Difference between revisions of "Cisco VLAN"
Helikopter (talk | contribs) m |
Helikopter (talk | contribs) |
||
Line 26: | Line 26: | ||
show vlan dot1q tag native | show vlan dot1q tag native | ||
− | + | ===DTP=== | |
− | + | Dynamic Trunking Protocol är ett Cisco-properitärt protokoll som används av switchar för att förhandla med andra sidan om ett interface ska vara trunk eller ej samt ISL eller 802.1q. DTP advertisements skickas med destination mac 01-00-0C-CC-CC-CC var 60:e sekund och innehåller VTP domain name så det måste matcha för att DTP ska kunna förhandla upp trunk. DTP är påslaget default. | |
− | |||
− | |||
− | |||
− | + | Port Modes: | |
− | + | * '''dynamic desirable:''' switchen kommer aktivt att försöka förhandla trunk genom att generera DTP frames. | |
+ | * '''dynamic auto:''' switchen lyssnar och accepterar DTP frames men skickar inga själv. | ||
Stänga av DTP. OBS porten måste vara konfad som något för att kunna använda nonegotiate, annars ''Conflict between 'nonegotiate' and 'dynamic' status.'' | Stänga av DTP. OBS porten måste vara konfad som något för att kunna använda nonegotiate, annars ''Conflict between 'nonegotiate' and 'dynamic' status.'' | ||
Line 44: | Line 42: | ||
==Private VLAN== | ==Private VLAN== | ||
− | Vanligtvis kan allt i ett VLAN nå övrigt i samma VLAN obehindrat men det kan finnas situationer när man vill begränsa konnektivitet inom en broadcastdomän. För att lösa det togs protected ports fram. Om en port var protected kunde den endast nå portar som inte var protected i det VLANet, dvs två protected portar kan aldrig prata med varandra. Detta funkade lokalt inom switchen men ej mellan switchar och var därför inte så praktiskt i miljöer med fler än en switch. För att lösa det implementerades Private VLAN (RFC 5517). Detta används vanligtvis hos service providers som vill segmentera kunder från varandra men bara använda ett IP-nät. PVLAN är en mekanism som delar upp ett VLAN (primary) i secondary VLANs. Secondary VLAN finns i två varianter, isolated och community. Secondary VLAN måste tillhöra exakt ett primary VLAN. Det kan finnas flera community men isolated får det bara finnas ett av per primary. | + | Vanligtvis kan allt i ett VLAN nå övrigt i samma VLAN obehindrat men det kan finnas situationer när man vill begränsa konnektivitet inom en broadcastdomän. För att lösa det togs protected ports fram, per interface: ''switchport protected''. Om en port var protected kunde den endast nå portar som inte var protected i det VLANet, dvs två protected portar kan aldrig prata med varandra. Detta funkade lokalt inom switchen men ej mellan switchar och var därför inte så praktiskt i miljöer med fler än en switch. För att lösa det implementerades Private VLAN (RFC 5517). Detta används vanligtvis hos service providers som vill segmentera kunder från varandra men bara använda ett IP-nät. PVLAN är en mekanism som delar upp ett VLAN (primary) i secondary VLANs. Secondary VLAN finns i två varianter, isolated och community. Secondary VLAN måste tillhöra exakt ett primary VLAN. Det kan finnas flera community men isolated får det bara finnas ett av per primary. |
Inom en PVLAN-domän finns det tre separata porttyper. Varje porttyp har sin egen unika uppsättning regler som reglerar en ansluten enhets förmåga att kommunicera med andra anslutna enheter inom samma private VLAN. <br/> | Inom en PVLAN-domän finns det tre separata porttyper. Varje porttyp har sin egen unika uppsättning regler som reglerar en ansluten enhets förmåga att kommunicera med andra anslutna enheter inom samma private VLAN. <br/> | ||
− | '''Isolated port:''' En isolated port kan inte prata med någon annan port i private VLAN-domänen med undantag för promiscuous ports. | + | * '''Isolated port:''' En isolated port kan inte prata med någon annan port i private VLAN-domänen med undantag för promiscuous ports. |
− | '''Community port:''' En community port är en del av en grupp med portar. Portar i en community kan ha L2 kommunikation med varandra och kan även prata med en promiscuous port. | + | * '''Community port:''' En community port är en del av en grupp med portar. Portar i en community kan ha L2 kommunikation med varandra och kan även prata med en promiscuous port. |
− | '''Promiscuous port:''' En promiscuous port kan prata med alla andra typer av portar och tillhör primary VLANet. | + | * '''Promiscuous port:''' En promiscuous port kan prata med alla andra typer av portar och tillhör primary VLANet. |
Private VLAN fungerar över trunklänkar och därmed mellan switchar. Kommer en frame från ett secondary VLAN och ska skickas över en trunklänk så taggas den med sitt VLAN ID. Kommer det en frame på en promiscuous port så taggas den med primary VLAN. Dvs om en frame ska från en isolated port på en switch till en promiscuous port på en annan och sedan tillbaka kommer den ha olika VLAN-taggar på dit och tillbakavägen, såkallad assymetrisk VLAN-taggning. Det sker aldrig någon dubbeltaggning men switcharna måste ändå ha stöd för private VLAN och vara konfade likadant (PVLAN-mässigt) annars vet inte switcharna hur VLANen är associerade med varandra. | Private VLAN fungerar över trunklänkar och därmed mellan switchar. Kommer en frame från ett secondary VLAN och ska skickas över en trunklänk så taggas den med sitt VLAN ID. Kommer det en frame på en promiscuous port så taggas den med primary VLAN. Dvs om en frame ska från en isolated port på en switch till en promiscuous port på en annan och sedan tillbaka kommer den ha olika VLAN-taggar på dit och tillbakavägen, såkallad assymetrisk VLAN-taggning. Det sker aldrig någon dubbeltaggning men switcharna måste ändå ha stöd för private VLAN och vara konfade likadant (PVLAN-mässigt) annars vet inte switcharna hur VLANen är associerade med varandra. | ||
Line 57: | Line 55: | ||
Det finns undantag till detta beteende t.ex. om man har en router-on-stick så vet inte den vad PVLAN är. Då kan man använda ''promiscuous PVLAN trunk'' och på den skickas det aldrig ut något som är taggat med ett secondary VLAN utan allt skrivs om till primary VLAN ID. Det finns även ''isolated PVLAN trunk''. | Det finns undantag till detta beteende t.ex. om man har en router-on-stick så vet inte den vad PVLAN är. Då kan man använda ''promiscuous PVLAN trunk'' och på den skickas det aldrig ut något som är taggat med ett secondary VLAN utan allt skrivs om till primary VLAN ID. Det finns även ''isolated PVLAN trunk''. | ||
− | + | '''Konfiguration''' | |
vtp mode transparent | vtp mode transparent | ||
Alternativt kan [[Cisco_VTP|VTP]] version 3 användas. | Alternativt kan [[Cisco_VTP|VTP]] version 3 användas. | ||
Line 72: | Line 70: | ||
Port | Port | ||
interface f0/1 | interface f0/1 | ||
+ | description Gateway | ||
switchport mode private-vlan promiscuous | switchport mode private-vlan promiscuous | ||
switchport private-vlan mapping 100 101-102 | switchport private-vlan mapping 100 101-102 | ||
interface f0/2 | interface f0/2 | ||
+ | description Isolated | ||
switchport mode private-vlan host | switchport mode private-vlan host | ||
switchport private-vlan host-association 100 101 | switchport private-vlan host-association 100 101 | ||
+ | interface f0/3 | ||
+ | description Community | ||
+ | switchport mode private-vlan host | ||
+ | switchport private-vlan host-association 100 102 | ||
+ | interface f0/4 | ||
+ | description Other switch | ||
+ | switchport mode trunk | ||
Verify | Verify | ||
show vlan private-vlan | show vlan private-vlan | ||
==Q-in-Q== | ==Q-in-Q== | ||
− | 802.1Q tunneling | + | 802.1Q tunneling prereq |
+ | system mtu 1504 | ||
+ | reload | ||
+ | Port | ||
+ | switchport mode dot1q-tunnel | ||
+ | l2protocol-tunnel | ||
+ | |||
+ | Dubbeltaggning på router | ||
+ | int gi2 | ||
+ | mtu 1504 | ||
+ | int gi2.10 | ||
+ | encapsulation dot1q 10 second-dot1q 100,101 | ||
==Voice== | ==Voice== | ||
+ | switchport access vlan 20 | ||
+ | switchport voice vlan 30 | ||
==Database mode== | ==Database mode== |
Revision as of 16:12, 7 May 2016
Virtual LAN är alla broadcastdomäner som är partitionerade och isolerade på lager 2 i ett nätverk. Vill man managera VLAN på många Cisco-switchar centralt kan man använda VTP.
Standard: 1-1005 (1002-1005 är reserverade)
Extended: 1006-4094
Contents
Konfiguration
Stäng ett VLAN lokalt i switchen och suspenda det i VTP.
vlan 20 shutdown state suspend
Show
show vlan brief show vlan internal usage
Trunking
802.1q
Vitlista VLAN
switchport trunk allowed vlan 1-5,8 show interface trunk
Tagga alla frames på en trunk
vlan dot1q tag native show vlan dot1q tag native
DTP
Dynamic Trunking Protocol är ett Cisco-properitärt protokoll som används av switchar för att förhandla med andra sidan om ett interface ska vara trunk eller ej samt ISL eller 802.1q. DTP advertisements skickas med destination mac 01-00-0C-CC-CC-CC var 60:e sekund och innehåller VTP domain name så det måste matcha för att DTP ska kunna förhandla upp trunk. DTP är påslaget default.
Port Modes:
- dynamic desirable: switchen kommer aktivt att försöka förhandla trunk genom att generera DTP frames.
- dynamic auto: switchen lyssnar och accepterar DTP frames men skickar inga själv.
Stänga av DTP. OBS porten måste vara konfad som något för att kunna använda nonegotiate, annars Conflict between 'nonegotiate' and 'dynamic' status.
switchport mode trunk switchport nonegotiate
Alternativt
switchport mode access
Verify
show interfaces switchport | i Name|Negotiation
Private VLAN
Vanligtvis kan allt i ett VLAN nå övrigt i samma VLAN obehindrat men det kan finnas situationer när man vill begränsa konnektivitet inom en broadcastdomän. För att lösa det togs protected ports fram, per interface: switchport protected. Om en port var protected kunde den endast nå portar som inte var protected i det VLANet, dvs två protected portar kan aldrig prata med varandra. Detta funkade lokalt inom switchen men ej mellan switchar och var därför inte så praktiskt i miljöer med fler än en switch. För att lösa det implementerades Private VLAN (RFC 5517). Detta används vanligtvis hos service providers som vill segmentera kunder från varandra men bara använda ett IP-nät. PVLAN är en mekanism som delar upp ett VLAN (primary) i secondary VLANs. Secondary VLAN finns i två varianter, isolated och community. Secondary VLAN måste tillhöra exakt ett primary VLAN. Det kan finnas flera community men isolated får det bara finnas ett av per primary.
Inom en PVLAN-domän finns det tre separata porttyper. Varje porttyp har sin egen unika uppsättning regler som reglerar en ansluten enhets förmåga att kommunicera med andra anslutna enheter inom samma private VLAN.
- Isolated port: En isolated port kan inte prata med någon annan port i private VLAN-domänen med undantag för promiscuous ports.
- Community port: En community port är en del av en grupp med portar. Portar i en community kan ha L2 kommunikation med varandra och kan även prata med en promiscuous port.
- Promiscuous port: En promiscuous port kan prata med alla andra typer av portar och tillhör primary VLANet.
Private VLAN fungerar över trunklänkar och därmed mellan switchar. Kommer en frame från ett secondary VLAN och ska skickas över en trunklänk så taggas den med sitt VLAN ID. Kommer det en frame på en promiscuous port så taggas den med primary VLAN. Dvs om en frame ska från en isolated port på en switch till en promiscuous port på en annan och sedan tillbaka kommer den ha olika VLAN-taggar på dit och tillbakavägen, såkallad assymetrisk VLAN-taggning. Det sker aldrig någon dubbeltaggning men switcharna måste ändå ha stöd för private VLAN och vara konfade likadant (PVLAN-mässigt) annars vet inte switcharna hur VLANen är associerade med varandra.
Det finns undantag till detta beteende t.ex. om man har en router-on-stick så vet inte den vad PVLAN är. Då kan man använda promiscuous PVLAN trunk och på den skickas det aldrig ut något som är taggat med ett secondary VLAN utan allt skrivs om till primary VLAN ID. Det finns även isolated PVLAN trunk.
Konfiguration
vtp mode transparent
Alternativt kan VTP version 3 användas.
VLAN
vlan 100 private-vlan primary vlan 101 private-vlan isolated vlan 102 private-vlan community vlan 100 private-vlan assoc 101,102
Port
interface f0/1 description Gateway switchport mode private-vlan promiscuous switchport private-vlan mapping 100 101-102 interface f0/2 description Isolated switchport mode private-vlan host switchport private-vlan host-association 100 101 interface f0/3 description Community switchport mode private-vlan host switchport private-vlan host-association 100 102 interface f0/4 description Other switch switchport mode trunk
Verify
show vlan private-vlan
Q-in-Q
802.1Q tunneling prereq
system mtu 1504 reload
Port
switchport mode dot1q-tunnel l2protocol-tunnel
Dubbeltaggning på router
int gi2 mtu 1504 int gi2.10 encapsulation dot1q 10 second-dot1q 100,101
Voice
switchport access vlan 20 switchport voice vlan 30
Database mode
Är gammalt och stöds inte längre på alla switchar.
vlan database vlan 20 name Old-school apply