Проброс vlan через роутер
В статьях этого блога мы уже обсуждали с вами принципы создания vlan на коммутаторах фирмы Cisco , но, к сожалению, у нас пока никак не доходили руки разобрать вопросы маршрутизации между различными vlan -ами. Сегодня мы исправим эту оплошность и разберем один из методов такой маршрутизации, называемый «маршрутизатор на привязи».
Как бы это не было прискорбно, но осуществить маршрутизацию между vlan не получится только с помощью средств самого коммутатора (в данном случае имеется ввиду коммутатор уровня 2), для этих целей придется использовать дополнительное устройство – уже знакомый нам маршрутизатор. Как мы помним, маршрутизатор может осуществлять маршрутизацию пакетов между сетями, подключенными к его различным интерфейсам. Но кроме этого маршрутизатор так же умеет выполнять маршрутизацию между vlan -ами, подведенными всего лишь к одному его физическому интерфейсу. Принцип данной маршрутизации проиллюстрирован на рисунке:
Данный способ маршрутизации обычно называют «Маршрутизатор на привязи», так как маршрутизатор получается как бы привязанным одним линком к коммутатору.
Давайте попробуем посмотреть как необходимо сконфигурировать коммутатор и маршрутизатор фирмы Cisco для реализации данной схемы. Для этого в Packet Tracer соберем следующую схемку (порты подключения всех устройств соответствуют первому рисунку):
Компьютеру P С0 зададим IP адрес 192.168.1.2, маску 255.255.255.0 и основной шлюз 192.168.1.1. Компьютеру P С 1 зададим IP адрес 10.10.10.2 , маску 255. 0 . 0 .0 и основной шлюз 10.10.10.1 .
Простой проброс VLAN
Привет Хабр! Сегодня я расскажу, как без особых затрат и дополнительных физических интерфейсов пробросить локальную сеть провайдера в свою домашнюю сеть. Идея возникла после появления в сети нашего провайдера полноценного IPTV. Можно, конечно, было настроить iptables на форвардинг мультикаста, но это вышло бы накладно с точки зрения ресурсов сервера, поэтому я задался задачей сделать это при помощи 802.1q VLAN.
Сеть нашего провайдера построена так: локальная сеть (eth0) DHCP 10.0.0.0/8 (грубо говоря, имеется разделение по подсетям), интернет PPPoE (ppp0). Поскольку у меня сеть провайдера приходит на скорости 1 Гбит, а гигабитных портов на свиче всего 2 (DES3526), пришлось завести приходящий провод напрямую в сервер, в противном случае на мой основной компьютер гигабит не приходил бы. Или он не приходил бы на сервер, что тоже не есть гуд. Так как же сделать так, чтобы локальная сеть провайдера приходила на нужный порт и не обрабатывалась IPtables? Просто! Для начала установим нужные пакеты:
sudo apt-get install vlan bridge-utils
Затем подгружаем модуль ядра 802.1q:
sudo modprobe 8021q
Делаем автозагрузку модуля:
sudo echo 8021q > /etc/modules
Далее нам надо создать vlan на нашем домашнем интерфейсе (в моем случае это eth1), для этого добавляем в /etc/network/interfaces следующее:
auto eth1.7
iface eth1.7 inet manual
Итак, Vlan с номером 7 у нас создан на интерфейсе eth1 без ip-адреса, ибо он нам не нужен. Теперь надо направить локальный трафик с eht0 в Vlan, для этого меняем в /etc/network/interfaces настройки eth0 на мост:
Убираем IP с eth0:
auto eth0
iface eth0 inet manual
Создаем мост:
auto br0
iface br0 inet dhcp
bridge_ports eth0 eth1.7
В принципе, тут бы можно и остановиться, но после подъема моста отваливается PPPoE. Решается это так: для начала в настройках нашего PPPoE в /etc/network/interfaces правим автоподнимаемый интерфейс с eth0 на br0:
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig br0 up # line maintained by pppoeconf
provider dsl-provider
Затем надо ткнуть демона мордой в интерфейс, где искать PPPoE, для этого правим /etc/ppp/peers/dsl-provider, где меняем строку:
plugin rp-pppoe.so eth0 на
plugin rp-pppoe.so br0
Ну вот мы и подошли к проверке работоспособности нашего моста. Начинаем с поднятия интерфейсов:
Разрываем связь с внешним миром:
Если все настройки сделаны правильно, то все заработает сразу. Осталось только направить Vlan на необходимый порт нашего свича или роутера (если роутер поддерживает 802.1q Vlan.)
Всю историю этой задачи в процессе решения вы можете так же посмотреть тут.
Memo
Данная статья – короткий how-to по пробросу Vlan через роутер Cisco.
Итак, если вам приходилось работать с cisco switch catalyst то вы скорее всего знаете что передать Vlan через catalyst дело в принципе тривиальное. Чего нельзя сказать о cisco router потому как там по умолчанию пакет разбирается до Layer3 – роутер ведь что с него взять 🙂 Но при небольших манипуляциях это можно обойти и добиться цели. Итак ниже кусок config cisco router который реализует нашу задачу. Из условий необходимо знать следующее чтобы он стал понятным :
Реализовано на cisco 3825 ( но может использоваться и на других роутерах cisco )
Мы пробрасываем VLAN 75 он приходит с интерфейса GigabitEthernet0/0 вместе с VLAN 90 (он не имеет отношения к нашей задаче )
А уходить должен в интерфейс GigabitEthernet0/1 там также есть VLAN 20 ( но он нас не интересует ).
Мы объединяем субинтрефейсы с помощью bridge-group 1.
!
!
bridge irb
!
!
!
interface GigabitEthernet0/0
description IN
no ip address
ip verify unicast reverse-path
ip mask-reply
ip directed-broadcast
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type sfp
negotiation auto
!
interface GigabitEthernet0/0.75
description VLAN transport
encapsulation dot1Q 75
bridge-group 1
!
interface GigabitEthernet0/0.90
description VLAN native
encapsulation dot1Q 90 native
ip address 10.1.1.230 255.255.254.0
ip access-group 101 in
ip verify unicast reverse-path
ip flow ingress
ip flow egress
ip nat outside
ip inspect HIGH out
ip virtual-reassembly
!
interface GigabitEthernet0/1
description cat3560
no ip address
ip mask-reply
ip directed-broadcast
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.20
description some VLAN
encapsulation dot1Q 20
ip address 10.1.2.253 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
no ip split-horizon
!
interface GigabitEthernet0/1.75
description VLAN transport
encapsulation dot1Q 75
bridge-group 1
!
interface BVI1
no ip address
!
router rip
network 10.0.0.0
no auto-summary
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
Проброс VLAN через ряд маршрутизаторов
Доброго времени суток! Вопрос вроде бы простой, но решить я его так и не смог. Схема сети приложена к посту.
В Sw0 приходит vlan, этот отдается на маршрутизатор R0 транком. Этот маршрутизатор соеденен с другими маршрутизаторами через ip сеть. И задача состоит в том чтобы прокинуть вилан на SW3, SW4. Этот vlan не маршрутизируется (предоставлен другой фирмой, доступ к их оборудавнию не имею). Раньше он заходил на sw3 через l2tpv3, но сейчас задача изменилась и требуется прокинуть его ещё и sw4. Может кто нибудь решал уже подобную проблему?
Проброс VLAN через GRE туннель
как пробросить ВИЛАНЫ через GRE туннель просьба ответы писать подробнее))) заранее спасибо.
Проброс Vlan -а
Добрый вечер господа) Есть вот такая задачка, буду рад Вашим советам. Провайдер через оптику.
Проброс vlan провайдера
Помогите, пожалуйста, нубу эникейщику. Есть задача пробросить vlan провайдера до клиента.
Объединение двух маршрутизаторов в единую сеть через интернет
Доброго времени суток! Сразу хочу принести свои извинения, если этот вопрос уже освещался на данном.
Вам поможет такая технология как Bridge IRB. Но для этого вам придется между марш-ми R0 <-->R1 и R1 <-->R3 поднимать субинтерфейсы по две штуки! Т.е. Один субинтерфейс для вашего вилана который надо везде прокинуть а второй для L3 стыка 10.10.10.0/30 10.10.10.4/30
Вот вам мануал http://www.cisco.com/c/en/us/s. 41-10.html
P.S. Самому приходилось реализовывать похожие задачи, с данной технологией все получалось на ура!
Спасибо за ответ. Про эту технологию читал. Эта упрощенная схема приложенная к посту и она облегченная. на самом деле между r1 и r2, а так же r2 и r3 есть еще немного маршрутизаторов. Может есть какая нибудь другая технология тунеля второго уровня? Или можно было подключиться с компьюетера на r0 к примеру — по какому нибудь vpn и получить именно vlan?
PS. L2tp не строю между r2 и r3 потому что не хватает портов на r2(сабинтерфейсы не вариант коммутатор не умеет работать с vlanами)