Cisco Bridging:практика

Bridging в одном вилане

В мое распоряжение попал маршрутизатор Cisco 1921 (имеет два интегрированных порта) и два модуля к нему EHWIC-4ESG (ge 0/1/3-0) (4 порта 10/100/1000), и EHWIC-1GE-SFP-CU (ge-0/0/0) (combo port SFP/RJ45), версия IOS 15.0(1r)M16. С помощью Cisco 1921 предполагалось модернизировать уже имеющуюся сеть. Сама циска располагается в серверной, к ней будит осуществлено 4 подключения: сервер (располагается в серверной), офис, цех и провайдер. Схема новой сети выглядит таким образом

Интегрированный порт ge0/0 смотрит в сторону провайдера, к порту ge0/1 (интегрированный) подключается к коммутатору в офисе, по оптике (порт ge-0/0/0) подключается цех, ну и к оставшимся медным портам (ge 0/1/3-0) будит подключатся оборудование располагающееся в серверной. Все устройства подключенные к портам: ge0/1, ge-0/0/0, ge 0/1/3-0 должны располагаться в одной сети. Было решено использовать для этих целей технологию Transparent bridging.

Для настройки бриджинга на интерфейсе необходимо в режиме глобального конфигурирования выполнить:

bridge 1 protocol ieee - назначаем номер группы (1) и определяем EEE 802.1D Spanning Tree Protocol.
bridge 1 priority 0 - назначаем приоритет (0), для нашей бридж группы (1), помогающий принять решение в определение root в spanning tree. Чем ниже приоритет тем выше вероятность стать root.

Далее необходимо назначить необходимые нам интерфейсы в нашу бридж группу. Для этого переходим в режим конфигурирования интерфейса.

interface g0/1
bridge-group 1 - назначаем интерфейс g0/1 в первую группу
exit
interface g0/0/0
bridge-group 1 - назначаем интерфейс g0/0/0 в первую группу
exit
interface vlan1
bridge-group 1 - назначаем интерфейс vlan1 в первую группу
exit

Так как интерфейсы ge 0/1/3-0 на плате EHWIC-4ESG ведут себя как порты коммутатора, то по умолчанию они находятся в vlan 1, и поэтому принадлежность их к конкретной бридж группе определяет vlan интерфейс.

Теперь необходимо создать виртуальный интерфейс (BVI) или интерфейс виртуального моста функционал Cisco IOS который позволяет объединить несколько портов маршрутизатора в группу, функционирующую как плоский L2 мост и разрешить циске выполнять маршрутизацию между бриджеванными и маршрутизируемыми интерфейсами.

Необходимо в режиме глобального конфигурирования выполнить:

bridge irb - включаетм irb, позволяющий маршрутизировать трафик от бридж интрефейсов.
interface bvi 1 - назначаем bvi, номер соответствующей бридж группы. Каждая бридж группа может иметь один соответствующий bvi.
ip address 192.168.1.254 255.255.255.0 - назначаем адресацию для нашей сети. Можно так же создавать вторичные адреса.
exit
bridge 1 route ip - разрешаем bvi получать и маршрутизировать пакеты полученные от соответсвующей бридж группы

Стоит обратить внимание, что в такой конфигурации при обрыве связи на линии на порту, пропадает порядка 20-30 пакетов (если использовать ping). Для уменьшения количества потерянных пакетов (улучшения сходимости) можно использовать команду spanning-tree portfast на каждом физическом интерфейсе, входящем в bridge. Так в Transparent bridging используется EEE 802.1D Spanning Tree Protocol, а указанная команда позволяет интерфейсу при восстановлении сразу переходить в режим передачи. Это позволит уменьшить количество потерянных пакетов до 8-12.

.................
interface GigabitEthernet0/1/0
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/1
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/2
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/3
 no ip address
 spanning-tree portfast
................

Получился вот такой конфиг

............................
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address *.*.*.* 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet0/0/0
 no ip address
 duplex auto
 speed auto
 media-type sfp
 bridge-group 1
!
interface BVI1
 ip address 192.168.22.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
bridge 1 priority 0
bridge 1 protocol ieee
bridge 1 route ip

Проверяем, что все работает:
show interface bvi 1
BVI1 is up, line protocol is up
..............................

Bridging между vlan

Затем захотелось развести подсети по разным vlan. НА BVI нельзя создать подинтерфейс. Для этого создадим bridge domain.
Домены – это специфическая функция Cisco. Это функция доступна,если в настройках STP указан IEEE. Домен устанавливает внешнию идентификацию BPDU отправляемых из бридж группы. Цели этих идентификаций:

• Бридж группы определенные в домене могут узнать, что BPDU принадлежат им.
• Две бриджуемых подсети в разных доменах, которые делят общее соединение могут использовать идентификатор домена для определения своих BPDU и игнорирования BPDU из другого домена.

В домен можно поместить любое количество маршрутизаторов и мостов. Только устройства в одном домене получают одинаковою STP информацию. Когда несколько маршрутизаторов разделяют один кабель и вы хотите использовать только определенные подсети этих маршрутизаторов для обмена информацией STP между собой, устанавливается spanning-tree домен. Эту функцию можно использовать для уменьшения количества общих переконфигураций в большой сети.

Например возьмем конфигурацию из примера выше. И добавим в нее несколько подсетей

• 192.168.22.254/24 - vlan 1 - сеть передачи данных
• 10.1.10.254/24 - vlan10 - Devices management
• 10.1.20.254/24 - vlan20 - Voice
• 10.1.30.254/24 - vlan30 - Video

Создадим подинтерфейсы для этих вланов, на основных интерфейсах. И помещаем каждый подинтерфейс в отдельную bridge group

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet0/1.10
 description devices_management
 encapsulation dot1Q 10
 bridge-group 2
!
interface GigabitEthernet0/1.20
 description Voice
 encapsulation dot1Q 20
 bridge-group 3
!
interface GigabitEthernet0/1.30
 description Video
 encapsulation dot1Q 30
 bridge-group 4
!
interface GigabitEthernet0/0/0
 no ip address
 duplex auto
 speed auto
 media-type sfp
 bridge-group 1
!
interface GigabitEthernet0/0/0.10
 description devices_management
 encapsulation dot1Q 10
 bridge-group 2
!
interface GigabitEthernet0/0/0.20
 description Voice
 encapsulation dot1Q 20
 bridge-group 3
!
interface GigabitEthernet0/0/0.30
 description Video
 encapsulation dot1Q 30
 bridge-group 4

Создаем также эти vlan, для платы EHWIC-4ESG.

interface Vlan1
 no ip address
 bridge-group 1
!
interface Vlan10
 no ip address
 bridge-group 2
!
interface Vlan20
 no ip address
 bridge-group 3
!
interface Vlan30
 no ip address
 bridge-group 4

Создаем соответствующие BVI интерфейсы и назначаем им адреса из выделенных подсетей

interface BVI1
 ip address 192.168.22.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface BVI2
 descriptiondevices_management
 ip address 10.1.10.254 255.255.255.0
!
interface BVI3
 description Voice
 ip address 10.1.20.254 255.255.255.0
!
interface BVI4
 description Video
 ip address 10.1.30.254 255.255.255.0
 

Ну и объединяем наши BVI интерфейсы в домен

bridge 1 domain 1
bridge 1 priority 0
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 priority 20
bridge 2 protocol ieee
bridge 3 domain 1
bridge 3 priority 30
bridge 3 protocol ieee
bridge 4 domain 1
bridge 4 priority 40
bridge 4 protocol ieee

Полезные ссылки:

• Establishing Multiple Spanning-Tree Domains
• и в целом Bridging and IBM Networking Configuration Guide, Cisco IOS Release 15S