Мне досталась сеть среднего размера, в которую я пытаюсь внести немного здравомыслия. По сути, это 8 публичных классов C и множество частных диапазонов, все в одном vlan (vlan1, конечно). Большая часть сети расположена в темных сайтах.
Мне нужно начать разделять часть сети. Я изменил порты с главного коммутатора cisco (3560) на маршрутизатор cisco (3825) и другие удаленные коммутаторы на транкинг с инкапсуляцией dot1q. Я хотел бы начать перемещать несколько выбранных подсетей в разные vlan.
Чтобы получить некоторые из различных служб, предоставляемых в нашем адресном пространстве (и разделить клиентов) на разные vlan, нужно ли мне создавать подынтерфейс на маршрутизаторе для каждой vlan и, если да, как мне заставить порт коммутатора работать на определенной vlan? Имейте в виду, что это темные сайты, и получение доступа к консоли на данный момент затруднено, если не невозможно. Я планировал создать подынтерфейс на маршрутизаторе для каждой vlan, а затем настроить порты со службами, которые я хочу переместить в другую vlan, чтобы разрешить только эту vlan. Пример vlan3:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
соединение между коммутатором и маршрутизатором:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
показать интерфейсы gi0/48 switchport
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Итак, если boxen, висящие на gi0/18 на 3560, находятся на неуправляемом коммутаторе уровня 2 и все находятся в диапазоне 192.168.0.82-95 и используют 192.168.0.81 в качестве шлюза, что остается сделать, особенно для gi0/18, чтобы это заработало на vlan3? Есть ли какие-либо рекомендации по лучшей настройке без отключения всего?
решение1
Извините, в ваших скопированных и вставленных конфигурациях вы, похоже, описываете Gi0/48 — ваш восходящий канал к вашему маршрутизатору, но в вашем вопросе ссылаетесь конкретно на хосты, подключенные к Gi0/18. Я предполагаю, что вы описываете здесь два разных порта. Кроме того, я предполагаю из деталей в ваших утверждениях конфигурации и вопросе, что vlan 3 используется для трафика 192.168.0.80/28. Я предполагаю, что vlan уже был объявлен на вашем 3560. (Проверьте sh vlan)
Прежде всего, ваш порт Gi0/18 должен быть настроен для режима доступа на vlan 3. Скорее всего, что-то вроде этого:
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
Что касается других рекомендаций. Будет ли весь/большая часть вашего трафика из ваших IP-подсетей идти в Интернет и из Интернета? В принципе, если у вас достаточно трафика между подсетями, вам может подойти, чтобы 3560 действовал как ваш внутренний маршрутизатор, а затем выделите ваш 3825 в качестве вашего граничного маршрутизатора. Проблема в том, что если ваш маршрутизатор несет всю нагрузку для всей маршрутизации, то пакет из одной подсети прибудет на ваш коммутатор, затем будет перенаправлен через dot1q в ваш транк в какой-то vlan X, затем маршрутизатор примет решение о маршрутизации и отправит тот же пакет обратно по транк dot1q в какой-то новый vlan Y, теперь предназначенный для машины назначения. Кстати, я просто описываю ситуацию внутреннего трафика для ваших клиентов/организации, который пересекает ваши разные подсети.
Вместо этого вы можете настроить 3560 на первый адрес каждой vlan/подсети, предполагая обычные соглашения. Например, 192.168.0.81 и включить IP-маршрутизацию. Следующий шаг — создание новой подсети специально для маршрутизатора и коммутатора. Для удобства я бы использовал что-то совершенно другое, например, 192.0.2.0/24 зарезервирован для примеров в документации. Настройте маршрутизатор на 192.0.2.1, а коммутатор на 192.0.2.2. Пусть коммутатор использует 192.0.2.1 в качестве маршрута по умолчанию. Настройте маршрутизатор для доступа к 192.168.0.0/16 через коммутатор на 192.0.2.2. Если ваша сеть достаточно мала, статических маршрутов должно быть достаточно. Нет необходимости в OSPF или чем-либо еще.
Конечно, это было бы довольно резким изменением; но у него есть потенциал стать большим улучшением. Все зависит от характера вашего трафика.
Для справки, Cisco указывает, что Cisco Catalyst 3560G-48TS и Catalyst 3560G-48PS имеют скорость пересылки 38,7 Mpps, а Cisco 3825 — 0,35 Mpps. Mpps, на всякий случай, если вы не знаете, — это миллионы пакетов в секунду.
Это не пропускная способность, а то, сколько решений о маршрутизации 64-байтовых пакетов устройство может принять в секунду. Длина пакета не влияет на то, сколько времени требуется для принятия решения о маршрутизации. Таким образом, пиковая производительность в битах/байтах будет где-то в диапазоне. С точки зрения пропускной способности это означает, что 350kpps — это 180Mbps с 64-байтовыми пакетами и 4.2Gbps с 1500-байтовыми пакетами. Обратите внимание, это в битах в секунду, так что представьте себе это как 18 Megabytes или 420 Megabytes в секунду в терминах обычного размера файла.
Теоретически это означает, что ваш 3560G может маршрутизировать данные со скоростью от 19,8 Гбит/с до 464 Гбит/с или примерно от 2 Гбит/с до 45 Гбит/с.
На самом деле, глядя на эти цифры, вам определенно следует рассмотреть план, который я описал выше. Выделите свой 3825 для обработки, предположительно, внешнего трафика NAT'а и позвольте вашему 3560 справиться со всем остальным.
Извините, что так длинно; мне скучно на работе ждать окончания записей. Ура.