Připojení klienta na jiné VLAN síti do internetu

Připojení koncového zařízení do nové VLAN tak, aby mělo konektivitu do internetu a zároveň bylo k hlavnímu routeru/firewallu připojeno přes několik switchů, se provede následujícím způsobem.

Nejprve doporučuji, pokud tak není učiněno, vytvořit VTP doménu. Bavíme se zde o Cisco Catalyst switchích (2950, 3550, 3560, 3750), kde by toto neměl být problém. Některý z vyšších switchů (které umí routing, tj. 3xxx) bude sloužit jako VTP server. Bude tedy řídit definice VLAN pro celou switchovou infrastrukturu, neboť ostatní switche budou fungovat jako VTP klienti. Výhodou je, že z jednoho místa řídím všechny zúčastněné switche najednou (a neprocházím switch po switchi a nedělám zbytečné chyby).

Konfigurace VLAN a interního routování

Dříve, než se pustíme do VTP nastavení, přepneme všechny swiche (kromě vytipovaného VTP serveru) do VTP klient módu. Protože v mém případě jsem měl problémy s funkcionalitou ve VTP verzi 2, ještě přepneme VTP do verze 1 a zkontroluji celkové nastavení VTP. Dělá se to po přihlášení ke switchi takto:

C2950>enable
C2950#conf term
C2950(config)#vtp mode client
C2950(config)#end
C2950#vtp version 1
C2950#sh vtp s

Pokud je vše v pořádku, uložíme konfiguraci (a pokračujeme u všech vytipovaných klientů stejným způsobem).

C2950#copy ru st
C2950#exit

Podobným způsobem nastavíme VTP server do módu server.

C3750>en
C3750#conf term
C3750(config)#vtp mode server
C3750(config)#end
C3750#vtp version 1
C3750#sh vtp s
C3750#copy ru st
C3750#exit

Důležité je, aby ve výpise stavu vtp byly položky „VTP Pruning Mode“ a „VTP V2 Mode“ ve stavu „Disabled“.

Pokud jsme připravili strukturu pro VTP, vydefinujeme si novou VLAN, na které budeme používat koncové zařízení (např. femtocellu od Vodafone nebo prostě izolovanou klientskou stanici, třeba notebook návštěvy).

C3750>en
C3750#conf term
C3750(config)#interface vlan 2
C3750(config-if)#ip address 10.0.2.1 255.255.255.0
C3750(config-if)#no shutdown

Pro případ, že bude třeba, aby koncové zařízení komunikovalo do jiných sítí (např. do internetu), nastavíme defaultní routu na bránu, která přes sebe váže provoz do jiných sítí:

C3750(config-if)#exit
C3750(config)#ip route 0.0.0.0 0.0.0.0 10.0.1.254
C3750(config)#end

A zkontrolujeme stav VLAN na VTP serveru a pokud je vše v pořádku, uložíme.

C3750#sh vl b
C3750#copy ru st
C3750#exit

Nyní je potřeba také nastavit routu na posledním aktivním prvku (VTP klientovi) v řetězci, na kterém je připojené zařízení a navázat jím obsazený port do VLAN 2.

C2950>enable
C2950#conf term
C2950(config)#ip default-gateway 10.0.1.1
C2950(config)#interface Fastethernet 0/1
C2950(config-if)#switchport access vlan 2
C2950(config-if)#switchport mode access
C2950(config-if)#description koncove_zarizeni
C2950(config-if)#end
C2950#copy ru st
C2950#exit

Nyní tedy máme připravenou infrastrukturu pro interní komunikaci mezi VLAN. Ještě nás čeká nastavení routingu z interní sítě do internetu (na primárním routeru či firewallu) a zajištění rozpoznání koncového zařízení (resp. přidělení IP adresy z interního DHCP serveru, který sídlí ve VLAN 1 koncovému zařízení sídlícímu ve VLAN 2).

Konfigurace externího routování

Nyní se zaměříme na primárním routeru, tedy bránu mezi interní sítí a internetem. Na primárním routeru musíme udělat tři věci: nastavit routing na rozhraní, které míří do interní sítě tak, aby akceptovalo komunikaci z a do VLAN 2, dále zařídit překlad z VLAN 2 na ostatní (externí) rozhraní a nakonec v access-listu povolit provoz z VLAN 2 na konkrétní (nebo všechny) porty/protokoly ven.

Začneme tedy routingem a kontrolou nastavení:

C5510>en
C5510#conf term
C5510(config)#route inside 10.0.2.0 255.255.255.0 10.1.0.232
C5510(config)#end
C5510#show route
C5510#copy ru st
C5510#exit

Pokračujeme nastavením překladu (pro příklad je povolené vše ven):

C5510>en
C5510#conf term
C5510(config)#nat (inside) 1 10.0.1.0 255.255.0.0 outside any
C5510(config)#end
C5510#show nat
C5510#copy ru st
C5510#exit

A zakončíme definicí access-listu:

C5510>en
C5510#conf term
C5510(config)#access-list in extended permit ip 10.0.1.0 255.255.0.0 any
C5510(config)#end
C5510#show access-list
C5510#copy ru st
C5510#exit

Nyní máme téměř kompletně připravenou Cisco infrastrukturu a čeká nás již jen definice DHCP poolu na nějakém DHCP serveru a krátká sekvence na VTP serveru, která zajistí přenost unicastu (nutné pro přenos DHCP paketů) mezi sítěmi. A tím raději začneme, dokud jsme myšlenkami v Cisco světě. Nastavíme pro VLAN 2 adresu (samozřejmě kdesi ve VLAN 1 existujícího) DHCP serveru.

C3750>en
C3750#conf term
C3750(config)#interface vlan 2
C3750(config-if)#no ip directed-broadcast
C3750(config-if)#ip helper-address 10.0.1.2
C3750(config-if)#exit
C3750(config)#interface vlan 1
C3750(config-if)#no ip directed-broadcast
C3750(config-if)#end
C3750#copy ru st
C3750#exit

Tímto se loučíme s Cisco světem a přecházíme do serverového prostředí.

Konfigurace DHCP

Pro náš příklad uvažujeme, že DHCP server sídlí ve VLAN 1 a má IP adresu 10.1.0.2. Na tomto serveru je potřeba vytvořit DHCP pool, který bude z rozsahu 10.0.2.x až 10.0.2.y s maskou 255.255.255.0 a routerem/gatewayí 10.1.0.232.

Nezapomeňte nastavit také hodnoty pro DNS, aby se klient na koncovém zařízení nemusel na např. na webové stránky dívat přes IP adresu (77.75.72.3), ale přes URL (http://www.seznam.cz) :-).