Podstawy sieci z Cisco IOS. Moduł 3: Inter-VLAN Routing

Urządzenia wpięte do portów przynależących do różnych VLAN nie mogą się od tak ze sobą komunikować. O ile można pomiędzy ich portami stworzyć połączenie z użyciem kabla, to najczęściej każdy VLAN też ma inną podsieć IP. Tak czy siak, tak się nie robi. Nie po to dzieli się sieć z użyciem VLAN, by zaraz po tym w tak niekontrolowany sposób je ze sobą scalać. Do zapewnienia komunikacji pomiędzy różnymi VLAN najczęściej wykorzystuje się router, przełącznik L3 lub jakieś inne urządzenie typu Firewall.

Wykorzystanie routera polega na konfiguracji jego interfejsów do pracy w różnych podsieciach. Każdy z tych interfejsów staje się bramą domyślną dla konkretnego VLAN. Zatem ruch, jaki ma trafiać do innych VLAN zawsze przechodzi przez router, gdzie można zainstalować dodatkowo listy kontroli dostępu ACL (Access Control List) do filtrowania ruchu. W ten sposób możemy mieć wpływ na to, jaki rodzaj ruchu może, a jaki nie może przechodzić pomiędzy danymi VLAN, w każdym z kierunków.

Nie zawsze mamy wystarczającą ilość interfejsów fizycznych, by mogły one być przyporządkowane niezależnie do każdego z VLAN. Ponadto czasem nie ma to sensu, gdyż większość ruchu w ramach danego VLAN i tak wymieniana jest wewnętrznie, stąd ruch poza czy do innych VLAN jest niewielki. W takich przypadkach można posłużyć się jednym interfejsem fizycznym, w ramach którego da się utworzyć więcej niż jeden podinterfejs logiczny. Jest to tak zwany router na patyku czy z angielskiego "router on a stick".

W zależności od tego czy wykorzystamy cały interfejs fizyczny routera czy też będziemy konfigurować na nim podinterfejsy, inna musi być konfiguracja od strony przełącznika. Interfejsy fizyczne, które w całości obsługują jeden wybrany VLAN wpina się od strony przełącznika do portów pracujących w trybie Access, a interfejsy fizyczne obsługujące podinterfejsy do portów pracujących w trybie Trunk. Oczywiście obie te metody można łączyć i mogą one równolegle działać w ramach jednego urządzenia.

Konfiguracja adresu IP na interfejsie fizycznym routera oraz portów przełącznika do pracy w trybie Access została już omówiona, stąd nie powinna stanowić problemu na tym etapie. Dlatego w tym module zajmiemy się już tylko konfiguracją tak zwanego routera na patyku czy z angielskiego "router on a stick".

Od strony routera konfiguracja ta polega na włączeniu interfejsu głównego z użyciem polecenia "no shutdown" i utworzeniu odpowiednich podinterfejsów. Numer podinterfejsu jest aż 32-bitową liczbą. Nie musi być on powiązany z numerem VLAN jaki jest, czy będzie obsługiwany przez dany podinterfejs. Niemniej zachowanie zgodności pomiędzy numerem VLAN (liczba 12-bitowa), a numerem podinterfejsu (liczba 32-bitowa) ułatwia diagnozę, weryfikację i zarządzanie.

Zatem w przykładzie na slajdzie podinterfejs numer 100 obsługuje VLAN numer 100. Numer podinterfejsu podaje się po kropce przyległej do nazwy jego interfejsu głównego. Następnie z użyciem polecenia "encapsulation dot1q" należy wskazać obsługiwany VLAN. Jeżeli dany VLAN transmituje ramki bez znacznika IEEE 802.1Q, czyli jest tak zwanym VLAN natywnym (native VLAN), to należy po numerze VLAN dodać parametr "native". Na danym połączeniu czy interfejsie może istnieć tylko jeden VLAN natywny.

Konfiguracja portu typu Trunk oraz VLAN natywnego od strony przełącznika została omówiona w module 2.

Takich podinterfejsów tworzymy tyle, ile VLAN ma być obsługiwanych na tym pojedynczym interfejsie fizycznym routera. Bardzo ważne, by w pierwszej kolejności powiązać podinterfejs z VLAN, a dopiero konfigurować na nim adresację IP. Wynika to z tego, że zmiana powiązania podinterfejsu z VLAN usuwa z niego wszystkie adresy IP.

Do weryfikacji ustawień służy poznane już wcześniej polecenie trybu EXEC "show interface", po którym wskazujemy nasz podinterfejs. Warto zwrócić uwagę, że oprócz adresów MAC i IP oraz maski podsieci, widać tam także numer obsługiwanego VLAN. 

Listę obsługiwanych na interfejsach routera VLAN można wyświetlić z użyciem polecenia "show vlans" trybu EXEC.

Polecenie to przydaje się przy weryfikacji i diagnozie. Widać w nim ilość odebranych i wysłanych pakietów per każdy VLAN. W ten sposób łatwo można dojść do tego, czy konfiguracja od strony przełącznika jest na pewno poprawna.

Routing pomiędzy VLAN można także zrealizować z użyciem przełącznika L3, gdzie również można ustawić listy kontroli dostępu ACL do filtrowania ruchu. Porty sieciowe przełącznika L3 obsługują tylko technologię Ethernet. Za to jest on w stanie przekazywać pomiędzy nimi ruch z "prędkością kabla". Czyli o wiele wydajniej, niż zwykle potrafi to router, tym bardziej, że przełącznik często też ma więcej portów Ethernet. Natomiast przełącznik zwykle nie posiada bardziej zaawansowanych funkcji, jakich dziś oczekujemy od routera. Należy do nich m.in. obsługa funkcji centrali telefonicznej czy też innych funkcji VoIP, wielu technologii warstwy drugiej i VPN, a także zaawansowanych mechanizmów bezpieczeństwa. A jeżeli w jakimś stopniu je obsługuje, to zwykle udostępniana jest tam mniejsza funkcjonalność w stosunku do tej, jaką udostępnia routera.

Dlatego też każde z tych urządzeń ma swoje zastosowanie i miejsce w infrastrukturze. Przełącznik L3 najczęściej używany jest do realizacji routingu pomiędzy VLAN, gdy wymagana jest duża przepustowość i wysoka dostępność, która nie jest zależna od dodatkowych urządzeń. Za to router w takim zakresie wykorzystywany jest bardziej w małych oddziałach i tam, gdzie ilość ruchu przesyłanego pomiędzy VLAN jest niewielka. Niemniej, typowym miejscem dla routera jest brzeg sieci, gdzie wymagana jest zarówno obsługa różnych technologii warstwy drugiej, jak i bardziej zaawansowanych funkcji routingu, VPN, bezpieczeństwa czy odpowiedniego traktowania ruchu aplikacyjnego, w tym zapewnienia SLA i określenia QoS.

Zdarza się też, że w komunikację pomiędzy VLAN zaangażowane jest urządzenie typu firewall. Najczęściej tam, gdzie wymagane są zaawansowane mechanizmy bezpieczeństwa. Zwykle przesyła się do niego konkretny ruch, który wymaga głębszej analizy. Natomiast nie realizuje się już tego w taki sposób, że urządzenie to staje się bramą domyślną dla wszystkich VLAN. Choć oczywiście w niewielkich sieciach nadal konfiguruje się na nich tak zwane strefy DMZ i to właśnie one pełnią funkcję bramy domyślnej dla poszczególnych VLAN. Natomiast w większych sieciach takie podejście się nie skaluje i jest mało elastyczne.

Należy jednak pamiętać, że niestety nie zawsze można wszystko zrobić zgodnie z tym, jak to powinno być. Wszak bywają sytuacje, w których nie ma na to środków, a czasem już coś jest i trzeba to wykorzystać, by biznes mógł funkcjonować i zarobić na coś lepszego.

To, czy przełącznik będzie realizował routing czy switching zależy od adresu docelowego MAC w ramce Ethernet. Jeżeli adresem MAC jest adres innego urządzenia w sieci, to przełącznik realizuje switching, a jeżeli jest nim adres MAC przełącznika, to przekaże pakiet to warstwy wyższej, gdzie odbywa się routing. Oczywiście przełącznik musi mieć włączoną funkcję routingu.

Routing pomiędzy VLAN na przełączniku L3 najczęściej realizowany jest z użyciem interfejsów SVI (Switch Virtual Interface). Są to logiczne interfejsy wewnątrz przełącznika, które są osiągalne przez wszystkie jego porty L2, należące do tego samego VLAN co numer SVI (w tym połączeń typu Trunk z tym VLAN). W ramach każdego z takich interfejsów SVI konfiguruje się adres IP z podsieci, jaka działa w ramach danego VLAN. W ten sposób staje się on jego bramą domyślną i wszystko odbywa się analogicznie, jak przy użyciu routera. Oprócz tego istnieje możliwość przestawienia na przełączniku L3 portów z trybu L2 w tryb L3. Port taki staje się tak zwanym portem routowalnym (Routed Port) i działa jak typowy interfejs zwykłego routera.

Na rysunku powyżej, fioletowe połączenie wykorzystuje interfejs L3 (Routed Port). Dla VLAN czerwonego, zielonego i niebieskiego użyliśmy SVI. Natomiast VLAN żółty obsługiwany jest z użyciem routera. O ile jest to dość elastyczne pod kątem możliwych sposobów konfiguracji, to zwykle w sieci produkcyjnej nie komplikuje się tego aż tak. Tu chcieliśmy pokazać elastyczność.

Przed konfiguracją routingu warto rozrysować topologię logiczną, tak by było widać przepływ ruchu z punktu warstwy trzeciej. W naszej topologii powinniśmy zobaczyć, że ruch z VLAN czerwonego, zielonego i niebieskiego do VLAN żółtego zawsze przechodzi przez router i fioletowe połączenie. Nie zawsze jest to tak samo łatwo dostrzegalne, kiedy patrzymy na topologię fizyczną.

Port przełącznika, który da się ustawić w tryb Access lub tryb Trunk jest portem L2. Dostępne są w jego konfiguracji polecenia służące do tego celu, ale nie ma dla przykładu polecenia "ip address", którym możemy ustawiać adres IP.

Polecenie to staje się dostępne dopiero po wpisaniu w takim porcie polecenia "no switchport". Wtedy staje się on portem L3 (Routed Port) i udostępnia nam inny zestaw poleceń. Adres IP ustawia się w nim tak samo, jak w interfejsie routera.

Konfiguracja interfejsów SVI na przełączniku L3 jest analogiczna. Robi się to tak samo, jak robiliśmy do tej pory. Czyli wchodzimy do trybu konfiguracji interfejsu SVI z użyciem polecenia trybu konfiguracji globalnej "interface vlan", po którym wskazujemy numer powiązanego z nim VLAN. Następnie nadajemy tam adres IP. Różnicą jest to, że ustawiamy na przełączniku więcej niż jeden taki interfejs. Sposób konfiguracji wszystkich omówionych typów interfejsów widać na powyższym slajdzie.

Przed kolejną porcją wiedzy zachęcamy do przećwiczenia i utrwalenia tej poznanej tutaj. Skorzystaj z naszych ćwiczeń!

Zachęcamy do śledzenia nas w mediach społecznościowych Facebook i LinkedIn.

Zapraszamy do kontaktu drogą mailową Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. lub telefonicznie +48 797 004 932 lub +48 797 004 938.

Edukacja z NETWORKERS.PL
Podstawy sieci z Cisco IOS
Solidny Partner firmy Cisco Systems
Stoisz przed wyborem Partnera firmy Cisco Systems?
Niezadowolony z produktu? A co jeśli to nie wina producenta, produktu czy rozwiązania, a Partnera?
Wybierz i sprawdź NETWORKERS.PL.
Zestaw do domu lub małej firmy
Masz dość domowych urządzeń? Zbuduj sieć firmową lub domową z użyciem profesjonalnego sprzętu.
Przełącznik, router, firewall, punkt WiFi i kilka telefonów. Skonfiguruj sam lub zleć to nam! Jak kupiłeś od nas to jest opcja, że pomożemy.
Napisz do nas, a dobierzemy zestaw dostosowany do Twoich wymagań.
Ochrona przed Malware
Szukasz rozwiązania do ochrony przed złośliwym oprogramowanie?
Ochrona taka może wykraczać poza dany punkt w czasie i być realizowana ciągle. Retrospekcja pozwala spojrzeć wstecz i prześledzić aktywność oraz rozprzestrzeniania się pliku. Podejście takie jest niezbędne, jako że z czasem może zmienić się dyspozycja pliku. Trajektorie obrazują przemieszczanie się plików pomiędzy urządzeniami w czasie. Informacje te potrzebne są przy analizie skali incydentu oraz źródła wycieku informacji.
Zainteresowanych wdrożeniem ochrony przed Malware prosimy o kontakt drogą mailową.
Pamięć masowa nowej generacji
Masz dużo danych i potrzebujesz zmniejszyć zużycie energii?
Pojedynczy nośnik NVMe 38.4TB z wbudowaną kompresją sprzętową i szyfrowaniem, to według producenta do 115.2TB efektywnej przestrzeni bez spadku wydajności. Do 12 (1U), 24 (2U) lub 48 (4U) takich nośników w ramach obudowy. Obsługa klastra z 2, 3 lub 4 obudów, replikacji, geo-replikacji, migawek i podłączania dodatkowych półek. Ochrona przed zaszyfrowaniem i obsługa dla vVols.
Zainteresowanych macierzami prosimy o kontakt drogą mailową.
Wideoterminale i pokoje spotkań
Szukasz rozwiązań do pokoi spotkań i sal konferencyjnych?
Zatarcie granicy spotkania, jest tym co dziś charakteryzuje i jednocześnie wyróżnia różne rozwiązania. Ich ideą jest oddanie podobnego odczucia, jak gdybyśmy pracowali razem w ramach tego samego pomieszczenia. Do tego celu istotne jest posiadanie dobrego wideoterminala, a czasem nawet specjalnego pomieszczenia.
Zainteresowanych rozwiązaniami i wideoterminalami do spotkań wideo prosimy o kontakt drogą mailową.
Sprzęt i pomoc dla Akademii Cisco
Planujesz modernizację lub założenie Akademii Cisco?
Jesteśmy oficjalnym partnerem firmy Cisco Systems z uprawnieniami do obsługi i dostarczania sprzętu dla Cisco NetAcad (Networking Academy) na terenie Polski. Pomagamy zarówno w trakcie uruchamiania, jak i przy modernizacji Akademii Cisco.
Zainteresowanych kooperacją w obszarze Akademii Cisco prosimy o kontakt drogą mailową.