|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Автор |
Сообщение |
igorsia
Зарегистрирован: 09 июн 2022, 18:47 Сообщения: 4
|
Имеется циска 3845 с подключенными к ней 2960. В 2960 нарезаны vlan, аксесные и транковые порты. Некоторые vlan по транковым портам уходят в другие сети. На 3845 настроен транковый порт, на нем настроены субинтерфейсы типа interface GigabitEthernet0/0.3 description --- from disctrict 1 encapsulation dot1Q 3 ip address 192.168.3.0 255.255.255.0 ip access group in 103 ip access group out 203 no ip redirects no ip unrichables no ip proxy-arp ip nat outside ip virtual-reassembly no cdp enable
Теперь пытаюсь натроить наналогично 6506 (SUP2T, s2t54-ipbasek9-mz.SPA.151-2.SY6.bin) и не могу сообразить, как сделать так, чтобы к примеру: - int Gi 3/1 - разрешены vlan 3-10 - int Gi 3/1.3, 3/1.4, 3/1.5 - настроены ip адреса для маршрутизации на vlan 3,4,5 - int Gi 3/2 - разрешены vlan 6-10 - int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен.
Возможна ли подобная конфигурация и какие технологии гуглить?
|
10 июн 2022, 08:24 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
igorsia писал(а): int Gi 3/1 - разрешены vlan 3-10 что означает "разрешены"? если транк, то swi tr all vlan 3-10 igorsia писал(а): int Gi 3/1.3, 3/1.4, 3/1.5 - настроены ip адреса для маршрутизации на vlan 3,4,5 это что еще? если это интерфейс все того же каталиста, то на нем сабы не делаются, это обычный свитчпорт. смотрите SVI igorsia писал(а): int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен. тут вобще не понятно, что вы хотите. Если есть vlan 3, то он на всех интерфейсах один и тот же vlan3. Второго такого на этом же устройстве быть не может. вы бы свою хотелку как то обрисовали - что в итоге то должно получиться)
|
10 июн 2022, 08:40 |
|
|
igorsia
Зарегистрирован: 09 июн 2022, 18:47 Сообщения: 4
|
aliotru писал(а): это что еще? если это интерфейс все того же каталиста, то на нем сабы не делаются, это обычный свитчпорт. смотрите SVI Делаются. Все-таки 6500 с головами SUP2 это не только L2/L3 свитч но еще и маршрутизатор, даже вроде как даже MPLS и BGP в наличии. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup2T/15_5_sy_swcg_2T/vpls.htmlaliotru писал(а): igorsia писал(а): int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен. тут вобще не понятно, что вы хотите. Если есть vlan 3, то он на всех интерфейсах один и тот же vlan3. Второго такого на этом же устройстве быть не может. вы бы свою хотелку как то обрисовали - что в итоге то должно получиться) Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией, Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan.
|
10 июн 2022, 09:02 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
igorsia писал(а): Делаются. если вам будет проще сабы - делайте сабы igorsia писал(а): Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией, Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan посмотрите в сторону vrf, но id все равно будут уникальны
|
10 июн 2022, 09:20 |
|
|
igorsia
Зарегистрирован: 09 июн 2022, 18:47 Сообщения: 4
|
aliotru писал(а): если вам будет проще сабы - делайте сабы А как порекомендуете, чтобы не ломать остальное и иметь возможность раздельно переносить vlan с 2960 непосредственно на 6500? aliotru писал(а): посмотрите в сторону vrf, но id все равно будут уникальны VRF интересная штука, я ее тоже собирался использовать, но тут плохо представляю как ее применить. Думал VLAN mapping делать, если не найду другого решения.
|
10 июн 2022, 10:12 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
igorsia писал(а): иметь возможность раздельно переносить vlan с 2960 непосредственно на 6500? Не очень понятно, что вы собираетесь на что менять. - 3845 на 6506 или - 3845+2960 на 6506 ? Если первое, то просто переведите нужный порт в L3 (no switchport). И sub-ы на нем наверное настраиваются аналогично. Тут никакой VRF не нужен. Сейчас же оно в 3845 как-то роутится без этого? Т.е. тут можно переносить config из 3845 один в один. А вот если второе, т.е.: igorsia писал(а): Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией, Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan. Т.е. типа перенести в 6506 не только роутинг, но и свитчинг с access портами. Как бы идея получить L2 VRF (т.к. VLAN-ы одинаковые в разных сегментах) - вот тут большие сомнения. (Хотя чего только в Cisco нет! ) Есть такая фича, как MAC-VRF (в EVPN и VXLAN). Правда не уверен совсем, что это тут применимо. И более того, что это тут нужно пытаться применять. igorsia писал(а): Думал VLAN mapping делать, если не найду другого решения. Есть подозрение, что вы не совсем четко понимаете разницу между L2 и L3 портами в Cisco железках. Там и то и то interface, что сбивает чайников с толку. Т.е. имеем типический случай, когда юзер напридумывает себе какую-то дичь, а потом мучает форум в попытках эту дичь воплотить через какие-то извраты. Причем эта дичь часто даже не результат какой-то умственной деятельности, а результат ее отсутствия. Типа "оно само" и "так сложилось", и "изменить никак нельзя". Так и здесь, вместо того, чтобы сделать нормальный дизайн L2, и потом L3 (на SVI), получаем кучу отдельных сегментов с одинаковыми VLAN-ами. И хорошо еще, что не с одинаковыми IP сетями. Что не факт, т.к. там и NAT еще нафигачен во внутренней сети! И вместо того, чтобы уж по такому случаю сделать, наконец, нормально, планируется дико извращаться. Причем переделать то нужно один раз, а с этим извратом потом скакать придется постоянно. Правильнее потратить один выходной и получить нормальную сеть. Это если мы про объединение на L2. Или оставить все как есть на L3, но тогда придется оставить и кучу 2960. Как вариант - пока оставить как есть (на L3 с sub-ами), а потом по одному переводить на L2 и SVI с заменой VLAN-нов в 2960. Только нужно предварительно подумать и составить наглядный и понятный план нумерации VLAN-ов, чтобы не наступать потом опять на те же грабли.
_________________ Knowledge is Power
|
12 июн 2022, 02:50 |
|
|
igorsia
Зарегистрирован: 09 июн 2022, 18:47 Сообщения: 4
|
Silent_D писал(а): А вот если второе, т.е.: igorsia писал(а): Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией, Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan. (Хотя чего только в Cisco нет! ) На это и надеялся. Silent_D писал(а): igorsia писал(а): Думал VLAN mapping делать, если не найду другого решения. Есть подозрение, что вы не совсем четко понимаете разницу между L2 и L3 портами в Cisco железках. Возможно. А что именно не так? Я рассчитывал на транковом порту 6500, куда надо принять vlan с неуникальным id делать mapping на какой нибудь другой, уникальный id и уже на этом interface vlan id настраивать ip адрес и маршрутизацию. Silent_D писал(а): Причем эта дичь часто даже не результат какой-то умственной деятельности, а результат ее отсутствия. Типа "оно само" и "так сложилось", и "изменить никак нельзя".
Что поделать, если оно и вправду так исторически сложилось, а входящие соединения идут из совершенно посторонних организаций за которые я не отвечаю. Silent_D писал(а): Так и здесь, вместо того, чтобы сделать нормальный дизайн L2, и потом L3 (на SVI), получаем кучу отдельных сегментов с одинаковыми VLAN-ами. И хорошо еще, что не с одинаковыми IP сетями. Что не факт, т.к. там и NAT еще нафигачен во внутренней сети! И вместо того, чтобы уж по такому случаю сделать, наконец, нормально, планируется дико извращаться. Причем переделать то нужно один раз, а с этим извратом потом скакать придется постоянно. Правильнее потратить один выходной и получить нормальную сеть. Это если мы про объединение на L2. Или оставить все как есть на L3, но тогда придется оставить и кучу 2960.
Как вариант - пока оставить как есть (на L3 с sub-ами), а потом по одному переводить на L2 и SVI с заменой VLAN-нов в 2960. Только нужно предварительно подумать и составить наглядный и понятный план нумерации VLAN-ов, чтобы не наступать потом опять на те же грабли. В том то и беда, что входящие соединения для меня по сути внешние, отсюда и нат. Спасибо за развернутый ответ.
|
12 июн 2022, 07:04 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
igorsia писал(а): Что поделать, если оно и вправду так исторически сложилось, а входящие соединения идут из совершенно посторонних организаций за которые я не отвечаю. Да уж, засада. И все-таки непонятно, что вы хотите получить? Т.е. вам нужно только один IP-шник в каждый VLAN засунуть "и уже на этом interface настраивать ip адрес и маршрутизацию"? Тут и sub-ами можно обойтись. L2 порты в L3 легко переделываются (no switchport). Вот как там с sub-ами, сложно сказать. Но это легко проверить. Если работает, то какая вам разница куда IP назначать - на sub или на SVI? Конфиг будет проще. А если igorsia писал(а): Хотелка - группу портов использовать как управляемый свич L2 то тут непонятно, о какой "группе портов" идет речь? Если вы хотите еще и "немножко свитчить", то да, нужно пробовать VLAN Mapping. Вопрос только - есть ли он там? Сам процесс то довольно простой: https://ipcisco.com/lesson/vlan-mapping ... -on-cisco/Только нужно остановиться на One-to-One Mapping (C-VLAN to S-VLAN) и не лезть дальше в Q-in-Q и VXLAN Tunneling. В 6506 очевидно нужно создавать S-VLAN-ы, чтобы получить SVI. Configuring Port VLAN Mapping https://content.cisco.com/chapter.sjs?u ... p.html.xmlИ учитывайте еще вопрос лицензий. На Catalyst 9200, например: Ensure that you run the Network Advantage license. VLAN Mapping is supported only with the Network Advantage license level. Layer 2 Configuration Guide, Cisco IOS XE Amsterdam 17.3.x (Catalyst 9200 Switches) Configuring VLAN Mapping https://content.cisco.com/chapter.sjs?u ... g.html.xmlEXAMPLE This example shows how to map VLAN IDs 1 to 5 in the customer network to VLANs 101 to 105 in the service-provider network as shown in Figure 9-1. You configure these same VLAN mapping commands for a port in Switch A and Switch B. The traffic on any other VLAN IDs is dropped. Switch(config)# interface gigabiethernet0/1 Switch(config-if)# switchport vlan mapping 1 101 Switch(config-if)# switchport vlan mapping 2 102 Switch(config-if)# switchport vlan mapping 3 103 Switch(config-if)# switchport vlan mapping 4 104 Switch(config-if)# switchport vlan mapping 4 105 Switch(config-if)# switchport vlan mapping default drop Switch(config-if)# exit Switch# show vlan mapping Ну и есть еще третий вариант, дикий и экстенсивный. На самый крайний случай. Это разворачивать на 2960 транки в access и тыкать их шнурками в access на 6506. Один шнурок и порт на VLAN. На 6506 портов много, шнурков тоже не жалко.
_________________ Knowledge is Power
|
12 июн 2022, 08:40 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
VLAN Mapping on 6500 как бы есть, но он очень своеобразный. Он типа не per port basis, а per port group. Не знаю, видно ли вам, поэтому скопирую: https://community.cisco.com/t5/switchin ... -p/1342635Q: Hello, Has anyone had success with configuring VLAN mapping on a Cat6500? I have tried to enable it on a single port, but when I enable it multiple ports are affected. I receive the following notice when enabling on a port: VLAN mapping is also changed on these switch ports: 1/1, 1/2, 1/3, 1/4, 1/5, 1/6, 1/7, 1/8, 1/9, 1/11, 1/12. Is there a Cat6500 IOS version that allows VLAN mapping on a per-port basis and does not affect other ports? A: The message you are receiving is correct. When configuring vlan mapping on an interface the configuration is applied to all ports in a port group. The ports in a port group depend on the hardware module that you are configuring, for example an 24 port WS-X6724-SFP module has 2 port groups with ports 1-12 in group 1 and 13-24 in group 2. If you configure vlan mapping for port 1 this automatically configures the mapping for all the interfaces in that port group however it does not enable the vlan translation. By default vlan translation is disabled for all interfaces in a group so only interfaces in that group that have the "switchport vlan mapping enable" command will use the vlan mapping configuration. The other interface you have configured, Gig 6/23 has the vlan mapping configured but vlan mapping is not enabled under the interface using the "switchport vlan mapping enable" command therefore it will not be affected. Это, правда, диалог от 09-09-2009. Может быть, конечно, с тех пор технология шагнула далеко вперед, но ... Вот об этом детальнее: Catalyst 6500 Release 12.2SY Software Configuration Guide Configuring VLAN Translation VLAN Translation Guidelines and Restrictions https://www.cisco.com/c/en/us/td/docs/s ... vlans.htmlИ это еще нужно узнать в каком feature set есть этот VLAN Mapping. Их четыре: SW packages ● IP Base ● IP Services ● Advanced IP Services ● Advanced Enterprise Services Cisco Catalyst 6500 Series Supervisor Engine 2T Data Sheet https://www.cisco.com/c/en/us/products/ ... 48214.html
_________________ Knowledge is Power
|
12 июн 2022, 10:50 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 54 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|