私は中規模のネットワークを継承し、これを健全なものにしようとしています。基本的に、8 つのパブリック クラス C と多数のプライベート範囲がすべて 1 つの VLAN (もちろん、vlan1) 上にあります。ネットワークの大部分はダーク サイト全体にあります。
ネットワークの一部を分離する必要があります。メインの Cisco スイッチ (3560) のポートを Cisco ルータ (3825) に変更し、他のリモート スイッチを dot1q カプセル化によるトランキングに変更しました。いくつかの選択したサブネットを別の VLAN に移動し始めたいと思います。
アドレス空間で提供されるさまざまなサービスの一部を異なる VLAN に (そして顧客を分離するために) 取得するには、ルータ上に各 VLAN のサブインターフェイスを作成する必要がありますか。また、必要な場合、スイッチ ポートを特定の VLAN で動作させるにはどうすればよいですか。これらはダーク サイトであり、現時点ではコンソール アクセスを取得するのは困難、または不可能であることに注意してください。ルータ上に各 VLAN のサブインターフェイスを作成し、別の VLAN に移動するサービスがあるポートをその VLAN のみを許可するように設定することを計画していました。vlan3 の例:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
スイッチとルーター間の接続:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
インターフェイス gi0/48 スイッチポートを表示します
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
したがって、3560 の gi0/18 に接続されているボックスが管理されていないレイヤー 2 スイッチ上にあり、すべてが 192.168.0.82-95 の範囲内にあり、ゲートウェイとして 192.168.0.81 を使用している場合、これを vlan3 で動作させるには、特に gi0/18 に対して何をすればよいでしょうか。すべてをオフラインにせずに、より適切な設定を行うための推奨事項はありますか。
答え1
申し訳ありませんが、切り取って貼り付けた設定では、ルーターへのアップリンクである Gi0/48 について説明しているようですが、質問では Gi0/18 に接続されたホストについて具体的に言及しています。ここでは 2 つの異なるポートについて説明しているものと想定します。さらに、設定ステートメントと質問の詳細から、192.168.0.80/28 トラフィックには VLAN 3 が使用されていると想定します。VLAN は 3560 ですでに宣言されていると想定します。(sh vlan を確認してください)
まず、ポート Gi0/18 を VLAN 3 のアクセス モードに設定する必要があります。おそらく、次のようになります。
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
その他の推奨事項については、IP サブネットからのトラフィックのすべてまたはほとんどがインターネットとの間で行われますか。基本的に、サブネット間のトラフィックが十分であれば、3560 を内部ルータとして機能させ、3825 を境界ルータ専用にするとよいかもしれません。問題は、ルータがすべてのルーティングの負荷をすべて負っている場合、1 つのサブネットからのパケットがスイッチに到着し、dot1q 経由でいずれかの VLAN X のトランクに転送され、ルータがルーティングを決定して、同じパケットを、宛先マシン宛ての新しい VLAN Y の dot1q トランクに沿って送り返すことです。ちなみに、ここでは、異なるサブネットを通過する顧客/組織への内部トラフィックの状況を単に説明しています。
代わりに、通常の規則を前提として、各 VLAN/サブネットの最初のアドレスで 3560 を設定できます。たとえば、192.168.0.81 に設定し、IP ルーティングを有効にします。次の手順では、ルータとスイッチ間専用の新しいサブネットを作成します。便宜上、まったく異なるものを使用します。たとえば、192.0.2.0/24 はドキュメントの例用に予約されています。ルータを 192.0.2.1 に、スイッチを 192.0.2.2 に設定します。スイッチが 192.0.2.1 をデフォルト ルートとして使用するようにします。ルータが 192.0.2.2 のスイッチ経由で 192.168.0.0/16 に到達するように設定します。ネットワークが十分に小さい場合は、静的ルートで十分です。OSPF などは必要ありません。
もちろん、これはかなり劇的な変化ですが、大きな改善となる可能性を秘めています。すべてはトラフィックの性質に依存します。
参考までに、シスコは、Cisco Catalyst 3560G-48TS および Catalyst 3560G-48PS の転送速度を 38.7 Mpps、Cisco 3825 の転送速度を 0.35 Mpps としています。念のためご説明しますと、Mpps は 1 秒あたりのパケット数 (百万パケット) です。
これは帯域幅ではなく、デバイスが 1 秒間に 64 バイト パケットのルーティング決定を何回行えるかです。パケットの長さは、ルーティング決定にかかる時間には影響しません。したがって、ビット/バイトでのピーク パフォーマンスは、ある範囲内になります。帯域幅で言えば、350kpps は 64 バイト パケットで 180Mbps、1500 バイト パケットで 4.2Gbps になります。これはビット/秒単位なので、通常のファイル サイズで言えば 18 メガバイトまたは 420 メガバイト/秒と考えてください。
理論上、これは 3560G が 19.8Gbps から 464Gbps、つまりおよそ 2GBps から 45GBps の間でルーティングできることを意味します。
実際、これらの数字を見ると、間違いなく上で説明したプランを検討する必要があります。3825 を、おそらく NAT された外部トラフィックの処理専用にし、残りを 3560 に処理させます。
長くなってすみません。仕事でテープが終わるのを待っていて退屈なんです。乾杯。