Концепция мостов
Как известно, маршрутизаторы ограничивают широковещательный домен в пределах одного интерфейса, не позволяя broadcast-кадрам коммутироваться между ними.
Широковещательный домен (сегмент) (англ. broadcast domain) — логический участок компьютерной сети, в котором все узлы могут передавать данные друг другу с помощью широковещания на канальном уровне сетевой модели OSI.
Помимо этого маршрутизаторы осуществляют обработку входящего трафика на уровнях MAC, VLAN, IP и т.д. в случае, если он предназачен ему. Если трафик не предназначается интерфейсу этого маршрутизатора, то он будет отброшен. Для понимания рассмотрим обе ситуации более детально ниже.
На левой стороне Рис.1 мы видим как на интерфейс Gi1/0/1 маршрутизатора поступает три кадра. Первый кадр будет декапсулирован на уровне MAC-заголовка (MAC hdr) после чего будет произведён поиск по таблице маршрутизации согласно которой трафик должен быть отправлен через интерфейс Gi1/0/2. Перед тем как отправить пакет маршрутизатор новый МАС-заголовок к IP-заголовку (IP hdr), а затем перешлёт его через интерфейс.
Два остальных кадра будут отброшены им, т.к. в случае второго в нём будет присутствовать заголовок VLAN (VLAN hdr), хотя интерфейс настроен на обработку нетегированного трафика, а в случае третьего мы имеем ARP-запрос, в структуре которого не имеется данных, принадлежащих этому маршрутизатору.
В маршрутизаторах линейки ESR все интерфейсы по умолчанию(при их первоначальной настройке) работают в режиме routerport, что подразумевает под собой обработку трафика на канальном и сетевом уровнях согласно приведённому примеру выше. Тем не менее имеется возможность организовать коммутацию трафика между разными интерфейсами, в том числе и по VLAN Tag. Для этого необходимо настроить интерфейс в режим switchport:
Рассмотрим пример из Рис.2. На интерфейс Gi1/0/1 маршрутизатора поступает три кадра: первый - ARP-request без VLAN Tag, второй - так же ARP-request, но уже с VLAN Tag ID 20 и третий - IP-пакет с адресом назначения 10.0.0.1/24, без VLAN Tag. Настройки интерфейсов следующие:
- интерфейс Gi1/0/1 настроен в mode switchport, что означает, что он работает только с заголовками Layer 2, а для коммутации кадров по VLAN настроен режим Trunk для обработки тегов с VLAN ID 20, а так же добавление VLAN Tag 10 для трафика, не имеющего VLAN
- интерфейс Gi1/0/2 так же настроен в mode switchport, для коммутации кадров по VLAN настроен режим Trunk для обработки тегов с VLAN ID 400, а так же добавление VLAN Tag 10 для трафика, не имеющего VLAN
- интерфейс Gi1/0/3 настроен в mode switchport, для коммутации кадров по VLAN настроен режим Access, добавляя всем кадрам, не имеющего заголовка VLAN, тег 20
- интерфейс Gi1/0/4 настроен в mode routerport, с обработкой трафика, имеющего VLAN ID 10, и назначенным IP-адресом 10.0.0.1/24
Первый кадр после прохождения интерфейса Gi1/0/1 должен быть разослан во все интерфейсы, обрабатывающие кадры с VLAN Tag ID = 20, т.к. он уже имеет данный тег. В данном примере такой интерфейс только один - Gi1/0/3, поэтому данный фрейм будет скоммутирован через него.
Второй кадр после поступления на интерфейс Gi1/0/1 обретёт заголовок VLAN с тегом 10, т.к. на входе не имел этого заголовка ранее. Затем данный кадр необходимо разослать всем интерфейсам, выполняющим обработку VLAN 10.
На первый взгляд выполнить широковещательную рассылку необходимо на интерфейсы Gi1/0/2(т.к. на нём установлен native-vlan 10 для обработки нетегированного трафика) и на саб-интерфейс Gi1/0/4.10. Однако, широковещание будет осуществлено только в рамках интерфейса Gi1/0/2, т.к. саб-интерфейс Gi1/0/4.10 работает в режиме routerport и представляет из себя самостоятельный бродкастовый домен.
Третий кадр, как и второй, после поступления на интерфейс Gi1/0/1 обретёт заголовок VLAN с тегом 10, т.к. на входе тоже не имел его ранее. Так как IP-адрес назначения у этого кадра 10.0.0.1/24 предполагается, что маршрутизатор скомутирует его на саб-интерфейс Gi1/0/4.10 и декапсулирует до вышестоящих уровней - IP. Но этого не произойдёт всё по тем же причинам, как это было и со вторым кадром - саб-интерфейс Gi1/0/4.10 является самостоятельным бродкастовым доменом.
Чтобы осуществить задачу одновременной коммутации по VLAN тегам и обработки трафика по заголовкам сетевого и вышестоящих уровней необходимо использовать функционал bridge.
Область применения
Стоит отметить, что для выполнения задачи терминации VLAN и ограничения широковещательного домена на маршрутизаторе необходимо использовать sub / qinq - интерфейсы. Bridge является альтернативным, а не основным вариантом выполнения данной задачи ввиду ограниченной функциональности, о которой будет рассказано в данной статье далее.
Возможности
Следующие ключевые возможности bridge доступны на устройствах ESR:
- функции коммутации
- Терминация VLAN
- Широковещательная рассылка
- MAC-learning
- Изоляция портов
- STP
- функций IP
- IPv4/v6 адресация
- Маршрутизация (статическая, динамическая)
- PBR
- VRRP
- VRF
- Firewall
- NAT
- Helper-address
- ARP
- SLA
- HTTP(s) proxy
- DHCP (client/server)
- sFlow/NetFlow
- BFD
- MultiWAN
- IPS
- терминация MPLS PE (L3VPN, VPLS)
- QoS
- ведение истории статистики
Функциональные ограничения bridge на устройствах ESR:
- отсутствует поддержка интерфейсов Е1
- отсутствует поддержка access-list
- отсутствует поддержка SPAN
Работа с bridge
Условия работы
Bridge является логическим интерфейсом и, как и физический, имеет administrative и link state. Administrative state активированного bridge всегда имеет значение up, link state зависит от такого же статуса интерфейсов или VLAN, которые принадлежат этому bridge.
Если данному bridge принадлежит хотя бы один интерфейс и его link state - Up, значит и link state bridge будет Up, и наоборот - если link state интерфейса, принадлежащего bridge - down, то и link state самого bridge будет down. Перевод интерфейса, принадлежащего bridge, в административный статус down (с помощью команды shutdown) приведёт к изменению link state к статусу down этого bridge. Если хотя бы один интерфейс, принадлежащий bridge, имеет link state - up, то bridge так же будет иметь link state - up.
В случае с VLAN ситуация аналогичная, но следует учитывать и его статус. Статус VLAN зависит от link state интерфейса, который занимается обработкой этой VLAN: если интерфейс имеет link state - Up, то статус VLAN считается активным, если же link state - down, то VLAN не активен. VLAN так же считается не активной, если её не обрабатывает ни один интерфейс.
Создание
Чтобы создать bridge достаточно указать одноимённую команду и указать его номер в глобальном режиме конфигурирования. В настройках bridge необходимо активировать его работу с помощью команды enable:
esr# configure esr(config)# bridge 10 esr(config-bridge)# ip address 10.0.0.1/24 esr(config-bridge)# enable
Добавление интерфейсов в bridge осуществляется с помощью команды bridge-group <index> в режиме конфигурирования добавляемого интерфейса:
esr(config)# interface gigabitethernet 1/0/1.100 esr(config-if-sub)# bridge-group 1
Итоговая конфигурация типового bridge выглядит следующим образом:
esr# show running-config bridges bridge 1 ip address 10.0.0.1/24 enable exit interface gigabitethernet 1/0/1.100 bridge-group 1 exit interface gigabitethernet 1/0/2.100 bridge-group 1 exit
Ограничения по интерфейсам
В bridge могут быть добавлены следующие типы интерфейсов:
routerport.sub - [gigabitethernet 1/0/1.1111] routerport.sub.qinq - [gigabitethernet 1/0/1.1111.2222] switchport.access - [switchport access vlan 30] swtichport.trunk - [switchport mode trunk] swtichport.general - [switchport mode general] hybrid tunnel - [l2tpv3 1] tunnel.sub - [gre 1.4000]
Однако, следует учитывать следующие ограничения:
- Нельзя добавить физический интерфейс в режиме switchport с конкретно указанными на нём VLAN в тегированном режиме. Допускается добавление интерфейса, работающего в тегированном режиме trunk:
interface gigabitethernet 1/0/4 mode switchport switchport mode trunk switchport trunk allowed vlan add 20-21 exit esr(config-if-gi)# bridge-group 1 error - check 'gigabitethernet 1/0/4': cannot add this interface to a bridge-group, because the interface is configured in L2 mode
interface gigabitethernet 1/0/4 mode switchport switchport mode trunk bridge-group 1 exit
- Нельзя добавить физический интерфейс в режиме switchport в тегированном режиме trunk с сохранением тега:
interface gigabitethernet 1/0/4 mode switchport switchport mode trunk bridge-group 1 exit esr(config-if-gi)# bridge-group 1 tagged error - check 'gigabitethernet 1/0/4': cannot add this interface to a bridge-group, because 'tagged' mode is not necessary when switchport mode trunk is configured
- Если на bridge назначен IP-адрес, то к нему не может быть назначен физический интерфейс, работающий в режиме switchport. Справедливо и обратное - если к bridge уже определён любой физический интерфейс, работающий в режиме switchport, на нём не может быть назначен IP-адрес:
esr(config)# interface gigabitethernet 1/0/3 esr(config-if-gi)# bridge-group 1 error - check 'gigabitethernet 1/0/3': can't include interface in the bridge 1 because ip address is assigned on bridge
esr(config-bridge)# ip address 1.1.1.1/30 error - check 'ip address': can not assign '1.1.1.1/30' on interface 'bridge 1', bridge contain physical port
- Если в bridge добавлен хотя бы один интерфейс в режиме switchport с сохранением тега (bridge-group x tagged), то на всём bridge активируется режим фильтрации по VLAN. Это означает, что при поступлении в bridge трафика без VLAN Tag, он будет отброшен. Типичным примером такого интерфейса являются .sub , .sub.qinq интерфейсы, т.к. при поступлении трафика из этого интерфейса в bridge VLAN Tag с него снимается.
Диагностика bridge
Для проверки оперативного статуса bridge следует использовать команду show interfaces status bridge:
esr# show interfaces status bridge
Interface Admin Link MTU MAC address Last change Mode
State State (d,h:m:s)
-------------------- ----- ----- ----- ----------------- ------------- ------------
br1 Up Up 1500 e4:5a:d4:11:01:10 07,10:28:48 routerport
br2 Up Down 1500 e4:5a:d4:11:01:11 07,10:29:03 routerport
Более подробную информацию по конкретному bridge можно увидеть с помощью команды show interfaces status bridge <number>:
esr# show interfaces status bridge 1
Interface 'br1' status information:
Description: --
Operational state: Up
Administrative state: Up
Track ID: --
Supports broadcast: Yes
Supports multicast: Yes
MTU: 1500
MAC address: e4:5a:d4:11:01:10
Last change (d,h:m:s):07,10:28:48
Mode: routerport
С помощью команды show interfaces bridge отображается список bridge и интерфейсы, VLAN, которые к ним привязаны:
esr# show interfaces bridge Bridges Interfaces ---------- -------------------------------------------------------------- bridge 1 gi1/0/1-2, vlan 30, gi1/0/4.200 bridge 2 vlan 50
Проверить таблицу MAC-адресов в bridge можно с помощью команды show mac address-table bridge <number> :
esr# show mac address-table bridge 1 VID MAC Address Interface Type ----- ------------------ ------------------------------ ------- -- e4:5a:d4:a0:33:33 gigabitethernet 1/0/1 Dynamic -- e4:5a:d4:a0:11:11 gigabitethernet 1/0/2 Dynamic -- e4:5a:d4:a0:22:22 gigabitethernet 1/0/2 Dynamic 3 valid mac entries
Способы использования
Используя функционал bridge следует учитывать, что при добавлении нескольких интерфейсов, работающих с фреймами в нетегированном режиме (mode switchport + switchport mode access / general ... untagged),происхоидт объединение широковещательных доменов, т.к. при поступлении трафика из интерфейса в bridge VLAN Tag снимается.
Объединение в единый широковещательный домен
Задача:
- объединить сегменты сети офиса А, расположенного за интерфейсом gigabitethernet 1/0/1 и офиса Б, находящегося за интерфейсом gigabitethernet 1/0/2, в один широковещательный домен для организации работы DHCP-сервера.
Решение:
Настроим bridge 1 - зададим на нём IP-адрес 10.0.0.1, который будет использован в дальнейшем для организации DHCP-сервера в подсети 10.0.0.0/24:
esr# configure esr(config)# bridge 1 esr(config-bridge)# ip firewall disable esr(config-bridge)# ip address 10.0.0.1/24 esr(config-bridge)# no spanning-tree esr(config-bridge)# enable esr(config-bridge)# exit
Настроим саб-интефрейсы - gigabitethernet 1/0/1 на работу фреймов с VLAN 1010 и gigabitethernet 1/0/2 на VLAN 2030. Определим их к bridge 1:
esr(config)# interface gigabitethernet 1/0/1.1010 esr(config-if-sub)# bridge-group 1 esr(config-if-sub)# ip firewall disable esr(config-if-sub)# exit esr(config)# interface gigabitethernet 1/0/2.2030 esr(config-if-sub)# bridge-group 1 esr(config-if-sub)# ip firewall disable esr(config-if-sub)# exit
Закончим настройку маршрутизатора конфигурированием DHCP-сервера в подсети 10.0.0.0/24. Диапазон адресов зададим от 10.0.0.10 до 10.0.0.200, а в качестве default-router укажем IP-адрес бриджа на маршрутизаторе:
esr(config)# ip dhcp-server esr(config)# ip dhcp-server pool Offices esr(config-dhcp-server)# network 10.0.0.0/24 esr(config-dhcp-server)# address-range 10.0.0.10-10.0.0.200 esr(config-dhcp-server)# default-router 10.0.0.1 esr(config-dhcp-server)# exit
Не забываем применить и сохранить изменения:
esr(config)# end esr# commit esr# confirm
Диагностика:
Убедимся, что bridge находится в статусе Up:
Проверим, что саб-интерфейсы принадлежат bridge 10:
Убедимся, что MAC-адреса изучились в bridge:
Убедимся, что DHCP-клиенты в bridge успешно получили IP-адреса:
Dot1q tunneling
Решение для программной линейки устройств
Устройства с программной реализацией коммутации (все модели ESR, кроме ESR-1000 / 1200 / 1500 / 1511 / 1700) могут решать задачу туннелирования пользовательского трафика с добавлением S-Tag с поомщью функционала bridge. Однако, данный метод имеет следующие ограничения:
- входящий и исходящий интерфейсы должны принадлежать bridge
- нельзя назначить VLAN, выступающий в роли S-Tag, на другой интерфейс в режиме switchport trunk
Задача:
- На маршрутизаторе R1 интерфейсе Gi 1/0/1 принять клиентский трафик с разными C-Tag VLAN(100, 200 , 300), инкапсулировать в S-Tag VLAN 4000 и отправить в Trunk через интерфейс Gi 1/0/3.
Решение:
Настроим bridge:
esr# configure esr(config)# bridge 1 esr(config-bridge)# no spanning-tree esr(config-bridge)# enable esr(config-bridge)# exit
Выполним настройку интерфейса gigabitethernet 1/0/1, с которого будем принимать кадры с уже имеющимися тегами, добавив его к bridge 1:
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# mode switchport esr(config-if-gi)# bridge-group 1 esr(config-if-gi)# exit
И настроим интерфейс gigabitethernet 1/0/3, на котором будет выполняться терминация S-Tag VLAN 4000:
esr(config)# interface gigabitethernet 1/0/3.4000 esr(config)# bridge-group 1 esr(config)# exit
Не забываем применить и сохранить изменения:
esr(config)# end esr# commit esr# confirm
Диагностика:
Проверим, что на интерфейс gigabitethernet 1/0/1 поступает трафик с разными C-Tag VLAN с помощью команды monitor:
esr# monitor gigabitethernet 1/0/1 18:24:54.016778 a8:f9:4b:00:00:10 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 100, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 100.100.100.200 tell 100.100.100.1, length 42 18:24:54.880540 a8:f9:4b:00:00:30 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 300, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 30.30.30.200 tell 30.30.30.1, length 42 18:24:55.179788 a8:f9:4b:00:00:20 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 60: vlan 200, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 200.200.200.200 tell 200.200.200.1, length 42 ^C 3 packets captured 3 packets received by filter 0 packets dropped by kernel
Теперь удостоверимся, что через интерфейс gigabitethernet 1/0/3 кадры поступают с новым S-Tag VLAN 4000. Выполнять команду monitor необходимо именно на интерфейсе gigabitethernet 1/0/3, дабы увидеть наличие тега VLAN :
esr# monitor gigabitethernet 1/0/3 18:24:55.3479 a8:f9:4b:00:00:10 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 100, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 100.100.100.200 tell 100.100.100.1, length 42 18:24:55.4013 a8:f9:4b:00:00:30 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 300, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 30.30.30.200 tell 30.30.30.1, length 42 18:24:55.7596 a8:f9:4b:00:00:20 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 4000, p 0, ethertype 802.1Q, vlan 200, p 0, ethertype ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 200.200.200.200 tell 200.200.200.1, length 42 ^C 3 packets captured 3 packets received by filter 0 packets dropped by kernel
VLAN Tag mapping
Рассмотрим несколько примеров, в которых необходимо изменить или добавить VLAN Tag.
Изменение VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейсы gigabitethernet 1/0/1 и gigabitethernet 1/0/3, изменить значение VLAN с 1111 на 3333
Решение:
Настроим bridge :
esr# configure esr(config)# bridge 10 esr(config-bridge)# no spanning-tree esr(config-bridge)# enable esr(config-bridge)# exit
Создадим саб-интефрейсы - gigabitethernet 1/0/1.1111 для терминации VLAN 1111 и gigabitethernet 1/0/3 для терминации VLAN 3333, и определим их к bridge 1:
esr(config)# interface gigabitethernet 1/0/1.1111 esr(config-if-sub)# bridge-group 10 esr(config-if-sub)# exit esr(config)# interface gigabitethernet 1/0/3.3333 esr(config-if-sub)# bridge-group 10 esr(config-if-sub)# end
Применим и сохраним изменения:
esr(config)# end esr# commit esr# confirm
Диагностика:
Убедимся, что bridge находится в статусе Up:
Проверим, что саб-интерфейсы принадлежат bridge 10:
Убедимся, что MAC-адреса изучились в bridge:
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:91:91:01 был изучен на интерфейсе gigabitethernet 1/0/1.1111. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 10 в интерфейс gigabitethernet 1/0/3.3333 и выходит из него с VLAN Tag 3333. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
Добавление VLAN Tag
Задача:
- для транзитного трафика, проходящего через интерфейс gigabitethernet 1/0/2 с VLAN Tag 7 добавить VLAN Tag 2711 и направить в интефрейс gigabitethernet 1/0/4. Обратный трафик, с интерфейса gigabitethernet 1/0/4, должен приходить с двумя VLAN Tag: 7 и 2711, и в интерфейс gigabitethernet 1/0/2 должен уходить только с одним VLAN Tag - 7.
Решение:
Настроим bridge :
esr# configure esr(config)# bridge 5 esr(config-bridge)# no spanning-tree esr(config-bridge)# enable esr(config-bridge)# exit
Создадим саб-интефрейсы - gigabitethernet 1/0/2.7 для терминации VLAN 7 и gigabitethernet 1/0/4 для терминации VLAN 2711, и определим их к bridge 5:
esr(config)# interface gigabitethernet 1/0/2.7 esr(config-if-sub)# bridge-group 5 esr(config-if-sub)# exit esr(config)# interface gigabitethernet 1/0/4.7.2711 esr(config-if-sub)# bridge-group 5 esr(config-if-sub)# end
Применим и сохраним изменения:
esr(config)# end esr# commit esr# confirm
Диагностика:
Убедимся, что bridge находится в статусе Up:
Проверим, что саб-интерфейсы принадлежат bridge 10:
Убедимся, что MAC-адреса изучились в bridge:
Согласно таблице МАС-адресов, МАС-адрес e0:30:30:07:07:01 был изучен на интерфейсе gigabitethernet 1/0/2.7. Проверим, что трафик с этим МАС-адресом успешно проходит через bridge 5 в интерфейс gigabitethernet 1/0/4 и выходит из него с VLAN Tag 7 и 2711. Сделать это можно с помощью встроенного анализатора трафика командой monitor:
Работа с tunnel
В ESR для функционирования L2 туннелей (L2GRE, L2TPv3) необходимо указывать bridge. Ниже приведены примеры использования bridge с L2 туннелями.
Туннелирование VLAN через L2GRE
Задача:
- выполнить проброс трафика, поступающего из офиса А через интерфейс Gi1/0/4 маршрутизатора R1, в удалённый сегмент сети - офис Б, расположенный за интерфейсом Gi1/0/3 маршрутизатора R2, с сохранением всех тегов VLAN.
Решение:
Будем производить настройку маршрутизаторов последовательно, начиная с R1.
Настроим bridge :
R1# configure R1(config)# bridge 1 R1(config-bridge)# no spanning-tree R1(config-bridge)# enable R1(config-bridge)# exit R1(config)#
Затем настроим интерфейc gigabitethernet 1/0/4 на принятие трафика и определим его к bridge 1:
R1(config)# interface gigabitethernet 1/0/4 R1(config-if-gi)# mode switchport R1(config-if-gi)# switchport mode access R1(config-if-gi)# spanning-tree disable R1(config-if-gi)# spanning-tree bpdu filtering R1(config-if-gi)# bridge-group 1 R1(config-if-gi)# exit
Настроим интерфейс gigabitethernet 1/0/1, через который организован доступ в сеть Интернет, а так же укажем маршрут по умолчанию через шлюз провайдера 198.51.100.1:
R1(config)# interface gigabitethernet 1/0/1 R1(config-if-gi)# ip firewall disable R1(config-if-gi)# ip address 198.51.100.4/24 R1(config-if-gi)# exit R1(config)# ip route 0.0.0.0/0 198.51.100.1
Перейдём к настройкам туннеля - необходимо указать режим работы L2, локальный и удалённый адреса, по которым будет устанавливаться GRE-соединение, а так же определить его к bridge 1:
R1(config)# tunnel gre 1 R1(config-gre)# mode ethernet R1(config-gre)# local address 198.51.100.4 R1(config-gre)# remote address 203.0.113.15 R1(config-gre)# spanning-tree disable R1(config-gre)# bridge-group 1 R1(config-gre)# enable R1(config-gre)# end
Применим и сохраним изменения для R1:
R1(config-gre)# end R1# commit R1# confirm
Аналогичным образом проведём настройку R2:
R2# configure R2(config)# bridge 1 R2(config-bridge)# enable R2(config-bridge)# no spanning-tree R2(config-bridge)# exit R2(config)# R2(config)# interface gigabitethernet 1/0/3 R2(config-if-gi)# mode switchport R2(config-if-gi)# switchport mode access R2(config-if-gi)# spanning-tree disable R2(config-if-gi)# spanning-tree bpdu filtering R2(config-if-gi)# bridge-group 1 R2(config-if-gi)# exit R2(config)# R2(config)# interface gigabitethernet 1/0/1 R2(config-if-gi)# ip firewall disable R2(config-if-gi)# ip address 203.0.113.15/24 R2(config-if-gi)# exit R2(config)# ip route 0.0.0.0/0 203.0.113.1 R2(config)# R2(config)# tunnel gre 1 R2(config-gre)# mode ethernet R2(config-gre)# local address 203.0.113.15 R2(config-gre)# remote address 198.51.100.4 R2(config-gre)# spanning-tree disable R2(config-gre)# bridge-group 1 R2(config-gre)# enable R2(config-gre)# end R2# commit R2# confirm
Диагностика:
Проводить диагностику будет параллельно на обоих устройствах для наглядности.
Убедимся, что bridge на обоих маршрутизаторах находится в статусе Up:
Проверим, что интерфейсы и туннели GRE принадлежат bridge на обоих устройствах:
Убедимся, что MAC-адреса изучились в bridge: