Конфигурация изолированных частных vlan на коммутаторах

Оглавление

Устранение неполадок

Проблема 1

Отображается следующее сообщение об ошибке. %PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В раздела данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе документа Конфигурация частных сетей VLAN.

Проблема 2

В процессе конфигурации PVLAN может отобразится одно из следующих сообщений.

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В раздела данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе документа Конфигурация частных сетей VLAN.

Проблема 3

Не удается настроить PVLAN на некоторых платформах.

Решение. Проверьте, чтобы платформа поддерживала сети PVLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.

Проблема 4

На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.

Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.

Также настройте интерфейс VLAN на MSFC, как указано в разделе данного документа.

Проблема 5

С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.

Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.

Проблема 6

На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.

Решение. Записи ARP, полученные на интерфейсах частных VLAN уровня 3, являются фиксированными и не устаревают. С помощью подключения нового оборудования с помощью IP-адреса создается сообщение. Запись ARP не создается. Таким образом, необходимо удалить ARP-записи порта PVLAN при изменении MAC-адреса. Чтобы добавить или удалить ARP-записи PVLAN вручную, выполните следующие команды.

Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.

Версия Cisco

Cisco под “trunk’ом” понимает канал типа “точка-точка” (канал связи, напрямую соединяющий два устройства), который соединяет коммутатор и другое сетевое устройство, например еще один коммутатор или маршрутизатор. Его задача – передавать трафик нескольких VLAN через один канал и обеспечивать им доступ ко всей сети. В простонародии называется «транком», что логично.

Начнем с того, что такое VLAN?

VLAN расшифровывается как Virtual local area network или виртуальная локальная сеть. Это технология, которая позволяет разделить одну физическую сеть на несколько логических, работающих независимо друг от друга. Например, есть на предприятии отдел кадров, бухгалтерия и IT-отдел. У них есть свои коммутаторы, которые соединены через центральный коммутатор в единую сеть, и вот сети этих отделов и нужно отделить друг от друга. Тогда-то на помощь и приходит технология VLAN.

Так выглядит сеть, разделенная на VLAN’ы (виртуальные сети).

Часто для обозначения VLAN’а используют разные цвета.

Так порты, обозначенные зеленым цветом, входят в один VLAN, а порты, обозначенные красным цветом, в другой. Тогда компьютеры, которые находятся в одном VLAN’е, могут взаимодействовать только друг с другом, а с компьютерами, входящими в другой VLAN, не могут.

Перемены в таблице коммутации в VLAN

При создании VLAN’ов в таблицу коммутации у коммутаторов добавляется еще одно поле, в котором указываются идентификаторы VLAN. Упрощенно это выглядит так:

Тут мы видим, что порты 1 и 2 принадлежат VLAN’у 2, а порты 3 и 4 – VLAN’у 10.

Идем дальше. На канальном уровне данные передаются в виде кадров (фреймов). При передаче кадров от одного коммутатора к другому нужна информация о том, к какому VLAN’у принадлежит тот или иной кадр. Эту информацию добавляют в передаваемый кадр. На данный момент для этой цели используют открытый стандарт IEEE 802.1Q. Пошаговая эволюция кадра в VLAN

  1. Компьютер генерирует и отправляет обычный кадр (фрейм, он же пакет канального уровня, т.е. уровня коммутаторов), ничего не добавляя. Этот кадр выглядит так:
  1. Коммутатор получает кадр. В соответствии с таблицей коммутации, он понимает, с какого компьютера пришел кадр, и к какому VLAN’у принадлежит этот компьютер. Тогда коммутатор сам добавляет в кадр служебную информацию, так называемый тег. Тег – это поле после MAC-адреса отправителя, в котором содержится, грубо говоря, номер VLAN’а. Так выглядит кадр с тегом:

Затем коммутатор отправляет этот кадр на другой коммутатор.

  1. Коммутатор, который принимает кадр, извлекает из него информацию о VLAN, то есть понимает, на какой компьютер нужно передать этот кадр, удаляет всю служебную информацию из кадра и передает его на компьютер получателя.

  2. На компьютер получателя приходит кадр уже без служебной информации.

Теперь возвращаемся к нашему “trunk’у”. Порты коммутатора, поддерживающие VLAN можно разделить на две группы:

  1. Тегированные порты (или trunk-порты у Cisco)
  2. Нетегированные порты (или access порты)

Нас интересуют тегированные порты или trunk-порты. Они как раз и служат для того, чтобы через один порт можно было передавать данные, принадлежащие к разным VLAN и получать данные нескольких VLAN на один порт (мы помним, что обычно порты из разных VLAN друг друга не видят).

На этом рисунке тегированными являются порты номер 21 и 22, которые соединяют два коммутатора. Через них и будут проходить кадры, например, от компьютера Е к компьютеру А, которые находятся в одном VLAN’е, по схеме, которая описана выше.

Так вот, канал связи между этими портами у Cisco как раз и называется “trunk’ом”.

Configuration – Switchport Mode Trunk

In this session, we will configure the switchport as a trunk. As we previously discussed, a trunk port is used to carry multiple VLAN traffic.

Below is the trunk port configuration for Cisco IOS Switches:

GNS3Network_SW2# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
GNS3Network_SW2(config)# interface FastEthernet 0/1
GNS3Network_SW2(config-if)#switchport mode trunk
GNS3Network_SW2(config-if)#end
GNS3Network_SW2#

By default, the trunk will be the member of all VLANs configured on the switch. So, it will carry out the traffic of each VLAN configured on the switch. You can restrict the switch to send the traffic of a particular VLAN using the below command:

GNS3Network_SW2# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
GNS3Network_SW2(config)# interface FastEthernet 0/1
GNS3Network_SW2(config-if)# switchport mode trunk
GNS3Network_SW2(config-if)# switchport trunk allowed vlan 10-11
GNS3Network_SW2(config-if)#end
GNS3Network_SW2#

Предварительные условия

Требования

Перед использованием этой конфигурации ознакомьтесь со следующими требованиями.

  • Функции транкинга FEC и 802.1Q доступны в коммутаторах Catalyst L2 с фиксированной конфигурацией и программным обеспечением Cisco IOS версии 12.0(5.2)WC(1) и более поздних версий. Коммутаторы Catalyst 2940 и 2955/2950 не поддерживают транкинг с протоколом ISL (Inter-Switch Link) из-за ограниченных возможностей оборудования.

  • Маршрутизаторы Cisco поддерживают EtherChannel и возможности транкинга 802.1Q в ПО Cisco IOS версии 12.0(T) и выше. Однако не все маршрутизаторы поддерживают обе функции. Используйте данную таблицу для определения платформ маршрутизаторов, на которых поддерживаются FEC и функции транкинга 802.1Q.

    Платформа маршрутизаторов

    EtherChannel

    Инкапсуляция IEEE 802.1Q

    Маршрутизатор Cisco 1710

    Нет

    Да

    Маршрутизатор Cisco 1751

    Нет

    Да

    Cisco серии 2600

    Нет1

    Да

    Cisco серии 3600

    Нет1

    Да

    Cisco серии 3700

    Нет1

    Да

    Cisco серии 4000-M (4000-M, 4500-M, 4700-M)

    Нет

    Да

    Cisco серии 7000 (RSP2 7000, RSP 7000CI)

    Да

    Да

    Cisco 7100

    Нет

    Да

    Cisco серии 7200

    Да

    Да

    Cisco серии 7500 (RSP1, RSP2, RSP4)

    Да

    Да

    1 Исключение в поддержке EtherChannel для маршрутизаторов Cisco 2600, 3600 и 3700 возникает в случае, если вы установили сетевой модуль NM-16ESW или NM-36ESW (Ethernet Switch Network Module). Каждый из этих модулей поддерживает не более шести каналов EtherChannels, до восьми портов в группе.

    2 RSP = Route Switch Processor (процессор маршрутизирующего коммутатора)

Используемые компоненты

При разработке и тестировании этой конфигурации использовались следующие версии программного и аппаратного обеспечения.

  • Коммутатор Catalyst 2950 с программным обеспечением Cisco IOS версии 12.1(9)EA1d

  • Маршрутизатор Cisco 7200 с ПО Cisco IOS версии 12.2(3).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Ограничение числа TCP/UDP-сеансов с использованием команд Static

Можно указать максимальное количество соединений TCP/UDP, используя статическое правило. Можно также задать максимальное число неустановившихся соединений. Неустановившееся соединение — соединение в полуоткрытом состоянии. Увеличение числа таких соединений влияет на производительность ASA. Ограничение этих соединений помогает предотвратить некоторые виды атак, такие как DoS и SYN. Чтобы полностью исключить подобные риски, необходимо определить политику в системе MPF, которая не рассматривается в этом документе. Дополнительные сведения по этой теме см. в разделе Предотвращение сетевых атак.

Выполните следующие действия:

  1. Перейдите на вкладку Настройки соединения и укажите значения максимального числа соединений для этой статической трансляции.

  2. На следующих иллюстрациях представлены предельные значения числа соединений для данной статической трансляции:

    Это равноценные выходные данные CLI:

Configuring Port ACLs and VLAN ACLs

This chapter describes how to configure port ACLs (PACLs) and VLAN ACLs (VACLs) in Cisco IOS Release 12.2SX.

Note ● For complete syntax and usage information for the commands used in this chapter, see the Cisco IOS Master Command List, at this URL:

  • Optimized ACL logging (OAL) and VACL capture are incompatible. Do not configure both features on the switch. With OAL configured (see the ), use SPAN to capture traffic.
  • Port ACLs do not support the access-list keywords log or reflexive. These keywords in the access list are ignored. OAL does not support PACLs.
  • PACLs are not supported on private VLANs.

This chapter consists of these sections:

Предварительные условия

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco ASA серии 5500 версии 8.2

  • Cisco ASDM версии 6.3

 Примечание. Эта конфигурация поддерживается только в ПО Cisco ASA версии 8.0–8.2, так как в них функции NAT не претерпели значительных изменений.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Отключение NAT для определенных узлов/сетей

Если требуется исключить отдельные хосты или сети из NAT, добавьте правило исключения NAT, чтобы отключить трансляцию адресов. Это позволит транслированным и удаленным хостам инициировать соединения.

Выполните следующие действия:

  1. Перейдите в раздел Конфигурация > Брандмауэр > Правила NAT, нажмите Добавить и выберите Добавить правило исключения NAT.

  2. В этом случае внутренняя сеть 172.18.10.0 исключения из трансляции адресов. Убедитесь в том, что выбрана опция Исключить. Доступно два направления для исключения NAT:

    • Исходящий трафик в интерфейсы с более низким уровнем безопасности

    • Входящий трафик в интерфейсы с более высоким уровнем безопасности

    По умолчанию выбран исходящий трафик. Нажмите OK, чтобы завершить выполнение этого действия.

     Примечание. При выборе опции Не исключать этот конкретный хост не будет исключен из NAT, и будет добавлено отдельное правило доступа с ключевым словом «запретить». Эта функция позволяет предотвратить исключение из NAT конкретных хостов, поскольку вся сеть кроме этих узлов будет исключена из NAT.

  3. Здесь отображается правило исключения из NAT на исходящем направлении. Нажмите Применить для передачи конфигурации на ASA.

    Для справки здесь приведены равноценные выходные данные CLI:

  4. Здесь показано, как отредактировать правило исключения из NAT для соответствующего направления. Нажмите OK, чтобы настройка вступила в силу.

  5. Как вы можете заметить, теперь направление изменилось на входящее.

    Нажмите Применить для передачи этих выходных данных CLI на ASA:

     Примечание. Здесь вы видите, что в конце команды nat 0 добавлено новое ключевое слово (outside). Эта функция называется внешний NAT.

  6. Что отключить NAT, также можно реализовать NAT удостоверения. NAT удостоверения преобразовывает хост в тот же IP-адрес. Далее приводится пример стандартного статичного NAT удостоверения, в котором хост (172.16.11.20) преобразуется в тот же IP-адрес при доступе из внешней сети.

    Это равноценные выходные данные CLI:

Layer 2 Interface Modes

Table 1 Layer 2 Interface Modes

Mode

Function

switchport mode access

Puts the interface (access port) into permanent nontrunking mode and negotiates to convert the link into a nontrunk link. The interface becomes a nontrunk interface regardless of whether or not the neighboring interface is a trunk interface.

switchport mode dynamic auto

Makes the interface able to convert the link to a trunk link. The interface
becomes a trunk interface if the neighboring interface is set to
trunk or desirable
mode. The default switchport mode for all Ethernet interfaces is
dynamic auto.

switchport mode dynamic desirable

Makes the interface actively attempt to convert the link to a trunk link.
The interface becomes a trunk interface if the neighboring interface is set
to trunk, desirable, or
auto mode.

switchport mode trunk

Puts the interface into permanent trunking mode and negotiates to convert the neighboring link into a trunk link. The interface becomes a trunk interface even if the neighboring interface is not a trunk interface.

switchport nonegotiate

Prevents the interface from generating DTP frames. You can use this command
only when the interface switchport mode is access
or trunk. You must manually configure the
neighboring interface as a trunk interface to establish a trunk link.

switchport mode dot1q-tunnel

Configures the interface as a tunnel (nontrunking) port to be connected in an asymmetric link with an IEEE 802.1Q trunk port. The IEEE 802.1Q tunneling is used to maintain customer VLAN integrity across a service provider network.

Related Concepts

Configuration – Switchport Mode Access

In this session, we will discuss the configuration of the Access Mode of a switchport. As we already discussed, switchport used to connect with the End Points, i.e. Computer, Printer, Laptops, etc.

The Below configuration will explain to you to configure the switchport of a CISCO IOS switch.

GNS3Network_SW2# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
GNS3Network_SW2(config)# interface FastEthernet 0/1
GNS3Network_SW2(config-if)# switchport mode access
GNS3Network_SW2(config-if)# switchport access vlan 100
GNS3Network_SW2(config-if)#end
GNS3Network_SW2#

Another easy way to configure switchport is “switchport host”, which also configure the port as a switchport. It will also configure STP portfast feature.

GNS3Network_SW2# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
GNS3Network_SW2(config)# interface FastEthernet 0/1
GNS3Network_SW2(config-if)# switchport host
GNS3Network_SW2(config-if)#switchport access vlan 100
GNS3Network_SW2(config-if)#end
GNS3Network_SW2#

Разрешение доступа недоверенных узлов к узлам доверенной сети

Для этого можно применить статическую трансляцию NAT и правило доступа, разрешающее использование этих хостов. Этот параметр необходимо настраивать каждый раз, когда внешний пользователь запрашивает доступ к любому серверу в вашей внутренней сети. Серверу во внутренней сети назначается частный IP-адрес, который не маршрутизируется в Интернете. Поэтому необходимо преобразовать этот частный IP-адрес в общедоступный IP-адрес с помощью правила статического преобразования NAT. Предположим, используется внутренний сервер (172.16.11.5). Чтобы эта схема заработала, потребуется преобразовать закрытый IP-адрес сервера в открытый IP-адрес. В этом примере описывается, как внедрить двунаправленный статический NAT для преобразования 172.16.11.5 в 209.165.200.5.

Раздел, посвященный настройке разрешений для доступа внешних пользователей к этому веб-серверу путем применения правила доступа, не приводится в этом документе. Небольшой фрагмент CLI приводится в справочных целях:

 Примечание. Если указать ключевое слово «any», всем пользователям из внешних сетей будет разрешен доступ к этому серверу. Кроме того, если ключевое слово не задано для каких-либо служебных портов, доступ к серверу разрешен с любого служебного порта, поскольку все они остаются открытыми

Эту настройку следует использовать с осторожностью. Кроме того, рекомендуется ограничить разрешения для доступа отдельных внешних пользователей к требуемому порту на сервере

Выполните следующие действия для настройки статического NAT:

  1. Перейдите в раздел Конфигурация > Брандмауэр > Правила NAT, нажмите Добавить и выберите Добавить правило статического NAT.

  2. Укажите исходный IP-адрес и транслированный IP-адрес, а также связанные с ними интерфейсы и нажмите OK.

  3. Здесь показана настроенная запись статического преобразования NAT. Нажмите Apply (Применить), чтобы отправить это в ASA.

Это небольшой пример CLI для данной конфигурации ASDM:

Log, view and analyze RS232 data or make use of an ASCII terminal for basic serial port communication, transfer data, and specify custom baud rates

What’s new in AccessPort 1.37 Build 1870:

  • New Feature:
  • The monitor function support x64 platform
  • Bug Fix:

Read the full changelog

AccessPort is a lightweight software application whose purpose is to help developers and engineers view, monitor and analyze RS232 data or make use of an ASCII terminal for basic serial port communication and RS232 device configuration.

The advantages of being portable

Since this is a portable program, you can run it on your computer without having to go through installation steps. Plus, your Windows registry doesn’t get bloated with unnecessary entries.

You may copy it on any USB flash drive or other devices and take it with you whenever you need to use a serial monitoring tool.

User-friendly interface

The program’s features come wrapped up in a clean and intuitive working environment. Although there’s no support for a help manual that could give you details about the function of each dedicated parameter, you may rely on tooltips for viewing short descriptions of the utility’s options.

Thanks to its multi-tabbed layout, you can easily switch between the Terminal and Monitor parameters.

Monitoring options

AccessPort gives you the possibility to work with standard on-board ports, extension board ports or COM ports connected to computer through USB with the aid of a COM port emulator.

It allows you to check out the communication port status, in and out data stream logs, as well as full history of sent and received commands and data.

What’s more, you are given the freedom to transfer files, choose between ASCII or HEX display mode, and save current session (including sent and received information) to plain text file format.

Several configuration settings to play with

AccessPort comes with several features that help you alter the baud rate, configure the port settings in terms or port, baud rate, parity, data and stop bit, and buffer size, enable the auto sending mode, and automatically open the port when you run the application.

Other notable settings worth being mentioned allow you to tweak the event control options (e.g. errors, break, ring indicator, CTS and DSR changes), hardware control settings (e.g. CTS and DSR output control), and timeout parameters (read and write timeouts). Additionally, you may specify the maximum size of the log file.

Bottom line

All in all, AccessPort delivers an intuitive environment for RS232 data analysis and comes with several handy features that are suitable for rookies and professionals alike.

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

CatOS

  • show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.

  • show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.

Программное обеспечение Cisco IOS

  • show vlan private-vlan – отображает сведения о PVLAN со связанными портами.

  • show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.

  • show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.

Процедура проверки

Выполните следующие шаги:

  1. Проверьте конфигурацию PVLAN на коммутаторах.

    Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.

  2. Проверьте правильность конфигурации случайного порта.

    Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.

  3. Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.

    Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.

  4. Выполните запрос ICMP-эхо между портами хоста.

    В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.

Похожие записи:

Настройка vlan интерфейсов в linux Default ThumbnailPost navigation Configuring vlan trunk protocol (vtp) Настройка vlan на микротик swos Как узнать vlan id для iptv ростелеком и зачем нужен идентификатор? Как зайти на роутер cisco