Коммутация

Виртуальная локальная сеть

Virtual

Local

Area

Network

(

Vlan

)

Для виртуально локальной сети (vlan) могут быть назначены номера от 1 до 1005, в прозрачном варианте (transparent) от 1 до 4094. Для Vlan можно назначить любое имя, но предпочтительнее называть их по их функциям, к примеру, admin ту, в которой работают администраторы и так далее:

Создаем виртуальную локальную сеть (vlan):

sw1(config)#vlan 234

Следующей командой задаем имя для данной виртуальной локальной сети:

sw1(config-vlan)#name VLAN234

sw1(config-vlan)#end

sw1#wr

Удалить виртуальную локальную сеть (vlan) можно простои командой no, пример приведён ниже:

sw1(config)#no vlan 234

Порт, предназначенный для одной виртуальной локальной сети, называется – портом доступа (access port). Порт настраивается следующими командами:

sw1(config)#interface f0/2

Назначаем порт портом доступа:

sw1(config-if)# switchport mode access

Задаем ему виртуальную локальную сеть (vlan):

sw1(config-if)# switchport access vlan 234

Проверить порт можно командой, показанной ниже:

sw1#show interface f0/2 switchport

Name: Fa0/2

Switchport: Enabled

Administrative Mode: static access

Operational Mode: static access

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Negotiation of Trunking: Off

Access Mode VLAN: 234 (Support)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Administrative private-vlan trunk native VLAN: none

Administrative private-vlan trunk Native VLAN tagging: enabled

Administrative private-vlan trunk encapsulation: dot1q

Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk associations: none

Administrative private-vlan trunk mappings: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Protected: false

Unknown unicast blocked: disabled

Unknown multicast blocked: disabled

Appliance trust: none

Пример создание двух виртуальных локальных сетей (vlan) и назначения им интерфейсов:

sw1(config)#vlan 5

sw1(config-vlan)#name vlan5

sw1(config-vlan)#vlan 43

sw1(config-vlan )#name vlan43

sw1(config-vlan)#exit

sw1(config)#interface FastEthernet0/5

sw1(config-if)#switchport access vlan 5

sw1(config-if)#interface FastEthernet0/24

sw1(config-if)#switchport access vlan 43

sw1(config-if)#end

sw1#wr

Посмотреть мы можем, командой:

sw1#show interface status

Port Name Status Vlan Duplex Speed Type

Fa0/1 notconnect 1 auto auto 10/100BaseTX

Fa0/2 notconnect 1 auto auto 10/100BaseTX

Fa0/3 connected 1 a-half a-10 10/100BaseTX

Fa0/4 notconnect 1 auto auto 10/100BaseTX

Fa0/5 vlan5 connected 5 a-half a-10 10/100BaseTX

Fa0/24 vlan43 connected 43 a-half a-10 10/100BaseTX

–– часть информации удалена –

Если мы хотим поменять одну виртуальную локальную сеть (vlan) на другую, делается это просто:

Для начала данная виртуальная локальная сеть (vlan) должна присутствовать на коммутаторе. Проверить виртуальную локальную сеть можно командой show vlan brief.

Ниже приведен пример команды:

sw1#show vlan brief

VLAN Name Status Ports

–– – – –

1 default active Fa0/6,Fa0/7,Fa0/8, Fa0/9

Fa0/11,Fa0/12,Fa0/13,Fa0/14

Fa0/15,Fa0/16,Fa0/17,Fa0/18

Gi0/1, Gi0/2

30 VLAN30 active

33 VLAN33 active

42 VLAN42 active

51 VLAN51 active Fa0/5

54 VALN54 active Fa0/4

234 VLAN234 active Fa0/2

243 VLAN243 active

300 VALN300 active Fa0/3

1002 fddi-default act/unsup

1003 trcrf-default act/unsup

Допустим, мы хотим установить, на интерфейс Fa0/3 vlan 30 для этого вводим следующие команды

sw1(config)#interface f0/3

sw1(config)#switchport access vlan 30

sw1(config)#exit

sw1#show vlan brief | i 30

30 VLAN30 active Fa0/3

После проверки мы видим, что на третьем интерфейсе вместо 300 находиться 30 виртуальная локальная сеть (vlan), ну соответственно мы должны обязательно сохранить наши изменения командой wr.

Магистральный протокол виртуальной локальной сети (VTP) Vlan Trunking Protocol

Протокол VTP используется для создания и управления виртуальными локальными сетями. Для настройки VTP перейдем в режиме конфигурирования и введем vtp

После ввода знака вопроса, мы видим, что мы можем настроить

sw1(config)#vtp ?

domain Set the name of the VTP administrative domain.

file Configure IFS file system file where VTP configuration is stored.

interface Configure interface as the preferred source for the VTP IP updater address.

mode Configure VTP device mode

password Set the password for the VTP administrative domain

pruning Set the administrative domain to permit pruning

version Set the administrative domain to VTP version

Добавив команду режим (mode) мы видим, что существует три модели настройки VTP:

sw2(config)#vtp mode ?

client Set the device to client mode.

server Set the device to server mode.

transparent Set the device to transparent mode

Режим прозрачный (transparent) поддерживает расширенные виртуальные локальные сети (vlans) от 1 до 4094. Он более удобен в использовании, так как в прозрачном режиме коммутатор только передает информацию и не применяет её к своей конфигурации.

Режим клиент (client)применяет к себе все настройки сделанные на сервере.

Режим сервер (server) предназначен для ввода и удаления новых виртуальных локальных сетей, на коммутаторах он установлен по умолчанию.

Показанный ниже утилита используется, только в режиме сервера (server) позволяет сократить трафик в сети. Но при этом очень сильно загружает коммутатор, который, является сервером:

sw1(config)#vtp pruning

Мы настраиваем свои коммутаторы так:

sw1(config)#vtp domain CISCO

sw1(config)#vtp mode transparent

sw1(config)#vtp password cisco

Не обязательно для VTP задавать домен и паспорт, но очень важно указать модель использования коммутатора, по умолчанию коммутатор находиться в режиме сервера (server).

Для проверки вводим команду, показанную ниже, и получаем:

sw1#show vtp status

VTP Version : running VTP2

Configuration Revision : 0

Maximum VLANs supported locally : 1005

Number of existing VLANs : 16

VTP Operating Mode : Transparent

VTP Domain Name : CISCO

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0x07 0x4A 0x67 0xF3 0xA0 0x0E 0x9B 0xAD

Configuration last modified by 150.2.20.1 at 3-1-93 01:18:04

Данная ниже команда показывает заданный нами паспорт:

sw1#show vtp password

Конечно, настроить VTP область можно и так:

sw1(config)#vtp domain CISCO

sw1(config)#vtp mode server

sw1(config)#vtp password cisco

А на все другие коммутаторы сделать клиентами:

sw2(config)#vtp domain CISCO

sw2(config)#vtp mode client

sw2(config)#vtp password cisco

При данной модели, как уже было, написано все изменения можно будет вносить на сервере, и они будут применяться ко всем коммутаторам сети. Но данный вариант настройки имеет один недостаток, если в систему будет, поставлен коммутатор с более высоким номером Configuration Revision он, перестроит всю систему. Что приведет к выводу сети из строя.

Протокол VTP для маршрутизаторов, при наличии в нем модуля коммутатора, настраивается другим способом, пример приводиться ниже:

sw1#vlan database

sw1(vlan)#vtp transparent

sw1(vlan)#vtp domain cisco.com

sw1(vlan)#vtp password cisco

Также мы можем добавить нужные нам функции pruning и т.д.

sw1(vlan)#exit

sw1#wr

Подводим итог:

sw1#conf t

sw1(config)#vtp mode transparent

sw1(config)#exit

sw1#wr

Для нормальной работы коммутатора достаточно одной этой команды, все изменения по vlan мы будем вносить в наши коммутаторы сами.

Коммутируемый виртуальный интерфейс Switched Virtual Interface (SVI)

Пример настройки приведен ниже.

sw1(config)#interface vlan 234

sw1(config-if)#ip address 10.10.234.1 255.255.255.0

sw1(config-if)#exit

Виртуальная локальная сеть (Vlan) на маршрутизаторах

На старых маршрутизаторах виртуальная локальная сеть задается другим способом, пример приведен ниже:

sw1#vlan database

sw1(vlan)#vlan 234 name ADMIN

sw1(vlan)#exit

Подводим итог:

sw1#conf t

sw1(config)#vlan 10

sw1(config-vlan)#name user_vlan

sw1(config)#vlan 11

sw1(config-vlan)#name management_vlan

sw1(config-vlan)#exit

sw1(config)#interface range f0/1 – 24

sw1(config-if)# description *** Access Interface ***

sw1(config-if)#switchport mode access

sw1(config-if)#switchport access vlan 10

sw1(config-if)#exit

sw1(config)#interface vlan 11

sw1(config-if)# description *** Management Interface ***

sw1(config-if)#ip address 10.0.11.2 255.255.255.0

sw1(config-if)#exit

sw1(config)#exit

sw1#wr

Мы создали две виртуальные локальные сети (vlans) для пользователей под номером 10 с портами от 1 до 24 и 11 для управления данным коммутатором, которой присвоили адрес 10.0.11.2. Обязательно в конце сохраняемся.

Магистральный порт (Trunk port)

Порт, предназначенный для множества VLAN, называется – Trunk port, магистральным портом. Протоколы магистральных портов ISL, 802.1q. Можно ещё вспомнить DTP (Dynamic Trunking Protocol), но он встречается редко в основном на очень старых коммутаторах.

ISL (Inter-Switch Link) частный протокол компании Cisco, может использоваться только на коммутаторах Cisco. Сразу стоит отметить, что на новых коммутаторах данный протокол уже не используется.

Мы задаем его сразу для двух портов, и для этого используем команду range, этой командой мы можем задать и большую область портов.

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport trunk encapsulation isl

sw1(config-if)#switchport mode trunk

Проверка осуществляется командой:

sw1#show interface trunk

802.1q открытый стандарт поддерживается всеми производителями, его мы и будем использовать, настраивается:

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport trunk encapsulation dot1q

sw1(config-if)#switchport mode trunk

На многих новых коммутаторах, достаточно ввести команду:

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport mode trunk

Так как протокол 802.1q используется по умолчанию.

Проверка осуществляется командой:

sw1#show interfaces trunk

Port Mode Encapsulation Status Native vlan

Gi0/1 on 802.1q trunking 1

Gi0/2 on 802.1q trunking 1

Port Vlans allowed on trunk

Gi0/1 1-1005

Gi0/2 1-1005

Port Vlans allowed and active in management domain

Gi0/1 1,30,33,42,51,54,234,243,300

GI0/2 1,30,33,42,51,54,234,243,300

Port Vlans in spanning tree forwarding state and not pruned

Gi0/1 1,30,33,42,51,54,234,243,300

Gi0/2 none

Также мы можем сменить native VLAN, она же не тегируемая виртуальная локальная сеть, по умолчанию она 1, но командой показанной ниже мы можем её поменять, к примеру, на 11:

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport trunk native vlan 11

Посмотреть изменения мы можем командой, показанной ниже:

sw1#show interfaces trunk

Port Mode Encapsulation Status Native vlan

Gi0/1 on 802.1q trunking 11

Gi0/2 on 802.1q trunking 11

Если нужно гарантировано отключить DTP (Dynamic Trunking Protocol) на магистральных портах, данный тип поддерживается старым оборудованием, делаем это так:

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport trunk encapsulation dot1q

sw1(config-if)#switchport mode trunk

sw1(config-if)#switchport nonegotiate

Последняя строка отключает DTP.

На магистральных портах, мы можем сделать ограничение по виртуальным локальным сетям (vlans), как это сделать показано ниже:

sw1(config)# interface range GigabitEthernet0/1 – 2

sw1(config-if)#switchport trunk allowed vlan 1-10

Существуют, также возможность удалит, добавить или исключить виртуальную локальную сеть (vlan) на магистральные порты или порт:

sw1(config)# interface range GigabitEthernet0/1 – 2

Удалили vlan 2:

sw1(config-if)#switchport trunk allowed vlan remove 2

Добавили vlan 2:

sw1(config-if)#switchport trunk allowed vlan add 2

Исключить 10 виртуальную локальную сеть:

sw1(config-if)#switchport trunk allowed vlan except 10

Подводим итог:

Для коммутатора 3560, который находиться в ядре или на уровне распределения, это выглядит так:

sw1#conf t

sw1(config)# interface range GigabitEthernet0/1

sw1(config-if)#switchport trunk encapsulation dot1q

sw1(config-if)#switchport mode trunk

sw1(config-if)#switchport trunk allowed vlan 1-10

sw1(config-if)#exit

sw1(config)#exit

sw1#wr

Для коммутатора 2960, который у нас является коммутатором уровня доступа:

sw2#conf t

sw2(config)# interface range GigabitEthernet0/1

sw2(config-if)#switchport mode trunk

sw2(config-if)#exit

sw2(config)#exit

sw2#wr

Сразу стоит отметить, что настройки на магистральных портах могут отличаться, от того, что приведено в данном примере. Мы ограничиваем доступ по виртуальным локальным сетям (vlans) на коммутаторе уровня ядра или распределения соответственно sw2 будут доступны только vlans с 1 по 10. При этом данные виртуальные сети должны быть созданы на обоих коммутаторах.

Проверка осуществляется командой:

sw1#show interface trunk

Port Mode Encapsulation Status Native vlan

Gi0/1 on 802.1q trunking 1

Port Vlans allowed on trunk

Gi0/1 1-4094

Port Vlans allowed and active in management domain

Gi0/1 1-10

Port Vlans in spanning tree forwarding state and not pruned

Gi0/1 1-10

Агрегация каналов EtherCannel 2 уровня

Позволяет объединять до 8 физических интерфейсов в один логический, создается на магистральных портах. Применяется для создания избыточности, следует отметить, что первые два варианта уже не используются и Cisco рекомендует использовать протокол LACP. Пример настройки приведен ниже:

sw1(config)# interface range fa0/19 – 20

sw1(config-if)# channel-group 12 mode on

sw2(config)# interface range fa0/19 – 20

sw2(config-if)# channel-group 12 mode on

EtherCannel 2 уровня Port Aggregation Protocol (PAgP) личный протокол Cisco, возможные применения Auto/Desirable-Desirable, настраивается так:

sw1(config)# interface range fa0/19 – 20

sw1(config-if)# channel-group 12 mode desirable

sw2(config)# interface range fa0/19 – 20

sw2(config-if)# channel-group 21 mode auto

EtherCannel 2 уровня Link Aggregation Control Protocol (LACP) открытый стандарт определенный правилом IEEE 802.3ad, возможные применения Active/Passive-Active, настраивается так:

sw1(config)# interface range fa0/19 – 20

sw1(config-if)# channel-group 12 mode active

sw2(config)# interface range fa0/19 – 20

sw2(config-if)# channel-group 21 mode passive

Подводим итог:

sw1#conf t

sw1(config)# interface range fa0/19 – 20

sw1(config-if)#shutdown

sw1(config-if)#switchport trunk encapsulation dot1q

sw1(config-if)#switchport mode trunk

sw1(config-if)#channel-group 12 mode active

sw1(config-if)#no shutdown

sw1(config-if)#exit

sw1(config)#exit

sw1#wr

sw2#conf t

sw2(config)# interface range fa0/19 – 20

sw2(config-if)#shutdown

sw2(config-if)#switchport trunk encapsulation dot1q

sw2(config-if)#switchport mode trunk

sw2(config-if)#channel-group 21 mode active

sw2(config-if)#no shutdown

sw2(config-if)#exit

sw2(config)#exit

sw2#wr

Мы подняли EtherCannel между двумя коммутаторами на портах 19 и 20. Стоит отметить команды shutdown и no shutdown при создании EtherCannel, они нужны для того, чтобы канал корректно поднялся.

Также стоит отметить, что после того как вы подняли Port-channel все изменения, к примеру добавление vlan, надо производить на интерфейсе Port-channel:

sw1#show run interface po12

Building configuration…

Current configuration : 127 bytes

!

interface Port-channel12

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 1-10

switchport mode trunk

end

Проверка осуществляется командой:

sw1# show etherchannel summary

Flags: D – down P – in port-channel

I – stand-alone s – suspended

H – Hot-standby (LACP only)

R – Layer3 S – Layer2

U – in use f – failed to allocate aggregator

u – unsuitable for bundling

w – waiting to be aggregated

d – default port


Number of channel-groups in use: 3

Number of aggregators: 3


Group Port-channel Protocol Ports

––+–+–+–

1 Po12(SU) LACP Gi0/19(P) Gi0/20(P)

Агрегация каналов EtherCannel 3 уровня

Третий уровень обычно используется между уровнями ядра и распределения:

sw1#conf t

sw1(config)# ip routing

sw1(config)# interface port-channel 12

sw1(config-if)# no switchport

sw1(config-if)# ip address 10.1.1.1 255.255.255.0

sw1(config)# interface range fa0/19 – 20

sw1(config-if)# shutdown

sw1(config-if)# no switchport

sw1(config-if)# channel-group 12 mode on

sw1(config-if)# interface range fa0/19 – 20

sw1(config-if)#no shutdown

sw1(config-if)# end

sw1#wr

sw2#conf t

sw2(config)# ip routing

sw2(config)# interface port-channel 21

sw2(config-if)# no switchport

sw2(config-if)# ip address 10.1.1.2 255.255.255.0

sw2(config)# interface range fa0/19 – 20

sw2(config-if)# shutdown

sw2(config-if)# no switchport

sw2(config-if)# channel-group 21 mode on

sw2(config-if)#no shutdown

sw2(config-if)# interface range fa0/19 – 20

sw2(config-if)#no shutdown

sw2(config-if)# end

sw2#wr

Также важно помнить, что на коммутаторе должен быть включен 3 уровень, по умолчанию он может быть выключен, чтобы включить его надо ввести команду, показанную ниже, коммутаторами 3 уровня являются коммутаторы от 3500 серии и выше.

sw1(config)#ip routing

Проверка осуществляется командой:

sw1# show etherchannel summary

Агрегация

каналов

балансировка

нагрузки

(EtherChannel Load Balancing)

Ниже приведен пример настройки для простой сети.

sw1#conf t

sw1(config)#port-channel load-balance dst-ip

sw1(config)#end

sw1#wr

Возможна балансировка по разным значениям, ниже приведены возможные варианты:

dst-ip Dst IP Addr

dst-mac Dst Mac Addr

src-dst-ip Src XOR Dst IP Addr

src-dst-mac Src XOR Dst Mac Addr

src-ip Src IP Addr

src-mac Src Mac Addr

Проверка осуществляется командой:

sw1# show etherchannel load-balance

EtherChannel Load-Balancing Configuration:

dst-ip

EtherChannel Load-Balancing Addresses Used Per-Protocol:

Non-IP: Destination MAC address

IPv4: Destination IP address

IPv6: Destination IP address

Протокол

связующего

дерева

Spanning-Tree Protocol (STP)

Протокол связующего дерева, предназначен для предотвращения петель. Коммутаторы обмениваются BPDU (Bridge Protocol Data Unit) пакетами и на основании обмена данными пакетами выстраивают топологию, обмен пакетами продолжается и после того как была выстроена топология. Также происходит выборы корневого моста (bridge root), корневого порта (root port) и назначенного порта (designated port).Следует отметить, что по умолчанию на коммутаторах Cisco включен режим PVST+ (802.1d). В STP порты могут находиться в следующих состояниях:

Отключен (Disabled)

Слушает (Listening)

Изучает (Learning)

Передает (Forwarding)

Заблокирован (Blocking)

Модель STP выбирается при помощи команды указанной ниже:

sw1(config)#spanning-tree mode ?

mst Multiple spanning tree mode

pvst Per-Vlan spanning tree mode

rapid-pvst Per-Vlan rapid spanning tree mode

PVST+ (802.1d)

Протокол связующего дерева, включен по умолчанию, но он является не лучшим выбором, так как сходиться за очень большой промежуток времени, порядка 50 секунд. Существуют методы ускорения сходимости данного протокола.

Ниже показаны таймеры PVST+ и как их можно, изменить:

sw1(config)# spanning-tree vlan 1-4094 hello-time <1-10>

Hello timer 2 сек по умолчанию.

sw1(config)# spanning-tree vlan 1-4094 forward-time <4-30>

Forward Delay 15 сек по умолчанию.

sw1(config)# spanning-tree vlan 1-4094 max-age <6-40>

Max Age 20 сек по умолчанию.

Также существуют данные ниже команды, которые ускоряют PVST+, первая, ускоряет время изменения корневого порта,3-5 секунд, используется только на коммутаторах доступа. Вторая уменьшает сходимость max-age таймера, используется на всех коммутаторах.

sw1(config)#spanning-tree uplinkfast

sw1(config)#spanning-tree backbonefast

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in pvst mode

–– часть информации удалена –

Rapid-PVST (802.1w)

Более быстрый протокол связующего дерева, для его работы надо настроить команду portfast на всех портах доступа, то есть мы указываем команду switchport mode access на простых портах и добавляем команду portfast и коммутатор не проверяет эти порты во время работы протокола STP. Данная модель более предпочтительна.

Поэтому мы задаем следующую команду на нашем коммутаторе:

sw1(config)#spanning-tree mode rapid-pvst

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in rapid-pvst mode

–– часть информации удалена –

Протокол связующего дерева (STP) выбор корневого коммутатора

По умолчанию для 802.1d и 802.1w, корневой коммутатор будет выбран автоматический, но он может не совпасть с нашим корневым коммутатором или в результате добавления нового коммутатора в сеть, изменить всю топологию сети, поэтому настоятельно рекомендуется задать его самим. Ниже приведены два варианта команд:

sw1(config)# spanning-tree vlan 1-4094 priority 0

sw2(config)# spanning-tree vlan 1-4094 priority 4096

sw1(config)# spanning-tree vlan 1-4094 root primary

sw2(config)# spanning-tree vlan 1-4094 root secondary

В данном примере sw1 является первым корневым для всех виртуальных локальных сетей (vlans), а sw2 вторым корневым для всех виртуальных локальных сетей нашей сети.

Данная команда показывает, что данный коммутатор является корневым для vlan 9

sw1#show spanning-tree vlan 9

VLAN0009

Spanning tree enabled protocol rstp

Root ID Priority 9

Address 001b.544e.3280

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 9 (priority 0 sys-id-ext 9)

Address 001b.544e.3280

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

Interface Role Sts Cost Prio.Nbr Type

–– – – – – –

Gi1/0/6 Desg FWD 4 128.6 P2p

Gi1/0/7 Desg FWD 4 128.7 P2p

Gi1/0/8 Desg FWD 4 128.8 P2p

Gi1/0/9 Desg FWD 4 128.9 P2p

Gi1/0/10 Desg FWD 4 128.10 P2p

Протокол

связующего

дерева

балансировка

нагрузки

со

стоимостью

порта

(STP Load balancing with Port Cost)

Мы можем также управлять балансировкой при помощи изменения стоимости портов, по умолчанию стоимость гигабитного порта 4, с помощь команды показанной ниже можно изменить её как в большую, так и в меньшую сторону:

sw1(config)#interface Gi0/1

sw1(config-if)#spanning-tree cost <1-65535>

При назначении стоимости равной 1 данный порт будет корневым для коммутатора доступа:

Проверка осуществляется командой:

Show spanning-tree vlan

Протокол связующего дерева балансировка нагрузки с

приоритетом порта (STP Load balancing with Port Priority)

Также возможно изменение роли порта при помощи изменения приоритета:

sw1(config)#interface Gi0/1

sw1(config-if)#spanning-tree port-priority <0-255>

Проверка осуществляется командой:

sw1#Show spanning-tree vlan

Множественный протокол связующего дерева MST (802.1s)

Данный протокол также как и 802.1w достаточно быстрый и используется при очень большом количестве vlan. Настраивается:

sw1(config)#spanning-tree mode mst

sw1(config)#spanning-tree mst configuration

sw1(config-mst)#name MYVLAN

sw1(config-mst)# revision 1

sw1(config-mst)#instance 1 vlan 10, 11, 12, 13, 14, 15

sw1(config-mst)#instance 2 vlan 16, 17, 18, 19, 20, 21

sw2(config)#spanning-tree mode mst

sw2(config)# spanning-tree mst configuration

sw2(config-mst)#name MYVLAN

sw2(config-mst)#revision 1

sw2(config-mst)#instance 1 vlan 10, 11, 12, 13, 14, 15

sw2(config-mst)#instance 2 vlan 16, 17, 18, 19, 20, 21

sw2(config)#spanning-tree mst 2 root primary

Последней строкой задано, что второй коммутатор является корневым для 2 инстанции:

sw3(config)#spanning-tree mode mst

sw3(config)#spanning-tree mst configuration

sw3(config-mst)#name MYVLAN

sw3(config-mst)#revision 1

sw3(config-mst)#instance 1 vlan 10, 11, 12, 13, 14, 15

sw3(config-mst)#instance 2 vlan 16, 17, 18, 19, 20, 21

sw3(config)#spanning-tree mst 1 root primary

Последней строкой задано, что третий является корневым для первой инстанции:

sw4(config)#spanning-tree mode mst

sw4(config)#spanning-tree mst configuration

sw4(config-mst)#name MYVLAN

sw4(config-mst)#revision 1

sw4(config-mst)#instance 1 vlan 10, 11, 12, 13, 14, 15

sw4(config-mst)#instance 2 vlan 16, 17, 18, 19, 20, 21

Проверка осуществляется командой:

show spanning-tree mst configuration

show spanning-tree mst 1

Множественный протокол связующего дерева балансировка нагрузки со стоимостью порта (MST Load balancing with Port Cost)

sw1(config)#interface Gi0/1

sw1(config-if)#spanning-tree mst 1 cost <1-65535>

Проверка осуществляется командой:

sw1#show spanning-tree mst 1

Множественный протокол связующего дерева балансировка нагрузки с приоритетом порта (MST Load balancing with Port Priority)

sw1(config)#interface Gi0/1

sw1(config-if)#spanning-tree mst 1 port-priority <0-255>

Проверка осуществляется командой:

sw1#show spanning-tree mst 1

Подводим итог:

sw1#conf t

sw1(config)#spanning-tree mode rapid-pvst

sw1(config)# spanning-tree vlan 1-4094 root primary

sw1(config)#end

sw1#wr

sw2#conf t

sw2(config)# spanning-tree mode rapid-pvst

sw2(config)# spanning-tree vlan 1-4094 root secondary

sw2(config)#end

sw2#wr

Мы сделали первый коммутатор корневым для всех виртуальных сетей, а второй коммутатор, вторым корневым.

Проверка осуществляется командой:

sw1#show spanning-tree vlan «номер vlan»

Утилиты Протокола связующего дерева STP Быстрый порт (Portfast)

Данная утилита STP позволяет порту пропустить состояния listening и learning и сразу перейти в состояние forwarding. Она используется только на портах доступа. При её включении поступает предупреждение, что к данному порту нельзя подключать коммутаторы, а только хосты.

Настраивается двумя способами:

В первом варианте вводиться одной строкой и применяется ко всем портам доступа, показано ниже:

sw1(config)#spanning-tree portfast default

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in rapid-pvst mode

Root bridge for: none

Extended system ID is enabled

Portfast Default is enabled

PortFast BPDU Guard Default is enabled

Portfast BPDU Filter Default is disabled

Loopguard Default is disabled

EtherChannel misconfig guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Configured Pathcost method used is short

Во втором варианте и этот вариант более рекомендуем, настраивается на каждом интерфейсе, показано ниже:

sw1(config)#interface FastEthernet0/1

sw1(config-if)#switchport access vlan 9

sw1(config-if)#switchport mode access

sw1(config-if)#spanning-tree portfast

Отключается на интерфейсе командой:

sw1(config-if)#spanning-tree portfast disable

Проверка осуществляется командой:

sw1#show spanning-tree interface FastEthernet 0/1 portfast

VLAN0009 enabled

Или в развернутом варианте:

sw1#show spanning-tree interface FastEthernet 0/1 detail

Port 3 (FastEthernet0/1) of VLAN0016 is designated forwarding

Port path cost 19, Port priority 128, Port Identifier 128.3.

Designated root has priority 16, address 001b.544e.3280

Designated bridge has priority 32784, address 001b.2b24.2f00

Designated port id is 128.3, designated path cost 4

Timers: message age 0, forward delay 0, hold 0

Number of transitions to forwarding state: 1

The port is in the portfast mode

Link type is point-to-point by default

Bpdu guard is enabled

Loop guard is enabled by default on the port

BPDU: sent 33130, received 0

Защита

от

BPDU

пакетов

(Bpduguard)

Данная утилита используется на уровне доступа, она отключает интерфейс, переходит в состояние err-disable, при приходе на него BPDU пакета, используется вместе с portfast, чтобы после её срабатывания включить интерфейс, надо дать на заблокированном интерфейсе команду shutdown после этого набрать no shutdown.

В первом варианте вводиться одной строкой и применяется ко всем портам доступа, показано ниже:

sw1(config)#spanning-tree portfast default

sw1(config)#spanning-tree portfast bpduguard default

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in rapid-pvst mode

Root bridge for: VLAN0001, VLAN0116, VLAN0120

Extended system ID is enabled

Portfast Default is enabled

PortFast BPDU Guard Default is enabled

Portfast BPDU Filter Default is disabled

Loopguard Default is enabled

EtherChannel misconfig guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Configured Pathcost method used is short

–– часть информации удалена –

Во втором варианте, настраивается на каждом интерфейсе, и мы используем этот вариант, применение показано ниже:

sw1(config)#interface FastEthernet0/1

sw1(config-if)#spanning-tree bpduguard enable

Отключаем командой показанной ниже.

sw1(config-if)#spanning-tree bpduguard disable

Проверка осуществляется командой:

sw1#show spanning-tree interface FastEthernet 0/1 detail

Port 1 (FastEthernet0/1) of VLAN0009 is designated forwarding

Port path cost 19, Port priority 128, Port Identifier 128.1.

Designated root has priority 9, address 001b.544e.3280

Designated bridge has priority 32777, address 001b.54cb.e580

Designated port id is 128.1, designated path cost 4

Timers: message age 0, forward delay 0, hold 0

Number of transitions to forwarding state: 1

The port is in the portfast mode

Link type is point-to-point by default

Bpdu guard is enabled

Loop guard is enabled by default on the port

BPDU: sent 167665, received 0

Фильтр

BPDU

пакетов

(Bpdufilter)

Данная утилита предназначена, для фильтрации BPDU пакетов, она не пропускает чужой и не отправляет свой BPDU пакет и при этом не отключает интерфейс, к примеру, наш коммутатор стоит против коммутатора нашего провайдера, чтобы не пропускать его BPDU пакеты мы должны установить данную утилиту на интерфейс, обращенный к провайдеру.

Мы можем указать данную команду одной строкой для всех портов portfast:

sw1(config)#spanning-tree portfast default

sw1(config)#spanning-tree portfast bpdufilter default

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in rapid-pvst mode

Root bridge for: VLAN0001, VLAN0116, VLAN0120

Extended system ID is enabled

Portfast Default is enabled

PortFast BPDU Guard Default is disabled

Portfast BPDU Filter Default is enabled

Loopguard Default is enabled

EtherChannel misconfig guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Configured Pathcost method used is short

–– часть информации удалена –

Настраивается на определенном интерфейсе, применение показано ниже:

sw1(config)#interface FastEthernet0/1

sw1(config-if)#spanning-tree bpdufilter enable

Следует заметить, что не стоит использовать данную утилиту вместе с утилитой bpduguard.

Защита коневого коммутатора (Guard root)

Данная утилита позволяет гарантировать не избрание корневым определенного коммутатора, но для её использования обязательно требуется, чтобы до её включения мы избрали коммутатор, который будет у нас корневым и только после этого мы прописываем на интерфейсах в сторону не корневого коммутатора данную команду:

sw1(config)#interface FastEthernet0/24

sw1(config-if)#spanning-tree guard root

Проверка осуществляется командой:

sw1#show spanning-tree inconsistentports

Защита

от

петель

(Guard loop)

Данная утилита обеспечивает дополнительную защиту против образования петель, для предотвращения STP петель за счет однонаправленной связи.

Работает подобно UDLD, но вместо этого использует BDPU keepalive для определения однонаправленного движения. Заблокированные порты будут переведены в состояние LOOP_INCONSISTANT_STATE, чтобы избежать петель.

Глобально задается командой показанной ниже:

sw1(config)#spanning-tree loopguard default

Проверка осуществляется командой:

sw1#show spanning-tree summary

Switch is in pvst mode

Root bridge for: none

EtherChannel misconfig guard is enabled

Extended system ID is disabled

Portfast Default is disabled

PortFast BPDU Guard Default is disabled

Portfast BPDU Filter Default is disabled

Loopguard Default is enabled

UplinkFast is disabled

BackboneFast is disabled

Pathcost method used is short

–– часть информации удалена –

На отдельном интерфейсе задается командой, показанной ниже:

sw1(config)#interface FastEthernet0/24

sw1(config-if)#spanning-tree guard loop

Протокол обнаружения однонаправленной связи UniDirectional Link Detection (UDLD)

Протокол обнаружения однонаправленной связи (UDLD), является протоколом 2 уровня, отслеживает физическую конфигурацию кабелей и обнаруживает однонаправленные соединения и отключает порт. Данные соединения могут быть причиной петель в коммутации, образовывать черные дыры и недетерминированных перенаправлении. Чтобы включить интерфейс, после его отключения, необходимо на интерфейсе выполнить команду shutdown, а потом no shutdown.

Настраивается на интерфейсе:

sw1#conf t

sw1(config)# interface range fa0/19 – 20

Для медной пары:

sw1(config-if)#udld aggressive

Для оптического кабеля:

sw1(config-if)#udld

sw1(config-if)#end

sw1#wr

Проверка осуществляется командой:

sw1# show udld

Туннель через коммутаторы (802.1q Tunneling)

Туннель через коммутаторы 802.1q Tunneling, имеем 2 маршрутизатора их надо соединить туннелем через коммутаторы, следует отметить, что между коммутаторами есть магистральное соединение и на них прописаны vlan, настройка приводиться ниже:

r1(config)#interface f0/0

r1(config-if)#no shutdown

r1(config-if)#interface f0/0.10

r1(config-if)#encapsulation dot1Q 10

r1(config-if)#ip address 10.0.0.1 255.255.255.0

r1(config-if)#interface f0/0.20

r1(config-if)#encapsulation dot1Q 20

r1(config-if)#ip address 20.0.0.1 255.255.255.0

r2(config)#interface f0/0

r2(config-if)#no shutdown

r2(config-if)#interface f0/0.10

r2(config-if)#encapsulation dot1Q 10

r2(config-if)#ip address 10.0.0.2 255.255.255.0

r2(config-if)#interface f0/0.20

r2(config-if)#encapsulation dot1Q 20

r2(config-if)#ip address 20.0.0.2 255.255.255.0

sw1(config)#system mtu 1504

Данный интерфейс смотрит на маршрутизатор r1

sw1(config)#interface f0/1

sw1(config-if)#switchport access vlan 200

sw1(config-if)#switchport mode dot1q-tunnel

sw1(config-if)#l2protocol-tunnel cdp

sw1(config-if)#no cdp enable

sw1(config-if)#interface f0/19

sw1(config-if)#switchport trunk encapsulation dot1q

sw1(config-if)#switchport mode trunk

sw2(config)#system mtu 1504

Данный интерфейс смотрит на маршрутизатор r2

sw2(config)#interface f0/2

sw2(config-if)#switchport access vlan 200

sw2(config-if)#switchport mode dot1q-tunnel

sw2(config-if)#l2protocol-tunnel cdp

sw2(config-if)#no cdp enable

sw2(config-if)#interface f0/19

sw2(config-if)#switchport trunk encapsulation dot1q

sw2(config-if)#switchport mode trunk

Проверяем командой show cdp neighbor и ping на первом и втором маршрутизаторе.

Частные виртуальные локальные сети (Private VLANs)

Частные виртуальные локальные сети используются, когда нужно, чтобы один хост или несколько хостов не имели доступа к общей сети. Соответственно существуют три типа таких портов изолированные (isolated),сообщество (community) и прослушивающий (promiscuous), прослушивающий (promiscuous) порт может общаться со всеми видами портов в пределах частной виртуальной локальной сети. Также через него частные порты могут обмениваться между собой информацией. Варианты настройки приведены ниже:

Настройка изолированной виртуальной локальной сети (isolated vlan)

Обязательно переводим коммутатор в прозрачный режим (transparent) и после этого создаем изолированию виртуальную локальную сеть и первую виртуальную локальную сеть, только одна изолированная сеть может быть привязана к первой сети, к которой она будет привязана:

sw2(config)#vtp transparent

sw2(config-vlan)#vlan 201

sw2(config-vlan)#private-vlan isolated

sw2(config-vlan)#vlan 100

sw2(config-vlan)#private-vlan primary

sw2(config-vlan)#private-vlan association 201

sw2(config-vlan)#end

sw2#wr

Настраиваем порт, к которому будет подключен изолированный хост:

sw2(config)#interface f0/1

sw2(config-if)#switchport mode private-vlan host

sw2(config-if)#switchport private-vlan host-association 100 201

Проверка осуществляется командой:

sw2#show vlan private-vlan

Primary Secondary Type Ports

–– – – –

100 201 isolated Fa0/1

Также посмотреть результат можно и этой командой

sw2#show interface f0/1 switchport

Name: Fa0/1

Switchport: Enabled

Administrative Mode: private-vlan host

Operational Mode: private-vlan host

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Negotiation of Trunking: Off

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: 100 (VLAN00100) 201 (VLAN00201)

Загрузка...