Heredé una red de tamaño moderado a la que estoy tratando de darle algo de cordura. Básicamente, son 8 C de clase pública y una gran cantidad de rangos privados, todo en una VLAN (vlan1, por supuesto). La mayor parte de la red se encuentra en sitios oscuros.
Necesito comenzar a separar parte de la red. Cambié los puertos del conmutador Cisco principal (3560) al enrutador Cisco (3825) y los otros conmutadores remotos a enlaces troncales con encapsulación dot1q. Me gustaría comenzar a mover algunas subredes seleccionadas a diferentes VLAN.
Para obtener algunos de los diferentes servicios proporcionados en nuestro espacio de direcciones (y para separar clientes) en diferentes VLAN, ¿necesito crear una subinterfaz en el enrutador para cada VLAN y, de ser así, cómo hago para que funcione el puerto del conmutador? en una vlan específica? Tenga en cuenta que estos son sitios oscuros y obtener acceso a la consola es difícil, si no imposible, en este momento. Estaba planeando crear una subinterfaz en el enrutador para cada VLAN y luego configurar los puertos con los servicios que quiero mover a una VLAN diferente para permitir solo esa VLAN. Ejemplo de vlan3:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
la conexión entre el conmutador y el enrutador:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
mostrar interfaces gi0/48 switchport
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Entonces, si los boxen que cuelgan de gi0/18 en el 3560 están en un conmutador de capa 2 no administrado y todos están dentro del rango 192.168.0.82-95 y están usando 192.168.0.81 como puerta de enlace, qué queda por hacer, especialmente con gi0/ 18, ¿para que esto funcione en vlan3? ¿Hay alguna recomendación para una mejor configuración sin desconectar todo?
Respuesta1
Perdón, en sus configuraciones cortadas y pegadas, parece estar describiendo Gi0/48, su enlace ascendente a su enrutador, pero en su pregunta se refiere específicamente a los hosts conectados a Gi0/18. Voy a asumir que estás describiendo dos puertos diferentes aquí. Además, supongo, según los detalles de sus declaraciones de configuración y su pregunta, que se está utilizando vlan 3 para el tráfico 192.168.0.80/28. Voy a suponer que la VLAN ya ha sido declarada en su 3560. (Verifique sh vlan)
En primer lugar, su puerto Gi0/18 debe estar configurado para el modo de acceso en vlan 3. Probablemente, algo como esto:
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
En cuanto a otras recomendaciones. ¿Todo/la mayor parte de su tráfico desde sus subredes IP será hacia y desde Internet? Básicamente, si tiene suficiente tráfico entre subredes, puede que le convenga que el 3560 actúe como su enrutador interno y luego dedique su 3825 a ser su enrutador fronterizo. El problema es que si su enrutador está liberando toda la carga para todo el enrutamiento, entonces un paquete de una subred llegará a su conmutador, luego será reenviado a través de dot1q a su troncal en alguna VLAN X, el enrutador luego toma una decisión de enrutamiento y envía el mismo paquete de regreso a lo largo del troncal dot1q en alguna nueva vlan Y ahora destinada a la máquina de destino. Por cierto, simplemente estoy describiendo la situación del tráfico interno hacia sus clientes/organización que cruza sus diferentes subredes.
En su lugar, puede configurar el 3560 en la primera dirección, asumiendo convenciones normales, de cada VLAN/subred. Por ejemplo, 192.168.0.81 y habilite el enrutamiento IP. El siguiente paso es crear una nueva subred específicamente entre el enrutador y el conmutador. Por conveniencia, usaría algo completamente diferente, por ejemplo, 192.0.2.0/24 está reservado para ejemplos de documentación. Configure el enrutador en 192.0.2.1 y el conmutador en 192.0.2.2. Haga que el conmutador utilice 192.0.2.1 como ruta predeterminada. Configure el enrutador para llegar a 192.168.0.0/16 a través del conmutador en 192.0.2.2. Si su red es lo suficientemente pequeña, las rutas estáticas deberían ser suficientes. No hay necesidad de OSPF ni nada.
Por supuesto, esto sería un cambio bastante dramático; pero tiene potencial para ser una gran mejora. Todo depende de la naturaleza de su tráfico.
Como referencia, Cisco enumera Cisco Catalyst 3560G-48TS y Catalyst 3560G-48PS con una velocidad de reenvío de 38,7 Mpps y Cisco 3825 con una velocidad de reenvío de 0,35Mpps. Mpps, por si no lo sabes, son millones de paquetes por segundo.
No se trata del ancho de banda, sino de cuántas decisiones de enrutamiento de paquetes de 64 bytes el dispositivo puede tomar por segundo. La longitud del paquete no afecta el tiempo que lleva tomar una decisión de enrutamiento. Por lo tanto, el rendimiento máximo en bits/bytes estará dentro de un rango. En términos de ancho de banda, significa que 350 kpps son 180 Mbps con paquetes de 64 bytes y 4,2 Gbps con paquetes de 1500 bytes. Eso sí, eso está en bits por segundo, así que considérelo como 18 Megabytes o 420 Megabytes por segundo en términos de tamaño de archivo normal.
En teoría, esto significa que su 3560G puede enrutar entre 19,8 Gbps y 464 Gbps o aproximadamente 2 GBps y 45 GBps.
En realidad, al observar esos números, definitivamente deberías considerar el plan que describí anteriormente. Dedique su 3825 a manejar, presumiblemente, el tráfico externo NAT y deje que su 3560 se encargue del resto.
Lamento que esto sea tan largo; Estoy aburrido en el trabajo esperando que terminen las cintas. Salud.