我接手了一个中等规模的网络,并试图让其恢复正常。基本上,它有 8 个公共 C 类和大量私有范围,全部位于一个 VLAN(当然是 VLAN1)上。网络的大部分位于暗网中。
我需要开始分离部分网络。我已将端口从主思科交换机 (3560) 更改为思科路由器 (3825),并将其他远程交换机更改为使用 dot1q 封装的中继。我想开始将一些选定的子网移动到不同的 VLAN。
要将我们地址空间上提供的一些不同服务(以及为不同客户提供的服务)分配到不同的 VLAN,我是否需要在路由器上为每个 VLAN 创建一个子接口,如果需要,我该如何让交换机端口在特定 VLAN 上工作?请记住,这些都是暗网,目前很难甚至不可能获得控制台访问权限。我计划在路由器上为每个 VLAN 创建一个子接口,然后将要移动到不同 VLAN 的服务端口设置为仅允许该 VLAN。vlan3 的示例:
3825:
interface GigabitEthernet0/1.3
description Vlan-3
encapsulation dot1Q 3
ip address 192.168.0.81 255.255.255.240
交换机与路由器的连接:
interface GigabitEthernet0/48
description Core-router
switchport trunk encapsulation dot1q
switchport mode trunk
显示接口 gi0/48 交换机端口
Name: Gi0/48
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
因此,如果 3560 上挂在 gi0/18 上的 boxen 位于非托管的第 2 层交换机上,并且都在 192.168.0.82-95 范围内,并使用 192.168.0.81 作为网关,那么还需要做什么,尤其是对 gi0/18,才能使其在 vlan3 上工作?有没有更好的设置建议,而不需要让所有设备都离线?
答案1
抱歉,在您剪切和粘贴的配置中,您似乎在描述 Gi0/48 - 您的路由器上行链路,但在您的问题中具体指连接到 Gi0/18 的主机。我假设您在这里描述的是两个不同的端口。此外,我根据您的配置语句和问题中的详细信息假设,vlan 3 用于 192.168.0.80/28 流量。我假设您的 3560 上已经声明了 vlan。(检查 sh vlan)
首先,您的端口 Gi0/18 应配置为 vlan 3 上的访问模式。可能如下所示:
interface GigabitEthernet 0/18
switchport access vlan 3
switchport mode access
至于其他建议。您的 IP 子网中的所有/大部分流量是否都是往返于互联网的?基本上,如果您的子网之间有足够的流量,那么让 3560 充当内部路由器,然后将 3825 专用为边界路由器可能适合您。问题是,如果您的路由器承担所有路由的全部负载,那么来自一个子网的数据包将到达您的交换机,然后通过 dot1q 转发到某个 vlan X 上的中继,然后路由器做出路由决定并沿着现在发往目标机器的某个新 vlan Y 上的 dot1q 中继将相同的数据包发送回去。顺便说一句,我只是在描述跨不同子网的内部流量到您的客户/组织的情况。
相反,您可以按照正常惯例将 3560 配置为每个 vlan/子网的第一个地址。例如 192.168.0.81 并启用 IP 路由。下一步是专门为路由器和交换机之间创建一个新子网。为方便起见,我会使用完全不同的地址,例如,192.0.2.0/24 保留用于文档示例。将路由器配置为 192.0.2.1,将交换机配置为 192.0.2.2。让交换机使用 192.0.2.1 作为默认路由。将路由器配置为通过 192.0.2.2 处的交换机到达 192.168.0.0/16。如果您的网络足够小,静态路由就足够了。不需要 OSPF 或任何东西。
当然,这将是一个相当戏剧性的变化;但它有可能带来巨大的改进。这一切都取决于您的流量性质。
作为参考,思科列出了 Cisco Catalyst 3560G-48TS 和 Catalyst 3560G-48PS 的转发速率为 38.7 Mpps,而 Cisco 3825 的转发速率为 0.35Mpps。如果您不知道,Mpps 是每秒数百万个数据包。
这不是带宽,而是设备每秒可以做出多少个 64 字节数据包路由决策。数据包的长度不会影响做出路由决策所需的时间。因此,以比特/字节为单位的峰值性能将处于某个范围内。就带宽而言,这意味着 350kpps 是 180Mbps(64 字节数据包)和 4.2Gbps(1500 字节数据包)。请注意,这是以比特/秒为单位的,因此可以将其视为常规文件大小的每秒 18 兆字节或 420 兆字节。
理论上,这意味着您的 3560G 可以路由 19.8Gbps 到 464Gbps 之间或大约 2GBps 到 45GBps 之间的某个位置。
实际上,从这些数字来看,您绝对应该考虑我上面描述的计划。让您的 3825 专门处理(可能为 NAT 的)外部流量,让您的 3560 处理其余部分。
抱歉,这太长了;我在工作中等着磁带结束,太无聊了。干杯。