Настраиваем VLAN на Ruckus ICX 7150, Brocade ICX 6450, Brocade ICX 6430

Все настройки я буду делать исключительно из командной строки, но все это можно сделать и через WEB интерфейс.

Почитать что такое VLAN

Первоначальная настройка коммутаторов Brocade ICX 6450, Ruckus ICX 7150

По умолчанию все порты на коммутаторах являются членами VLAN по умолчанию. Таким образом, все порты на устройстве составляют один широковещательный домен. Когда вы помещаете тот или иной порт в VLAN, то этот порт автоматически удаляется из VLAN по умолчанию.

На коммутаторах L2 L3 уровня можно настроить до 4094 VLAN(виртуальных локальных сетей). С завода VLAN по умолчанию имеет номер 1.

Идентификаторы VLAN 4087, 4090 и 4093 зарезервированы для внутреннего использования. VLAN 4094 зарезервирован для использования одним STP.

Каким у нас может быть порт:

• access (Членом того или иного VLAN) – порт принадлежащий одному VLAN’у и передает нетегированный трафик. Все устройства в одном VLAN видят только тех, кто находиться в том же VLAN. Если у вас есть VLAN 1 и VLAN 2 то устройства в VLAN 1 не будут видеть VLAN 2 и на оборот. Для того чтоб они могли видеть друг друга необходимо настроить маршрутизацию между ними – это можно сделать, переведя коммутатор в режим L3 или же использованием внешнего маршрутизатора.
• trunk (Тегированным/транковым) – порт передающий тегированный трафик одного или нескольких VLAN’ов. Этот порт лишь пропускает кадры с тегами, которые разрешены на этом порту. Похож на железнодорожную развилку, в которой ваше дальнейшее движение определяется наличием путей (VLAN), а также наличия у вас документов, которые, скажут стрелочнику куда вас отправить. Если вы без документов, то вас сбросят с путей, чтоб не мешались. Одновременно на развилку может приходить поезда едущий в разных направлениях т.е. на порту может одновременно ходить трафик для разных VLAN. Тегированной порт может предоставлять доступ к VLAN только когда он является членом этого VLAN.
• Порт в режиме Dual-mode – трафик не имеющий тега будет помещен в VLAN по умолчанию, который определен на порте, если трафик имеет тег, то он будет направлен в соответствующий VLAN. Если поезд приехал и у него нет документов для стрелочника, то он будет направлен по пути по умолчанию, которое заранее было сообщено стрелочнику при приеме на работу. А если у вас есть документы и у стрелочника есть соответствующие направления, то вас отправят по нужному направлению. Обычно используется для подключений IP телефона и компьютера в одну розетку. Где телефония идет как тегированный трафик, а компьютер нетегированный трафик.

Я буду использовать универсальный подход по манипуляциям с VLAN т.к. в зависимости от прошивок и модели, в ОС коммутаторов, могут присутствуют различные команды, которые облегчают нам управление VLAN-ми.

Порты именуются следующим образом

ethernet 1/2/3

где:

• 1 – номер юнита в стеке. При отсутствия стека он всегда равен 1.
• 2 – номер модуля в коммутаторе. В ICX 6450 их два, в ICX 7150, три. На модуле 1 находятся наши основные порты. На последнем обычно модули SFP+ к примеру 10G порты.
• 3 – непосредственно номер порта на выбранном модуле.

Манипулировать VLAN мы можем как отдельно с каждым, так и с группой. При этом если таких VLAN нет, то они будут созданы.

!вход в конфигурирование VLAN 2 и 3. Либо создадутся VLAN  2 и 5
device(config)# vlan 2 3
!вход в конфигурирование VLAN с 2 по 5. Либо создадутся VLAN с 2 по 5
device(config)# vlan 2 to 5
!комбинированный 
device(config)# vlan 2 to 5 7

Манипулировать интерфейсами(портами) мы так же можем группами.

!вход в конфигурирование порта 1 и 2
device(config)# interface ethernet 1/1/1 eth 1/1/2
!вход в конфигурирование порта с 1 по 5
device(config)# interface ethernet 1/1/1 to 1/1/5
!комбинированный 
device(config)# interface ethernet 1/1/1 to 1/1/5 eth 1/1/10

Дополнительные команды.

• show running-config – просмотреть текущую конфигурацию
• show vlan – покажет нам сводку по VLAN и какие порты какому VLAN принадлежат
• show vlan ethernet 1/1/2 – покажет в каком VLAN данный порт
• no команда - удалить
• exit – выйти из текущего режима
• write memory – сохраняет текущую конфигурацию в энергонезависимую память

Приступим к настройке.

Все манипуляции с VLAN не требуют перезагрузки коммутатора, все изменения применяются сразу. Не забывайте сохранить сделанные изменения.

Для манипуляции с VLAN нам надо зайти в режим конфигурации

device> enable
No password has been assigned yet...
device#configure terminal
device(config)#

Все дальнейшие действия будут проходить исключительно в данном режиме.

Создадим VLAN и поместим в него порты.

!создаем vlan с ид 2 и именем BROWN.
!Если такой vlan уже существует, то мы просто перейдем в конфигурирование заданного VLAN. 
!Так же если имя у него было иным, при указании name BROWN мы его переименуем. 
!В общем случае мы можем создавать или заходить в режим конфигурирования vlan написав только: vlan 2.
device(config)# vlan 2 name BROWN
!добавляем в наш vlan нетегированный(access) порт 1/1/1 – первый юнит/первый модуль/первый порт. 
!При этом данные порт должен быть членом vlan по умолчанию, в противном случае мы получим ошибку. 
!Untagged – означает что мы добавляем нетегированный порт.
device(config-vlan-2)# untagged ethernet 1/1/1
!добавляем промежуток access портов с 2 по 4.
device(config-vlan-2)# untagged ethernet 1/1/2 to 1/1/4
!добавляем промежуток access портов с 5 по 8 и порт 10
device(config-vlan-2)# untagged ethernet 1/1/5 to 1/1/8, ethernet 1/1/10
!добавляем тегированный(trunk) порт 1/1/25. 
!Теперь через этот порт мы можем попасть в VLAN 2 и только в него. 
!Tagged – означает, что добавляем тегированный
device(config-vlan-2)# tagged ethernet 1/1/25
!включаем проток обнаружения петель – потом еще отдельно рассмотрим.  
device(config-vlan-2)# spanning-tree
!создаем VLAN с ид 3. Как вы заметили, перейти/создать другой VLAN мы можем не выходя из текущего. 
device(config-vlan-2)# vlan 3
!добавляем 9 порт
device(config-vlan-3)# untagged ethernet 1/1/9
!добавляем тегированный(trunk) порт 1/1/25. 
!Теперь через порт 25 мы можем попасть в VLAN 2 и 3. 
!Как мы видим, чтоб получить доступ через тегированный порт к тому или иному VLAN, 
!мы должны добавить этот порт в соответствующий VLAN. 
device(config-vlan-3)# tagged ethernet 1/1/25
!включать надо для каждого VLAN
device(config-vlan-3)# spanning-tree
!ну и конечно не забываем все сохранить в энергонезависимую память (startup-config)
!и опять же мы это можем делать не выходя из режима.
device(config-vlan-3)# write memory

Определим управляющий VLAN

Данная настройка нужна, что иметь доступ к коммутатору по IP когда тот работает с VLAN

!входим в режим конфигурирования VLAN, который мы будем использовать как управляющий
device(config)# vlan 2
!говорим коммутатору, что данный VLAN будет у нас управляющим
device(config)# management-vlan
!указываем шлюз через который будет ходить коммутатор
device(config)# default-gateway  10.0.0.1

Изменение членства и удаление портов в/из VLAN

В принципе тут все тоже самое, как и при создании, только есть один нюанс, access порты могут быть членами только одного VLAN.

!заходим в конфигурирования VLAN 3
device(config)# vlan 3
!удаляем порт 9 из VLAN 3. Теперь это порт стал членом VLAN по умолчанию
device(config-vlan-3)# no untagged ethernet 1/1/9
!заходим в конфигурирования VLAN 2
device(config-vlan-3)# vlan 2
!добавляем 9 порт в VLAN 3
device(config-vlan-3)# untagged ethernet 1/1/9
!удаляем тегированный(trunk) порт 9 из VLAN 3. 
!Теперь через этот порт мы не сможем попасть в VLAN 3
device(config-vlan-3)#no tagged ethernet 1/1/25
device(config-vlan-3)# write memory

Изменять членство портов мы можем непосредственно через конфигурирование интерфейса

Для Ruckus ICX 7150

Данный пункт варьируется от прошивки на вашем оборудовании. У меня так.

device(config)# interface ethernet 1/1/1
device(config-if-e1000-1/1/1)#vlan-config
  add      - добавить в VLAN
  move     - переместить из VLAN, не зависимо в каком VLAN сейчас порт
  remove   -  удалить из VLAN

Используя данные команды, мы намного упростим наши манипуляции с VLAN. Команды содержат групповые операции.

Для Brocade ICX 6450

В данной модели манипулировать VLAN из интерфейса мы не можем. Возможно это есть в старших прошивках.

Удаление VLAN

При удалении VLAN, порты из данного VLAN перейдут в VLAN по умолчанию. Это не касается тегированных портов.

!удалить VLAN 2
device(config)#no vlan 2
!удалить VLAN с 2 по 5
device(config)#no vlan 2 to 5
!удалить VLAN с 2 по 7 и 10
device(config)#no vlan 2 to 7 10

Порты в режиме Dual-mode

Чтоб включить режим Dual-mode на порте, нам необходимо сделать его тегированным (trunk) а потом перевести в данный режим. Тегированный порт должен быть членом VLAN которые мы используем.

!заходим в конфигурирование VLAN с 25 по 29
device(config)#vlan 25 to 29
!добавляем порт 25 и делаем его тегированным 
device(config-mvlan-25-29)# tagged ethernet 1/1/25
!переходим в режим конфигурирования порта 25
device(config-mvlan-25-29)# interface ethernet 1/1/25
!включаем режим Dual-mode и говорим, что для трафика без тегов использовать VLAN 27.
device(config-if-e1000-1/2/11)# dual-mode 27

Все. Теперь мы можем подключить телефон и компьютер на один порт, при этом оба устройства будут в разных VLAN. Конечно телефон нам надо настроить на работу с VLAN.

Настройка voice-vlan по LLDP

Сейчас мы настроим коммутатор так, чтоб телефоны автоматически помещались в voice-vlan на основе данных от LLDP.

Для примера:
Компьютеры : 10 VLAN
Телефоны : 5 VLAN

Телефоны должны поддерживать протокол LLDP

Режим работы компьютер и телефон на одном порту.

!создаем/входим влан 5 и 10
device(config)# vlan 5 10
!помещаем нужные порты в VLAN 5 и 10
device(config-mvlan-5*10)# tagged ethernet 1/1/4
!выходим
device(config-mvlan-5*10)#exit
!входим в конфигурирования порта
device(config)# interface ethernet 1/1/4
!включаем режим Dual-mode и говорим, что для трафика без тегов использовать VLAN 10.
device (config-if-e1000-1/1/4)# dual-mode 10
!определяем voice-vlan
device (config-if-e1000-1/1/4)# voice-vlan 5
!определяем доверие к приоритету пакетов
device (config-if-e1000-1/1/4)# trust dscp
!выходим
device (config-if-e1000-1/1/4)# exit
!запускаем lldp
device(config)# lldp run
!задаем политику для телефонов, медиа трафик 
device(config)# lldp med network-policy application voice tagged vlan 5 priority 5 dscp 46 ports ethe 1/1/4
!задаем политику для телефонов, сигнальный трафик 
device(config)# lldp med network-policy application voice-signaling tagged vlan 5 priority 4 dscp 42 ports ethe 1/1/4

Теперь телефоны автоматически будут помещены в 5 VLAN, а прочие устройства будут помещены в 10 VLAN