Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 02:21



Ответить на тему  [ Сообщений: 9 ] 
Cisco 6500 
Автор Сообщение

Зарегистрирован: 09 июн 2022, 18:47
Сообщения: 4
Имеется циска 3845 с подключенными к ней 2960.
В 2960 нарезаны vlan, аксесные и транковые порты. Некоторые vlan по транковым портам уходят в другие сети.
На 3845 настроен транковый порт, на нем настроены субинтерфейсы типа
interface GigabitEthernet0/0.3
description --- from disctrict 1
encapsulation dot1Q 3
ip address 192.168.3.0 255.255.255.0
ip access group in 103
ip access group out 203
no ip redirects
no ip unrichables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no cdp enable

Теперь пытаюсь натроить наналогично 6506 (SUP2T, s2t54-ipbasek9-mz.SPA.151-2.SY6.bin)
и не могу сообразить, как сделать так, чтобы к примеру:
- int Gi 3/1 - разрешены vlan 3-10
- int Gi 3/1.3, 3/1.4, 3/1.5 - настроены ip адреса для маршрутизации на vlan 3,4,5
- int Gi 3/2 - разрешены vlan 6-10
- int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен.

Возможна ли подобная конфигурация и какие технологии гуглить?


10 июн 2022, 08:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
igorsia писал(а):
int Gi 3/1 - разрешены vlan 3-10
что означает "разрешены"? если транк, то swi tr all vlan 3-10
igorsia писал(а):
int Gi 3/1.3, 3/1.4, 3/1.5 - настроены ip адреса для маршрутизации на vlan 3,4,5
это что еще? если это интерфейс все того же каталиста, то на нем сабы не делаются, это обычный свитчпорт. смотрите SVI
igorsia писал(а):
int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен.
тут вобще не понятно, что вы хотите. Если есть vlan 3, то он на всех интерфейсах один и тот же vlan3. Второго такого на этом же устройстве быть не может.
вы бы свою хотелку как то обрисовали - что в итоге то должно получиться)


10 июн 2022, 08:40
Профиль

Зарегистрирован: 09 июн 2022, 18:47
Сообщения: 4
aliotru писал(а):
это что еще? если это интерфейс все того же каталиста, то на нем сабы не делаются, это обычный свитчпорт. смотрите SVI

Делаются. Все-таки 6500 с головами SUP2 это не только L2/L3 свитч но еще и маршрутизатор, даже вроде как даже MPLS и BGP в наличии. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup2T/15_5_sy_swcg_2T/vpls.html
aliotru писал(а):
igorsia писал(а):
int Gi 2/1 - разрешены vlan 3-10, но логически vlan в интерфейсах 2/1 и 3/1 это совершенно разные vlan и таффик между ними ходить не должен.
тут вобще не понятно, что вы хотите. Если есть vlan 3, то он на всех интерфейсах один и тот же vlan3. Второго такого на этом же устройстве быть не может.
вы бы свою хотелку как то обрисовали - что в итоге то должно получиться)


Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией,
Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan.


10 июн 2022, 09:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
igorsia писал(а):
Делаются.
если вам будет проще сабы - делайте сабы
igorsia писал(а):
Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией,
Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan

посмотрите в сторону vrf, но id все равно будут уникальны


10 июн 2022, 09:20
Профиль

Зарегистрирован: 09 июн 2022, 18:47
Сообщения: 4
aliotru писал(а):
если вам будет проще сабы - делайте сабы

А как порекомендуете, чтобы не ломать остальное и иметь возможность раздельно переносить vlan с 2960 непосредственно на 6500?
aliotru писал(а):
посмотрите в сторону vrf, но id все равно будут уникальны

VRF интересная штука, я ее тоже собирался использовать, но тут плохо представляю как ее применить.
Думал VLAN mapping делать, если не найду другого решения.


10 июн 2022, 10:12
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
igorsia писал(а):
иметь возможность раздельно переносить vlan с 2960 непосредственно на 6500?

Не очень понятно, что вы собираетесь на что менять.
- 3845 на 6506
или
- 3845+2960 на 6506 ?

Если первое, то просто переведите нужный порт в L3 (no switchport).
И sub-ы на нем наверное настраиваются аналогично.
Тут никакой VRF не нужен. Сейчас же оно в 3845 как-то роутится без этого?
Т.е. тут можно переносить config из 3845 один в один.

А вот если второе, т.е.:
igorsia писал(а):
Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией,
Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan.

Т.е. типа перенести в 6506 не только роутинг, но и свитчинг с access портами.
Как бы идея получить L2 VRF (т.к. VLAN-ы одинаковые в разных сегментах) - вот тут большие сомнения.
(Хотя чего только в Cisco нет! :-) )
Есть такая фича, как MAC-VRF (в EVPN и VXLAN).
Правда не уверен совсем, что это тут применимо. И более того, что это тут нужно пытаться применять.

igorsia писал(а):
Думал VLAN mapping делать, если не найду другого решения.

Есть подозрение, что вы не совсем четко понимаете разницу между L2 и L3 портами в Cisco железках.
Там и то и то interface, что сбивает чайников с толку.
Т.е. имеем типический случай, когда юзер напридумывает себе какую-то дичь,
а потом мучает форум в попытках эту дичь воплотить через какие-то извраты.
Причем эта дичь часто даже не результат какой-то умственной деятельности,
а результат ее отсутствия. Типа "оно само" и "так сложилось", и "изменить никак нельзя".

Так и здесь, вместо того, чтобы сделать нормальный дизайн L2, и потом L3 (на SVI),
получаем кучу отдельных сегментов с одинаковыми VLAN-ами. И хорошо еще, что не с одинаковыми IP сетями.
Что не факт, т.к. там и NAT еще нафигачен во внутренней сети!
И вместо того, чтобы уж по такому случаю сделать, наконец, нормально, планируется дико извращаться.
Причем переделать то нужно один раз, а с этим извратом потом скакать придется постоянно.
Правильнее потратить один выходной и получить нормальную сеть. Это если мы про объединение на L2.
Или оставить все как есть на L3, но тогда придется оставить и кучу 2960.

Как вариант - пока оставить как есть (на L3 с sub-ами), а потом по одному переводить на L2 и SVI с заменой VLAN-нов в 2960.
Только нужно предварительно подумать и составить наглядный и понятный план нумерации VLAN-ов, чтобы не наступать потом опять на те же грабли.

_________________
Knowledge is Power


12 июн 2022, 02:50
Профиль

Зарегистрирован: 09 июн 2022, 18:47
Сообщения: 4
Silent_D писал(а):
А вот если второе, т.е.:
igorsia писал(а):
Хотелка - группу портов использовать как управляемый свич L2 c прикрученной IP маршрутизацией,
Таких виртуальных свичей иметь несколько с учетом того, что на них могут быть неуникальные номера vlan.


(Хотя чего только в Cisco нет! :-) )


На это и надеялся.

Silent_D писал(а):
igorsia писал(а):
Думал VLAN mapping делать, если не найду другого решения.

Есть подозрение, что вы не совсем четко понимаете разницу между L2 и L3 портами в Cisco железках.

Возможно. А что именно не так?
Я рассчитывал на транковом порту 6500, куда надо принять vlan с неуникальным id делать mapping на какой нибудь другой, уникальный id и уже на этом interface vlan id настраивать ip адрес и маршрутизацию.

Silent_D писал(а):
Причем эта дичь часто даже не результат какой-то умственной деятельности,
а результат ее отсутствия. Типа "оно само" и "так сложилось", и "изменить никак нельзя".

Что поделать, если оно и вправду так исторически сложилось, а входящие соединения идут из совершенно посторонних организаций за которые я не отвечаю.

Silent_D писал(а):
Так и здесь, вместо того, чтобы сделать нормальный дизайн L2, и потом L3 (на SVI),
получаем кучу отдельных сегментов с одинаковыми VLAN-ами. И хорошо еще, что не с одинаковыми IP сетями.
Что не факт, т.к. там и NAT еще нафигачен во внутренней сети!
И вместо того, чтобы уж по такому случаю сделать, наконец, нормально, планируется дико извращаться.
Причем переделать то нужно один раз, а с этим извратом потом скакать придется постоянно.
Правильнее потратить один выходной и получить нормальную сеть. Это если мы про объединение на L2.
Или оставить все как есть на L3, но тогда придется оставить и кучу 2960.

Как вариант - пока оставить как есть (на L3 с sub-ами), а потом по одному переводить на L2 и SVI с заменой VLAN-нов в 2960.
Только нужно предварительно подумать и составить наглядный и понятный план нумерации VLAN-ов, чтобы не наступать потом опять на те же грабли.


В том то и беда, что входящие соединения для меня по сути внешние, отсюда и нат.

Спасибо за развернутый ответ.


12 июн 2022, 07:04
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
igorsia писал(а):
Что поделать, если оно и вправду так исторически сложилось, а входящие соединения идут из совершенно посторонних организаций за которые я не отвечаю.

Да уж, засада.

И все-таки непонятно, что вы хотите получить?
Т.е. вам нужно только один IP-шник в каждый VLAN засунуть "и уже на этом interface настраивать ip адрес и маршрутизацию"?
Тут и sub-ами можно обойтись. L2 порты в L3 легко переделываются (no switchport).
Вот как там с sub-ами, сложно сказать. Но это легко проверить.
Если работает, то какая вам разница куда IP назначать - на sub или на SVI?
Конфиг будет проще.

А если
igorsia писал(а):
Хотелка - группу портов использовать как управляемый свич L2

то тут непонятно, о какой "группе портов" идет речь?
Если вы хотите еще и "немножко свитчить", то да, нужно пробовать VLAN Mapping.
Вопрос только - есть ли он там?

Сам процесс то довольно простой:
https://ipcisco.com/lesson/vlan-mapping ... -on-cisco/

Только нужно остановиться на One-to-One Mapping (C-VLAN to S-VLAN) и не лезть дальше в Q-in-Q и VXLAN Tunneling.
В 6506 очевидно нужно создавать S-VLAN-ы, чтобы получить SVI.

Configuring Port VLAN Mapping
https://content.cisco.com/chapter.sjs?u ... p.html.xml

И учитывайте еще вопрос лицензий.

На Catalyst 9200, например:
Ensure that you run the Network Advantage license. VLAN Mapping is supported only with the Network Advantage license level.

Layer 2 Configuration Guide, Cisco IOS XE Amsterdam 17.3.x (Catalyst 9200 Switches)
Configuring VLAN Mapping
https://content.cisco.com/chapter.sjs?u ... g.html.xml

EXAMPLE

This example shows how to map VLAN IDs 1 to 5 in the customer network to VLANs 101 to 105 in the service-provider network as shown in Figure 9-1.
You configure these same VLAN mapping commands for a port in Switch A and Switch B. The traffic on any other VLAN IDs is dropped.

Switch(config)# interface gigabiethernet0/1
Switch(config-if)# switchport vlan mapping 1 101
Switch(config-if)# switchport vlan mapping 2 102
Switch(config-if)# switchport vlan mapping 3 103
Switch(config-if)# switchport vlan mapping 4 104
Switch(config-if)# switchport vlan mapping 4 105
Switch(config-if)# switchport vlan mapping default drop
Switch(config-if)# exit

Switch# show vlan mapping

Ну и есть еще третий вариант, дикий и экстенсивный. На самый крайний случай.
Это разворачивать на 2960 транки в access и тыкать их шнурками в access на 6506.
Один шнурок и порт на VLAN. На 6506 портов много, шнурков тоже не жалко. :-)

_________________
Knowledge is Power


12 июн 2022, 08:40
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
VLAN Mapping on 6500 как бы есть, но он очень своеобразный.
Он типа не per port basis, а per port group.

Не знаю, видно ли вам, поэтому скопирую:

https://community.cisco.com/t5/switchin ... -p/1342635

Q:
Hello,
Has anyone had success with configuring VLAN mapping on a Cat6500?
I have tried to enable it on a single port, but when I enable it multiple ports are affected.
I receive the following notice when enabling on a port:

VLAN mapping is also changed on these switch ports: 1/1, 1/2, 1/3, 1/4, 1/5, 1/6, 1/7, 1/8, 1/9, 1/11, 1/12.

Is there a Cat6500 IOS version that allows VLAN mapping on a per-port basis and does not affect other ports?

A:
The message you are receiving is correct. When configuring vlan mapping on
an interface the configuration is applied to all ports in a port group. The
ports in a port group depend on the hardware module that you are
configuring, for example an 24 port WS-X6724-SFP module has 2 port groups
with ports 1-12 in group 1 and 13-24 in group 2. If you configure vlan
mapping for port 1 this automatically configures the mapping for all the
interfaces in that port group however it does not enable the vlan
translation.

By default vlan translation is disabled for all interfaces in a group so
only interfaces in that group that have the "switchport vlan mapping
enable" command will use the vlan mapping configuration. The other
interface you have configured, Gig 6/23 has the vlan mapping configured but
vlan mapping is not enabled under the interface using the "switchport vlan
mapping enable" command therefore it will not be affected.

Это, правда, диалог от 09-09-2009.
Может быть, конечно, с тех пор технология шагнула далеко вперед, но ...

Вот об этом детальнее:

Catalyst 6500 Release 12.2SY Software Configuration Guide
Configuring VLAN Translation
VLAN Translation Guidelines and Restrictions

https://www.cisco.com/c/en/us/td/docs/s ... vlans.html

И это еще нужно узнать в каком feature set есть этот VLAN Mapping.
Их четыре:

SW packages
● IP Base
● IP Services
● Advanced IP Services
● Advanced Enterprise Services

Cisco Catalyst 6500 Series Supervisor Engine 2T Data Sheet
https://www.cisco.com/c/en/us/products/ ... 48214.html

_________________
Knowledge is Power


12 июн 2022, 10:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB