forum.opennet.ru - "Построить мост между двумя trunk-портами на 6500" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Построить мост между двумя trunk-портами на 6500"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Построить мост между двумя trunk-портами на 6500"	+/–
Сообщение от Velos (ok) on 17-Мрт-13, 16:55
Построить мост между двумя trunk-портами на 6500 Доброго времени суток всем! Тему создал не в разделе "Безопасность", т.к. она скорее относится к тонкой настройке multilayer-свитча. Собственно мой вопрос я уже задал здесь: https://supportforums.cisco.com/message/3884411#3884411 Дано: Catalyst 6500 (1 шт.) IPS 4510 (1 шт.) К 6500 подключены серверные VLAN-ы (много) и пользовательские (ещё больше). 6500 в настоящий момент осуществляет intel-vlan routing. Задача: Трафик, идущий из пользовательских VLAN-ов в серверные VLAN-ы, завернуть через IPS. При этом обеспечить режим fail-open (если IPS падает, траффик должен ходить дальше). Некоторые свойства IPS сенсора: - работает как мост (L2) - может воспринимать 802.1q тэги, но не менять их. Какой тэг получил на первый интерфейс в паре - такой же и отправил на другой интерфейс. - есть функция hardware-bypass между спаренными интерфейсами. Если сенсор падает/выключается - происходит физическое замыкание спаренных портов. В случае, когда на IPS нужно "завернуть" один VLAN, всё понятно: Для этого в VLAN-е, который необходимо пропускать через IPS, удаляется SVI. В другом VLANе создаётся SVI с таким же адресом (этот адрес является дефолт-гейтвеем для подсети из исходного VLAN-а). http://cs410516.vk.me/v410516541/44dc/2kkx5CCazvE.jpg Применительно к схеме: (Допустим в VLAN10 используется сеть 10.0.10.0/24 с дефолт-гейтвеем 10.0.10.1) #Switch config: ! ip routing ! interface Ge1/1 switchport access vlan 10 switchport mode access ! interface Ge1/0 switchport access vlan 110 switchport mode access ! no interface Vlan10 ! interface Vlan110 ip address 10.0.10.1 255.255.255.0 В этом сценарии трафик входящий/исходящий в/из VLAN10 к/от другим VLAN-ам будет проходить через IPS. Здесь IPS подключен к аксесс портам 6500. Т.е. фактически строит мост между двумя VLAN-ами. При этом в случае падения сенсора всё будет хорошо (hardware-bypass обеспечит по сути физическое подключение между VLAN10 и VLAN110). Однако, если нужно будет завернуть на IPS ещё один VLAN - для этого потрубется использовать ещё одну пару интерфейсов на IPS. А их не так много (6 штук, т.е. 3 пары). А серверных VLAN-ов сильно больше :) Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост (IPS) при этом теги в кадрах менять не может. А в случае падения IPS всё должно продолжать работать :) http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"? Может какие-нибудь policy-routing, VRF, private VLAN? Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так много опыта общения с multilayer свитчами у меня, как хотелось бы)...
Ответить \| Правка \| Cообщить модератору

Оглавление

Построить мост между двумя trunk-портами на 6500, Aleks305, 21:36 , 17-Мрт-13, (1)

Построить мост между двумя trunk-портами на 6500, Velos, 22:06 , 17-Мрт-13, (2)

Построить мост между двумя trunk-портами на 6500, Aleks305, 22:26 , 17-Мрт-13, (3)

Построить мост между двумя trunk-портами на 6500, Velos, 01:25 , 18-Мрт-13, (4)

Построить мост между двумя trunk-портами на 6500, Velos, 13:32 , 18-Мрт-13, (5)

Построить мост между двумя trunk-портами на 6500, fantom, 13:55 , 18-Мрт-13, (6)

Построить мост между двумя trunk-портами на 6500, Velos, 18:21 , 18-Мрт-13, (7)

Построить мост между двумя trunk-портами на 6500, fantom, 10:25 , 19-Мрт-13, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Aleks305 (ok) on 17-Мрт-13, 21:36

>[оверквотинг удален]
> VLAN-ов сильно больше :)
> Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами
> одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост
> (IPS) при этом теги в кадрах менять не может. А в
> случае падения IPS всё должно продолжать работать :)
> http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg
> Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"?
> Может какие-нибудь policy-routing, VRF, private VLAN?
> Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так
> много опыта общения с multilayer свитчами у меня, как хотелось бы)...
Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки между коммутатором и IPS?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Velos (ok) on 17-Мрт-13, 22:06

> Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки
> между коммутатором и IPS?
То, что транк от коммутатора, проходя через IPS будет иметь те же VLAN-ID, что и до него.
Т.е. VLAN менятся не будет - а значит трафик через IPS и не пойдёт вовсе...
В этом вся и хитрость. Когда мы цепляем IPS к 6500 через access порты, эти порты смотрят в два разных VLAN-а. В одном из них - как раз и живёт SVI, являющийся гейтвеем для подсети (т.е. мы пилим одну подсеть на два VLAN-а).
А если на вход в IPS подать транк - то с другой стороны выйдет тот же самый транк...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Aleks305 (ok) on 17-Мрт-13, 22:26

>[оверквотинг удален]
> То, что транк от коммутатора, проходя через IPS будет иметь те же
> VLAN-ID, что и до него.
> Т.е. VLAN менятся не будет - а значит трафик через IPS и
> не пойдёт вовсе...
> В этом вся и хитрость. Когда мы цепляем IPS к 6500 через
> access порты, эти порты смотрят в два разных VLAN-а. В одном
> из них - как раз и живёт SVI, являющийся гейтвеем для
> подсети (т.е. мы пилим одну подсеть на два VLAN-а).
> А если на вход в IPS подать транк - то с другой
> стороны выйдет тот же самый транк...
а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача интересная)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Velos (ok) on 18-Мрт-13, 01:25

> а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача
> интересная)
Да - в этом то и сложность... Шеститонник всё сам маршрутизирует внутри. И разбивать один широковещательный домен на два VLANа - это единственный хоть как-то описанный способ заставить его "выплюнуть" трафик наружу :)
Возможно (даже наверняка) есть ещё какие-нибудь способы.
Может быть есть технология, позволяющая заменять 802.1q-теги в поступающих на порт кадрах? В принципе решило бы задачу.
_________________________
UPDATE: на запрос "изменить vlan id" гугл выдал vlan mapping. По идее то, что может решить задачу. Буду в эту сторону думать. Хотя всяческие другие идеи (в том числе "вы делаете всё не так, вот как надо...") - люто-бешенно приветствуются.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Velos (ok) on 18-Мрт-13, 13:32

Думаю вот так это должно работать:
http://cs307703.vk.me/v307703541/84d6/tATS3l77qPY.jpg
Конфиг 6k должен быть примерно такой:

ip routing
!
interface Ge1/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12,110-112
switchport mode trunk
switchport nonegotiate
switchport vlan mapping enable
switchport vlan mapping 110 10
switchport vlan mapping 111 11
switchport vlan mapping 112 12
!
interface Ge1/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12
switchport mode trunk
switchport nonegotiate
!
interface vlan 2
ip address 10.0.2.1 255.255.255.0
!
interface vlan 3
ip address 10.0.3.1 255.255.255.0
!
interface Vlan4
ip address 10.0.4.1 255.255.255.0
!
interface Vlan110
ip address 10.0.10.1 255.255.255.0
!
interface Vlan111
ip address 10.0.11.1 255.255.255.0
!
interface Vlan112
ip address 10.0.12.1 255.255.255.0
!
no interface Vlan10
no interface Vlan11
no interface Vlan12
IPS соответсвенно переводится в режим VLAN Group inline. Ну а там уже на вкус и цвет - можно все VLAN-ы запихать на один виртуальный сенсор, а можно по разным.
Думаю должно работать (сэмулировать Cat6к возможности нет - так что остаётся проверить только в живую).
Что думаете?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от fantom (ok) on 18-Мрт-13, 13:55

А обязательно ли vlan-ы гонять?
пользовательские vlan-ы  - в vrf 1, серверные в vrf 2, затем (6500)gig1/1 <-> IPS <->  (6500)gig1/2
gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 в vrf 2, поднастроить маршрутизацию и понеслась...
Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 на (6500)gig1/2 через IPS...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от Velos (ok) on 18-Мрт-13, 18:21

> А обязательно ли vlan-ы гонять?
Нет :) Это просто дальнейшие развитие вот этого сценария:
https://supportforums.cisco.com/docs/DOC-12206

> пользовательские vlan-ы  - в vrf 1, серверные в vrf 2, затем
> (6500)gig1/1 <-> IPS <->  (6500)gig1/2
> gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3
> в vrf 2, поднастроить маршрутизацию и понеслась...
> Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1
> на (6500)gig1/2 через IPS...
Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это ляжет на текущую EGIRP маршрутизацию в 6к...
VRF слабо знаю - руками сам не конфигурил никогда (
L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована не на VRF ?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Построить мост между двумя trunk-портами на 6500" +/–

Сообщение от fantom (ok) on 19-Мрт-13, 10:25

>[оверквотинг удален]
>> (6500)gig1/1 <-> IPS <->  (6500)gig1/2
>> gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3
>> в vrf 2, поднастроить маршрутизацию и понеслась...
>> Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1
>> на (6500)gig1/2 через IPS...
> Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это
> ляжет на текущую EGIRP маршрутизацию в 6к...
> VRF слабо знаю - руками сам не конфигурил никогда (
> L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована
> не на VRF ?
Исессно, вам даже на сам vrf, а vrf light нужен, т.к. о vrf-ах знать будет исключительно 65-й.
фактически vrf позволяет "распилить" маршрутизатор на несколько виртуальных маршрутизаторов, у каждого из которых своя назависимая таблица маршрутизации,

прохождение пакета будет выглядеть так:
client-> vrf_router1-> (IPS) -> vrf_router2 -> server
но при этом vrf_router1 и vrf_router2 физически одна и та же железка 65-й каталист.
взаимодействие получиться как между 2-мя роутерами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Построить мост между двумя trunk-портами на 6500"	+/–
Сообщение от Aleks305 (ok) on 17-Мрт-13, 21:36
>[оверквотинг удален] > VLAN-ов сильно больше :) > Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами > одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост > (IPS) при этом теги в кадрах менять не может. А в > случае падения IPS всё должно продолжать работать :) > http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg > Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"? > Может какие-нибудь policy-routing, VRF, private VLAN? > Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так > много опыта общения с multilayer свитчами у меня, как хотелось бы)... Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки между коммутатором и IPS?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от Velos (ok) on 17-Мрт-13, 22:06
	> Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки > между коммутатором и IPS? То, что транк от коммутатора, проходя через IPS будет иметь те же VLAN-ID, что и до него. Т.е. VLAN менятся не будет - а значит трафик через IPS и не пойдёт вовсе... В этом вся и хитрость. Когда мы цепляем IPS к 6500 через access порты, эти порты смотрят в два разных VLAN-а. В одном из них - как раз и живёт SVI, являющийся гейтвеем для подсети (т.е. мы пилим одну подсеть на два VLAN-а). А если на вход в IPS подать транк - то с другой стороны выйдет тот же самый транк...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от Aleks305 (ok) on 17-Мрт-13, 22:26
	>[оверквотинг удален] > То, что транк от коммутатора, проходя через IPS будет иметь те же > VLAN-ID, что и до него. > Т.е. VLAN менятся не будет - а значит трафик через IPS и > не пойдёт вовсе... > В этом вся и хитрость. Когда мы цепляем IPS к 6500 через > access порты, эти порты смотрят в два разных VLAN-а. В одном > из них - как раз и живёт SVI, являющийся гейтвеем для > подсети (т.е. мы пилим одну подсеть на два VLAN-а). > А если на вход в IPS подать транк - то с другой > стороны выйдет тот же самый транк... а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача интересная)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от Velos (ok) on 18-Мрт-13, 01:25
	> а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача > интересная) Да - в этом то и сложность... Шеститонник всё сам маршрутизирует внутри. И разбивать один широковещательный домен на два VLANа - это единственный хоть как-то описанный способ заставить его "выплюнуть" трафик наружу :) Возможно (даже наверняка) есть ещё какие-нибудь способы. Может быть есть технология, позволяющая заменять 802.1q-теги в поступающих на порт кадрах? В принципе решило бы задачу. _________________________ UPDATE: на запрос "изменить vlan id" гугл выдал vlan mapping. По идее то, что может решить задачу. Буду в эту сторону думать. Хотя всяческие другие идеи (в том числе "вы делаете всё не так, вот как надо...") - люто-бешенно приветствуются.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от Velos (ok) on 18-Мрт-13, 13:32
	Думаю вот так это должно работать: http://cs307703.vk.me/v307703541/84d6/tATS3l77qPY.jpg Конфиг 6k должен быть примерно такой: ip routing ! interface Ge1/0 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10-12,110-112 switchport mode trunk switchport nonegotiate switchport vlan mapping enable switchport vlan mapping 110 10 switchport vlan mapping 111 11 switchport vlan mapping 112 12 ! interface Ge1/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10-12 switchport mode trunk switchport nonegotiate ! interface vlan 2 ip address 10.0.2.1 255.255.255.0 ! interface vlan 3 ip address 10.0.3.1 255.255.255.0 ! interface Vlan4 ip address 10.0.4.1 255.255.255.0 ! interface Vlan110 ip address 10.0.10.1 255.255.255.0 ! interface Vlan111 ip address 10.0.11.1 255.255.255.0 ! interface Vlan112 ip address 10.0.12.1 255.255.255.0 ! no interface Vlan10 no interface Vlan11 no interface Vlan12 IPS соответсвенно переводится в режим VLAN Group inline. Ну а там уже на вкус и цвет - можно все VLAN-ы запихать на один виртуальный сенсор, а можно по разным. Думаю должно работать (сэмулировать Cat6к возможности нет - так что остаётся проверить только в живую). Что думаете?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от fantom (ok) on 18-Мрт-13, 13:55
	А обязательно ли vlan-ы гонять? пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем (6500)gig1/1 <-> IPS <-> (6500)gig1/2 gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 в vrf 2, поднастроить маршрутизацию и понеслась... Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 на (6500)gig1/2 через IPS...
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от Velos (ok) on 18-Мрт-13, 18:21
	> А обязательно ли vlan-ы гонять? Нет :) Это просто дальнейшие развитие вот этого сценария: https://supportforums.cisco.com/docs/DOC-12206 > пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем > (6500)gig1/1 <-> IPS <-> (6500)gig1/2 > gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 > в vrf 2, поднастроить маршрутизацию и понеслась... > Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 > на (6500)gig1/2 через IPS... Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это ляжет на текущую EGIRP маршрутизацию в 6к... VRF слабо знаю - руками сам не конфигурил никогда ( L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована не на VRF ?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Построить мост между двумя trunk-портами на 6500"	+/–
	Сообщение от fantom (ok) on 19-Мрт-13, 10:25
	>[оверквотинг удален] >> (6500)gig1/1 <-> IPS <-> (6500)gig1/2 >> gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 >> в vrf 2, поднастроить маршрутизацию и понеслась... >> Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 >> на (6500)gig1/2 через IPS... > Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это > ляжет на текущую EGIRP маршрутизацию в 6к... > VRF слабо знаю - руками сам не конфигурил никогда ( > L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована > не на VRF ? Исессно, вам даже на сам vrf, а vrf light нужен, т.к. о vrf-ах знать будет исключительно 65-й. фактически vrf позволяет "распилить" маршрутизатор на несколько виртуальных маршрутизаторов, у каждого из которых своя назависимая таблица маршрутизации, прохождение пакета будет выглядеть так: client-> vrf_router1-> (IPS) -> vrf_router2 -> server но при этом vrf_router1 и vrf_router2 физически одна и та же железка 65-й каталист. взаимодействие получиться как между 2-мя роутерами.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору