Виртуальные локальные сети

7.3. Конфигурирование транковых соединений

При формировании виртуальных локальных сетей на нескольких коммутаторах необходимо создать несколько физических соединений между коммутаторами по числу VLAN ( рис. 7.9). Большое количество VLAN потребует большое количество портов на каждом из коммутаторов и соединений между ними.

Рис. 7.9. VLAN на двух коммутаторах

Использование транкового соединения позволяет заменить множество физических соединений одним транковым ( рис. 7.10).

Рис. 7.10. Транковое соединение двух коммутаторов

Транковое соединение конфигурируется на портах обоих коммутаторов А и В, при этом используется команда switchport mode trunk. Например, если в качестве транковых используются порты F0/11, то:

Sw-А(config)#int f0/11
Sw-А(config-if)#switchport mode trunk
  

Доступ в транковый канал по умолчанию открыт для всех виртуальных локальных сетей, чем могут воспользоваться хакеры. С целью ограничения VLAN, которым открыт доступ к транковому каналу, используется команда switchport trunk allowed vlan <номер, номер,...>, в которой перечислены VLAN с разрешенным доступом. Следовательно, если в сети рис. 7.10 на коммутаторах Sw-A и Sw-B в качестве транковых настроены интерфейсы F0/11, то по умолчанию по транковому соединению может передаваться трафик всех трех сетей vlan 10, vlan 20, vlan 30.

Если же дополнительно будет введена следующая команда:

Sw-А(config-if)#switchport trunk allowed vlan 10,30
  

то по транковому каналу будет передаваться трафик только vlan 10 и vlan30. Не указанным в команде сетям (vlan 20) доступ в магистральный порт (F0/11) будет запрещен.

Основную информацию о транковом порте F0/11 можно получить по командам show int f0/11 switchport, show int trunk.

Sw-А>show int f0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none

Sw-А>show int trunk

Port     Mode         Encapsulation  Status        Native vlan
Fa0/11   on           802.1q         trunking      1

Port     Vlans allowed on trunk
Fa0/11   10,30

Port     Vlans allowed and active in management domain
Fa0/11   10,30

Port     Vlans in spanning tree forwarding state and not pruned
Fa0/11   10,30
  

Следует обратить внимание, что сети VLAN20 нет в списке разрешенных сетей транкового канала (Vlans allowed on trunk).

В сетях VLAN используются разные режимы транковых соединений, но режимы интерфейсов на разных концах соединения должны быть согласованы. Согласование магистральных транковых каналов реализует динамический транковый протокол (DTP), который является протоколом Cisco и не поддерживает оборудование других производителей. Для немагистральных каналов протокол DTP рекомендуется отключать.

При формировании транкового соединения между коммутатором Cisco и устройством не поддерживающем DTP на интерфейсе выполняют пару команд: switchport mode trunk и switchport nonegotiate, что позволяет создавать транковое соединение, но сообщения DTP при этом не передаются.

Протокол DTP поддерживает на интерфейсах коммутатора следующие режимы:

• Switchport mode dynamic auto является режимом по умолчанию на всех интерфейсах Ethernet. При переводе соседнего интерфейса в транковый режим канал становится транковым;
• Switchport mode access делает интерфейс и весь канал нетранковым, не зависимо от режима соседнего интерфейса;
• Switchport mode dynamic desirable (рекомендованный режим) использовался по умолчанию на коммутаторах старых версий (например, 2950). Интерфейс переводился в транковый режим, если сосед становился транковым.
• Switchport mode trunk делает интерфейс постоянным транковым, не зависимо от режима соседнего интерфейса;
• Switchport nonegotiate позволяет создавать транковое соединение, но сообщения DTP при этом не формируются и не передаются. Режим switchport nonegotiate используется только, когда интерфейс находится в access или trunk режиме. Поскольку сообщения DTP не передаются, то соседний интерфейс настраивается вручную.