Задача: настроить маршрутизацию между сетями разных VLAN.
Настройка Cisco Catalyst-3560 (L3 switch):
1)Зададим IP – адрес коммутатору:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)# no shutdown
2)Создадим vlan-ы:
Switch(config)#vlan 2
Switch(config-vlan)#name net2
Switch(config)#vlan 3
Switch(config-vlan)#name net3
3)Создадим vlan – интерфейсы:
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config)#interface vlan 3
Switch(config-if)#ip address 192.168.3.1 255.255.255.0
4)Назначим trunk порты (подключение коммутатор-коммутатор):
Switch(config)#finterface fastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Q-in-Q, так же это называют dot1q tunneling, это система двойного тегирования вланов. То есть, допустим у нас есть канал на некую тех площадку, на которой подключены клиенты, клиенты должны быть изолированы друг от друга с помощью vlan, но транспорт не позволяет обеспечить нужное количество вланов на каждого клиента, а владельцы транспорта дают один влан и как говорится крутись как хочешь. Вот для таких случаев замечательно подходит dot1q туннелирование, когда внутрь одного влана на входе упаковываются вланы, а на выходе транспорта распаковываются. Остается добавить, что не все виды коммутаторов поддерживают Q-in-Q, среди коммутаторов Cisco поддерживают Q-in-Q 35хх, 37xx, 45xx. Среди продуктов D-Link поддерживает Des-3825, тут Q-in-Q называется Double Vlan. И все коммутаторы производства ExtremeNetworks, они называют эту технологию vMan.
Схема коммутации для создания Q-in-Q будет выглядеть так:
Последнее время появилась масса модулей истинно китайского производства, работают они хорошо, и всякие D-Link, Zyxel, Planet понимают их отлично. Но вот оборудование Cisco не всегда соглашается работать с ними. Заставить работать их можно, кошки правда при загрузке будут ругаться, но работать будет. Для этого нужно ввести такой набор команд, они не документированы и применять их можно на свой риск:
service unsupported-transceiver
Эта команда разрешает использовать неизвестные модули передачи.
И вторая комана:
no errdisable detect cause gbic-invalid no errdisable detect cause sfp-config-mismatch
Запрещает отключать данные устройства(переводить в даун по ошибкам).
А также есть еще один способ... перепрошить SFP модуль 🙂
Иногда выпадают такие нетривиальные задачи. Если вы обеспечиваете клиентам транспорт по второму уровню, объединение офисов и тому подобное, то мониторить работоспособность можно только с помощью подсчета маков во влане. Метод достаточно неточный, поскольку авария может уже случится, а мак еще может хранится в таблице. Но тем не менее, бывают такие клиенты, которых нужно хоть как то мониторить.
Я использую такую команду:
/usr/local/bin/snmpwalk -Os -c netstat@501 -v 1 192.168.5.5 .1.3.6.1.2.1.17.4.3.1.1