Команда show vlan brief покажет нам, что все интерфейсы в
первом VLAN-не по умолчанию, наша задача
создать несколько виртуальных сетей и настроить маршрутизацию между ними (InterVLAN)
cat3560#show
vlan brief
VLAN Name Status Ports
----
-------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18,
Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
Первым делом, для удобства, чтобы убрать ожидание
при вводе неправильной команды, введем:
cat3560#conf t
cat3560(config)#no
ip domain-lookup (отключим обращение к DNS)
Далее явно включим IP-маршрутизацию:
cat3560(config)#ip
routing
Создадим
VLAN 2 и VLAN 20:
cat3560(config)#vlan
2
cat3560(config-vlan)#name
User
cat3560(config-vlan)#exit
cat3560(config)#vlan
20
cat3560(config-vlan)#name
Server
cat3560(config-vlan)#exit
Смотрим:
cat3560(config)#do
show vlan brief
VLAN Name Status Ports
----
-------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/1
Gi0/2
2 User active
20 Server active
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default act/unsup
1005
trnet-default
act/unsup
Появился
VLAN 2 User и 20 Server.
Если нужно удалить VLAN 2, то команда:
cat3560(config)#no vlan 2
Если приостановить весь трафик на VLAN 2, то выключить VLAN:
cat3560(config)#shutdown vlan 2
Базу данных VLAN создали,
теперь настроим виртуальный интерфейс:
cat3560(config)#interface vlan 2
cat3560(config-if)#ip
address 10.10.2.1 255.255.255.0
cat3560(config-if)#no
shutdown
cat3560(config)#interface
vlan 20
cat3560(config-if)#ip
address 10.10.20.1 255.255.255.0
cat3560(config-if)#no
shutdown
cat3560(config-if)#exit
Добавим в VLAN 2 несколько интерфейсов:
cat3560(config)#interface
range fastEthernet 0/1 – 4 (настраиваем с 1 по 4 порт)
cat3560(config-if-range)#description
User (Описание)
cat3560(config-if-range)#switchport
mode access (порт в режиме доступа)
cat3560(config-if-range)#switchport access vlan 2 (назначаем порты в VLAN 2)
cat3560(config-if-range)#no shutdown
cat3560(config-if-range)#exit
cat3560# write
Готово, теперь можно
подключаться шнурком в порту с 1 по 4 и цепляться за железку по SSH, т.к. не настроен DHCP, то на компьютере придется руками
назначить адрес из сети 10.10.2.0/24
Тоже самое проделываем
для VLAN
20:
cat3560(config)#interface range fastEthernet 0/5-8
cat3560(config-if-range)#description Server
cat3560(config-if-range)#switchport mode access
cat3560(config-if-range)#switchport access vlan 20
cat3560(config-if-range)#no shutdown
cat3560(config-if-range)#exit
cat3560(config)#exit
Смотрим рабочую конфигурацию:
cat3560#show running-config
……………….
ip routing
………………
interface FastEthernet0/1
description User
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/2
description User
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/3
description User
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/4
description User
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/5
description Server
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/6
description Server
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/7
description Server
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/8
description Server
switchport access vlan 20
switchport mode access
………….
interface Vlan1
ip address 10.10.10.10 255.255.255.0
!
interface Vlan2
ip address 10.10.2.1 255.255.255.0
!
interface Vlan20
ip address 10.10.20.1 255.255.255.0
!
ip
default-gateway 10.10.10.1
Смотрим
базу VLAN:
cat3560#show
vlan brief
VLAN Name Status Ports
----
-------------------------------- --------- -------------------------------
1 default active Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
2 User active Fa0/1, Fa0/2, Fa0/3, Fa0/4
20 Server active Fa0/5, Fa0/6, Fa0/7, Fa0/8
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
Проверяем:
cat3560#show ip
route
……………….
10.0.0.0/24 is subnetted, 2 subnets
C 10.10.2.0 is directly connected, Vlan2
C 10.10.20.0 is directly connected, Vlan20
cat3560#show ip
interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 10.10.10.10 YES NVRAM
up down
Vlan2 10.10.2.1 YES manual up up
Vlan20 10.10.20.1 YES manual up up
FastEthernet0/1 unassigned YES unset
down down
FastEthernet0/2 unassigned YES unset
down down
FastEthernet0/3 unassigned YES unset
up up
FastEthernet0/4 unassigned YES unset
down down
FastEthernet0/5 unassigned YES unset
down down
FastEthernet0/6 unassigned YES unset
down down
FastEthernet0/7 unassigned YES unset
up up
FastEthernet0/8 unassigned YES unset
down down
Готово, теперь между подсетями 10.10.2.0/24 и
10.10.20.0/24 должен ходить трафик.
Берем второй ноут, цепляем шнурок в порт с 5 по 8,
назначаем IP-адрес из сети 10.10.20.0/24 и
пингуем друг друга.
Если на клиентах не хотим вручную прописывать настройки, то поднимаем DHCP-сервер:
cat3560(config)#service dhcp (L3 коммутатор на CPT не нашел такой команды)
cat3560(config)#ip dhcp pool User - создали пул
cat3560(dhcp-config)#network 10.10.2.0 255.255.255.0 - указали сеть
cat3560(dhcp-config)#default-route 10.10.2.1 - шлюз по умолчанию для узлов
cat3560(dhcp-config)#dns-server 10.10.20.20 - корпоративный DNS
cat3560(dhcp-config)#exit
cat3560(config)#ip dhcp excluded-address 10.10.2.1 10.10.2.20 - диапазон адресов исключаем из пула динамического назначения.
Тоже проделать и для пула Server.
Если на клиентах не хотим вручную прописывать настройки, то поднимаем DHCP-сервер:
cat3560(config)#service dhcp (L3 коммутатор на CPT не нашел такой команды)
cat3560(config)#ip dhcp pool User - создали пул
cat3560(dhcp-config)#network 10.10.2.0 255.255.255.0 - указали сеть
cat3560(dhcp-config)#default-route 10.10.2.1 - шлюз по умолчанию для узлов
cat3560(dhcp-config)#dns-server 10.10.20.20 - корпоративный DNS
cat3560(dhcp-config)#exit
cat3560(config)#ip dhcp excluded-address 10.10.2.1 10.10.2.20 - диапазон адресов исключаем из пула динамического назначения.
Тоже проделать и для пула Server.
Единственное что еще
хотелось бы сделать ради безопасности, это удалить сетевые настройки с VLAN 1, т.к. все остальные порты по
умолчанию находятся в нем. Удалить VLAN 1 и интерфейс VLAN 1 cisco не
позволяет, поэтому просто удаляем сетевые настройки:
cat3560(config)#interface vlan 1
cat3560(config-if)#no
ip address
cat3560#show ip
interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 unassigned YES manual up down
Vlan2 10.10.2.1 YES manual up up
Vlan20 10.10.20.1 YES manual up up
Удалили сетевые настройки, теперь отключим весь vlan 1:
cat3560(config-if)#shutdown
Шлюз по умолчанию, указанный командой IP DEFAULT-GATEWAY (используют
для указания шлюза по умолчанию, когда маршрутизация не включена или на L2 коммутаторах) не
понадобится, т.к. мы включили IP
маршрутизацию командой IP
ROUTING
в самом начале.
Удаляем IP DEFAULT-GATEWAY:
cat3560(config)#no
ip default-gateway
Также удаляем возможность подключения через HTTP и
HTTPS:
cat3560(config)#no
ip http server
cat3560(config)#no
ip http secure-server
Ну и чтобы явно включить VLSM введем
команду:
cat3560(config)#ip classless (отказываемся работать с классовыми
адресами)
Не забываем про RSTP
По умолчанию на cisco уже работает STP, наша задача переключить его на Rapid, указать в каких vlan он работает и выставить приоритет выбора Root-коммутатора:
cat3560(config)#spanning-tree mode rapid-pvst
cat3560(config)#spanning-tree vlan 1-4094 root primary
Про STP можно писать очень много, на данный момент можно сказать про 802.1t - в заголовке BPDU номер vlan, поддержка 802.1t включена по умолчанию, можно задать явно: #spanning-tree extend system-id.
Также не забываем про технологии PortFast и BPDUGuard их рекомендуют включать в связке на access портах, можно на интерфейсе, но лучше глобальной командой:
cat3560(config)#spanning-tree portfast default - все access порты делаются portfast
cat3560(config)#spanning-tree portfast bpduguard default - все portfast интерфейсы делаются bpduguard
Проверяем командой:
#show spanning-tree interface fastEthernet 0/1 portfast
#show spanning-tree ?
Ну и немного про приоритет выбора Root-коммутатора, по умолчанию все коммутаторы cisco имеют приоритет 32768 и выбор root-коммутатора происходит по mac-адресу, для этого выставляется приоритет вручную командой root primary, приоритет меняется на 24576 (+номер vlan-на), также можно задать приоритет командой priority 24576, есть возможность указать резервный root-коммутатор root secondary (28672) и много еще чего можно.
На этом все!
Комментариев нет:
Отправить комментарий