Ich habe ein Netzwerk mittlerer Größe geerbt, in das ich etwas Ordnung bringen möchte. Im Grunde sind es 8 öffentliche Klasse-Cs und eine Menge privater Bereiche, alle auf einem VLAN (natürlich VLAN1). Der Großteil des Netzwerks befindet sich in Dark Sites.
Ich muss anfangen, einen Teil des Netzwerks zu trennen. Ich habe die Ports vom Cisco-Hauptswitch (3560) zum Cisco-Router (3825) und die anderen Remote-Switches auf Trunking mit dot1q-Kapselung geändert. Ich möchte anfangen, einige ausgewählte Subnetze auf andere VLANs zu verschieben.
Um einige der verschiedenen Dienste, die in unserem Adressraum bereitgestellt werden (und um Kunden zu trennen), auf verschiedene VLANs zu bringen, muss ich für jedes VLAN ein Subinterface auf dem Router erstellen und wenn ja, wie bringe ich den Switch-Port dazu, auf einem bestimmten VLAN zu funktionieren? Bedenken Sie, dass es sich hier um Dark Sites handelt und der Zugriff auf die Konsole derzeit schwierig, wenn nicht gar unmöglich ist. Ich hatte vor, für jedes VLAN ein Subinterface auf dem Router zu erstellen und dann die Ports mit Diensten, die ich auf ein anderes VLAN verschieben möchte, so einzurichten, dass nur dieses VLAN zugelassen wird. Beispiel für VLAN3:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
die Verbindung zwischen Switch und Router:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
Schnittstellen anzeigen gi0/48 Switchport
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Wenn sich also die Boxen, die an gi0/18 auf dem 3560 hängen, auf einem nicht verwalteten Layer2-Switch befinden und alle im Bereich 192.168.0.82-95 liegen und 192.168.0.81 als Gateway verwenden, was muss dann noch getan werden, insbesondere an gi0/18, damit dies auf VLAN3 funktioniert? Gibt es Empfehlungen für ein besseres Setup, ohne alles offline zu nehmen?
Antwort1
Entschuldigung, in Ihren kopierten und eingefügten Konfigurationen scheinen Sie Gi0/48 zu beschreiben – Ihren Uplink zu Ihrem Router, aber in Ihrer Frage beziehen Sie sich speziell auf Hosts, die mit Gi0/18 verbunden sind. Ich gehe davon aus, dass Sie hier zwei verschiedene Ports beschreiben. Außerdem gehe ich aufgrund der Details in Ihren Konfigurationsanweisungen und Ihrer Frage davon aus, dass VLAN 3 für den Datenverkehr 192.168.0.80/28 verwendet wird. Ich gehe davon aus, dass das VLAN auf Ihrem 3560 bereits deklariert wurde. (Überprüfen Sie sh vlan)
Zunächst sollte Ihr Port Gi0/18 für den Zugriffsmodus auf VLAN 3 konfiguriert werden. Wahrscheinlich etwa so:
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
Was andere Empfehlungen betrifft: Wird der gesamte/der Großteil Ihres Datenverkehrs von Ihren IP-Subnetzen zum und vom Internet gehen? Wenn Sie genügend Datenverkehr zwischen den Subnetzen haben, kann es grundsätzlich sinnvoll sein, den 3560 als internen Router zu verwenden und Ihren 3825 als Border-Router zu nutzen. Das Problem besteht darin, dass, wenn Ihr Router die gesamte Last für das gesamte Routing übernimmt, ein Paket aus einem Subnetz bei Ihrem Switch ankommt und dann über dot1q an Ihren Trunk auf einem VLAN X weitergeleitet wird. Der Router trifft dann eine Routing-Entscheidung und sendet dasselbe Paket über den dot1q-Trunk auf einem neuen VLAN Y zurück, das nun für die Zielmaschine bestimmt ist. Übrigens beschreibe ich lediglich die Situation des internen Datenverkehrs zu Ihren Kunden/Ihrer Organisation, der Ihre verschiedenen Subnetze durchquert.
Stattdessen können Sie den 3560 an der, normalen Konventionen vorausgesetzt, ersten Adresse jedes VLAN/Subnetzes konfigurieren. Z. B. 192.168.0.81 und IP-Routing aktivieren. Der nächste Schritt besteht darin, dass Sie ein neues Subnetz speziell für den Bereich zwischen Router und Switch erstellen. Der Einfachheit halber würde ich etwas völlig anderes verwenden, beispielsweise ist 192.0.2.0/24 für Dokumentationsbeispiele reserviert. Konfigurieren Sie den Router an 192.0.2.1 und den Switch an 192.0.2.2. Lassen Sie den Switch 192.0.2.1 als Standardroute verwenden. Konfigurieren Sie den Router so, dass er 192.168.0.0/16 über den Switch an 192.0.2.2 erreicht. Wenn Ihr Netzwerk klein genug ist, sollten statische Routen ausreichen. Kein Bedarf für OSPF oder ähnliches.
Natürlich wäre das eine ziemlich drastische Änderung, aber es könnte eine große Verbesserung sein. Es hängt alles von der Art Ihres Datenverkehrs ab.
Als Referenz gibt Cisco für den Cisco Catalyst 3560G-48TS und den Catalyst 3560G-48PS eine Weiterleitungsrate von 38,7 Mpps an, für den Cisco 3825 eine Weiterleitungsrate von 0,35 Mpps. Falls Sie das nicht wissen: Mpps sind Millionen von Paketen pro Sekunde.
Es geht nicht um die Bandbreite, sondern darum, wie viele Routing-Entscheidungen für 64-Byte-Pakete das Gerät pro Sekunde treffen kann. Die Paketlänge hat keinen Einfluss darauf, wie lange es dauert, eine Routing-Entscheidung zu treffen. Die Spitzenleistung in Bits/Bytes wird also irgendwo in einem bestimmten Bereich liegen. In Bezug auf die Bandbreite bedeutet dies, dass 350 kpps 180 Mbit/s mit 64-Byte-Paketen und 4,2 Gbit/s mit 1500-Byte-Paketen sind. Wohlgemerkt, das ist in Bits pro Sekunde, also stellen Sie es sich bei normaler Dateigröße als 18 Megabyte oder 420 Megabyte pro Sekunde vor.
Theoretisch bedeutet dies, dass Ihr 3560G zwischen 19,8 Gbit/s und 464 Gbit/s oder ungefähr 2 Gbit/s und 45 Gbit/s routen kann.
Wenn Sie sich diese Zahlen ansehen, sollten Sie auf jeden Fall den Plan in Betracht ziehen, den ich oben beschrieben habe. Reservieren Sie Ihren 3825 für die Handhabung des vermutlich NAT-externen Datenverkehrs und überlassen Sie Ihrem 3560 den Rest.
Es tut mir leid, dass das so lang ist. Ich langweile mich bei der Arbeit, während ich darauf warte, dass die Bänder zu Ende sind. Prost.