Рассмотрим простейший случай, когда требуется подключить 3 отдела фирмы в разные логические сети Vlan, используя один коммутатор уровня доступа Cisco 2960 (Иногда такие коммутаторы называются коммутаторами 2-го уровня модели OSI) .
Требуется организовать следующие сети (Vlan):
— отдел продаж (192.168.10.0 255.255.255.0)
— бухгалтерия (192.168.20.0 255.255.255.0)
— администраторы (192.168.100.0 255.255.255.0)
— сеть для управления сетевым оборудованием (192.168.1.0 255.255.255.0)
Для справки:
Устройства 2-го уровня способны передавать данные только внутри одной сети и осуществляют передачу на основе информации о MAC адресах (например внутри сети 192.168.0.0 /24).Устройства 3-го уровня (например коммутатор Cisco 3560) способны маршрутизировать данные на основе информации об ip адресах и передавать их между различными сетями (например между сетью 192.168.1.0 /24 и сетью 192.168.2.0 /24).
Шаг 1. Очистка конфигурации.
(Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)
После извлечения коммутатора из коробки, подключаемся к нему с помощью консольного кабеля и очищаем текущую конфигурацию, зайдя в привилегированный режим и выполнив команду write erase.
Switch>enable
Switch# write erase
Switch# reload
После выполнения коммутатор должен перезагрузиться в течение 3-ёх минут, а при старте вывести запрос о начале настройки. Следует отказаться.Would you like to enter the basic configuration dialog (yes/no): no
Шаг 2. Имя коммутатора.
Присвоим коммутатору имя main-switch. Для этого зайдем в режим конфигурирования и введем следующие команды:
Switch #conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)# hostname main-switch
main-switch(config)#
Название устройства изменилось со «Switch» на «main-switch».
Шаг 3. Интерфейс для удаленного управления.
Настраиваем интерфейс для управления коммутатором. По умолчанию это Vlan 1. Для этого присваиваем ip адрес интерфейсу и включаем его командой no shutdown.
main-switch(config)#
interface vlan 1
ip address 192.168.1.11 255.255.255.0
no shutdown
В дальнейшем коммутатор будет доступен именно под адресом 192.168.1.11
Шаг 4. Авторизация пользователей.
Настраиваем авторизацию для доступа к устройству. Для этого задаем пароль доступа к привилегированному режиму (знак # рядом с названием устройства), а также создаем учетную запись пользователя и пароль для удаленного подключения.
Задаем пароль для доступа к привилегированному режиму #main-switch(config)#
enable secret XXXX
Создаем учетную запись для удаленного управления и пароль для нееusername admin secret YYYYY
Включение авторизации, с использованием локальной базы данных пользователей и паролейmain-switch(config)#
line vty 0 4
Для проверки доступности enable режима (#) после ввода этих команд выходим из всех режимов конфигурирования (командой exit или буквой Q в каждом из режимов или сочетанием клавиш Ctrl+Z), оказываемся в первоначальном режиме (обозначается знаком >) и пробуем вновь зайти в привилегированный режим (обозначается знаком #). На запрос пароля вводим тот, который только что задали.
Если ничего не напутали, то видим примерно следующее:main-switch>enable
Password: XXXXX
main-switch#
Проверку удаленного доступа можно осуществить , запустив из командной строки рабочей станции команду telnet 192.168.1.11. Должен появиться диалог запроса логина и пароля.
После того, как убедитесь, что устройство доступно по протоколу Telnet рекомендую настроить защищенный доступ по протоколу SSH.
Шаг 5. Создание Vlan.
Создаем Vlan для каждого из отделов и присваиваем им порядковые номера и названия.main-switch(config)#
vlan 10
name NET_SALES
vlan 20
name NET_ACCOUNT
vlan 100
name NET_ADMIN
Сеть Vlan 1 всегда присутствует на коммутаторе по умолчанию. Она будет использоваться для удаленного управления.
Проверить текущие настройки Vlan можно, выполнив команду sh vlan:main-switch# show vlan
VLAN Name Status Ports
---- -------------------- -------- -------------------------------
1 default active Fa0/1, Fa0/2, /...вырезано.../
10 NET_SALES active
20 NET_ACCOUNT active
100 NET_ADMIN active
Убеждаемся, что все созданные нами сети присутствуют в списке.
Шаг 6. Привязка портов.
Соотносим порты доступа коммутатора (access port) нужным сетям. На коммутаторе из примера 24 порта FastEthernet и 2 порта Gigabit Ethernet. Для подключения пользователей будут использоваться только Fast Ethernet.
Распределим их следующим образом:
- первые 6 из них в сеть администраторов (Vlan 100)
- 12 в сеть отдела продаж (Vlan 10)
- 6 следующих в сеть для бухгалтерии (Vlan 20).
На каждом интерфейсе для удобства дальнейшего администрирования добавим примечания командой description. Это обычное текстовое поле, которое никак не влияет на другие настройки.main-switch(config)#
interface range fa 0/1 – 6
switchport access vlan 100
description NET_ADMIN
interface range fa 0/7 – 18
switchport access vlan 10
description NET_SALES
interface range fa 0/19 – 24
switchport access vlan 20
description NET_ACCOUNT
После этого рядом с каждым Vlan будут указаны принадлежащие ему порты, а вывод команды sh vlan должен стать примерно таким:main-switch# show vlan
VLAN Name Status Ports
---- ---------------- --------- -------------------------------
1 default active
10 NET_SALES active Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18
20 NET_ACCOUNT active Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24
100 NET_ADMIN active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6
Введенными командами мы разделили один физический коммутатор на 4 логических (Vlan 1, Vlan 10, Vlan 20 и Vlan 100).
Важно!
Взаимодействие без использования маршрутизатора будет осуществляться только(!) между портами, принадлежащими одному и тому же Vlan.
Рабочие станции, подключенные в порты, принадлежащие разным Vlan, не смогут взаимодействовать друг с другом даже если будет настроена адресация из одной сети.
Для взаимодействия всех 4-ёх сетей необходим маршрутизатор, подключенный к коммутатору с помощью trunk порта. Отличие trunk интерфейса в том, что при передаче по нему трафика каждый пакет помечается номером Vlan, которому принадлежит. Это позволяет устройствам правильно перенаправлять пакеты. На самом коммутаторе порт настраивается следующим образом:main-switch(config)#
interface GigabitEthernet 0/1
switchport mode trunk
switchport trunk encapsulation dot1q
Если система не принимает последнюю строчку, то это значит, что режим dot1q – единственно возможный, и он настроен по умолчанию.
После выполнения всех описанных действий для проверки подключите две рабочие станции в порты, принадлежащие одному Vlan, например с номером 100, установите на них ip адреса 192.168.100.1 и 192.168.100.2, после чего запустите ping с одной из них на другую. Успешный ответ означает, что все работает как нужно.
Для справки:
Существуют модели коммутаторов 3-го уровня модели OSI (Например Cisco 3560), которые объединяют в себе функции коммутатора 2-го уровня (access или уровня доступа) и маршрутизатора (устройства 3-го уровня). Устройства 3-го уровня используются для передачи данных между различными сетями и руководствуются информацией об ip адресах.
Важно!
Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.main-switch#write
Building configuration...
[OK]