При выборе правильного ответа используются интерфейсы коммутатора на основе Gvrp

Обновлено: 21.11.2024

Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.

Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..

На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.

Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.

Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.

Слой 2 содержит два подслоя:

Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.

Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.

Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:

Порты

режима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.

Порты

Tagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:

Порты

магистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.

Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс. Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты.Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют заголовка (тега) 802.1Q. . Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.

Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:

Одноадресный, многоадресный и широковещательный трафик.

VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.

Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.

Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети

Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG

.

Агрегация каналов не поддерживается на устройствах NFX150.

Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки

Управление штормом не поддерживается на устройствах NFX150.

Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard

См. также

Обзор коммутации Ethernet и прозрачного режима уровня 2

Прозрачный режим уровня 2 позволяет развертывать брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.

Устройство работает в прозрачном режиме, если есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.

Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки. Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.

В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.

Шлюзы прикладного уровня (ALG)

Аутентификация пользователя брандмауэра (FWAUTH)

Обнаружение и предотвращение вторжений (IDP)

Единое управление угрозами (UTM)

Преобразование сетевых адресов (NAT)

На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.

Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:

Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.

Отслеживание протокола управления группами Интернета (IGMP) — протокол передачи сигналов между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.

Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.

Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX является квалифицированным; то есть используются как идентификатор VLAN, так и MAC-адрес.

Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:

G-ARP на интерфейсе уровня 2

Мониторинг IP-адресов на любом интерфейсе

Транзит трафика через IRB

Интерфейс IRB в экземпляре маршрутизации

Интерфейс IRB, обрабатывающий трафик уровня 3

Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.

Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000

Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.

Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.

Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.

Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме. После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.

Потоки IPv6 в прозрачном режиме на устройствах безопасности

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве. Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.

По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.

В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:

Кластеры шасси уровня 2 в прозрачном режиме.

Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:

Устройства, поддерживающие соседнюю виртуальную локальную сеть (VLAN), могут обмениваться информацией о VLAN друг с другом с помощью стандартного протокола регистрации VLAN (GVRP). GVRP основан на стандартном протоколе регистрации атрибутов (GARP) и распространяет информацию VLAN по мостовой сети. Когда GVRP активирован, он передает и получает блоки пакетных данных GARP (GPDU). Это позволяет настроить VLAN на одном коммутаторе, а затем распространить информацию о ней по сети вместо ранее необходимого создания VLAN на каждом коммутаторе в сети.

В этой статье приведены инструкции по настройке параметров GVRP на коммутаторе.

Примечание. Поскольку GVRP требует поддержки тегов, порт должен быть настроен в режиме Trunk или General. Чтобы узнать, как настроить порт на коммутаторе Sx300 или Sx500 для работы в магистральном или общем режиме, нажмите здесь. Если у вас есть коммутатор Sx350, SG350X или Sx550X, нажмите здесь.

Применимые устройства

  • Серия Sx250
  • Серия Sx300
  • Серия Sx350
  • Серия SG350X
  • Серия Sx500
  • Серия Sx550X

Версия программного обеспечения

  • 1.4.7.06 — Sx300, Sx500
  • 2.2.8.04 — Sx250, Sx350, SG350X, Sx550X

Настройка параметров GVRP

Шаг 1. Войдите в веб-утилиту коммутатора, затем выберите «Дополнительно» в раскрывающемся списке «Режим отображения».

Примечание. Доступные параметры меню могут различаться в зависимости от модели устройства. В этом примере используется SG350X-48MP.

Примечание. Если у вас есть коммутатор серии Sx300 или Sx500, перейдите к шагу 2.

Шаг 2. Выберите Управление VLAN > Настройки GVRP.

Шаг 3. Установите флажок Включить в области глобального состояния GVRP, чтобы включить GVRP.

Шаг 4. Нажмите «Применить».

Шаг 5. Выберите интерфейс или агрегацию ссылок (LAG) в раскрывающемся списке «Тип интерфейса равно» и нажмите «Перейти».

Примечание. В этом примере выбран порт устройства 1.

Шаг 6. Щелкните переключатель рядом с нужным интерфейсом, на котором необходимо настроить параметры GVRP. В этом примере выбран GE3.

Шаг 7. Прокрутите вниз и нажмите «Изменить».

  • Устройство и порт — единый интерфейс.
  • LAG. Агрегация каналов (LAG) используется для описания различных методов использования нескольких параллельных сетевых подключений для увеличения пропускной способности сверх предела, который может быть достигнут одним каналом.

Примечание. В этом примере единица измерения и порт сохранены.

Шаг 9. Установите флажок Включить состояние GVRP, чтобы включить GVRP на интерфейсе.

Шаг 10. (Необязательно) Установите флажок Включить динамическое создание VLAN, чтобы разрешить пользователям создавать новые VLAN на интерфейсе.

Шаг 11. Установите флажок Включить регистрацию GVRP, чтобы разрешить GVRP регистрировать VLAN на нужном интерфейсе.

Шаг 12. Нажмите «Применить», затем нажмите «Закрыть».

Шаг 13. (Необязательно) Нажмите «Сохранить», чтобы сохранить настроенные параметры в файле начальной конфигурации.

Теперь вы должны были успешно настроить параметры GVRP на своем коммутаторе.

VLAN – это широковещательные домены, определенные в коммутаторах для управления широковещательной, многоадресной, одноадресной и неизвестной одноадресной передачей на устройстве уровня 2.

VLAN определяются на коммутаторе во внутренней базе данных, известной как база данных протокола Trunking Protocol (VTP). После создания VLAN порты назначаются для VLAN.

VLAN назначаются номера для идентификации внутри и между коммутаторами. Коммутаторы Cisco имеют два диапазона сетей VLAN: нормальный диапазон и расширенный диапазон.

VLAN имеют множество настраиваемых параметров, включая имя, тип и состояние.

Несколько VLAN зарезервированы, и некоторые из них могут использоваться для внутренних целей внутри коммутатора.

Создание Ethernet VLAN

Виртуальные локальные сети создаются на коммутаторах уровня 2 для управления широковещательной рассылкой и принудительного использования устройств уровня 3 для связи. Каждая VLAN создается в базе данных локального коммутатора для использования. Если VLAN неизвестна коммутатору, этот коммутатор не может передавать трафик через любой из своих портов для этой VLAN. VLAN создаются по номерам, и существует два диапазона используемых номеров VLAN (обычный диапазон 1–1000 и расширенный диапазон 1025–4096). При создании VLAN вы также можете задать для нее определенные атрибуты, такие как имя VLAN, тип VLAN и ее рабочее состояние. Чтобы создать VLAN, выполните следующие действия.

VTP — это протокол, используемый коммутаторами Cisco для поддержания согласованной базы данных между коммутаторами в целях транкинга. VTP не требуется для создания VLAN; тем не менее, Cisco настроила его в качестве канала для конфигурации VLAN между коммутаторами по умолчанию, чтобы упростить администрирование VLAN. Из-за этого вы должны сначала либо настроить VTP с доменным именем, либо отключить VTP на коммутаторе. Протокол VTP подробно описан в разделе "6-4: Протокол транкинга VLAN".

Для коммутаторов Catalyst 4000 и 6000, работающих под управлением IOS Supervisor 12.1(8a) или более поздней версии (собственная IOS), вы также можете настроить параметры VTP в режиме глобальной конфигурации.

Укажите имя VTP:

установить домен vtp имя домена

(vlan) домен vtp имя-домена

(глобальный) домен vtp имя-домена

По умолчанию VTP находится в режиме сервера и должен быть настроен с использованием доменного имени, прежде чем можно будет создавать какие-либо VLAN. Эти команды задают доменное имя VTP. Для коммутаторов IOS вы входите в режим базы данных vlan (vlan) путем ввода команды vlan database в приглашении привилегированного уровня.

Команда глобальной настройки vtp domain доступна не на всех коммутаторах, работающих под управлением IOS.

Отключить синхронизацию VTP:

установить прозрачный режим vtp

(vlan) vtp прозрачный

(глобальный) режим vtp прозрачный

Другой вариант — отключить VTP-синхронизацию баз данных. Его отключение позволяет вам управлять локальной базой данных VTP, не настраивая и не полагаясь на VTP. Для коммутаторов Catalyst 4000 и 6000 под управлением IOS Supervisor 12.1(8a) или выше (собственная IOS), вы также можете настроить параметры VTP в режиме глобальной конфигурации.

Команда глобальной настройки vtp mode Transparent доступна не на всех коммутаторах, работающих под управлением IOS.

выключить режим vtp

С введением COS версии 7.1.1 появилась возможность полностью отключить VTP. Используйте команду set vtp mode off, чтобы выключить VTP. После этого вы сможете администрировать локальную базу данных VTP.

Создайте VLAN.

VLAN создаются по номеру. Два диапазона VLAN следующие:

Стандартный диапазон состоит из сетей VLAN от 1 до 1000.

Расширенный диапазон состоит из сетей VLAN с 1025 по 4096.

Расширенные сети VLAN в настоящее время поддерживаются только на коммутаторах с программным обеспечением COS версии 6.1 или выше. Когда вы создаете VLAN, у вас есть много вариантов для рассмотрения. Многие параметры действительны только для сетей FDDI и Token Ring VLAN. Некоторые из настроенных элементов относятся к параметрам, таким как частные виртуальные локальные сети, которые обсуждаются в других разделах этой книги. VLAN создаются с помощью команды set vlan для устройств COS или с помощью команды vlan в режиме базы данных vlan для коммутаторов IOS. Для сетей Ethernet VLAN вы также можете настроить стандартные параметры в таблице 6-1.

Таблица 6-1 Настраиваемые параметры VLAN

Описание

Описание VLAN до 32 символов. Если ничего не указано, по умолчанию используется VLAN00XXX, где xxx — номер VLAN.

Максимальная единица передачи (размер пакета в байтах), которую может использовать VLAN; допустимые значения: от 576 до 18190. MTU может увеличиваться до 1500 для Ethernet, но выше для Token Ring или FDDI. По умолчанию 1500.

Используется для указания, является ли состояние VLAN активным или приостановленным. Все порты в приостановленной VLAN будут приостановлены, и им не будет разрешено пересылать трафик. Состояние по умолчанию активно.

Создайте VLAN в стандартном диапазоне:

set vlan vlan-id [имя имя] [состояние состояние] [mtu mtu ]

(vlan) vlan vlan-id [имя vlan-name] [состояние приостановки | активный>] [mtu mtu-size]

(глобальный) vlan идентификатор vlan

(vlan-config) vlan идентификатор-влана [mtu mtu-size] [имя имя-влана] [состояние приостановить | активно>]

Vlan-id указывает номер VLAN. Для COS вы можете указать диапазон VLAN в разделе vlan-id; однако вы не можете настроить имя для диапазона VLAN, потому что каждая VLAN должна иметь уникальное имя. Для коммутаторов IOS сети VLAN создаются в режиме базы данных vlan. Для коммутаторов Catalyst 6000 и 4000, работающих под управлением Supervisor IOS 12.1(8a) и выше, можно создавать сети VLAN в режиме глобальной конфигурации, если коммутатор находится в прозрачном режиме VTP. Для этого введите команду vlan vlan-id для перехода в режим vlan-config. В режиме vlan-config вы можете управлять параметрами VLAN.

Нельзя изменять какие-либо параметры для VLAN 1.

Создайте VLAN в расширенном диапазоне.

Расширенные виртуальные локальные сети поддерживают виртуальные локальные сети до 4096 в соответствии со стандартом 802.1Q. В настоящее время только коммутаторы с COS 6.1 или выше могут поддерживать создание и назначение VLAN в расширенном диапазоне. В настоящее время вы не можете использовать VTP для управления сетями VLAN в расширенном диапазоне, и эти сети VLAN нельзя передавать по магистральному каналу Inter-Switch Link (ISL).

Включить сокращение MAC-адресов связующего дерева:

включить макредукцию spantree

Чтобы эти коммутаторы могли использовать расширенный диапазон, необходимо сначала включить макредукцию связующего дерева, чтобы коммутатор мог поддерживать большое количество экземпляров связующего дерева с очень ограниченным числом MAC-адресов и при этом поддерживать идентификатор моста IEEE 802.1D. требование для каждого экземпляра STP.

После того, как вы создали VLAN в расширенном диапазоне, вы не сможете отключить эту функцию, если сначала не удалите VLAN.

Создайте VLAN в расширенном диапазоне:

set vlan vlan-id [имя имя] [состояние состояние] [mtu mtu ]

Здесь vlan-id будет числом от 1025 до 4096. Номера от 1001 до 1024 зарезервированы Cisco и не могут быть настроены.

Для коммутаторов серии Catalyst 6000 с картами FlexWAN система идентифицирует эти порты внутри с номерами VLAN, начинающимися с 1025. Если у вас есть какие-либо модули FlexWAN, обязательно зарезервируйте достаточное количество номеров VLAN (начиная с VLAN 1025) для всех портов FlexWAN. вы хотите установить. Вы не можете использовать эти расширенные VLAN, если вы устанавливаете порты FlexWAN.

Пример функции

В этом примере коммутаторы Access_1 и Distribution_1 будут настроены для VLAN 5, 8 и 10 с именами Cameron, Logan и Katie соответственно. Также распределительный коммутатор будет настроен на VLAN 2112 с именем Rush.

Пример конфигурации ОС Catalyst для дистрибутива 1 приведен ниже:

Пример конфигурации Supervisor IOS для дистрибутива 1 приведен ниже:

Но я не понимаю, является ли GVRP рекомендуемым решением для использования?
У нас есть 2 x 5406 с примерно 15 VLAN, маршрутизируемыми в 5406, и 5 VLAN для разных DMZ, расположенных только в нашем центре обработки данных.
В качестве граничных переключателей мы получили микс из 2626 (15) и 2810-48g (6).
В будущем мы, вероятно, настроим 802.1x для динамических VLAN для разных пользователей и пользователей без аутентификации.

Любой совет, как использовать или не использовать gvrp?
У меня настроены MSTP и VRRP.

С уважением, Магнус

P.S. Эта ветка была перенесена с коммутаторов, концентраторов, модемов (устаревший форум ITRC) на ProCurve/ProVision-Based. - модератор форума Hp

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Одним из ограничений GVRP является то, что все VLAN, полученные с помощью GVRP, всегда будут находиться в IST вашего MSTP, что ограничивает возможности балансировки нагрузки, которых вы могли бы достичь с помощью конфигурации VRRP.

Преимущество GVRP заключается в том, что вам нужно настроить VLAN только на одном коммутаторе (вероятно, на вашем основном коммутаторе), а пограничные коммутаторы узнают об этом автоматически.

Однако немногие используют его и обычно предпочитают использовать статические VLAN.

Я только что заметил еще одно ограничение GVRP: пока GVRP включен на коммутаторе, вы не можете применять какие-либо ACL к VLAN, настроенным на том же коммутаторе.

Если вы используете 802.1x, вы можете обойти эту проблему, применив назначенные RADIUS списки ACL на основе портов к граничным портам, что в любом случае более эффективно, чем списки ACL в ядре. Программное обеспечение Identity Driven Manager (IDM) значительно упрощает их настройку, если вы заинтересованы, хотя это сам по себе большой проект.

Итак, вам действительно нужно взвесить преимущества GVRP над недостатками:

<р>1. GVRP упрощает добавление новой VLAN ко всем вашим коммутаторам, а также снижает вероятность неправильной настройки статической VLAN.
2. GVRP не подходит для балансировки нагрузки MSTP
3. GVRP предотвращает применение ACL к интерфейсам VLAN.

Читайте также: