mrrc Опубликовано 24 октября, 2017 · Жалоба Столкнулся с задачей пропустить VLAN между двумя микротиками, физически подключенными через 2960-S. Сразу скажу, до этого с конфигурацией Cisco-и не сталкивался. Установил Cisco Network Assistant, подключение для управления к 2960-S имеется. Насколько разобрался, оба порта циски, через которые подключено оборудование, нужно перевести в режим Trunk с целью пропуска VLAN между двумя подключенными маршрутизаторами. В разделе настройки VLANs выставил оба вовлеченных в вопрос порта в режим 802.1Q Trunk, но связи по-прежнему нет. В списке возможных вариантов работы порта есть и другие варианты, но ни один с Trunk-ом не дал результатов. На всякий случай, при прямом соединении микротиков без циски VLAN работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 октября, 2017 · Жалоба Вланы надо создать и разрешить их потом на транке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 24 октября, 2017 · Жалоба зайдите консолью, это проще switchport trunk encapsulation dot-1q switchport mode trunk switchport trunk allowed vlan 5,6,7 no shutdown vlan 5 name five vlan 6 name six vlan 7 name seven do wr me Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба А если требуется только пропускать VLAN прозрачно сквозь порты циски, предоставив создание и управление VLAN-ми непосредственно внешними подключенными устройствами? То есть мне не требуется управлять VLAN-ами самой циской, для этого есть маршрутизаторы, которые нужно связать между собой по VLAN. Консолью пока не проще, с визуализацией процесса понятнее на первоначальном этапе, тем более весь функционал вроде присутствует в GUI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 октября, 2017 · Жалоба Для пропуска трафика они должны быть заведены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба Действительно, спасибо! В Configure VLANs создал vlan с используемым с обеих сторон id 100 в статусе Active и взлетело. Но дополнительно ничего не разрешал. На транке, в смысле в свойствах транковых портов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 октября, 2017 · Жалоба еще есть вариант с q-in-q Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2017 · Жалоба 6 минут назад, zi_rus сказал: еще есть вариант с q-in-q это если надо передать влан чисто транзитом, скажем так влан во влане Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба 20 минут назад, zi_rus сказал: еще есть вариант с q-in-q 13 минут назад, kapydan сказал: это если надо передать влан чисто транзитом, скажем так влан во влане Для транзита в данном случае и требуется в общем, чтобы выглядело как кабельное Ethernet-соединение между подключенными маршрутизаторами, которые в свою очередь соединяются по влану. А приведенный вариант как настраивается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2017 · Жалоба Зависит от версии иоса и модели свича (тут надо смотреть, позволяет ли железо или иос применить q-in-q). В общем, создается влан и в настройках данного влана настраивается dot1q-tunnel. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 24 октября, 2017 · Жалоба 1 час назад, zi_rus сказал: еще есть вариант с q-in-q ЕМНИП 2960 не поддерживает его, доступен в 3560/3750 и старше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба Понятно, видимо не поддерживается, не встретил такого. WS-C2960S-48FPD-L (Version ID V03, 12.2(55)SE5-UNIVERSALK9) Кстати, обратил внимание на следующее, зайдя в нужный порт, команда switchport trunk encapsulation dot1q, задающая режим инкапсуляции 802.1q, везде игнорируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2017 · Жалоба порт в транк перевели вначале? switchport mode trunk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 октября, 2017 · Жалоба 1 час назад, kapydan сказал: это если надо передать влан чисто транзитом ну он же просил сделать не создавая вланов, просто передать, а управлять тегами на конечных устройствах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 октября, 2017 · Жалоба 20 минут назад, v_r сказал: ЕМНИП 2960 не поддерживает его, доступен в 3560/3750 и старше. да глянул, на моих тоже нет q-in-q, но это не отменяет кейса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба 7 минут назад, kapydan сказал: порт в транк перевели вначале? switchport mode trunk Ага, похоже encapsulation ему неведом: 2960s_2_5_6_1(config-if)#switchport trunk ? allowed Set allowed VLAN characteristics when interface is in trunking mode native Set trunking native characteristics when interface is in trunking mode pruning Set pruning VLAN characteristics when interface is in trunking mode Потому и ругается: 2960s_2_5_6_1(config)#int Gi1/0/23 2960s_2_5_6_1(config-if)#switchport mode trunk 2960s_2_5_6_1(config-if)#switchport trunk encapsulation dot1q ^ % Invalid input detected at '^' marker. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2017 · Жалоба посмотрел у себя c2960-sh2(config)#int Gi1/0/16 c2960-sh2(config-if)#swi c2960-sh2(config-if)#switchport m c2960-sh2(config-if)#switchport mode ? access Set trunking mode to ACCESS unconditionally dynamic Set trunking mode to dynamically negotiate access or trunk mode trunk Set trunking mode to TRUNK unconditionally c2960-sh2(config-if)#switchport mode tru c2960-sh2(config-if)#switchport mode trunk c2960-sh2(config-if)#swi c2960-sh2(config-if)#switchport ? access Set access mode characteristics of the interface autostate Include or exclude this port from vlan link up calculation backup Set backup for the interface block Disable forwarding of unknown uni/multi cast addresses host Set port host mode Set trunking mode of the interface nonegotiate Device will not engage in negotiation protocol on this interface port-security Security related command priority Set appliance 802.1p priority protected Configure an interface to be a protected port trunk Set trunking characteristics of the interface voice Voice appliance attributes c2960-sh2(config-if)#switchport tru c2960-sh2(config-if)#switchport trunk ? allowed Set allowed VLAN characteristics when interface is in trunking mode native Set trunking native characteristics when interface is in trunking mode pruning Set pruning VLAN characteristics when interface is in trunking mode c2960-sh2(config-if)#switchport trunk cisco WS-C2960S-24PS-L C2960S-UNIVERSALK9-M), Version 12.2(55)SE7, RELEASE SOFTWARE (fc1) q-in-q нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2017 · Жалоба 4 минуты назад, mrrc сказал: Ага, похоже encapsulation ему неведом: тогда там есть только dot1q, и нет isl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 октября, 2017 · Жалоба 1 минуту назад, kapydan сказал: тогда там есть только dot1q, и нет isl По всей видимости, ибо когда в GUI выбираешь в Administrative Encapsulation значение ISL, по факту устанавливается 802.1q Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 октября, 2017 · Жалоба isl умер лет так триста назад. Чуть попозже умер vlan data, vtp еще вроде есть , хотя от кривизны vtp mode не транспарент, я однажды крупно влип. Всунул новый кискосвитч от нага, и хренакс - он все тестовые наговские вланы влил к соседям, а нужные иногда и укоцал. Нее, vtp вещь полезная, когда сеть однотипного железа-кисок. В зоопарке можно многово нахватать... А так -в киске - вланы понятны и создаются достаточно просто, несколькими строками конфига, без всякого уёб-интерфейса. Создал влан, на транковых портах добавил его, и в общем - всё, влан пролез к нужным соседям в транке. Для нужных соседей-киско - аналогично, для блинков удобнее уёбом. Главное - не использовать vlan 1, и уложиться в диапазон номеров стандартных вланов, от 2 до 1024. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 25 октября, 2017 · Жалоба 3 часа назад, YuryD сказал: новый кискосвитч от нага он был именно новый "нулевы" или новый "купленный в наге" (вероятнее всего, беушный). если второе - был подобный опыт, после которого все беушное стараюсь посмотреть через консольный шнурок или типа того (через aux тот же). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 25 октября, 2017 · Жалоба В новой задаче есть необходимость разобраться - изолировать в коммутаторе два порта от остальных, как бы выкусив и создав коммутатор в коммутаторе. При этом изолированные два порта должны общаться друг с другом и с "портом-аплинком" (возможно это будет оптический), через который данный коммутатор подключен к остальной сети. Надеюсь, понятно объяснил) Отвечает за реализацию Private VLANs, насколько я понял. Наткнулся на статью на Хабрахабр, вроде описывается требуемая ситуация, но до конца не уверен. Можно ли увидеть пример практической реализации и комментарий по решаемой в статье задаче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 25 октября, 2017 · Жалоба 2960 вроде не поддерживает private vlans (как и ISL инкапсуляцию к слову). Может быть вам подойдет switchport protected, только это не совсем "свитч в свитче" и два порта не смогут общаться друг с другом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 октября, 2017 · Жалоба Catalyst 2960 офисные свичи. Не нужно от них хотеть провайдерского функционала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 26 октября, 2017 · Жалоба Да, сеть на 99% состоит из 2960, есть только один центральный 3750 с поддержкой в том числе private vlans. Остается только рассмотреть switchport protected, однако его применение для решения задачи пока не до конца мне понятно. В общем можно перевести все порты коммутатора в switchport protected за исключением двух выделяемых и порта аплинка, тем самым изолировав данный L2 сегмент в рамках коммутатора. Но в этом случае подключенные рабочие места\устройства к остальным портам коммутатора с switchport protected между собой общаться при необходимости смогут только через вышестоящий-головной коммутатор или в рамках текущего коммутатора через порт аплинка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...