/ 3.-static_routing / 03-nastroyka.md
03-nastroyka.md
1 # Настройка 2 3 Содержание: 4 5 * Настройка 6 * Москва. Арбат 7 * Провайдер 8 * Санкт-Петербург. Васильевский остров 9 * Санкт-Петербург. Озерки 10 * Кемерово. Красная горка 11 12 Каким образом мы организуем каналы связи? Как мы уже сказали выше, в нашем офисе на Арбате есть некий провайдер Балаган-Телеком. Он обещает нам предоставить всё, что мы только захотим почти задарма. И мы заказываем у него две услуги L2VPN, то есть он отдаст нам два влана на Арбате в Москве, и по одному в Питере и Кемерово. 13 Вообще говоря, номера вланов вам придётся согласовывать с вашим провайдером по той простой причине, что у него они могут быть просто заняты. Поэтому вполне возможно, что у вас будет влан, например, 2912 или 754. Но предположим, что нам повезло, и мы вольны сами выбирать номер. 14 15 ## Москва. Арбат 16 17 На циске в Москве у нас два интерфейса, к одному — FE0/0 — уже подключена наша локальная сеть, а второй \(FE0/1\)мы будем использовать для выхода в интернет и для подключения удалённых офисов. 18 Как и в самом начале создадим саб-интерфейсы. Выделим для Санкт-Петербурга и Кемерова 4 и 5-й вланы соответственно. IP-адреса берём из нового IP-плана. 19 20 ```text 21 msk-arbat-gw1(config)#interface FastEthernet 0/1.4 22 msk-arbat-gw1(config-subif)#description Saint-Petersburg 23 msk-arbat-gw1(config-subif)#encapsulation dot1Q 4 24 msk-arbat-gw1(config-subif)#ip address 172.16.2.1 255.255.255.252 25 msk-arbat-gw1(config)#interface FastEthernet 0/1.5 26 msk-arbat-gw1(config-subif)#description Kemerovo 27 msk-arbat-gw1(config-subif)#encapsulation dot1Q 5 28 msk-arbat-gw1(config-subif)#ip address 172.16.2.17 255.255.255.252 29 ``` 30 31 ## Провайдер 32 33 Разумеется, мы не будем строить всю сеть провайдера. Вместо этого просто поставим коммутатор, ведь по сути сеть провайдера с нашей точки зрения будет одним огромным абстрактным коммутатором. 34 35 Тут всё просто: принимаем транком линк с Арбата в один порт и с двух других портов отдаём их на удалённые узлы. Ещё раз хотим подчеркнуть, что все эти 3 порта не принадлежат одному коммутатору — они разнесены на сотни километров, между ними сложная MPLS-сеть с кучей коммутаторов. 36 37 Настраиваем “эмулятор провайдера”: 38 39 ```text 40 Switch(config)#vlan 4 41 Switch(config-vlan)#vlan 5 42 Switch(config)#interface fa0/1 43 Switch(config-if)#switchport mode trunk 44 Switch(config-if)#switchport trunk allowed vlan 4-5 45 Switch(config-if)#exit 46 Switch(config)#int fa0/2 47 Switch(config-if)#switchport trunk allowed vlan 4 48 Switch(config-if)#int fa0/3 49 Switch(config-if)#switchport trunk allowed vlan 5 50 ``` 51 52 ## Санкт-Петербург. Васильевский остров 53 54 Теперь обратимся к нашему spb-vsl-gw1. Тут у нас тоже 2 порта, но решим вопрос нехватки портов иначе: добавим сюда плату. Плата с двумя FastEthernet-портам и двумя слотами для WIC вполне подойдёт. 55 56  57 58 Пусть встроенные порты будут для локальной сети, а порты на дополнительной плате мы используем для аплинка и связи с Озерками. 59 60  61 62 Здесь вы можете увидеть отличие в нумерации портов и понять их смысл. 63 FastEthernet — это тип порта \(Ethernet, Fastethernet, GigabitEthernet, POS, Serial или другие\) 64 x/y/z.w=Slot/Sub-slot/Interface.Sub-interface. 65 66 Каким образом здесь вам провайдер будет отдавать канал — транком или аксесом, вы решаете сообща. Как правило, для него не составит проблем ни один из вариантов. 67 Но мы уже настроили транк, поэтому соответствующим образом настраиваем порт на циске: 68 69 ```text 70 spb-vsl-gw1(config)interface FastEthernet1/0.4 71 spb-vsl-gw1(config-if)description Moscow 72 spb-vsl-gw1(config-if)encapsulation dot1Q 4 73 spb-vsl-gw1(config-if)ip address 172.16.2.2 255.255.255.252 74 ``` 75 76 Добавим ещё локальную сеть: 77 78 ```text 79 spb-vsl-gw1(config)#int fa0/0 80 spb-vsl-gw1(config-if)#description LAN 81 spb-vsl-gw1(config-if)#ip address 172.16.16.1 255.255.255.0 82 ``` 83 84 Вернёмся в Москву. С msk-arbat-gw1 мы можем увидеть адрес 172.16.2.2: 85 86 ```text 87 msk-arbat-gw1#ping 172.16.2.2 88 89 Type escape sequence to abort. 90 Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds: 91 !!!!! 92 Success rate is 100 percent (5/5), round-trip min/avg/max = 2/7/13 ms 93 ``` 94 95 Но так же не видим 172.16.16.1: 96 97 ```text 98 msk-arbat-gw1#ping 172.16.16.1 99 100 Type escape sequence to abort. 101 Sending 5, 100-byte ICMP Echos to 172.16.16.1, timeout is 2 seconds: 102 ..... 103 Success rate is 0 percent (0/5) 104 ``` 105 106 Опять же, потому что маршрутизатор не знает, куда слать пакет: 107 108 ```text 109 msk-arbat-gw1#sh ip route 110 111 Gateway of last resort is not set 112 113 172.16.0.0/16 is variably subnetted, 8 subnets, 2 masks 114 C 172.16.0.0/24 is directly connected, FastEthernet0/0.3 115 C 172.16.1.0/24 is directly connected, FastEthernet0/0.2 116 C 172.16.2.0/30 is directly connected, FastEthernet0/1.4 117 C 172.16.3.0/24 is directly connected, FastEthernet0/0.101 118 C 172.16.4.0/24 is directly connected, FastEthernet0/0.102 119 C 172.16.5.0/24 is directly connected, FastEthernet0/0.103 120 C 172.16.6.0/24 is directly connected, FastEthernet0/0.104 121 ``` 122 123 Исправим это недоразумение: 124 125 ```text 126 msk-arbat-gw1(config)#ip route 172.16.16.0 255.255.255.0 172.16.2.2 127 128 msk-arbat-gw1#sh ip route 129 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 130 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 131 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 132 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP 133 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area 134 * - candidate default, U - per-user static route, o - ODR 135 P - periodic downloaded static route 136 137 Gateway of last resort is not set 138 139 172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks 140 C 172.16.0.0/24 is directly connected, FastEthernet0/0.3 141 C 172.16.1.0/24 is directly connected, FastEthernet0/0.2 142 C 172.16.2.0/30 is directly connected, FastEthernet0/1.4 143 C 172.16.2.16/30 is directly connected, FastEthernet0/1.5 144 C 172.16.3.0/24 is directly connected, FastEthernet0/0.101 145 C 172.16.4.0/24 is directly connected, FastEthernet0/0.102 146 C 172.16.5.0/24 is directly connected, FastEthernet0/0.103 147 C 172.16.6.0/24 is directly connected, FastEthernet0/0.104 148 S 172.16.16.0/24 [1/0] via 172.16.2.2 149 ``` 150 151 Теперь пинг появляется: 152 153 ```text 154 msk-arbat-gw1#ping 172.16.16.1 155 156 Type escape sequence to abort. 157 Sending 5, 100-byte ICMP Echos to 172.16.16.1, timeout is 2 seconds: 158 !!!!! 159 Success rate is 100 percent (5/5), round-trip min/avg/max = 4/10/24 ms 160 ``` 161 162 Вот, казалось бы оно — счастье, но проверим связь с компьютера: 163  164 165 В чём дело?! 166 Компьютер знает, куда отправлять пакет — на свой шлюз 172.16.3.1, маршрутизатор тоже знает — на хост 172.16.2.2. Пакет уходит туда, принимается spb-vsl-gw1, который знает, что пингуемый адрес 172.16.16.1 принадлежит ему. А обратно нужно отправить пакет на адрес 172.16.3.3, но в сеть 172.16.3.0 у него нет маршрута. А пакеты, сеть назначения которых неизвестна, просто дропятся — отбрасываются. 167 168 ```text 169 spb-vsl-gw1#sh ip route 170 171 Gateway of last resort is not set 172 173 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 174 C 172.16.2.0/30 is directly connected, FastEthernet1/0.4 175 C 172.16.16.0/24 is directly connected, FastEthernet0/0 176 ``` 177 178 Но, почему же, спросите вы, с msk-arbat-gw1 до 172.16.16.1 пинг был? Какая разница 172.16.3.1 или 172.16.3.2? Всё просто. 179 Из таблицы маршрутизации всем видно, что следующий хоп — 172.16.2.2, при этом адрес 172.16.2.1 из диапазона 172.16.2.0/30 принадлежит интерфейсу этого маршрутизатора, поэтому он и ставится в заголовок в качестве IP-адреса отправителя, а не 172.16.3.1. Пакет отправляется на spb-vsl-gw1, тот его принимает, передаёт данные приложению пинг, которое формирует echo-reply. Ответ инкапсулируется в IP-пакет, где в качестве адреса получателя фигурирует 172.16.2.1, а 172.16.2.0/30 — непосредственно подключенная к spb-vsl-gw1 сеть, поэтому без проблем пакет доставляется по назначению. То есть в сеть 172.16.2.0/30 маршрут известен, а в 172.16.3.0/24 нет. 180 181 Для решения этой проблемы мы можем прописать на spb-vsl-gw1 маршрут в сеть 172.16.3.0, но тогда придётся прописывать и для всех других сетей. Для всех сетей в Москве, потом в Кемерово, потом в других городах — очень большой объём настройки. Тут стоить заметить, что по сути у нас только один выход в мир — через Москву. Узел в Озерках — тупиковый, а других нет. То есть в основном все данные будут уходить в Москву, где большая часть подсетей и будет выход в интернет. Чем нам это может помочь? Есть такое понятие — маршрут по умолчанию, ещё он носит романтическое название шлюз — последней надежды. И второму есть объяснение. Когда маршрутизатор решает, куда отправить пакет, он просматривает всё таблицу маршрутизации и, если не находит нужного маршрута, пакет отбрасывается — это если у вас не настроен шлюз последней надежды, если же настроен, то сиротливые пакеты отправляются именно туда — просто не глядя, предоставляя право уже следующему хопу решать их дальнейшую судьбу. То есть если некуда отправить, то последняя надежда — маршрут по умолчанию. 182 Настраивается он так: 183 184 ```text 185 spb-vsl-gw1(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.1 186 ``` 187 188 И теперь тадааам: 189 190  191 192 В случае таких тупиковых областей довольно часто применяется именно шлюз последней надежды, чтобы уменьшить количество маршрутов в таблице и сложность настройки. 193 194 ## Санкт-Петербург. Озерки 195 196 Теперь озаботимся Озерками. Здесь мы поставим L3-коммутатор. Допустим, связаны они у нас будут арендованным у провайдера волокном \(конечно, это идеализированная ситуация для маленькой компании, но можно же помечтать\). Использование коммутаторов третьего уровня весьма удобно в некоторых случаях. Во-первых, интервлан роутинг в этом случае делается аппаратно и не нагружает процессор, в отличие от маршрутизатора. Кроме того, один L3-коммутатор обойдётся вам значительно дешевле, чем L2-коммутатор и маршрутизатор по отдельности. Правда, при этом вы лишаетесь ряда функций, естественно. Поэтому при выборе решения будьте аккуратны. 197 198 Настроим маршрутизатор на Васильевском острове, согласно плану: 199 200 ```text 201 spb-vsl-gw1(config)interface fa1/1 202 spb-vsl-gw1(config-if)#description Ozerki 203 spb-vsl-gw1(config-if)#ip address 172.16.2.5 255.255.255.252 204 ``` 205 206 Поскольку мы уже запланировали сеть для Озерков 172.16.17.0/24, то можем сразу прописать туда маршрут: 207 208 ```text 209 spb-vsl-gw1(config)#ip route 172.16.17.0 255.255.255.0 172.16.2.6 210 ``` 211 212 В качестве некст хопа ставим адрес, который мы выделили для линковой сети на Озерках — 172.16.2.6 213 214 Теперь перенесёмся в сами Озерки: 215 Подключим кабель в уже настроенный порт fa1/1 на стороне Васильевского острова и в 24-й порт 3560 в Озерках. По умолчанию все порты L3-коммутатора работают в режиме L2, то есть это обычные “свитчёвые” порты, на которых мы можем настроить вланы. Но любой из них мы можем перевести в L3-режим, сделав портом маршрутизатора. Тогда на нём мы сможем настроить IP-адрес: 216 217 ```text 218 Switch(config)#hostname spb-ozerki-gw1 219 spb-ozerki-gw1(config)#interface fa0/24 220 spb-ozerki-gw1(config-if)#no switchport 221 spb-ozerki-gw1(config-if)#ip address 172.16.2.6 255.255.255.252 222 ``` 223 224 Проверяем связь: 225 226 ```text 227 spb-ozerki-gw1#ping 172.16.2.5 228 229 Type escape sequence to abort. 230 Sending 5, 100-byte ICMP Echos to 172.16.2.5, timeout is 2 seconds: 231 .!!!! 232 Success rate is 80 percent (4/5), round-trip min/avg/max = 1/18/61 ms 233 ``` 234 235 Настроим ещё локальную сеть. Напомним, что Cisco и другие производители и не только производители не рекомендуют использовать 1-й влан, поэтому, мы воспользуемся 2-м: 236 237 ```text 238 spb-ozerki-gw1(config)#vlan 2 239 spb-ozerki-gw1(config-vlan)#name LAN 240 spb-ozerki-gw1(config-vlan)#exit 241 spb-ozerki-gw1(config)#interface vlan 2 242 spb-ozerki-gw1(config-if)#description LAN 243 spb-ozerki-gw1(config-if)#ip address 172.16.17.1 255.255.255.0 244 spb-ozerki-gw1(config)#interface fastEthernet 0/1 245 spb-ozerki-gw1(config-if)#description Pupkin 246 spb-ozerki-gw1(config-if)#switchport mode access 247 spb-ozerki-gw1(config-if)#switchport access vlan 2 248 ``` 249 250 После этого все устройства во втором влане будут иметь шлюзом 172.16.17.1 251 252  253 254 Чтобы коммутатор превратился в почти полноценный маршрутизатор, надо дать ещё одну команду: 255 256 ```text 257 spb-ozerki-gw1(config)#ip routing 258 ``` 259 260 Таким образом мы включим возможность маршрутизации. 261 262 Никаких других маршрутов, кроме как по умолчанию нам тут не надо: 263 264 ```text 265 spb-ozerki-gw1(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.5 266 ``` 267 268 Связь до spb-vsl-gw1 есть: 269 270 ```text 271 spb-ozerki-gw1#ping 172.16.16.1 272 273 Type escape sequence to abort. 274 Sending 5, 100-byte ICMP Echos to 172.16.16.1, timeout is 2 seconds: 275 !!!!! 276 Success rate is 100 percent (5/5), round-trip min/avg/max = 3/50/234 ms 277 ``` 278 279 А до Москвы нет: 280 281 ```text 282 spb-ozerki-gw1#ping 172.16.3.1 283 284 Type escape sequence to abort. 285 Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds: 286 ..... 287 Success rate is 0 percent (0/5) 288 ``` 289 290 Опять же дело в отсутствии маршрута. Вообще удобный инструмент для нахождения примерного места расположения проблемы traceroute: 291 292 ```text 293 spb-ozerki-gw1#traceroute 172.16.3.1 294 Type escape sequence to abort. 295 Tracing the route to 172.16.3.1 296 297 1 172.16.2.5 4 msec 2 msec 5 msec 298 2 * * * 299 3 * * * 300 4 * 301 ``` 302 303 Как видите, что от spb-vsl-gw1 ответ приходит, а дальше глухо. Это означает, как правило, что или на хопе с адресом 172.16.2.5 не прописан маршрут в нужную сеть \(вспоминаем, что у нас настроен там маршрут по умолчанию, которого достаточно\) или на следующем нету маршрута обратно: 304 305 ```text 306 msk-arbat-gw1#sh ip rou 307 308 Gateway of last resort is not set 309 310 172.16.0.0/16 is variably subnetted, 9 subnets, 2 masks 311 C 172.16.0.0/24 is directly connected, FastEthernet0/0.3 312 C 172.16.1.0/24 is directly connected, FastEthernet0/0.2 313 C 172.16.2.0/30 is directly connected, FastEthernet0/1.4 314 C 172.16.2.16/30 is directly connected, FastEthernet0/1.5 315 C 172.16.3.0/24 is directly connected, FastEthernet0/0.101 316 C 172.16.4.0/24 is directly connected, FastEthernet0/0.102 317 C 172.16.5.0/24 is directly connected, FastEthernet0/0.103 318 C 172.16.6.0/24 is directly connected, FastEthernet0/0.104 319 S 172.16.16.0/24 [1/0] via 172.16.2.2 320 ``` 321 322 Действительно маршрута в подсеть 172.16.17.0/24 нет. Мы можем прописать его, вы это уже умеете, а можем вспомнить, что целую подсеть 172.16.16.0/21 мы выделили под Питер, поэтому вместо того, чтобы по отдельности добавлять маршрут в каждую новую сеть, мы пропишем агрегированный маршрут: 323 324 ```text 325 msk-arbat-gw1(config)#no ip route 172.16.16.0 255.255.255.0 172.16.2.2 326 msk-arbat-gw1(config)#ip route 172.16.16.0 255.255.248.0 172.16.2.2 327 ``` 328 329 Проверяем: 330 331 ```text 332 msk-arbat-gw1#ping 172.16.17.1 333 334 Type escape sequence to abort. 335 Sending 5, 100-byte ICMP Echos to 172.16.17.1, timeout is 2 seconds: 336 !!!!! 337 Success rate is 100 percent (5/5), round-trip min/avg/max = 4/10/18 ms 338 ``` 339 340 Но странной неожиданностью для вас может стать то, что с spb-ozerki-gw1 вы не увидите Москву по-прежнему: 341 342 ```text 343 spb-ozerki-gw1#ping 172.16.3.1 344 345 Type escape sequence to abort. 346 Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds: 347 ..... 348 Success rate is 0 percent (0/5) 349 ``` 350 351 Но при этом, если в качестве адреса-источника мы укажем 172.16.17.1: 352 353 ```text 354 spb-ozerki-gw1#ping 355 Protocol [ip]: 356 Target IP address: 172.16.3.1 357 Repeat count [5]: 358 Datagram size [100]: 359 Timeout in seconds [2]: 360 Extended commands [n]: y 361 Source address or interface: ping172.16.17.1 362 % Invalid source 363 Source address or interface: 172.16.17.1 364 Type of service [0]: 365 Set DF bit in IP header? [no]: 366 Validate reply data? [no]: 367 Data pattern [0xABCD]: 368 Loose, Strict, Record, Timestamp, Verbose[none]: 369 Sweep range of sizes [n]: 370 Type escape sequence to abort. 371 Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds: 372 Packet sent with a source address of 172.16.17.1 373 !!!!! 374 Success rate is 100 percent (5/5), round-trip min/avg/max = 5/9/14 ms 375 ``` 376 377 И даже с компьютера 172.16.17.26 связь есть: 378 379  380 381 Как же так? Ответ, вы не поверите, так же прост — проблемы с маршрутизацией. 382 383 Дело в том, что msk-arbat-gw1 о подсети 172.16.17.0/24 знает, а о 172.16.2.4/30 нет. А именно адрес 172.16.2.6 — адрес ближайшего к адресату интерфейса \(или интерфейса, с которого отправляется IP-пакет\) подставляет по умолчанию в качестве источника. Об этом забывать не нужно. 384 385 ```text 386 msk-arbat-gw1(config)#ip route 172.16.2.4 255.255.255.252 172.16.2.2 387 388 spb-ozerki-gw1#ping 172.16.3.1 389 390 Type escape sequence to abort. 391 Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds: 392 !!!!! 393 Success rate is 100 percent (5/5), round-trip min/avg/max = 7/62/269 ms 394 ``` 395 396 Ещё интересный опыт: а что если адрес на маршрутизаторе на Васильевском острове маршрут в подсеть 172.16.3.0/24 пропишем на Озерки, а не в Москву? Ну чисто для интереса. Что произойдёт в этом случае? 397 398 ```text 399 spb-vsl-gw1(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.6 400 ``` 401 402 В РТ вы этого не увидите, почему-то, но в реальной жизни получится кольцо маршрутизации. Сети 172.16.3.0/24 и 172.16.16.0/21 не будут видеть друг друга: 403 пакет идущий с spb-ozerki-gw1 в сеть 172.16.3.0 попадает в первую очередь на spb-vsl-gw1, где сказано: “172.16.3.0/24 ищите за 172.16.2.6”, а это снова spb-ozerki-gw1, где сказано: “172.16.3.0/24 ищите за 172.16.2.5” и так далее. Пакет будет шастать туда-обратно, пока не истечёт значение в поле TTL. 404 Дело в том, что при прохождении каждого маршрутизатора поле TTL в IP-заголовке, изначально имеющее значение 255, уменьшается на 1. И если вдруг окажется, что это значение равно 0, то пакет _погибает_, точнее маршрутизатор, увидевший это, задропит его. Таким образом обеспечивается стабильность сети — в случае возникновения петли пакеты не будут жить бесконечно, нагружая канал до его полной утилизации. Кстати, в Ethernet такого механизма нет и если получается петля, то коммутатор только и будет делать, что плодить широковещательные запросы, полностью забивая канал — это называется широковещательный шторм \(эта проблема решается с помощью специальной технологии\протокола STP- об этом в следующем выпуске\). 405 406 В общем, если вы пускаете пинг из сети 172.16.17.0 на адрес 172.16.3.1, то ваш IP-пакет будет путешествовать между двумя маршрутизаторами, пока не истечёт срок его жизни, пройдя при этом по линку между Озерками и Васильевским островом 254 раза. Кстати, следствием из работы этого механизма является то, что не может существовать связная сеть, где между узлами больше 255 маршрутизаторов. Впрочем это и не очень актуальная потребность. Сейчас даже самый долгий трейс занимает пару-тройку десятков хопов. 407 408 ## Кемерово. Красная горка 409 410 Рассмотрим последний небольшой пример — маршрутизатор на палочке \(router on a stick\). Название навеяно схемой подключения: 411  412 413 Маршрутизатор связан с коммутатором лишь одним кабелем и по разным вланам внутри него передаётся трафик и локальной сети, и внешний. Делается это, как правило, для экономии средств \(на маршрутизаторе только один порт и не хочется покупать дополнительную плату\). Подключим следующим образом: 414  415 416 Настройка коммутатора уже не должна для вас представлять проблем. На UpLink-интерфейсе настраиваем оговоренный с провайдером 5-й влан транком: 417 418 ```text 419 Switch(config)#hostname kmr-gorka-sw1 420 kmr-gorka-sw1(config)#vlan 5 421 kmr-gorka-sw1(config-vlan)#name Moscow 422 kmr-gorka-sw1(config)#int fa0/24 423 kmr-gorka-sw1(config-if)#description Moscow 424 kmr-gorka-sw1(config-if)#switchport mode trunk 425 kmr-gorka-sw1(config-if)#switchport trunk allowed vlan 5 426 ``` 427 428 В качестве влана для локальной сети выберем vlan 2 и это ничего, что он уже используется и в Москве и в Питере — если они не пересекаются и вы это можете контролировать, то номера могут совпадать. Тут каждый решает сам: вы можете везде использовать, например, 2-й влан, в качестве влана локальной сети или напротив разработать план, где номера вланов уникальны во всей сети. 429 430 ```text 431 kmr-gorka-sw1(config)#vlan 2 432 kmr-gorka-sw1(config-vlan)#name LAN 433 kmr-gorka-sw1(config)#int fa0/1 434 kmr-gorka-sw1(config-if)#description syn_generalnogo 435 kmr-gorka-sw1(config-if)#switchport mode access 436 kmr-gorka-sw1(config-if)#switchport access vlan 2 437 ``` 438 439 Транк в сторону маршрутизатора, где 5-ым вланом будут тегироваться кадры внешнего трафика, а 2-м — локального. 440 441 ```text 442 kmr-gorka-sw1(config)#int fa0/23 443 kmr-gorka-sw1(config-if)#description kmr-gorka-gw1 444 kmr-gorka-sw1(config-if)#switchport mode trunk 445 kmr-gorka-sw1(config-if)#switchport trunk allowed vlan 2,5 446 ``` 447 448 Настройка маршрутизатора: 449 450 ```text 451 Router(config)#hostname kmr-gorka-gw1 452 kmr-gorka-gw1(config)#int fa0/0.5 453 kmr-gorka-gw1(config-subif)#description Moscow 454 kmr-gorka-gw1(config-subif)#encapsulation dot1Q 5 455 kmr-gorka-gw1(config-subif)#ip address 172.16.2.18 255.255.255.252 456 kmr-gorka-gw1(config)#int fa0/0 457 kmr-gorka-gw1(config-if)#no sh 458 kmr-gorka-gw1(config)#int fa0/0.2 459 kmr-gorka-gw1(config-subif)#description LAN 460 kmr-gorka-gw1(config-subif)#encapsulation dot1Q 2 461 kmr-gorka-gw1(config-subif)#ip address 172.16.24.1 255.255.255.0 462 ``` 463 464 Полагаем, что маршрутизацию здесь между Москвой и Кемерово вы теперь сможете настроить самостоятельно. 465