나는 정신을 차리려는 적당한 규모의 네트워크를 물려받았습니다. 기본적으로 8개의 공개 클래스 C와 수많은 개인 범위가 모두 하나의 VLAN(물론 vlan1)에 있습니다. 대부분의 네트워크는 다크 사이트 전체에 위치합니다.
네트워크의 일부를 분리해야 합니다. 포트를 기본 시스코 스위치(3560)에서 시스코 라우터(3825)로 변경하고 다른 원격 스위치를 dot1q 캡슐화를 사용하는 트렁킹으로 변경했습니다. 몇 가지 선택 서브넷을 다른 VLAN으로 이동하고 싶습니다.
주소 공간에서 제공되는 다양한 서비스 중 일부를 다른 VLAN으로 가져오려면(그리고 고객을 분리하려면) 각 VLAN에 대한 라우터에 하위 인터페이스를 만들어야 하며, 그렇다면 스위치 포트가 작동하도록 하려면 어떻게 해야 합니까? 특정 VLAN에? 이러한 사이트는 다크 사이트이므로 현재로서는 불가능하지는 않더라도 콘솔 액세스가 어렵습니다. 각 VLAN에 대해 라우터에 하위 인터페이스를 만든 다음 해당 VLAN만 허용하기 위해 다른 VLAN으로 이동하려는 서비스가 포함된 포트를 설정할 계획이었습니다. vlan3의 예:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
스위치와 라우터 사이의 연결:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
인터페이스 gi0/48 스위치 포트 표시
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
따라서 3560의 gi0/18에 매달려 있는 박스가 관리되지 않는 layer2 스위치에 있고 모두 192.168.0.82-95 범위 내에 있고 192.168.0.81을 게이트웨이로 사용하는 경우 남은 작업, 특히 gi0/ 18, vlan3에서 이 작업을 수행하려면? 모든 것을 오프라인으로 전환하지 않고 더 나은 설정을 위한 권장 사항이 있습니까?
답변1
죄송합니다. 잘라서 붙여넣은 구성에서 Gi0/48(라우터에 대한 업링크)을 설명하는 것으로 보이지만 질문에서는 구체적으로 Gi0/18에 연결된 호스트를 참조합니다. 여기서는 두 개의 서로 다른 포트를 설명한다고 가정하겠습니다. 또한 구성 설명과 질문의 세부 정보를 통해 VLAN 3이 192.168.0.80/28 트래픽에 사용되고 있다고 가정합니다. VLAN이 이미 3560에 선언되었다고 가정하겠습니다. (sh vlan 확인)
우선, 포트 Gi0/18은 VLAN 3의 액세스 모드로 구성되어야 합니다. 아마도 다음과 같습니다:
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
다른 권장 사항은 다음과 같습니다. IP 서브넷의 모든/대부분의 트래픽이 인터넷을 오가는 것입니까? 기본적으로 서브넷 사이에 충분한 트래픽이 있는 경우 3560을 내부 라우터로 사용하고 3825를 경계 라우터로 전용으로 사용하는 것이 적합할 수 있습니다. 문제는 라우터가 모든 라우팅에 대한 전체 로드를 차단하는 경우 한 서브넷의 패킷이 스위치에 도착한 다음 dot1q를 통해 일부 vlan X의 트렁크로 전달되고 라우터가 라우팅 결정을 내리고 이제 대상 시스템으로 향하는 새로운 VLAN Y의 dot1q 트렁크를 따라 동일한 패킷을 다시 보냅니다. 그런데 저는 단순히 서로 다른 서브넷을 통과하는 고객/조직에 대한 내부 트래픽 상황을 설명하고 있습니다.
대신, 일반적인 규칙을 가정하여 각 VLAN/서브넷의 첫 번째 주소에서 3560을 구성할 수 있습니다. 예를 들어 192.168.0.81 및 IP 라우팅을 활성화합니다. 다음 단계는 라우터와 스위치 사이를 위한 새 서브넷을 만드는 것입니다. 편의를 위해 완전히 다른 것을 사용하겠습니다. 예를 들어 192.0.2.0/24는 문서 예제용으로 예약되어 있습니다. 192.0.2.1에서 라우터를 구성하고 192.0.2.2에서 스위치를 구성합니다. 스위치가 192.0.2.1을 기본 경로로 사용하도록 합니다. 192.0.2.2의 스위치를 통해 192.168.0.0/16에 도달하도록 라우터를 구성합니다. 네트워크가 충분히 작다면 정적 경로로 충분합니다. OSPF 등이 필요하지 않습니다.
물론 이것은 다소 극적인 변화일 것이다. 그러나 이는 큰 개선이 될 가능성이 있습니다. 그것은 모두 트래픽의 성격에 따라 다릅니다.
참고로 Cisco에서는 38.7Mpps 포워딩 속도를 갖는 Cisco Catalyst 3560G-48TS 및 Catalyst 3560G-48PS를 나열하고 Cisco 3825는 0.35Mpps 포워딩 속도를 갖는 것으로 나열합니다. 혹시 모르신다면 Mpps는 초당 수백만 개의 패킷입니다.
대역폭은 아니지만 장치가 1초에 얼마나 많은 64바이트 패킷 라우팅 결정을 내릴 수 있는지가 중요합니다. 패킷 길이는 라우팅 결정을 내리는 데 걸리는 시간에 영향을 미치지 않습니다. 따라서 비트/바이트 단위의 최고 성능은 특정 범위에 있을 것입니다. 대역폭 측면에서 보면 350kpps는 64바이트 패킷의 경우 180Mbps이고 1500바이트 패킷의 경우 4.2Gbps임을 의미합니다. 이는 초당 비트 단위이므로 일반 파일 크기 측면에서 초당 18메가바이트 또는 420메가바이트로 생각하십시오.
이론적으로 이는 3560G가 19.8Gbps에서 464Gbps 사이 또는 대략 2GBps에서 45GBps로 라우팅할 수 있음을 의미합니다.
사실, 그 숫자를 보면 위에서 설명한 계획을 가장 확실히 고려해야 합니다. 아마도 NAT의 외부 트래픽을 처리하는 데 3825를 전담하고 나머지는 3560이 처리하도록 하십시오.
너무 길어서 죄송합니다. 나는 직장에서 테이프가 끝나기를 기다리느라 지루하다. 건배.