[mrrc]

Столкнулся с задачей пропустить VLAN между двумя микротиками, физически подключенными через 2960-S. Сразу скажу, до этого с конфигурацией Cisco-и не сталкивался.

Установил Cisco Network Assistant, подключение для управления к 2960-S имеется.

Насколько разобрался, оба порта циски, через которые подключено оборудование, нужно перевести в режим Trunk с целью пропуска VLAN между двумя подключенными маршрутизаторами. В разделе настройки VLANs выставил оба вовлеченных в вопрос порта в режим 802.1Q Trunk, но связи по-прежнему нет. В списке возможных вариантов работы порта есть и другие варианты, но ни один с Trunk-ом не дал результатов.

На всякий случай, при прямом соединении микротиков без циски VLAN работает.

[zhenya`]

Вланы надо создать и разрешить их потом на транке 

[rz3dwy]

зайдите консолью, это проще

 

switchport trunk encapsulation dot-1q

switchport mode trunk

switchport trunk allowed vlan 5,6,7

no shutdown

 

vlan 5

name five

vlan 6

name six

vlan 7

name seven

do wr me

[mrrc]

А если требуется только пропускать VLAN прозрачно сквозь порты циски, предоставив создание и управление VLAN-ми непосредственно внешними подключенными устройствами? То есть мне не требуется управлять VLAN-ами самой циской, для этого есть маршрутизаторы, которые нужно связать между собой по VLAN.

 

Консолью пока не проще, с визуализацией процесса понятнее на первоначальном этапе, тем более весь функционал вроде присутствует в GUI.

[zhenya`]

Для пропуска трафика они должны быть заведены.

[mrrc]

Действительно, спасибо!

В Configure VLANs создал vlan с используемым с обеих сторон id 100 в статусе Active и взлетело.

Но дополнительно ничего не разрешал. На транке, в смысле в свойствах транковых портов?

[zi_rus]

еще есть вариант с q-in-q

[kapydan]

6 минут назад, zi_rus сказал:

еще есть вариант с q-in-q

это если надо передать влан чисто транзитом, скажем так влан во влане

[mrrc]

20 минут назад, zi_rus сказал:

еще есть вариант с q-in-q

 

13 минут назад, kapydan сказал:

это если надо передать влан чисто транзитом, скажем так влан во влане

Для транзита в данном случае и требуется в общем, чтобы выглядело как кабельное Ethernet-соединение между подключенными маршрутизаторами, которые в свою очередь соединяются по влану.
А приведенный вариант как настраивается?

[kapydan]

Зависит от версии иоса и модели свича (тут надо смотреть, позволяет ли железо или иос применить q-in-q).

В общем, создается влан и в настройках данного влана настраивается dot1q-tunnel.

[v_r]

1 час назад, zi_rus сказал:

еще есть вариант с q-in-q

ЕМНИП 2960 не поддерживает его, доступен в 3560/3750 и старше.

[mrrc]

Понятно, видимо не поддерживается, не встретил такого.

WS-C2960S-48FPD-L (Version ID V03, 12.2(55)SE5-UNIVERSALK9)

Кстати, обратил внимание на следующее, зайдя в нужный порт, команда switchport trunk encapsulation dot1q, задающая режим инкапсуляции 802.1q, везде игнорируется.

[kapydan]

порт в транк перевели вначале?

 

switchport mode trunk

[zi_rus]

1 час назад, kapydan сказал:

это если надо передать влан чисто транзитом

ну он же просил сделать не создавая вланов, просто передать, а управлять тегами на конечных устройствах

[zi_rus]

20 минут назад, v_r сказал:

ЕМНИП 2960 не поддерживает его, доступен в 3560/3750 и старше.

да глянул, на моих тоже нет q-in-q, но это не отменяет кейса

[mrrc]

7 минут назад, kapydan сказал:

порт в транк перевели вначале?

 

switchport mode trunk

Ага, похоже encapsulation ему неведом:

 

2960s_2_5_6_1(config-if)#switchport trunk ?                  
  allowed  Set allowed VLAN characteristics when interface is in trunking mode
  native   Set trunking native characteristics when interface is in trunking mode
  pruning  Set pruning VLAN characteristics when interface is in trunking mode

Потому и ругается:

2960s_2_5_6_1(config)#int Gi1/0/23
2960s_2_5_6_1(config-if)#switchport mode trunk
2960s_2_5_6_1(config-if)#switchport trunk encapsulation dot1q
                                          ^
% Invalid input detected at '^' marker.

 

[kapydan]

посмотрел у себя

 

c2960-sh2(config)#int Gi1/0/16
c2960-sh2(config-if)#swi
c2960-sh2(config-if)#switchport m
c2960-sh2(config-if)#switchport mode ?
  access   Set trunking mode to ACCESS unconditionally
  dynamic  Set trunking mode to dynamically negotiate access or trunk mode
  trunk    Set trunking mode to TRUNK unconditionally

c2960-sh2(config-if)#switchport mode tru
c2960-sh2(config-if)#switchport mode trunk
c2960-sh2(config-if)#swi
c2960-sh2(config-if)#switchport ?
  access         Set access mode characteristics of the interface
  autostate      Include or exclude this port from vlan link up calculation
  backup         Set backup for the interface
  block          Disable forwarding of unknown uni/multi cast addresses
  host           Set port host
  mode           Set trunking mode of the interface
  nonegotiate    Device will not engage in negotiation protocol on this interface
  port-security  Security related command
  priority       Set appliance 802.1p priority
  protected      Configure an interface to be a protected port
  trunk          Set trunking characteristics of the interface
  voice          Voice appliance attributes

c2960-sh2(config-if)#switchport tru
c2960-sh2(config-if)#switchport trunk ?
  allowed  Set allowed VLAN characteristics when interface is in trunking mode
  native   Set trunking native characteristics when interface is in trunking mode
  pruning  Set pruning VLAN characteristics when interface is in trunking mode

c2960-sh2(config-if)#switchport trunk

 

 

cisco WS-C2960S-24PS-L C2960S-UNIVERSALK9-M), Version 12.2(55)SE7, RELEASE SOFTWARE (fc1)

 

q-in-q нет

[kapydan]

4 минуты назад, mrrc сказал:

Ага, похоже encapsulation ему неведом:

тогда там есть только dot1q, и нет isl

[mrrc]

1 минуту назад, kapydan сказал:

тогда там есть только dot1q, и нет isl

По всей видимости, ибо когда в GUI выбираешь в Administrative Encapsulation значение ISL, по факту устанавливается 802.1q

[YuryD]

isl умер лет так триста назад. Чуть попозже умер vlan data, vtp еще вроде есть , хотя от кривизны vtp mode не транспарент, я однажды крупно влип. Всунул новый кискосвитч от нага, и хренакс - он все тестовые наговские вланы влил к соседям, а нужные иногда и укоцал. Нее, vtp вещь полезная, когда сеть однотипного железа-кисок. В зоопарке можно многово нахватать... А так -в киске - вланы понятны и создаются достаточно просто, несколькими строками конфига, без всякого уёб-интерфейса. Создал влан, на транковых портах добавил его, и в общем - всё, влан пролез к нужным соседям в транке. Для нужных соседей-киско - аналогично, для блинков удобнее уёбом. Главное - не использовать vlan 1, и уложиться в диапазон номеров стандартных вланов, от 2 до 1024.

[kapydan]

3 часа назад, YuryD сказал:

новый кискосвитч от нага

он был именно новый "нулевы" или новый "купленный в наге" (вероятнее всего, беушный). если второе - был подобный опыт, после которого все беушное стараюсь посмотреть через консольный шнурок или типа того (через aux тот же).

[mrrc]

В новой задаче есть необходимость разобраться - изолировать в коммутаторе два порта от остальных, как бы выкусив и создав коммутатор в коммутаторе. При этом изолированные два порта должны общаться друг с другом и с "портом-аплинком" (возможно это будет оптический), через который данный коммутатор подключен к остальной сети. Надеюсь, понятно объяснил)

Отвечает за реализацию Private VLANs, насколько я понял. Наткнулся на статью на Хабрахабр, вроде описывается требуемая ситуация, но до конца не уверен. Можно ли увидеть пример практической реализации и комментарий по решаемой в статье задаче.

[v_r]

2960 вроде не поддерживает private vlans (как и ISL инкапсуляцию к слову). Может быть вам подойдет switchport protected, только это не совсем "свитч в свитче" и два порта не смогут общаться друг с другом.

[ShyLion]

Catalyst 2960 офисные свичи. Не нужно от них хотеть провайдерского функционала.

[mrrc]

Да, сеть на 99% состоит из 2960, есть только один центральный 3750 с поддержкой в том числе private vlans.

Остается только рассмотреть switchport protected, однако его применение для решения задачи пока не до конца мне понятно. В общем можно перевести все порты коммутатора в switchport protected за исключением двух выделяемых и порта аплинка, тем самым изолировав данный L2 сегмент в рамках коммутатора. Но в этом случае подключенные рабочие места\устройства к остальным портам коммутатора с switchport protected между собой общаться при необходимости смогут только через вышестоящий-головной коммутатор или в рамках текущего коммутатора через порт аплинка?