VLAN

VLAN

Техподдержка Фактор-ТС

Dionis-NX поддерживает стандарт IEEE 802.1Q (VLAN).

Для создания интерфейса, выходящий трафик с которого будет помечаться идентификатором vlan-сети, а входящий трафик соответствующей vlan-сети, перенаправляться на вход этого интерфейса, используется команда: interface ethernet <номер интерфейса>.<номер vlan> (режим configure).

В приведенном примере применена типовая схема коммутации № 1

NX-1(config)# interface ethernet 3

NX-1(config-if-ethernet3)# enable

Сначала следует активировать физический интерфейс, потом VLAN интерфейс

NX-1(config)# interface ethernet 3.2

Info: Creating VLAN ethernet3.2

NX-1(config-if-ethernet3.2)# ip address 192.168.10.1

NX-1(config-if-ethernet3.2)# enable

Если настроить аналогичным образом маршрутизатор NX-2 и назначить тот же VLAN что и на NX-1, то можно будет проверить утилитой ping доступность маршрутизатора в этом же VLAN’е и проверить командой «tcpdump ethernet 3.2» что траффик идет именно через VLAN и проверить то, что пакеты которые идут в физический интерфейс ethernet 3 имеют указанный номер VLAN’а командой «tcpdump ethernet 3 ether verbose» :

NX-2(config)# interface ethernet 3

NX-2(config-if-ethernet3)# enable

NX-2(config)# interface ethernet 3.2

Info: Creating VLAN ethernet3.2

NX-2(config-if-ethernet3.2)# ip address 192.168.10.2

NX-2(config-if-ethernet3.2)# enable

Теперь необходимо запустить ping с NX-2 на NX-1 и проверить идет ли траффик по VLAN’у 

NX-1# tcpdump ethernet 3.2

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ethernet3.2, link-type EN10MB (Ethernet), capture size 262144 bytes

17:20:42.285535 IP 192.168.10.2 > 192.168.10.1: ICMP echo request, id 14185, seq 10, length 64

17:20:42.285548 IP 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 14185, seq 10, length 64

17:20:44.301537 IP 192.168.10.2 > 192.168.10.1: ICMP echo request, id 14185, seq 11, length 64

17:20:44.301548 IP 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 14185, seq 11, length 64

И необходимо убедиться, что пакеты идут через физический интерфейс ethernet 3 по стандарту 802.1Q (0x8100) и с вышеуказанным VLAN id:

NX-1# tcpdump ethernet 3 ether

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ethernet3, link-type EN10MB (Ethernet), capture size 262144 bytes

01:21:49.950280 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 49, length 64

01:21:49.950314 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 49, length 64

01:21:51.966270 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 50, length 64

01:21:51.966289 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 50, length 64

01:21:53.982278 08:35:71:f0:0d:81 (oui Unknown) > 08:35:71:f3:b1:fc (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.2 > 192.168.10.1: ICMP echo request, id 7974, seq 51, length 64

01:21:53.982297 08:35:71:f3:b1:fc (oui Unknown) > 08:35:71:f0:0d:81 (oui Unknown), ethertype 802.1Q (0x8100), length 102: vlan 2, p 0, ethertype IPv4, 192.168.10.1 > 192.168.10.2: ICMP echo reply, id 7974, seq 51, length 64


В прослушанном трафике между двумя физическими интерфейсами был указан VLAN id – 2 и Идентификатор протокола 802.1q – 0x8100

Если, к примеру, удалить текущий VLAN на NX-1 добавим другой номер VLAN’а на тот же интерфейс и назначим тот же IP-адрес то доступность между ними будет утеряна, при этом не будет изменена конфигурация на NX-2:

NX-1# configure terminal

NX-1(config)# no interface ethernet 3.2

Info: Removing VLAN ethernet3.2

NX-1(config)# interface ethernet 3.3

Info: Creating VLAN ethernet3.3

adm@NX-1(config-if-ethernet3.3)# ip address 192.168.10.1/24

Теперь попробуем проверить доступность маршрутизаторов путем запуска утилиты ping с NX-2 на NX-1:

Так как маршрутизаторы теперь находятся в разных VLAN’ах результат будет таким:

NX-2# ping 192.168.10.1

PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.

--- 192.168.10.1 ping statistics ---

5 packets transmitted, 0 received, 100% packet loss, time 78ms


Далее в раздел Фильтрация на уровне 2 (Layer 2) (Transparent Firewall)

На главную

Report Page