовать следующий IP-адрес и введите IP-адрес и маску подсети.
Часть 3. Проверка и тестирование сетевого соединения
В третьей части лабораторной работы вам предстоит проверить и задокументировать конфигурацию коммутатора, протестировать сквозное соединение между компьютером PC-A и коммутатором S1, а также протестировать возможность удалённого управления коммутатором.
Шаг 1: Отобразите конфигурацию коммутатора.
Из консольного подключения к компьютеру PC-A отобразите и проверьте конфигурацию коммутатора. Команда show run позволяет постранично отобразить всю текущую конфигурацию. Для пролистывания используйте клавишу ПРОБЕЛ.
a. Здесь показан образец конфигурации. Настроенные вами параметры выделены жёлтым. Другие параметры конфигурации являются настройками IOS по умолчанию.
S1# show run
Building configuration…
Current configuration: 2206 bytes
!
version 15.0
no service pad
service timestamps debug datetime
msec service timestamps log datetime
msec service password-encryption
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
!
interface FastEthernet0/24
switchport access vlan 99
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan99
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
banner motd ^C
Unauthorized access is strictly prohibited. ^C
!
line con 0
password 7 104D000A0618
logging synchronous
login
line vty 0 4
password 7 14141B180F0B
login
line vty 5 15
password 7 14141B180F0B
login
!
end
S1#
b. Проверьте параметры административной VLAN 99.
S1# show interface vlan 99
Vlan99 is up, line protocol is up
Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41)
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:06, output 00:08:45, output hang never Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
175 packets input, 22989 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
1 packets output, 64 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
Шаг 2: Протестируйте сквозное соединение, отправив эхо-запрос.
a. Из командной строки компьютера PC-A отправьте эхо-запрос на адрес вашего собственного компьютера PC-A.
C:\Users\User1> ping 192.168.1.10
b. Из командной строки компьютера PC-A отправьте эхо-запрос на административный адрес интерфейса SVI коммутатора S1.
C:\Users\User1> ping 192.168.1.2
Поскольку компьютеру PC- A нужно преобразовать МАС-адрес коммутатора S1 с помощью ARP, время ожидания передачи первого пакета может истечь. Если эхо-запрос не удаётся, найдите и устраните неполадки базовых настроек устройства. При необходимости следует проверить как физические кабели, так и логическую адресацию.
Шаг 3: Проверьте удалённое управление коммутатором S1.
После этого используйте удалённый доступ к устройству с помощью Telnet. В этой лабораторной работе компьютер PC-A и коммутатор S1 находятся рядом. В производственной сети коммутатор может находиться в коммутационном шкафу на последнем этаже, в то время как административный компьютер находится на первом этаже. На данном этапе вам предстоит использовать Telnet для удалённого доступа к коммутатору S1 через его административный адрес SVI. Telnet - это не безопасный протокол, но вы можете использовать его для проверки удалённого доступа. В случае с Telnet вся информация, включая пароли и команды, отправляется через сеанс в незашифрованном виде. В последующих лабораторных работах для удалённого доступа к сетевым устройствам вы будете использовать SSH.
Примечание. При использовании Windows 7 может потребоваться включение протокола Telnet от имени администратора. Чтобы установить клиент Telnet, откройте окно cmd и введите pkgmgr /iu:«TelnetClient». Ниже приведён пример.
C:\Users\User1> pkgmgr /iu:”TelnetClient”
a. В том же окне cmd на компьютере PC-A выполните команду Telnet для подключения к коммутатору S1 через административный адрес SVI. Пароль - cisco.
C:\Users\User1> telnet 192.168.1.2
b. После ввода пароля cisco вы окажетесь в командной строке пользовательского режима. Войдите в привилегированный режим.
c. Чтобы завершить сеанс Telnet, введите exit.
Шаг 4: Сохраните файл текущей конфигурации коммутатора.
Сохраните конфигурацию.
S1# copy running-config startup-config
Destination filename ?
Building configuration…
S1#
Часть 4. Управление таблицей MAC-адресов
В четвёртой части лабораторной работы вам предстоит определить MAC-адрес, полученный коммутатором, настроить статический MAC-адрес для одного из интерфейсов коммутатора, а затем удалить статический MAC-адрес из конфигурации интерфейса.
Шаг 1: Запишите MAC-адрес узла.
В командной строке компьютера PC-A выполните команду ipconfig /all, чтобы определить и записать адреса 2-го уровня (физические) сетевого адаптера ПК.
Шаг 2: Определите МАС-адреса, полученные коммутатором.
Отобразите МАС-адреса с помощью команды show mac address-table.
S1# show mac address-table
Шаг 3: Перечислите параметры команды show mac address-table.
a. Отобразите параметры таблицы МАС-адресов.
S1# show mac address-table ?
b. Введите команду show mac address-table dynamic, чтобы отобразить только те МАС-адреса, которые были получены динамически.
S1# show mac address-table dynamic
c. Взгляните на запись МАС-адреса для компьютера PC-A. Формат МАС-адреса для этой команды выглядит как xxxx.xxxx.xxxx.
S1# show mac address-table address
Шаг 4: Назначьте статический MAC-адрес.
a. Очистите таблицу MAC-адресов.
Чтобы удалить существующие МАС-адреса, в привилегированном режиме используйте команду clear mac address-table.
S1# clear mac address-table dynamic
b. Убедитесь, что таблица МАС-адресов очищена.
S1# show mac address-table
c. Снова изучите таблицу МАС-адресов.
Скорее всего, приложение, работающее на вашем ПК, уже отправило кадр из сетевого адаптера на коммутатор S1. Снова взгляните на таблицу МАС-адресов в привилегированном режиме и выясните, был ли МАС-адрес для PC-A повторно получен коммутатором S1.
S1# show mac address-table
Если коммутатор S1 еще не получил повторно MAC-адрес для PC-A, отправьте эхо -запрос на IP-адрес VLAN 99 коммутатора от PC-A, а затем снова выполните команду show mac address-table.
d. Назначьте статический MAC-адрес.
Чтобы определить, к каким портам может подключиться узел, можно создать статическое сопоставление узлового МАС-адреса с портом.
Настройте статический MAC-адрес на интерфейсе F0/6, используя адрес, записанный для PC-A в части 4, на шаге 1. MAC-адрес 0050.56BE.6C89 используется только в качестве примера. Необходимо использовать MAC-адрес компьютера PC-A, который отличается от указанного здесь в качестве примера.
S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6
e. Проверьте записи в таблице MAC-адресов.
S1# show mac address-table
f. Удалите запись статического МАС. Войдите в режим глобальной конфигурации и удалите команду, поставив no напротив строки с командой.
Примечание. MAC-адрес 0050.56BE.6C89 используется только в рассматриваемом примере.
Используйте MAC-адрес для своего компьютера PC-A.
S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6
g. Убедитесь, что статический МАС-адрес был удалён.
S1# show mac address-table
Приложение А. Инициализация и перезагрузка маршрутизатора и коммутатора
Шаг 1: Выполните инициализацию и перезагрузку маршрутизатора.
a. Подключитесь к маршрутизатору с помощью консольного подключения и активируйте привилегированный режим.
Router> enable
Router#
b. Введите команду erase startup-config, чтобы удалить файл загрузочной конфигурации из NVRAM.
Router# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
Erase of nvram: complete
Router#
c. Выполните команду reload, чтобы удалить устаревшую информацию о конфигурации из памяти. При запросе о продолжении перезагрузки «Proceed with reload?» нажмите клавишу Enter. (Чтобы прервать перезагрузку, нажмите любую клавишу.)
Router# reload
Proceed with reload?
*Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
Reload Command.
Примечание.
Возможно, появится запрос о сохранении текущей конфигурации перед перезагрузкой маршрутизатора. Чтобы ответить, введите no и нажмите клавишу Enter.
d. После перезагрузки маршрутизатора появится запрос о входе в диалоговое окно начальной конфигурации. Введите no и нажмите клавишу Enter.
e. Может появиться другой запрос о прекращении автоматической установки (autoinstall). Ответьте yes и нажмите клавишу Enter.
Would you like to terminate autoinstall? : yes
Шаг 2: Выполните инициализацию и перезагрузку коммутатора.
a. Подключитесь к коммутатору с помощью консольного подключения и войдите в привилегированный режим EXEC.
Switch> enable
Switch#
b. Воспользуйтесь командой show flash, чтобы определить, были ли созданы сети VLAN на коммутаторе.
Switch# show flash 
c. Если во флеш-памяти обнаружен файл vlan.dat, удалите его.
Switch# delete vlan.dat
Delete filename ?
d. Появится запрос о проверке имени файла. Если вы ввели имя правильно, нажмите клавишу Enter.
В противном случае вы можете изменить имя файла.
e. Появится запрос о подтверждении удаления этого файла. Нажмите клавишу Enter для подтверждения.
Delete flash:/vlan.dat?
Switch#
f. Введите команду erase startup-config, чтобы удалить файл загрузочной конфигурации из NVRAM. Появится запрос об удалении конфигурационного файла. Нажмите клавишу Enter для подтверждения.
Switch# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
Erase of nvram: complete
Switch#
g. Перезагрузите коммутатор, чтобы удалить устаревшую информацию о конфигурации из памяти. Затем появится запрос о подтверждении перезагрузки коммутатора. Нажмите клавишу Enter, чтобы продолжить.
Switch# reload
Proceed with reload?
Примечание.
Возможно, появится запрос о сохранении текущей конфигурации перед перезагрузкой коммутатора. Чтобы ответить, введите no и нажмите клавишу Enter.
System configuration has been modified. Save? : no
h. После перезагрузки коммутатора появится запрос о входе в диалоговое окно начальной конфигурации. Чтобы ответить, введите no и нажмите клавишу Enter.
Would you like to enter the initial configuration dialog? : no
Switch>
Ты знаешь, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение.
Настройка оборудования
Блог о gpon ont модемах, роутерах и терминалах.
в качестве подключить компьютер к компьютеру ? в качестве подключить 2 компьютера к сети ? в качестве ? Эти вопросы иногда приводят новичков в тупик, и создание домашней сети начинает казаться глобальной проблемой. Обычно это так: в семье есть один компьютер, который провайдер подключил к Интернету. Со временем становится доступным второй компьютер или ноутбук, и вам необходимо настроить локальную сеть, и у вас нет желания или финансовых возможностей для вызова специалиста. На самом деле вся работа займет некоторое время и время подключить второй компьютер к интернету любой мог справиться с этим, было бы желание.
Неважно, какой схемой вы будете подключить второй компьютер , Вам понадобится сетевой кабель патч-корд Вы можете купить его готовым или сделать его самостоятельно, прочитав статью: Как сделать шнур. Но какой прямой или обратный он нужен, зависит от выбранной опции.
Вы уже настроены роутер (роутер) или ADSL модем в режиме роутера , имея 4 порта LAN. В этом случае вам понадобится обычный прямой патч-корд для подключения одного из разъемов маршрутизатора и сетевой карты ПК:
Если настроено на маршрутизаторе DHCP Как правило, второй компьютер сам выбирает IP-адрес. Если адреса статические, зарегистрируйте адрес 1 больше, чем на уже подключенном компьютере. Если у вас возникли проблемы с определением вашего IP-адреса, прочитайте статью об IP-адресации.
Примечание 1: Если ваш ADSL модем не имеет встроенного коммутатора с 4 портами LAN, вам необходимо приобрести коммутатор. переключатель или Сетевой коммутатор представляет собой устройство, предназначенное для подключения нескольких узлов к компьютерной сети в одном или нескольких сетевых сегментах. Он стоит
400-600 руб. Схема подключения будет следующая:
Как подключить интернет через коммутатор |
Наличие номеров. дома или в офисе. несколько компьютеров должны быть подключены.
Как подключить 2 компьютера к интернету через коммутатор
Экономика иногда требует неординарных знаний и способностей, но чаще всего это оправдано. Если это невозможно.
Заметка 2: Если у вас есть соединение FTTB, ваш кабель ISP подключен непосредственно к сетевой карте вашего компьютера (или вы подключены через модем ADSL в режиме прозрачного моста). Мост ) тогда схема будет выглядеть так:
Обратите внимание, что в этом случае шлюз и DNS не указываются вообще (Ростелеком, ТТК, ДОМ.ру ), или все настройки сети назначаются автоматически DHCP (прямая линия ) Обратите внимание, что этот вариант подключения второго компьютера очень неудобен, поскольку подключение к поставщику (создание сеанса) возможно только с одного компьютера. Поставщик счета-фактуры не будет предоставлять второе соединение. Поэтому в случае подключения FTTB настоятельно рекомендуется приобрести полноценный маршрутизатор, а не коммутатор.
Вариант 2 Подключайтесь с помощью служб, установленных в Windows.
Давайте сначала рассмотрим случай, когда ваш модем ADSL настроен в режиме моста или вы подключены через FTTB, а кабель поставщика подключен непосредственно к вашему компьютеру. Чтобы подключить второй компьютер, вам поможет служба общего доступа в Интернет. ICS .
Этот метод подходит, если у вас нет маршрутизатора или коммутатора, а подключение второго компьютера просто необходимо. Вам понадобится вторая сетевая карта на компьютере, подключенном к Интернету, и ответный патч-корд.
Включить обмен ICS :
нажми на кнопку . Щелкните правой кнопкой мыши высокоскоростное соединение, которым мы делимся, и выберите «Дополнительно «Поставьте галочку»Разрешить другим пользователям сети использовать подключение к Интернету на этом компьютере ».
Windows предупредит, что IP-адрес сетевой карты, к которой мы подключаем второй компьютер, будет изменен. Мы учитываем это и настраиваем сетевую карту на подключенном компьютере. Наконец, вы должны получить следующую схему:
Четко настроить все операции ICS в Windows XP можно увидеть здесь в этом видео:
ICS в Windows 7 настроен здесь так :
Примечание 1: Если подключен через FTTB Диаграмма будет выглядеть примерно так:
Заметка 2: Если ваш модем настроен на роутер (роутер) , тогда вам не нужно настраивать компьютер для подключения к интернету ICS и Сетевой мост (Мост )
Для этого нажмите кнопку Запуск сетевых подключений в панели управления . Мы выбираем два сетевых подключения с помощью мыши и нажимаем на то, которое выделено правой кнопкой. выберите предмет Мостовое соединение .
В результате должно появиться соединение другого типа Сетевой мост . Ну тогда в свойствах протокола TCP \ IP «Сетевой мост «И на втором компьютере мы устанавливаем IP-адреса, шлюзы и DNS-серверы.
Статья раскрывает особенности настройки технологии VLAN на примере конкретного оборудования.Доброго времени суток, уважаемый посетитель. Сегодня я, как обычно, по нашей доброй традиции, буду рассказывать кое-что интересное. А рассказ сегодня пойдет про замечательную штуку в локальных сетях под названием VLAN. В природе не мало разновидностей данной технологии, про все рассказывать не будем, а только про те, которые решили бы стоящую перед нашей компанией задачу. Данная технология уже не раз применялась нашими специлистами в нашей практике ИТ аутсорсинга в регионе , Но в этот раз, всё было несколько интереснее, т.к. оборудование с которым пришлось работать - несколько "урезанное" (прошлая похожая задача релизовывалась на коммутаторе D-link DES-1210-28). Но, обо всем по порядку.
Что же такое VLAN ?
VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
Данная технология позволяет выполнять две задачи:
1) группировать устройства на канальном уровне (т.е. устройства, находящиеся в одном VLAN’е), хотя физически при этом они могут быть подключены к разным сетевым коммутаторам (расположенным, к примеру, географически отдаленно);
2) разграничивать устройства (находящиеся в разных VLAN’ах), подключенные к одному коммутатору.
Иначе говоря, VLAN ‘ы позволяют создавать отдельные широковещательные домены, снижая, тем самым, процент широковещательного трафика в сети.
Port - Base VLAN
Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN ’ы только в коммутаторе. Эту технологию мы будем рассматривать на управляемом коммутаторе D-link DGS-1100-24.
IEEE 802.1Q
IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.
Немного наркомании, а именно - процедура помещения тега в кадр называется – инъекция.
Размер тега - 4 байта. Он состоит из таких полей:
- Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля - 16 бит. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.
- Priority (приоритет). Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
- Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический, 1 - не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring.
- VLAN Identifier (VID, идентификатор VLAN). Размер поля - 12 бит. Указывает какому VLAN принадлежит фрейм. Диапазон возможных значений от 0 до 4095.
Порты в 802.1Q
Порты могут быть в одном из следующих режимов:
- Tagged port (в терминологии CISCO - trunk-port) - порт пропускает пакеты маркированные указанными номерами VLAN, но при этом сам никак не маркирует пакеты
- Untagged port (в терминологии CISCO - access-port) - порт прозрачно пропускает немаркированный трафик для указанных VLAN, если трафик уходит в другие порты коммутатора за пределы указанного VLAN, то там он уже виден как маркированный номером этой VLAN.
- Порт не принадлежит никаким VLAN и не учувствует в работе коммутатора
Пример. Имеется офисное помещение, в котором отдел кадров разделен на два этажа, нужно, чтобы сотрудники были отделены от общей сети. Имеется два коммутатора. Создадим VLAN 3 на одном и втором, порты, которые будут в одном из VLAN укажем как Untagget Port. Для того, чтобы коммутаторы понимали в какой VLAN адресуется кадр, нужен порт, через который будет пересылаться трафик в этот же VLAN другого коммутатора. Выделим, к примеру, один порт и укажем его как Tagget. Если у нас, помимо VLAN 3, есть еще и другие, и ПК-1 расположенный в VLAN 3 будет искать ПК-2, то широковещательный трафик не будет «ходить» по всей сети, а только в VLAN 3. Прибежавший кадр будет пропускаться через MAC-таблицу, если же адрес получателя не будет найдет, такой кадр будет отправлен через все порты такого VLAN откуда он прибежал и порт Tagget с меткой VLAN, чтобы другой коммутатор воспроизвел широковещание на ту группу портов, которые указаны в поле VID. Данный пример описывает VLAN – один порт может быть только в одном VLAN.
IEEE 802.1 ad
802.1ad - это открытый стандарт (аналогично 802.1q), описывающий двойной тег. Также известен как Q-in-Q, или Stacked VLANs. Основное отличие от предыдущего стандарта - это наличие двух VLAN’ов - внешнего и внутреннего, что позволяет разбивать сеть не на 4095 VLAN’ов, а на 4095х4095.
Сценарии могут быть различны – провайдеру надо “пробросить” транк клиента, не затрагивая схему нумерации VLAN’ов, надо балансировать нагрузку между субинтерфейсами внутри сети провайдера, либо просто – маловато номеров. Самое простое – сделать ещё одну такую же метку (tag).
Асимметричный VLAN
В терминологиях D-Link, а также в настройках VLAN, есть понятие асимметричный VLAN – это такой VLAN, в котором один порт может быть в нескольких VLAN.
Состояние портов меняется
- Tagged порты работают прежним образом
- Появляется возможность назначать как Untagged несколько портов на несколько VLAN. Т.е. один порт сразу работает в нескольких VLAN как Untagged
- У каждого порта появляется еще один параметр PVID - это VLAN ID, которым маркируется трафик с этого порта, если он уходит на Tagged порты и за пределы коммутатора. У каждого порта может быть только один PVID
Таким образом, мы получаем то, что внутри устройства один порт может принадлежать сразу нескольким VLAN, но при этом, уходящий в tagged (TRUNK) порт, трафик будет маркироваться номером, который мы задаем в PVID.
Ограничение: Функция IGMP Snooping не работает при использовании асимметричных VLAN.
Создание VLAN на D- link DGS-1100-24.
Что имеется. Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены машины пользователей – абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище.
Задача. Ограничить отдел кадров от общей среды, так, чтобы при этом были доступны сервера, шлюз и сетевое хранилище.
Ко всему прочему, коммутатор D-link DGS-1100-24 только что вынули из коробки. По умолчанию большинство управляемых коммутаторов компании D-Link имеют адрес 10.90.90.90/8. Нас не интересует физическое нахождение у коммутатора или смена адреса. Существует специальная утилита D-Link SmartConsole Utility, которая помогает найти наше устройство по сети. После установки запускаем утилиту.
Прежде чем переходить к настройке, переключим порты должным образом:
1) Переключим порт отдела кадров с коммутатора №2 в коммутатор №1
2) Переключим сервера, шлюз и сетевое хранилище с коммутатора №2 в коммутатор №1
3) Подключим коммутатор №2 в коммутатор №1
После такого переключения видим следующую картину: сервера, шлюз, сетевое хранилище и отдел кадров подключены в коммутатор №1, а все остальные пользователи в коммутатор №2.
.JPG)
Жмем кнопку «Discovery»
.JPG)
Ставим галочку и жмем значок шестеренки, открывается окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию admin.
.JPG)
.JPG)
Жмем «Add VLAN» и указываем имя VLAN и порты
.JPG)
Жмем «Apply»
.JPG)
После создания нужных VLAN, сохраним настройку, для этого нажмем «Save», «Save configuration»
.JPG)
Итак, мы видим, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет к остальным машинам. И наконец, все остальные машины видят сервера, шлюз, сетевое хранилище, но не видят порты 05,06.]
Таким образом, при наличии определенных знананий об особенностях оборудования и навыков ИТ-аутсорсинга , можно удовлетворить потребности клиента даже на таком бюджетном оборудовании как коммутатор D-Link DGS1100-24 .
Все, люди, Мир Вам!
