我繼承了一個中等規模的網絡,我正在努力使其保持理智。基本上,它的 8 個公共類別 C 和一系列私有範圍都位於一個 vlan(當然是 vlan1)上。網路大部分都位於黑暗站點。
我需要開始分離一些網路。我已將主思科交換器 (3560) 的連接埠變更為思科路由器 (3825),並將其他遠端交換器變更為採用 dot1q 封裝的中繼。我想開始將一些選定的子網路移動到不同的 VLAN。
為了將我們的地址空間(以及單獨的客戶)上提供的一些不同服務分配到不同的 VLAN,我是否需要在路由器上為每個 VLAN 創建一個子接口,如果需要,如何讓交換器端口正常工作在特定的VLAN 上?請記住,這些都是黑暗站點,目前訪問控制台即使不是不可能,也是很困難的。我計劃在路由器上為每個 VLAN 建立一個子接口,然後使用我想要移動到不同 VLAN 的服務設定端口以僅允許該 VLAN。 vlan3 範例:
正文 3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
交換器與路由器的連接:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
顯示介面 gi0/48 交換器端口
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
因此,如果3560 上掛在gi0/18 上的盒子位於非託管第2 層交換機上,並且全部在192.168.0.82-95 範圍內,並且使用192.168.0.81 作為網關,那麼還需要做什麼,尤其是gi0 / 18、要在 vlan3 上運行嗎?是否有任何建議可以在不使所有內容離線的情況下進行更好的設定?
答案1
請原諒,在您剪下和貼上的配置中,您似乎在描述 Gi0/48 - 您到路由器的上行鏈路,但在您的問題中專門指連接到 Gi0/18 的主機。我假設您在這裡描述兩個不同的連接埠。此外,我根據您的設定語句和問題中的詳細資訊假設 vlan 3 用於 192.168.0.80/28 流量。我假設您的 3560 上已經聲明了 vlan。
首先,您的連接埠 Gi0/18 應配置為 vlan 3 上的存取模式。
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
至於其他建議。來自 IP 子網路的所有/大部分流量是否會進出網際網路。基本上,如果子網路之間有足夠的流量,那麼讓 3560 充當內部路由器,然後將 3825 專門用作邊界路由器可能適合您。問題是,如果您的路由器承擔所有路由的全部負載,那麼來自一個子網路的封包將到達您的交換機,然後透過 dot1q 轉送到某個 vlan X 上的中繼,然後路由器做出路由決策並將相同的資料包沿著dot1q 主幹發送回某個新的vlan Y,現在目的地是目標電腦。順便說一句,我只是描述跨不同子網路的客戶/組織的內部流量情況。
相反,您可以在每個 VLAN/子網路的第一個位址(假設正常約定)處設定 3560。例如 192.168.0.81 並啟用 ip 路由。下一步是專門為路由器和交換器之間建立一個新子網路。為了方便起見,我會使用完全不同的東西,例如,192.0.2.0/24 保留用於文件範例。設定路由器 192.0.2.1 和交換器 192.0.2.2。讓交換器使用 192.0.2.1 作為預設路由。設定路由器透過 192.0.2.2 的交換器到達 192.168.0.0/16。如果您的網路夠小,靜態路由就足夠了。不需要 OSPF 或任何東西。
當然,這將是一個相當戲劇性的變化;但它有可能取得巨大的進步。這完全取決於您的流量的性質。
作為參考,思科列出了 Cisco Catalyst 3560G-48TS 和 Catalyst 3560G-48PS 的轉送速率為 38.7 Mpps,Cisco 3825 的轉送速率為 0.35Mpps。以防萬一您不知道,Mpps 是指每秒數百萬個資料包。
它不是頻寬,而是設備每秒可以做出多少個 64 位元組封包路由決策。資料包的長度不會影響做出路由決策所需的時間。因此,以位元/位元組為單位的峰值效能將在某個範圍內。就頻寬而言,350kpps 意味著 64 位元組資料包為 180 Mbps,1500 位元組資料包為 4.2 Gbps。請注意,單位為位元/秒,因此按常規檔案大小計算,可以將其視為 18 兆位元組或 420 兆位元組/秒。
理論上,這意味著您的 3560G 可以在 19.8Gbps 到 464Gbps 之間或大約 2GBps 到 45GBps 之間進行路由。
實際上,看看這些數字,您絕對應該考慮我上面描述的計劃。將您的 3825 專用於處理可能經過 NAT 的外部流量,並讓您的 3560 處理其餘的內容。
抱歉,這篇文章太長了;我在等待磁帶完成的工作中感到無聊。乾杯。