Ruting w sieciach VLAN

Damian Stelmach

Wiele ze środowisk sieciowych, gdzie implementuje się sieci wirtualne, akceptuje, a czasami wręcz narzuca konieczność komunikacji pomiędzy stacjami znajdującymi się w różnych sieciach VLAN. Pojawia się zatem pytanie jak taki ruch umożliwić skoro stacje są od siebie odseparowane. No i tutaj z pomocą przychodzą nam 3 metody, dzięki którym możemy takie zadanie zrealizować. Pierwsza z nich zakłada użycie przełącznika warstwy 3, czyli takiego, który oprócz funkcji typowego przełącznika warstwy 2, potrafi również realizować funkcję rutingu.

Routing VLAN 1

Druga metoda, zakłada użycie rutera i spięcie go z przełącznikiem tyloma przewodami ile sieci VLAN ma obsługiwać.

Routing VLAN 2

No i jest jeszcze trzecia metoda, która zakłada użycie tylko jednego przewodu łączącego ruter z przełącznikiem, a na tym routerze skonfigurowanie tak zwanych subinterfejsów czyli podintefejsów w ramach jednego fizycznego portu.

Router on a stick

Metoda ta zwana jest ruter na patyku (ang. router on a stick) i to tę metoda zaimplementujemy w naszej sieci.

Routing VLAN 3

Konfiguracja na ruterze takiego rozwiązania jest bardzo prosta. Zanim jednak przystąpimy do realizacji, warto przygotować sobie adresację IP dla urządzeń w naszej sieci. Na potrzeby tego przykładu przyjmiemy, że sieć VLAN 10 będzie miała adres 10.0.10.0/24, sieć VLAN 20 natomiast 10.0.20.0/24. Urządzenia w sieciach mogą mieć adresy z zakresu od 2 do 254, adresy 10.0.10.1 oraz 10.0.20.1, będą adresami podintefejsów rutera. W trybie konfiguracji globalnej wykonujemy na ruterze następujące polecenia:

  • Router(config)# interface gigabitEthernet 0/0.1
  • Router(config-subif)# encapsulation dot1Q 10
  • Router(config-subif)# ip address 10.0.10.1 255.255.255.0
  • Router(config-subif)# exit
  • Router(config)# interface gigabitEthernet 0/0.2
  • Router(config-subif)# encapsulation dot1Q 20
  • Router(config-subif)# ip address 10.0.20.1 255.255.255.0
  • Router(config-subif)# exit
  • Router(config)# interface gigabitEthernet 0/0
  • Router(config-if)# no shutdown

Pierwsze polecenie tworzy nam pierwszy podinterfejs (ang. subinterface) na interfejsie GigabitEthernet 0/0 (na tym interfejsie mamy podłączony przełącznik). Dalej w ramach pierwszego podinterfejsu uruchamiamy standard 802.1Q dla sieci VLAN 10, a następnie nadajemy adres oraz maskę. W kolejnym kroku opuszczamy konfiguracje pierwszego podinterfejsu i dalej tworzymy drugi. Ponownie uruchamiamy standard 802.1Q, tym razem dla sieci VLAN 20 oraz nadajemy adres IP wraz z maską. Na koniec opuszczamy tryb konfiguracji podinterfejsu drugiego, przechodzimy do trybu konfiguracji fizycznego interfejsu GigabitEthernet 0/0 i uruchamiamy go (polecenie no shutdown). Zanim wybrzmią fanfary, musimy jeszcze na przełączniku podłączonym do rutera, ustawić tryb TRUNK na porcie, który łączy oba urządzenia. W trybie konfiguracji globalnej na przełączniku wykonujemy następujące polecenia:

  • Switch(config)# interface gigabitEthernet 0/2
  • Switch(config-if)# switchport mode trunk
  • Switch(config-if)# switchport trunk allowed vlan 10,20

Pierwsze polecenie to przejście do trybu konfiguracji szczegółowej portu, którym przełącznik połączony jest z ruterem. Drugie to uruchomienie trybu TRUNK na tym interfejsie, no i polecenie trzecie, które pozwala przesyłać ramki z VLAN 10 i 20. Od tej pory urządzenia z różnych sieci VLAN mogą się ze sobą komunikować.

Wykonana przez nas konfiguracja załatwiana jeszcze jedną sprawę. Gdyby ten ruter posiadał dostęp do neta, to również komputery z całej naszej sieci taki dostęp by miały. Mówię o tym dlatego, że niekiedy jest to jedyna możliwość, aby urządzenia pracujące w różnych sieciach VLAN miały dostęp do Internetu. U niektórych producentów możemy czasami spotkać się z funkcjonalnością MultiVLAN, która pozwala konkretny port przełącznika, np. ten do którego podłączony jest ruter, przypisać do większej ilości sieci VLAN niż tylko jedna, dzięki czemu ruter, bez konieczności konfiguracji rutingu miedzy VLANmi da dostęp do Internetu stacjom w sieci.

Multi VLAN

Większość przełączników CISCO, w tym ten, który konfigurowaliśmy takiej funkcjonaliści nie posiada, pozwala na przyłączenie portu tylko do jednej, konkretnej sieci VLAN, co skutkuje tym, że aby umożliwić dostęp wszystkim urządzeniom do Internetu czy też do konkretnego serwera w sieci, konieczna jest implementacja routingu między VLANmi.