Jump to content

Философия VLAN от CISCO

korobeynikov
 Share

Recommended Posts

korobeynikov

korobeynikov

Posted
Posted

Приветствую!

Дано: от оператора приходит кабель, который включен в FastEthernet4 CISCO881-SEC-K9, нетегированным способом подаётся интернет 192.0.2.146/26, на данный адрес маршрутизируется статическая подсеть 198.51.100.16/28.

Тегерированным способом по VLAN 2498 подаётся адрес для IP-PBX 172.31.254.100/24 (данный адрес должен быть настроен непосредственно на Астериске, который крутится в Hyper-V WinServer 2012R2).

 

У циски 5 портов:

FastEthernet0 - reserve

FastEthernet1 - Public Local Network 198.51.100.16/28

FastEthernet2 - Private Local Network 192.168.255.5/26

FastEthernet3 - Windows Server 2012R2 (Public Local Network 198.51.100.16/28 + VLAN 2498)

FastEthernet4 - WAN, ISP 192.0.2.146/26 + VLAN 2498

 

Задача: выделить порт для Windows Server 2012R2, в нетегерированном режиме сделать доступ до публичной локальной сети 198.51.100.16/28, а также прокинуть VLAN 2498, который приходит от провайдера.

 

tpcl-cisco881#sh version
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.2(4)M4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Thu 20-Jun-13 16:47 by prod_rel_team

ROM: System Bootstrap, Version 12.4(22r)YB5, RELEASE SOFTWARE (fc1)

tpcl-cisco881 uptime is 32 minutes
System returned to ROM by reload at 03:30:46 UTC Fri Feb 7 2014
System image file is "flash:c880data-universalk9-mz.152-4.M4.bin"
Last reload type: Normal Reload
Last reload reason: Reload Command
...

 

В общем начитался отрывков и примерно накидал следующий конфиг (часть вырезана):

bridge irb
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
switchport access vlan 2
no ip address
!
interface FastEthernet3
switchport trunk allowed vlan 1,1002-1005,2498
switchport mode trunk
no ip address
no cdp enable
!
interface FastEthernet4
ip address 192.0.2.146 255.255.255.192
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet4.2498
encapsulation dot1Q 2498
no cdp enable
bridge-group 1
!
interface Vlan1
ip address 198.51.100.17 255.255.255.240
!
interface Vlan2
ip address 192.168.255.5 255.255.255.192
ip nat inside
ip virtual-reassembly in
!
interface Vlan2498
no ip address
bridge-group 1
!
ip forward-protocol nd
!
bridge 1 protocol ieee
bridge 1 route ip
!

 

Не работает. Главная проблема заключается в том, что Vlan2498 постоянно в down, даже если в конфиге вбиваешь "no shutdown" (видимо, значение по-умолчанию).

Кто может подсказать куда рыть дальше?

 

P.S. Перетыкаешь провод провайдера напрямую в сервер - телефония работает.

NikAlexAn

NikAlexAn

Posted
Posted

Давненько уже с BVI не связывался.

Вроде как минимум надо влан создать таки сначала:

vlan database

vlan 2498

exit

 

Ну и сам BVI создать не мешает:

int BVI 1

no ip address (хотя irb это именно бриджинг+роутинг и я то использовал bvi с ip интерфейсом и маршрутизацией на нём)

no shut

exit

 

Кроме того(не уверен - если не прав поправьте) - конструкция interface FastEthernet4 не подразумевает использование сабов далее.

Наверно правильней:

int fa4

no shut

no ip addr

exit

int fa4.1

encapsulation dot1Q 1 native

ip addr ****

int fa4.2498

encapsulation dot1Q 2498

ip addr ****

 

Но не факт что в BVI можно включать и сабы и SVI.

 

Но можно попробовать перенести входящие линки с маршрутизирующего интерфейса(Fa4) на коммутирующий(Fa1 например) и маршрутизацию вынести на SVI но тогда не надо создавать int vlan 2498, но необходимо создать все используемые вланы (кроме влана 1).

korobeynikov

korobeynikov

Posted
  • Author
Posted

Возможно, стоит завести этот влан в конфигурации.

conf t

vlan 2498

end

*Feb 7 05:18:04.719: %SW_VLAN-4-VLAN_CREATE_FAIL: Failed to create VLANs 2498: extended VLAN(s) not allowed in current VTP mode

 

tpcl-cisco881(config-vlan)#no sh

Command is only allowed on VLAN 2..1001.

 

Тааак...Это что у нас получается?)

White_Alex

White_Alex

Posted
Posted (edited)

Failed to create VLANs 2498: extended VLAN(s) not allowed in current VTP mode

vtp mode transparent или как там оно на этой кошке выглядит

Edited by White_Alex
NikAlexAn

NikAlexAn

Posted
Posted

Локально использовать VLAN between 3 and 1000?

sh vtp mode

поинтересуйтесь разницей между vtp mode 1, 2 и 3

 

В свежих IOS уже не требуется делать так. Достаточно в общей конфигурации прописать.

А с какой там версии такое возможно?

korobeynikov

korobeynikov

Posted
  • Author
Posted

поинтересуйтесь разницей между vtp mode 1, 2 и 3

уже вникаю

 

А пока:

tpcl-cisco881#sh vtp status

VTP Version : 2

Configuration Revision : 1

Maximum VLANs supported locally : 12

Number of existing VLANs : 6

VTP Operating Mode : Server

VTP Domain Name :

VTP Pruning Mode : Disabled

VTP V2 Mode : Disabled

VTP Traps Generation : Disabled

MD5 digest : 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX

Configuration last modified by 198.51.100.17 at 1-26-14 09:43:02

Local updater ID is 198.51.100.17 on interface Vl1 (lowest numbered VLAN interface found)

NikAlexAn

NikAlexAn

Posted
Posted (edited)

Я вообще то писал:

vlan database

vlan 2498

exit

tpcl-cisco881(vlan)#vlan ?

<1-1005> ISL VLAN index

ну дак выключите vtp - vtp mode off.

Если не поддерживается то - vtp mode transparent.

а потом уж создать влан.

 

PS: Отпишись хоть что получилось то.

Edited by NikAlexAn
korobeynikov

korobeynikov

Posted
  • Author
Posted (edited)

PS: Отпишись хоть что получилось то.

В общем, довел железку до работоспособного состояния, чтобы можно было уже с IPSec/OSPF/DMVPN играться.

Что касается VLAN, то моменты следующие.

1. Пришлось на WinServer подавать VLAN 3, вместо того, что приходит от оператора (2498), оперировать можно только с диапазоном 2-1001.

2. Самое главное во всём деле — это наличие в конфигурации interface BVI1.

3. Прописывать VLAN в базе данных нужно: vlan database && vlan 3.

 

Что касается VTP (с темой я не знаком, я так понял это аналог групповой политики для маршрутизаторов Cisco), не разобрался пока. Железку можно запрограммировать на два режима: 1 и 2, хотя существует ещё и 3 версия. VTP нужны операторам чтобы прокидывать транки до абонентов, видимо для этого и резервируются VLAN 1002-1005, ещё с этим связана как-то технология CDP…

 

P.S. Пока конфигурировал, наткнулся на проблемы с определением dhcp-pool - округляются подсети и маски странным образом.

Edited by korobeynikov
NikAlexAn

NikAlexAn

Posted
Posted (edited)

vtp mode off или vtp mode transparent не проходят что ли?

VTP - служит для распространения информации о настроенных вланах на оборудовании киско. Из за некоторых особенностей реализации предпочитаю этой фишкой не пользоваться, да и при использовании оборудования других вендоров всё равно не работает.

Совет - номера vlan, bridge-group и bvi лучше согласованные(то бишь одинаковые) использовать.

 

Насчёт подсетей и масок - что там странного?

Edited by NikAlexAn
korobeynikov

korobeynikov

Posted
  • Author
Posted

Совет - номера vlan, bridge-group и bvi лучше согласованные(то бишь одинаковые) использовать.

Я придерживаюсь другой точки зрения. Номера VLAN, субинтерфейсов и bridge-group использовать разные, иначе начинающий не разберётся и запутается.

Кроме того bridge-group = номеру интерфейса BVI, не?

 

Насчёт подсетей и масок - что там странного?

Уже разобрался, нужно было удалить dhcp-pool и ввести заново, иначе обновить network не даёт.

dsk

dsk

Posted
Posted

Не используйте vlan database, и все. Там даже предупреждение вылазит:

c881-mol63#vlan dat
% Warning: It is recommended to configure VLAN from config mode,
 as VLAN database mode is being deprecated. Please consult user
 documentation for configuring VTP/VLAN in config mode.

c881-mol63(vlan)#vlan ?
 <1-1005>  ISL VLAN index

 

А если так, то:

c881-mol63#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c881-mol63(config)#vlan ?
 WORD        ISL VLAN IDs 1-4094
 accounting  VLAN accounting configuration
 ifdescr     VLAN subinterface ifDescr

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.