VLAN
Техподдержка Фактор-ТСDionis-NX поддерживает стандарт IEEE 802.1Q (VLAN).
Для создания интерфейса, выходящий трафик с которого будет помечаться идентификатором vlan-сети, а входящий трафик соответствующей vlan-сети, перенаправляться на вход этого интерфейса, используется команда: interface ethernet <номер интерфейса>.<номер vlan> (режим configure).
В приведенном примере применена типовая схема коммутации № 1
NX-1(config)# interface ethernet 3
NX-1(config-if-ethernet3)# enable
Сначала следует активировать физический интерфейс, потом VLAN интерфейс
NX-1(config)# interface ethernet 3.2
Info: Creating VLAN ethernet3.2
NX-1(config-if-ethernet3.2)# ip address 192.168.10.1
NX-1(config-if-ethernet3.2)# enable
Если настроить аналогичным образом маршрутизатор NX-2 и назначить тот же VLAN что и на NX-1, то можно будет проверить утилитой ping доступность маршрутизатора в этом же VLAN’е и проверить командой «tcpdump ethernet 3.2» что траффик идет именно через VLAN и проверить то, что пакеты которые идут в физический интерфейс ethernet 3 имеют указанный номер VLAN’а командой «tcpdump ethernet 3 ether verbose» :
NX-2(config)# interface ethernet 3
NX-2(config-if-ethernet3)# enable
NX-2(config)# interface ethernet 3.2
Info: Creating VLAN ethernet3.2
NX-2(config-if-ethernet3.2)# ip address 192.168.10.2
NX-2(config-if-ethernet3.2)# enable
Теперь необходимо запустить ping с NX-2 на NX-1 и проверить идет ли траффик по VLAN’у
NX-1# tcpdump ethernet 3.2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ethernet3.2, link-type EN10MB (Ethernet), capture size 262144 bytes
17:20:42.285535 IP 192.168.10.2 > 192.168.10.1: ICMP echo request, id 14185, seq 10, length 64
17:20:42.285548 IP 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 14185, seq 10, length 64
17:20:44.301537 IP 192.168.10.2 > 192.168.10.1: ICMP echo request, id 14185, seq 11, length 64
17:20:44.301548 IP 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 14185, seq 11, length 64
И необходимо убедиться, что пакеты идут через физический интерфейс ethernet 3 по стандарту 802.1Q (0x8100) и с вышеуказанным VLAN id:
NX-1# tcpdump ethernet 3 ether
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ethernet3, link-type EN10MB (Ethernet), capture size 262144 bytes
01:21:49.950280 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 49, length 64
01:21:49.950314 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 49, length 64
01:21:51.966270 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 50, length 64
01:21:51.966289 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 50, length 64
01:21:53.982278 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 51, length 64
01:21:53.982297 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 51, length 64
В прослушанном трафике между двумя физическими интерфейсами был указан VLAN id – 2 и Идентификатор протокола 802.1q – 0x8100
Если, к примеру, удалить текущий VLAN на NX-1 добавим другой номер VLAN’а на тот же интерфейс и назначим тот же IP-адрес то доступность между ними будет утеряна, при этом не будет изменена конфигурация на NX-2:
NX-1# configure terminal
NX-1(config)# no interface ethernet 3.2
Info: Removing VLAN ethernet3.2
NX-1(config)# interface ethernet 3.3
Info: Creating VLAN ethernet3.3
adm@NX-1(config-if-ethernet3.3)# ip address 192.168.10.1/24
Теперь попробуем проверить доступность маршрутизаторов путем запуска утилиты ping с NX-2 на NX-1:
Так как маршрутизаторы теперь находятся в разных VLAN’ах результат будет таким:
NX-2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.
--- 192.168.10.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 78ms
Далее в раздел Фильтрация на уровне 2 (Layer 2) (Transparent Firewall)