Hoje, analisamos o roteamento entre VLANs e a interface do comutador virtual SVI. Já nos familiarizamos com esses tópicos no curso do ICND1 e agora vamos lidar com eles com mais profundidade. Esses tópicos são mencionados na Seção 2.0, Tecnologias de roteamento, do ICND2, subseções 2.1a e 2.1b. Primeiro, examinamos os problemas de configuração, verificação e roteamento entre VLANs, depois o conceito de arquitetura de rede Router-on-a-Stick (ROAS) e a interface do switch SVI.
Vamos seguir para o programa Packet Tracer e considerar qual é a interface virtual do comutador SVI. O diagrama mostra duas redes: um departamento de vendas e um departamento de marketing, cada um com seu próprio comutador. Por padrão, os computadores são conectados ao comutador através da VLAN1 padrão, para que possam se comunicar sem problemas.
Mas se o computador nº 1 do departamento de vendas quiser entrar em contato com o computador nº 1 do departamento de marketing, ele não poderá fazer isso porque as redes não estão conectadas. Tecnicamente, você pode conectar os dois comutadores por cabo, mas os computadores ainda não conseguirão se comunicar, porque fazem parte de redes diferentes com diferentes intervalos de endereços IP - 192.168.10.0/24 e 192.168.20.0/24.
É possível estabelecer a comunicação entre essas duas redes se você colocar entre os dispositivos de comutação do OSI de terceiro nível, um roteador, e conectar os comutadores e o roteador com cabos.
Normalmente, em um escritório, você não possui dois comutadores diferentes para duas redes, principalmente porque os comutadores Cisco são muito caros; portanto, você deve gerenciar um comutador para 24 e 48 portas. Suponha que tenhamos um switch de 48 portas.
Criamos VLANs diferentes. Deixe a cor das portas no diagrama não incomodá-lo, eu as desenharei em preto. A rede azul é VLAN10 e o vermelho é VLAN20. Se fizermos isso, os computadores de redes diferentes ainda não conseguirão se comunicar, porque o switch é um dispositivo OSI de nível 2. Precisamos de um dispositivo de nível 3 para se conectar.
Você pode resolver esse problema usando um roteador, uma porta da qual será conectada a uma das portas da rede VLAN10 azul e a outra porta - a uma das portas da rede VLAN20 vermelha. Ao mesmo tempo, podemos organizar facilmente a comunicação entre computadores de redes diferentes através deste roteador.
Com esse esquema, estamos usando irracionalmente as interfaces do roteador, por isso é muito mais eficiente usar outra maneira de interconexão chamada Router-on-a-Stick. Mais tarde retornaremos a ele, mas, por enquanto, consideraremos a interface virtual do switch SVI. Como você sabe, o switch "pronto para uso" todas as portas são configuradas por padrão na VLAN1 e o switch possui uma interface virtual para essas redes - a interface da VLAN1. O que é uma interface virtual?
Se você, como administrador da rede, configurar o switch, use o computador conectado por cabo à porta do console do switch. O problema é que, para usar o console, você deve estar ao lado do comutador, a uma distância não superior ao comprimento do cabo. Suponha que você seja um grande administrador de rede e deseje configurar o dispositivo remotamente. No entanto, o switch é um dispositivo do segundo nível da rede, portanto, não pode ter um endereço IP, e não há como acessá-lo pela rede, pois é impossível atribuir endereços IP às interfaces físicas do switch. Como esse problema pode ser resolvido?
Para fazer isso, precisamos criar uma interface virtual para VLAN1 e atribuir a ele um endereço IP 192.168.1.1 ou qualquer outro endereço. Em seguida, o computador do administrador de rede desenhado por mim com o endereço IP 192.168.1.10 poderá conectar-se a essa interface virtual com um switch via Telnet ou SSH. Esse recurso existe para a VLAN1 por padrão.
No entanto, a rede azul PC1 pertence à VLAN10 e a interface virtual pertence à VLAN1; portanto, o computador não pode se comunicar com a interface VLAN1, pois pertence a outra rede. Nesse caso, você pode criar uma interface virtual para a VLAN10 e criar a mesma interface para a VLAN20. Em seguida, o computador PC1 da rede azul e o computador PC1 da rede vermelha podem se comunicar remotamente com o comutador via interfaces virtuais - para isso, basta atribuir endereços IP a essas interfaces nos intervalos de endereços VLAN10 e VLAN20.
Portanto, para fornecer acesso remoto de qualquer dispositivo ao comutador, você precisa criar uma interface virtual com o mesmo número de VLAN ao qual esse dispositivo pertence, por exemplo, criar uma interface virtual VLAN20 para um computador da VLAN20, etc.
Ao discutir VLANs, mencionamos as camadas 2 e 3 do modelo OSI. Para entender a diferença entre eles, usamos o Packet Tracer.
Eu hospedo um dispositivo de nível 2 - um switch e adiciono alguns PCs de usuário final. O PC0 esquerdo está na VLAN10 e o PC1 direito está na VLAN20. Então, criarei uma rede conectando computadores ao switch. Ambos os computadores devem ter seus próprios endereços IP, então eu vou para as configurações de rede e atribuo ao PC0 o endereço 198.168.10.1 e a máscara de sub-rede 255.255.255.0. Por enquanto não uso um gateway, por isso deixo as configurações padrão. Faço o mesmo com o PC1, atribuindo o endereço 198.168.20.1 e a máscara de sub-rede 255.255.255.0.
Agora estou pingando do PC0 um computador com o endereço 198.168.20.1. Nas lições anteriores, você deve saber que isso não vai funcionar. Apesar de ambos os PCs estarem conectados às interfaces padrão do switch VLAN1, eles ainda não podem se comunicar, porque possuem endereços IP pertencentes a diferentes intervalos de endereços de rede - o VLAN10 possui um intervalo de 192.168.10.0/0 e o VLAN20 tem 192.168.20.0 / 0 Ou seja, fisicamente os computadores podem se comunicar, mas logicamente - não.
Entro no console do switch e altero as configurações da VLAN. Para fazer isso, chamo a interface f0 / 1 e digito os comandos switchport access access e switchport access vlan10, após o qual o sistema exibirá uma mensagem informando que essa rede não existe e será criada. Em seguida, inserirei o comando show vlan brief, e você pode ver que criamos uma rede VLAN10. Então eu entro no comando show ip interface brief, e vemos que no final da lista de interfaces, temos a interface virtual VLAN1 por padrão - este é o SVI. Ele está em um estado administrativamente inoperante.
Agora vamos tentar criar uma interface virtual para a VLAN10. Vimos que o switch não tinha uma rede VLAN10 e, portanto, a criou, este é o segundo nível do modelo OSI. A interface virtual para VLAN10 é o nível 3 e você precisa usar o comando int vlan10 para criá-lo. Depois disso, o sistema exibirá uma mensagem informando que a interface da VLAN10 mudou de estado para ativo - “on”, enquanto o protocolo linear da interface da VLAN10 também está ativado.
Se você digitar novamente o comando show int brief, ficará claro que acabamos de obter a interface VLAN10 criada, que está no estado ativo. Se criarmos um SVI, por padrão, ele estará no estado "ligado". Lembre-se - a interface da VLAN1 é desativada por padrão, mas quando criamos outra interface virtual da VLAN, ela fica ativada.
Como você pode ver, não há VLAN20 no banco de dados da VLAN, por isso vou criá-lo com o comando int vlan 20. Você vê que estou no modo de subcomando desta interface. Posso inserir o comando shutdown para desativar esse SVI ou escrever no shut se quiser deixá-lo no estado de ativação. Vejamos a lista de interfaces novamente. Como você pode ver, criamos automaticamente uma rede VLAN20. O VLAN10 criado anteriormente está no estado ativo, não há problemas com ele. Mas agora, quando criei a VLAN20, ela apareceu no estado desconectado. Este é um tipo de problema, portanto, precisamos descobrir por que ele e seu protocolo correspondente estão no estado inativo.
Acontece que a interface VLAN20 está desativada porque ainda não temos uma rede VLAN20. Portanto, vamos sair das configurações da interface e criar esta rede. Lembre-se de que, ao criar um elemento de uma estrutura de nível 3 do modelo OSI, use o comando int vlan 20 e, para criar um elemento de nível 2, use o comando vlan 20. Depois de criar esta rede, o sistema exibirá uma mensagem informando que a interface VLAN20 mudou de estado para cima. Você também pode ver que o sistema emite dicas no nível de subcomandos como Switch (config-vlan) # em vez de Switch (config) #.
Vamos tentar agora mudar o nome da rede que criamos. Se criarmos uma rede VLAN10, o sistema por padrão receberá o mesmo nome - VLAN0010. Se quisermos alterá-lo, use o comando SALES name. Então, usando o comando show vlan brief, examinamos o banco de dados da VLAN e vemos que a VLAN20 se transformou em uma rede de VENDAS.
Se você agora examinar a lista de interfaces, poderá ver que a interface da VLAN20 mudou de estado para Up porque agora o banco de dados da VLAN contém uma rede que corresponde a essa interface.
No entanto, você vê que o protocolo dessa porta ainda está inativo e está no estado inativo. Isso ocorre porque ele não "vê" nenhum tráfego na rede VLAN20. Por que ele não vê esse tráfego? Porque nenhuma porta está conectada à rede VLAN20. Portanto, precisamos conectar uma porta de trabalho a ela. Nesse caso, apenas as portas f0 / 1 e f0 / 2 estão conectando dispositivos.
Portanto, usando o comando int f0 / 2, entro no modo de subcomando dessa interface e entre nos comandos de acesso ao modo switchport e nos comandos vlan20 de acesso ao switchport. Depois disso, o sistema relata que o protocolo da linha de interface da VLAN20 mudou de estado para ativo. O mesmo pode ser visto com o comando show int brief - ambos os elementos, a interface e seu protocolo estão em um estado ativado. Portanto, se você tiver um problema com uma interface VLAN desativada, verifique primeiro o banco de dados de VLANs e verifique se há uma rede que corresponda a essa interface. Se você vir um protocolo desativado, verifique se há tráfego ativo na rede, ou seja, se há alguma porta conectada a esta rede.
Se observarmos as outras interfaces do switch, por exemplo, f0 / 5, veremos que o protocolo para essa interface está no estado inativo, porque nenhum tráfego é observado nessa interface. Por padrão, a porta é desativada se nenhum dispositivo estiver conectado a ela e o protocolo não está ativo, porque não há tráfego nessa porta. Portanto, se você perceber que o SVI está no estado inativo, verifique primeiro o que foi mencionado acima.
Agora que nossos computadores têm endereços IP e as portas do switch estão configuradas, verificaremos se o ping do PC0 passa para o PC1. Obviamente, você não pode executar ping no computador certo, porque os dispositivos ainda estão em diferentes redes VLAN10 e VLAN20.
Para resolver esse problema, colocarei um dispositivo no circuito ao qual pode ser atribuído um endereço IP - um roteador e conectarei uma de suas interfaces à porta do switch f0 / 3 com um cabo e conectarei a outra interface do roteador à porta f0 / 4 com um segundo cabo. Essa é a conexão padrão para esses casos - tudo funcionará se eu conectar uma interface à VLAN10 e a outra à VLAN20. Para não perder tempo, pré-configurei as portas do roteador atribuindo endereços IP a elas. Para ver isso, irei às configurações do console do roteador e digite o comando show ip int brief. Agora, farei as alterações necessárias digitando os comandos terminal de configuração, int f0 / 3, acesso ao modo de porta de comutação e acesso à porta de comutação vlan 10. Da mesma forma, configurarei a interface f0 / 4 para funcionar com a rede VLAN20.
Vamos ver se o ping vai passar agora. Você pode ver que as portas do comutador demoram algum tempo para voltar ao estado de tráfego ignorado - os marcadores laranja logo ficarão verdes. Entro ping 192.168.20.1 na linha de comando PC0, mas o ping falha novamente. O motivo é o meu erro, porque não criei um gateway nas configurações de rede dos computadores. Portanto, vou ao painel de configurações e especifique o endereço do gateway para o primeiro computador 192.168.10.10 e para o segundo - 192.168.20.10.
Depois disso, o ping é bem-sucedido e agora o PC0 e o PC1 podem se comunicar. No entanto, como eu disse, com essa topologia de rede, estamos desperdiçando os recursos das portas do roteador - geralmente o roteador tem apenas duas portas, portanto, é crime usá-las dessa maneira. Para usar com mais eficiência os recursos do roteador, é usado o conceito de Roteador no Stick, ou "roteador em um stick, um roteador em uma unidade flash". Vamos voltar para um dos slides anteriores.
Se trabalharmos com o terceiro nível do modelo OSI, a palavra-chave nos comandos de configuração será "interface". Ele coloca o sistema no modo de subcomando da interface, onde você pode especificar a configuração no shutdown ou shutdown e verificar o resultado das configurações da interface usando o comando show ip interface brief.
Se trabalharmos com o nível 2 e, no caso de um switch, nada mais for do que um banco de dados de VLAN, o comando para inserir as configurações de rede virtual não conterá a palavra-chave “interface”, mas começará com a palavra “vlan” com o número correspondente redes, por exemplo, vlan 10. Depois de entrar no modo de subcomando, você pode nomear a rede criada com o comando name VLAN10. Use o comando show vlan brief para verificar suas configurações.
Para garantir o roteamento entre duas redes, como já mencionado, conectamos os comutadores dessas redes a um roteador conectado a uma rede externa - a Internet.
Com esse esquema, o computador nº 1 pode acessar a Internet ou se comunicar com computadores em outra rede. Ou seja, se tivermos dois comutadores diferentes, cada um para sua própria rede, para a comunicação entre eles, você precisará de um dispositivo do terceiro nível do modelo OSI.
Como eu disse, geralmente no escritório é usado um switch, dividido ao meio usando VLAN. No diagrama, designarei duas VLANs diferentes - SALES azul e MARKETING vermelho. Para usar esse método, você pode usar duas interfaces diferentes do roteador ou uma interface f0 / 0; no diagrama, é uma coluna azul entre o roteador e o comutador. Esse conceito é chamado de sub-interface - a interface f0 / 0.10 é atribuída para servir a rede azul e f0 / 0.20 para a rede vermelha.
Suponha que tudo isso azul esteja conectado a uma interface do switch f0 / 1, os computadores da VLAN azul estejam conectados às interfaces f0 / 2 e f0 / 3 e os computadores da rede vermelha estejam conectados aos f0 / 4 ef0 / 5. Nesse caso, f0 / 1 deve ser uma porta de tronco e um tronco deve ser criado entre o switch e o roteador, porque precisamos de todo o tráfego da VLAN10 e da VLAN20 para chegar ao roteador. Nesse caso, podemos usar apenas uma interface do roteador, dividida em duas subinterfaces ou subinterfaces.
As subinterfaces são praticamente criadas no roteador com a adição de um ponto na designação da interface física. Para a subinterface f0 / 0.10, atribuímos um endereço IP a partir do intervalo de endereços da VLAN10, e f0 / 0.20 recebe um endereço IP a partir do intervalo de endereços da rede VLAN20. Observo que os números após o ponto na designação de subinterface não precisam corresponder ao número da VLAN. Uso números correspondentes apenas para fazer você entender melhor esse conceito. Portanto, se o exame apresentar uma pergunta sobre algum tipo de problema e você achar que foi causado por uma incompatibilidade entre os números da VLAN e as subinterfaces, desde que você aprendeu que os números da rede devem corresponder, você estará errado! Mais uma vez, observo - o número da subinterface e a VLAN correspondente podem não coincidir; isso é normal; portanto, a causa dos problemas não reside nisso.
Portanto, quando o computador nº 1 da rede azul envia tráfego, chega à porta do tronco do switch, onde é encapsulado usando o protocolo .1q, ou seja, recebe a tag VLAN10 e é enviado ao roteador pelo tronco. O tráfego VLAN20 é marcado da mesma maneira. Mas o problema é que, por padrão, o roteador não entende o idioma .1q. Portanto, devemos entrar nas configurações do roteador e indicar para as subinterfaces que o encapsulamento usa .1q. Feito isso, atribuímos a eles endereços IP dos intervalos de endereços correspondentes das redes VLAN10 e VLAN20. Assim que fizermos isso, a comunicação entre as redes será estabelecida.
Vamos para o Packet Tracer, onde eu apago primeiro os SVIs criados anteriormente, entrando no modo de configuração do comutador global e aplicando os comandos no int vlan 10 e no int vlan 20. Se você olhar a lista de interfaces depois disso, poderá ver que as interfaces VLAN10 e VLAN20 desapareceram. No segundo nível do modelo OSI, essas redes ainda estão no banco de dados VLAN, pois queremos usá-las, mas sem as interfaces virtuais correspondentes.
Em seguida, removo os 2 cabos que conectam o switch e o roteador e conecto o switch e o roteador com um cabo, pois utilizarei apenas uma porta do roteador f0 / 0.
Agora vou para as configurações do roteador, selecione a interface f0 / 0 e insiro o comando no ip address (sem um endereço IP). Você pode exibir uma lista de interfaces em que pode ver que o endereço IP da interface FastEthernet0 / 0 não está atribuído, como na interface Vlan1, e o endereço IP 192.168.20.10 é usado na interface FastEthernet0 / 1.
Para usar o método "roteador em um stick", a interface física não deve estar no modo de desligamento. Como você pode ver, o FastEthernet0 / 0 está no modo manual para cima, então está tudo certo. Essa é a primeira coisa que você precisa ter antes de usar o Router-on-s-Stick; a segunda é que essa interface não possui um endereço IP.
Em seguida, digite int f0 / 0 para entrar no modo de subcomando da interface e insira o comando f0 / 0,10 para criar a subinterface .10. Se você agora examinar a lista de interfaces, poderá ver que o sistema criou uma nova interface virtual FastEthernet0 / 0.10, que está no estado ligado.
Um ponto no nome indica que é uma interface virtual, não física. Em seguida, retornamos ao modo de configurações globais e criamos a subinterface f0 / 0.20. Agora vamos para as configurações da nova subinterface f0 / 0.10, usando o comando int f0 / 0.10. Você vê que o prompt da linha de comando assumiu a forma de subcomandos do roteador (config-subif) #. Agora eu posso atribuir um endereço IP a essa interface com o comando ip address 192.168.10.10 255.255.255.0. Se eu pressionar “Enter”, o sistema exibirá uma mensagem: “A configuração do roteamento IP para a subinterface LAN só é possível se essa interface já estiver configurada como parte da IEEE 802.10, 802.1q ou ISL vLAN”. Portanto, preciso inserir o comando para usar o encapsulamento usando o protocolo .1q para uma VLAN específica, para a qual digito o encapsulamento dot1Q 10, em que 10 é o número da VLAN.
Agora vou inserir o endereço IP desejado e o sistema o aceitará. f0/0.20 – IP- 192.168.20.10. , IP- f0/1, no ip address. f0/0.20, , .
PC0 , PC1. , -, . , int f0/3 switchport mode trunk. , , VLAN10 VLAN20. , , , ! , Router-on-a-Stick. - , . , .
, , VLAN1. «» . IP- 192.168.30.1, 255.255.255.0 192.168.30.10. , PC2, VLAN1, VLAN10?
native VLAN, , ? 2 – VLAN10, VLAN20.
2 . – int f0/0. ip address 192.168.30.10 255.255.255.0, IP-. PC2, VLAN, f0/0 .
, 192.168.10.1 PC2. , PC0. , , , . , – Fa0/4, PC2, VLAN 20 SALES.
int f0/4, switchport mode access switchport access vlan 1. PC0 , , , , , PC2 .
, Native VLAN IP-. – IP- f0/0 – . , f0/0.30. .1q «native»: encapsulation dot1Q 1 native. , native VLAN, . IP- 192.168.30.10 255.255.255.0 no shutdown.
, . PC2 ping 192.168.10.1, , .
. , , 3 . , 3- OSI.
3- , VLAN. , , , Inter-VLAN 3- , . 3- 2- 3- .
. 3 – , . VLAN10 VLAN20 SVI. , VLAN, , VLAN . SVI IP- VLAN.
SVI , . , SVI ROAS, . 3- SVI.
Packet Tracer. Cisco 3- , VLAN: f0/1 VLAN10, f0/2 VLAN20, . , VLAN1 PC2, .
, SVI VLAN1, administratively down.
3- , . show ip route , , , IP- .
ip routing, . show ip rout, , , SVI VLAN10 VLAN20.
Packet Tracer SVI. , int vlan 10, ip address 192.168.10.10 255.255.255.0 no shutdown. , , IP- VLAN10.
int vlan 20, ip address 192.168.20.10 255.255.255.0 no shutdown. , PC0 PC1 192.168.20.1. , VLAN10 VLAN20, 3- Inter-VLAN.
VLAN1, int vlan 1, n shutdown IP- ip address 192.168.30.10 255.255.255.0, n shutdown. PC2.
, , , VLAN. f0/4 VLAN40. f0/4 IP- VLAN40.
3- , access-, VLAN.
Assim, a interconexão entre VLANs pode ser organizada de duas maneiras: usando um esquema ROAS ou um switch Cisco Layer 3. Lembre-se de que no segundo caso, você precisa configurar o SVI e, no primeiro caso, isso não é necessário.Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps de US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
Dell R730xd 2 vezes mais barato? Somente temos
2 TVs Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV a partir de US $ 199 na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US $ 99! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?