...
Рассмотрим пример из Рис.2. На интерфейс Gi1/0/1 маршрутизатора поступает три кадра: первый - ARP-request без с VLAN Tag ID 20, второй - так же ARP-request, но уже с без VLAN Tag ID 20 и третий - IP-пакет с адресом назначения 10.0.0.1/24, без VLAN Tag. Настройки интерфейсов следующие:
...
| Блок кода |
|---|
esr# configure esr(config)# bridge 101 esr(config-bridge)# ip address 10.0.0.1/24 esr(config-bridge)# ip firewall disable esr(config-bridge)# enable |
Добавление интерфейсов в bridge осуществляется с помощью команды bridge-group <index> в режиме конфигурирования добавляемого интерфейса:
...
| Блок кода |
|---|
esr# show running-config bridges
bridge 1
ip firewall disable
ip address 10.0.0.1/24
enable
exit
interface gigabitethernet 1/0/1.100
bridge-group 1
exit
interface gigabitethernet 1/0/2.100
bridge-group 1
exit |
...
| Блок кода | ||
|---|---|---|
| ||
esr# show ip dhcp binding IP address MAC / Client ID Binding type Lease expires at ---------------- ------------------------------------------------------------- ------------ -------------------- 10.0.0.54 a8:f9:4b:ff:99:01 active 2025-06-21 14:01:51 10.0.0.128 a0:a3:f0:b3:d4:a0 active 2025-06-21 14:01:51 |
VLAN Tag mapping
Рассмотрим несколько примеров, в которых необходимо изменить или добавить VLAN Tag.
Изменение VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейсы gigabitethernet 1/0/1 и gigabitethernet 1/0/3, изменить значение VLAN с 1111 на 3333
Dot1q tunneling
Решение для программной линейки устройств
Устройства с программной реализацией коммутации (все модели ESR, кроме ESR-1000 / 1200 / 1500 / 1511 / 1700) могут решать задачу туннелирования пользовательского трафика с добавлением S-Tag с поомщью функционала bridge. Однако, данный метод имеет следующие ограничения:
- входящий и исходящий интерфейсы должны принадлежать bridge
- нельзя назначить VLAN, выступающий в роли S-Tag, на другой интерфейс в режиме switchport trunk
Задача:
- На маршрутизаторе R1 интерфейсе Gi 1/0/1 принять клиентский трафик с разными C-Tag VLAN(100, 200 , 300), инкапсулировать в S-Tag VLAN 4000 и отправить в Trunk через интерфейс Gi 1/0/3.
Решение:
Настроим bridge:
| Блок кода |
|---|
esr# configure esr(config)# bridge 101 esr(config-bridge)# no spanning-tree esr(config-bridge)# enable esr(config-bridge)# exit |
Создадим саб-интефрейсы - Выполним настройку интерфейса gigabitethernet 1/0/1.1111 для терминации VLAN 1111 и gigabitethernet 1/0/3 для терминации VLAN 3333, и определим их , с которого будем принимать кадры с уже имеющимися тегами, добавив его к bridge 1:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/1.1111 esr(config-if-subgi)# mode switchport esr(config-if-gi)# bridge-group 101 esr(config-if-subgi)# exit |
И настроим интерфейс gigabitethernet 1/0/3, на котором будет выполняться терминация S-Tag VLAN 4000:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/3.33334000 esr(config-if-sub)# bridge-group 101 esr(config-if-sub)# endexit |
Применим Не забываем применить и сохраним сохранить изменения:
| Блок кода |
|---|
esr(config)# end esr# commit esr# confirm |
Диагностика:
Убедимся, что bridge находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br10 Up Up 1500 a8:f9:4b:aa:bb:c0 00,00:42:23 routerport |
Проверим, что саб-интерфейсы принадлежат bridge 10:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces bridge 10
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 10 gi1/0/1.1111, gi1/0/3.3333 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
esr# sh mac address-table bridge 10
VID MAC Address Interface Type
----- ------------------ ------------------------------ -------
-- e0:30:30:91:91:01 gigabitethernet 1/0/1.1111 Dynamic
-- a0:31:31:33:33:01 gigabitethernet 1/0/3.3333 Dynamic
2 valid mac entries |
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:91:91:01 был изучен на интерфейсе gigabitethernet 1/0/1.1111. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 10 в интерфейс gigabitethernet 1/0/3.3333 и выходит из него с VLAN Tag 3333. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
| Блок кода | ||
|---|---|---|
| ||
esr# monitor gigabitethernet 1/0/3 source-mac e0:30:30:91:91:01 packets 1
08:54:38.121693 e0:30:30:91:91:01 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 3333, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 3.3.3.200 tell 3.3.3.1, length 42
1 packet captured
1 packets received by filter
0 packets dropped by kernel |
Добавление VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейс gigabitethernet 1/0/2 с VLAN Tag 7 добавить VLAN Tag 2711 и направить в интефрейс gigabitethernet 1/0/4. Обратный трафик, с интерфейса gigabitethernet 1/0/4, должен приходить с двумя VLAN Tag: 7 и 2711, и в интерфейс gigabitethernet 1/0/2 должен уходить только с одним VLAN Tag - 7.
Решение:
Настроим bridge :
| Блок кода |
|---|
esr# configure
esr(config)# bridge 5
esr(config-bridge)# no spanning-tree
esr(config-bridge)# enable
esr(config-bridge)# exit |
Создадим саб-интефрейсы - gigabitethernet 1/0/2.7 для терминации VLAN 7 и gigabitethernet 1/0/4 для терминации VLAN 2711, и определим их к bridge 5:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/2.7
esr(config-if-sub)# bridge-group 5
esr(config-if-sub)# exit
esr(config)# interface gigabitethernet 1/0/4.7.2711
esr(config-if-sub)# bridge-group 5
esr(config-if-sub)# end |
Применим и сохраним изменения:
| Блок кода |
|---|
esr(config)# end
esr# commit
esr# confirm |
Диагностика:
Убедимся, что bridge находится в статусе Up:
Проверим, что на интерфейс gigabitethernet 1/0/1 поступает трафик с разными C-Tag VLAN с помощью команды monitor:
| Блок кода |
|---|
esr# monitor gigabitethernet 1/0/1
18:24:54.016778 a8:f9:4b:00:00:10 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 100, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 100.100.100.200 tell 100.100.100.1, length 42
18:24:54.880540 a8:f9:4b:00:00:30 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 300, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 30.30.30.200 tell 30.30.30.1, length 42
18:24:55.179788 a8:f9:4b:00:00:20 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 200, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 200.200.200.200 tell 200.200.200.1, length 42
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel |
Теперь удостоверимся, что через интерфейс gigabitethernet 1/0/3 кадры поступают с новым S-Tag VLAN 4000. Выполнять команду monitor необходимо именно на интерфейсе gigabitethernet 1/0/3, дабы увидеть наличие тега VLAN :
| Блок кода |
|---|
esr# monitor gigabitethernet 1/0/3
18:24:55.3479 a8:f9:4b:00:00:10 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 100.100.100.200 tell 100.100.100.1, length 42
18:24:55.4013 a8:f9:4b:00:00:30 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 300, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 30.30.30.200 tell 30.30.30.1, length 42
18:24:55.7596 a8:f9:4b:00:00:20 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 200, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 200.200.200.200 tell 200.200.200.1, length 42
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel |
VLAN Tag mapping
Рассмотрим несколько примеров, в которых необходимо изменить или добавить VLAN Tag.
Изменение VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейсы gigabitethernet 1/0/1 и gigabitethernet 1/0/3, изменить значение VLAN с 1111 на 3333
Решение:
Настроим bridge :
| Блок кода |
|---|
esr# configure
esr(config)# bridge 10
esr(config-bridge)# no spanning-tree
esr(config-bridge)# enable
esr(config-bridge)# exit |
Создадим саб-интефрейсы - gigabitethernet 1/0/1.1111 для терминации VLAN 1111 и gigabitethernet 1/0/3 для терминации VLAN 3333, и определим их к bridge 1:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/1.1111
esr(config-if-sub)# bridge-group 10
esr(config-if-sub)# exit
esr(config)# interface gigabitethernet 1/0/3.3333
esr(config-if-sub)# bridge-group 10
esr(config-if-sub)# end |
Применим и сохраним изменения:
| Блок кода |
|---|
esr(config)# end
esr# commit
esr# confirm |
Диагностика:
Убедимся, что bridge находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br10 Up Up 1500 a8:f9:4b:aa:bb:c0 00,00:42:23 routerport |
Проверим, что саб-интерфейсы принадлежат bridge 10:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces bridge 10
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 10 gi1/0/1.1111, gi1/0/3.3333 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
esr# sh mac address-table bridge 10
VID MAC Address Interface Type
----- ------------------ ------------------------------ -------
-- e0:30:30:91:91:01 gigabitethernet 1/0/1.1111 Dynamic
-- a0:31:31:33:33:01 gigabitethernet 1/0/3.3333 Dynamic
2 valid mac entries |
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:91:91:01 был изучен на интерфейсе gigabitethernet 1/0/1.1111. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 10 в интерфейс gigabitethernet 1/0/3.3333 и выходит из него с VLAN Tag 3333. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
| Блок кода | ||
|---|---|---|
| ||
esr# monitor gigabitethernet 1/0/3 source-mac e0:30:30:91:91:01 packets 1
08:54:38.121693 e0:30:30:91:91:01 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 3333, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 3.3.3.200 tell 3.3.3.1, length 42
1 packet captured
1 packets received by filter
0 packets dropped by kernel |
Добавление VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейс gigabitethernet 1/0/2 с VLAN Tag 7 добавить VLAN Tag 2711 и направить в интефрейс gigabitethernet 1/0/4. Обратный трафик, с интерфейса gigabitethernet 1/0/4, должен приходить с двумя VLAN Tag: 7 и 2711, и в интерфейс gigabitethernet 1/0/2 должен уходить только с одним VLAN Tag - 7.
Решение:
Настроим bridge :
| Блок кода |
|---|
esr# configure
esr(config)# bridge 5
esr(config-bridge)# no spanning-tree
esr(config-bridge)# enable
esr(config-bridge)# exit |
Создадим саб-интефрейсы - gigabitethernet 1/0/2.7 для терминации VLAN 7 и gigabitethernet 1/0/4 для терминации VLAN 2711, и определим их к bridge 5:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/2.7
esr(config-if-sub)# bridge-group 5
esr(config-if-sub)# exit
esr(config)# interface gigabitethernet 1/0/4.7.2711
esr(config-if-sub)# bridge-group 5
esr(config-if-sub)# end |
Применим и сохраним изменения:
| Блок кода |
|---|
esr(config)# end
esr# commit
esr# confirm |
Диагностика:
Убедимся, что bridge находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br5 Up Up 1500 e4:5a:d4:01:10:02 00,00:36:17 routerport |
Проверим, что саб-интерфейсы принадлежат bridge 10:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces bridge 5
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 5 gi1/0/2.7, gi1/0/4.7.2711 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
esr# sh mac address-table bridge 5
VID MAC Address Interface Type
----- ------------------ ------------------------------ -------
-- e0:30:30:07:07:01 gigabitethernet 1/0/2.7 Dynamic
-- e0:31:31:12:31:23 gigabitethernet 1/0/4.7.2711 Dynamic
2 valid mac entries |
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:07:07:01 был изучен на интерфейсе gigabitethernet 1/0/2.7. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 5 в интерфейс gigabitethernet 1/0/4 и выходит из него с VLAN Tag 7 и 2711. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
| Блок кода | ||
|---|---|---|
| ||
esr# monitor gigabitethernet 1/0/4 source-mac e0:31:31:12:31:23 packets 1
04:12:15.882124 e0:31:31:12:31:23 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 7, p 0, ethertype 802.1Q, vlan 2711, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 123.123.123.1 tell 123.123.123.200, length 42
1 packet captured
1 packets received by filter
0 packets dropped by kernel |
Работа с tunnel
В ESR для функционирования L2 туннелей (L2GRE, L2TPv3) необходимо указывать bridge. Ниже приведены примеры использования bridge с L2 туннелями.
Туннелирование VLAN через L2GRE
Задача:
- выполнить проброс трафика, поступающего из офиса А через интерфейс Gi1/0/4 маршрутизатора R1, в удалённый сегмент сети - офис Б, расположенный за интерфейсом Gi1/0/3 маршрутизатора R2, с сохранением всех тегов VLAN с помощью GRE в режиме L2.
Решение:
Будем производить настройку маршрутизаторов последовательно, начиная с R1.
Настроим bridge :
| Блок кода |
|---|
R1# configure
R1(config)# bridge 1
R1(config-bridge)# no spanning-tree
R1(config-bridge)# enable
R1(config-bridge)# exit
R1(config)# |
Затем настроим интерфейc gigabitethernet 1/0/4 на принятие трафика и определим его к bridge 1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/4
R1(config-if-gi)# mode switchport
R1(config-if-gi)# switchport mode access
R1(config-if-gi)# spanning-tree disable
R1(config-if-gi)# spanning-tree bpdu filtering
R1(config-if-gi)# bridge-group 1
R1(config-if-gi)# exit |
Настроим интерфейс gigabitethernet 1/0/1, через который организован доступ в сеть Интернет, а так же укажем маршрут по умолчанию через шлюз провайдера 198.51.100.1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/1
R1(config-if-gi)# ip firewall disable
R1(config-if-gi)# ip address 198.51.100.4/24
R1(config-if-gi)# exit
R1(config)# ip route 0.0.0.0/0 198.51.100.1 |
Перейдём к настройкам туннеля - необходимо указать режим работы L2, локальный и удалённый адреса, по которым будет устанавливаться GRE-соединение, а так же определить его к bridge 1:
| Блок кода |
|---|
R1(config)# tunnel gre 1
R1(config-gre)# mode ethernet
R1(config-gre)# local address 198.51.100.4
R1(config-gre)# remote address 203.0.113.15
R1(config-gre)# spanning-tree disable
R1(config-gre)# bridge-group 1
R1(config-gre)# enable |
Применим и сохраним изменения для R1:
| Блок кода |
|---|
R1(config-gre)# end
R1# commit
R1# confirm |
Аналогичным образом проведём настройку R2:
| Блок кода |
|---|
R2# configure
R2(config)# bridge 1
R2(config-bridge)# enable
R2(config-bridge)# no spanning-tree
R2(config-bridge)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/3
R2(config-if-gi)# mode switchport
R2(config-if-gi)# switchport mode access
R2(config-if-gi)# spanning-tree disable
R2(config-if-gi)# spanning-tree bpdu filtering
R2(config-if-gi)# bridge-group 1
R2(config-if-gi)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/1
R2(config-if-gi)# ip firewall disable
R2(config-if-gi)# ip address 203.0.113.15/24
R2(config-if-gi)# exit
R2(config)# ip route 0.0.0.0/0 203.0.113.1
R2(config)#
R2(config)# tunnel gre 1
R2(config-gre)# mode ethernet
R2(config-gre)# local address 203.0.113.15
R2(config-gre)# remote address 198.51.100.4
R2(config-gre)# spanning-tree disable
R2(config-gre)# bridge-group 1
R2(config-gre)# enable
R2(config-gre)# end
R2# commit
R2# confirm |
Диагностика:
Проводить диагностику будет параллельно на обоих устройствах для наглядности.
Убедимся, что bridge на обоих маршрутизаторах находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
R1# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br1 Up Up 1500 e4:5a:d4:01:10:02 00,00:36:17 routerport
###
R2# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br1 Up Up 1500 a8:f9:4b:ac:84:1f 00,00:40:20 routerport |
Проверим, что интерфейсы и туннели GRE принадлежат bridge на обоих устройствах:
| Блок кода | ||
|---|---|---|
| ||
R1# show interfaces bridge 1
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 1 gi1/0/4, gre 1
###
R2# show interfaces bridge 1
Bridges Interfaces
---------- --------------------------------------------------------------
bridge 1 gi1/0/3, gre 1 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
R1# show mac address-table bridge 1
VID MAC Address Interface Type
----- ------------------ ------------------------------ -------
-- 68:13:e2:11:11:11 gigabitethernet 1/0/4 Dynamic
-- 68:13:e2:12:12:12 gigabitethernet 1/0/4 Dynamic
-- 68:13:e2:10:10:10 gigabitethernet 1/0/4 Dynamic
-- 68:13:e2:20:20:20 gre 1 Dynamic
-- 68:13:e2:22:22:22 gre 1 Dynamic
-- 68:13:e2:21:21:21 gre 1 Dynamic
6 valid mac entries
###
R2# show mac address-table bridge 1
VID MAC Address Interface Type
----- ------------------ ------------------------------ -------
-- 68:13:e2:21:21:21 gigabitethernet 1/0/3 Dynamic
-- 68:13:e2:22:22:22 gigabitethernet 1/0/3 Dynamic
-- 68:13:e2:20:20:20 gigabitethernet 1/0/3 Dynamic
-- 68:13:e2:12:12:12 gre 1 Dynamic
-- 68:13:e2:10:10:10 gre 1 Dynamic
-- 68:13:e2:11:11:11 gre 1 Dynamic
6 valid mac entries |
Туннелирование VLAN через L2TPv3
Задача:
- выполнить проброс трафика, поступающего из офиса А через интерфейс Gi1/0/4 маршрутизатора R1, в удалённый сегмент сети - офис Б, расположенный за интерфейсом Gi1/0/3 маршрутизатора R2, с сохранением всех тегов VLAN с помощью L2TPv3.
Решение:
Будем производить настройку маршрутизаторов последовательно, начиная с R1.
Настроим bridge :
| Блок кода |
|---|
R1# configure
R1(config)# bridge 1
R1(config-bridge)# no spanning-tree
R1(config-bridge)# enable
R1(config-bridge)# exit
R1(config)# |
Затем настроим интерфейc gigabitethernet 1/0/4 на принятие трафика и определим его к bridge 1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/4
R1(config-if-gi)# mode switchport
R1(config-if-gi)# switchport mode access
R1(config-if-gi)# spanning-tree disable
R1(config-if-gi)# spanning-tree bpdu filtering
R1(config-if-gi)# bridge-group 1
R1(config-if-gi)# exit |
Настроим интерфейс gigabitethernet 1/0/1, через который организован доступ в сеть Интернет, а так же укажем маршрут по умолчанию через шлюз провайдера 198.51.100.1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/1
R1(config-if-gi)# ip firewall disable
R1(config-if-gi)# ip address 198.51.100.4/24
R1(config-if-gi)# exit
R1(config)# ip route 0.0.0.0/0 198.51.100.1 |
Перейдём к настройкам L2TPv3-туннеля. Укажем тип протокола, с помощью которого будет выполняться туннелирование, зададим параметры UDP-порта, идентификатора сессии и IP-адресов, с которых будет устанавливаться туннельное соединение локальной и удалённой сторон. Определим созданный туннель к bridge 1, а так же отключим работу протокола Spanning-Tree, т.к. это соединение типа точка-точка:
| Блок кода |
|---|
R1(config)# tunnel l2tpv3 1
R1(config-l2tpv3)# protocol udp
R1(config-l2tpv3)# local port 65000
R1(config-l2tpv3)# remote port 65001
R1(config-l2tpv3)# local session-id 65000
R1(config-l2tpv3)# remote session-id 65001
R1(config-l2tpv3)# bridge-group 1
R1(config-l2tpv3)# local address 198.51.100.4
R1(config-l2tpv3)# remote address 203.0.113.15
R1(config-l2tpv3)# spanning-tree bpdu filtering
R1(config-l2tpv3)# spanning-tree disable
R1(config-l2tpv3)# enable
R1(config-l2tpv3)# exit |
Применим и сохраним изменения для R1:
| Блок кода |
|---|
R1(config-l2tpv3)# end
R1# commit
R1# confirm |
Аналогичным образом проведём настройку R2:
| Блок кода |
|---|
R2# configure
R2(config)# bridge 1
R2(config-bridge)# enable
R2(config-bridge)# no spanning-tree
R2(config-bridge)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/3
R2(config-if-gi)# mode switchport
R2(config-if-gi)# switchport mode access
R2(config-if-gi)# spanning-tree disable
R2(config-if-gi)# spanning-tree bpdu filtering
R2(config-if-gi)# bridge-group 1
R2(config-if-gi)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/1
R2(config-if-gi)# ip firewall disable
R2(config-if-gi)# ip address 203.0.113.15/24
R2(config-if-gi)# exit
R2(config)# ip route 0.0.0.0/0 203.0.113.1
R2(config)#
R2(config)# tunnel l2tpv3 1
R2(config-l2tpv3)# protocol udp
R2(config-l2tpv3)# local port 65001
R2(config-l2tpv3)# remote port 65000
R2(config-l2tpv3)# local session-id 65001
R2(config-l2tpv3)# remote session-id 65000
R2(config-l2tpv3)# bridge-group 1
R2(config-l2tpv3)# local address 203.0.113.15
R2(config-l2tpv3)# remote address 198.51.100.4
R2(config-l2tpv3)# spanning-tree bpdu filtering
R2(config-l2tpv3)# spanning-tree disable
R2(config-l2tpv3)# enable
R2(config-l2tpv3)# end
R2(config-gre)#
R2# commit
R2# confirm |
Диагностика:
Проводить диагностику будет параллельно на обоих устройствах для наглядности.
Убедимся, что bridge на обоих маршрутизаторах находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
R1# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br1 Up Up 1500 e4:5a:d4:01:10:02 00,00:36:17 routerport
###
R2# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br1 Up Up 1500 a8:f9:4b:ac:84:1f 00,00:40:20 routerport |
И что туннели L2TPv3 успешно поднялись:
| Блок кода | ||
|---|---|---|
| ||
R1# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
State State | ||
| Блок кода | ||
| ||
esr# show interfaces status bridge Interface Admin Link(d,h:m:s) MTU MAC address Last change Mode State State (d,h:m:s) ---------------- ----- ----- ----- ------ ----------------- ---------------- ------------- br5 Up Up 1500 e4:5a:d4:01:10:02 00,00:36:17 routerport |
Проверим, что саб-интерфейсы принадлежат bridge 10:
| Блок кода | ||
|---|---|---|
| ||
esr# show interfaces bridge 5 Bridges Interfaces ---------- -------------------------------------------------------------- bridge 5 gi1/0/2.7, gi1/0/4.7.2711 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
esr# sh mac address-table bridge 5 VID l2tpv3 1 MAC Address Up Interface Up 1500 198.51.100.4 203.0.113.15 00,00:37:18 ### R2# show tunnels Typestatus ----- ------------------ ------------------------------ ------- -- e0:30:30:07:07:01 gigabitethernet 1/0/2.7 Dynamic -- e0:31:31:12:31:23 gigabitethernet 1/0/4.7.2711 Dynamic 2 valid mac entries |
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:07:07:01 был изучен на интерфейсе gigabitethernet 1/0/2.7. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 5 в интерфейс gigabitethernet 1/0/4 и выходит из него с VLAN Tag 7 и 2711. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
| Блок кода | ||
|---|---|---|
| ||
esr# monitor gigabitethernet 1/0/4 source-mac e0:31:31:12:31:23 packets 1
04:12:15.882124 e0:31:31:12:31:23 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 7, p 0, ethertype 802.1Q, vlan 2711, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 123.123.123.1 tell 123.123.123.200, length 42
1 packet captured
1 packets received by filter
0 packets dropped by kernel |
Работа с tunnel
В ESR для функционирования L2 туннелей (L2GRE, L2TPv3) необходимо указывать bridge. Ниже приведены примеры использования bridge с L2 туннелями.
Туннелирование VLAN
Задача:
- выполнить проброс трафика, поступающего из офиса А через интерфейс Gi1/0/4 маршрутизатора R1, в удалённый сегмент сети - офис Б, расположенный за интерфейсом Gi1/0/3 маршрутизатора R2, с сохранением всех тегов VLAN.
Решение:
Будем производить настройку маршрутизаторов последовательно, начиная с R1.
Настроим bridge :
| Блок кода |
|---|
R1# configure
R1(config)# bridge 1
R1(config-bridge)# no spanning-tree
R1(config-bridge)# enable
R1(config-bridge)# exit
R1(config)# |
Затем настроим интерфейc gigabitethernet 1/0/4 на принятие трафика и определим его к bridge 1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/4
R1(config-if-gi)# mode switchport
R1(config-if-gi)# switchport mode access
R1(config-if-gi)# spanning-tree disable
R1(config-if-gi)# spanning-tree bpdu filtering
R1(config-if-gi)# bridge-group 1
R1(config-if-gi)# exit |
Настроим интерфейс gigabitethernet 1/0/1, через который организован доступ в сеть Интернет, а так же укажем маршрут по умолчанию через шлюз провайдера 198.51.100.1:
| Блок кода |
|---|
R1(config)# interface gigabitethernet 1/0/1
R1(config-if-gi)# ip firewall disable
R1(config-if-gi)# ip address 198.51.100.4/24
R1(config-if-gi)# exit
R1(config)# ip route 0.0.0.0/0 198.51.100.1 |
Перейдём к настройкам туннеля - необходимо указать режим работы L2, локальный и удалённый адреса, по которым будет устанавливаться GRE-соединение, а так же определить его к bridge 1:
| Блок кода |
|---|
R1(config)# tunnel gre 1
R1(config-gre)# mode ethernet
R1(config-gre)# local address 198.51.100.4
R1(config-gre)# remote address 203.0.113.15
R1(config-gre)# spanning-tree disable
R1(config-gre)# bridge-group 1
R1(config-gre)# enable
R1(config-gre)# end |
Применим и сохраним изменения для R1:
| Блок кода |
|---|
R1(config-gre)# end
R1# commit
R1# confirm |
Аналогичным образом проведём настройку R2:
| Блок кода |
|---|
R2# configure
R2(config)# bridge 1
R2(config-bridge)# enable
R2(config-bridge)# no spanning-tree
R2(config-bridge)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/3
R2(config-if-gi)# mode switchport
R2(config-if-gi)# switchport mode access
R2(config-if-gi)# spanning-tree disable
R2(config-if-gi)# spanning-tree bpdu filtering
R2(config-if-gi)# bridge-group 1
R2(config-if-gi)# exit
R2(config)#
R2(config)# interface gigabitethernet 1/0/1
R2(config-if-gi)# ip firewall disable
R2(config-if-gi)# ip address 203.0.113.15/24
R2(config-if-gi)# exit
R2(config)# ip route 0.0.0.0/0 203.0.113.1
R2(config)#
R2(config)# tunnel gre 1
R2(config-gre)# mode ethernet
R2(config-gre)# local address 203.0.113.15
R2(config-gre)# remote address 198.51.100.4
R2(config-gre)# spanning-tree disable
R2(config-gre)# bridge-group 1
R2(config-gre)# enable
R2(config-gre)# end
R2# commit
R2# confirm |
Диагностика:
Проводить диагностику будет параллельно на обоих устройствах для наглядности.
Убедимся, что bridge на обоих маршрутизаторах находится в статусе Up:
| Блок кода | ||
|---|---|---|
| ||
R1# show interfaces status bridge Interface Tunnel Admin Link MTU Local IP Remote IP Last change Admin Link MTU MAC address Last change Mode State State State (d,h:m:s) -------------------- ----- ----- ----- ----------------- ------------- ------------ br1 Up Up 1500 e4:5a:d4:01:10:02 00,00:36:17 routerport ### R2# show interfaces status bridge Interface Admin Link ---------------- MTU MAC address Last change---------- ----- ------ ---------------- ---------------- ------------- Mode State State (d,h:m:s) -------------------- ----- ----- ----- ----------------- ------------- ------------ br1 l2tpv3 1 Up Up Up1500 203.0.113.15 1500 a8:f9:4b:ac:84:1f 198.51.100.4 00,00:4037:20 routerport |
Проверим, что интерфейсы и туннели GRE L2TPv3 принадлежат bridge на обоих устройствах:
| Блок кода | ||
|---|---|---|
| ||
R1# show interfaces bridge 1 Bridges Interfaces ---------- -------------------------------------------------------------- bridge 1 gi1/0/4, grel2tpv3 1 ### R2# show interfaces bridge 1 Bridges Interfaces ---------- -------------------------------------------------------------- bridge 1 gi1/0/3, gre 1 bridge 1 gi1/0/3, l2tpv3 1 |
Убедимся, что MAC-адреса изучились в bridge:
| Блок кода | ||
|---|---|---|
| ||
R1# show mac address-table bridge 1 VID MAC Address Interface Type ----- ------------------ ------------------------------ ------- -- 68:13:e2:11:11:11 gigabitethernet 1/0/4 Dynamic -- 68:13:e2:12:12:12 gigabitethernet 1/0/4 Dynamic -- 68:13:e2:10:10:10 gigabitethernet 1/0/4 Dynamic -- 68:13:e2:20:20:20 gre l2tpv3 1 Dynamic Dynamic -- 68:13:e2:22:22:22 gre l2tpv3 1 Dynamic Dynamic -- 68:13:e2:21:21:21 gre 1 Dynamic:21 l2tpv3 1 Dynamic 6 valid mac entries ### R2# show mac address-table bridge 1 VID MAC Address Interface Type ----- ------------------ ------------------------------ ------- -- 68:13:e2:21:21:21 gigabitethernet 1/0/3 Dynamic -- 68:13:e2:22:22:22 gigabitethernet 1/0/3 Dynamic -- 68:13:e2:20:20:20 gigabitethernet 1/0/3 Dynamic -- 68:13:e2:12:12:12 l2tpv3 gre 1 Dynamic Dynamic -- 68:13:e2:10:10:10 l2tpv3 gre 1 Dynamic Dynamic -- 68:13:e2:11:11:11 l2tpv3 gre 1 Dynamic Dynamic 6 valid mac entries |