Difference between revisions of "Cisco ASR-1001: Bridge Domain Interface"
From Prakai Nadee
(Created page with "{{DISPLAYTITLE:Cisco ASR-1001: การทำ Bridge ระหว่างพอร์ตใน Cisco Router}} {{#seo: |keywords=Cisco ASR-1001, Bridge Domain Interface |desc...") |
m |
||
| Line 5: | Line 5: | ||
}} | }} | ||
== บทนำ == | == บทนำ == | ||
| − | โดยพื้นฐานแล้ว การทำงานของ Router และ Switch | + | โดยพื้นฐานแล้ว การทำงานของ Router และ Switch มีความแตกต่างกันชัดเจน บน Router นั้น แต่ละพอร์ตจะทำหน้าแบ่งเครือข่าย (Layer 3) ออกจากกัน แต่ละพอร์ตต้องมีเครือข่ายที่เป็นของตัวเอง ด้วยการกำหนด IP อยู่คนละเครือข่าย ไม่สามารถทำให้หลายพอร์ตอยู่ในเครือข่ายเดียวกันได้ (overlap) ส่วนของ Switch นั้น แต่หลายพอร์ตเป็นสมาชิกของเครือข่ายเดียวกัน หรืออยู่ใน LAN เดียวกัน ทั้งนี้ ในปัจจุบัน Switch รุ่นไหม่ มีความสามารถเสริม ให้สามารถแบ่งเครือข่ายได้ (Layer 3 switch) และไปกำหนดการทำงานเกี่ยวกับเครือข่ายที่ VLAN |
Router | Router | ||
<pre> | <pre> | ||
| − | + | ---------- | |
| − | | | + | | | |
| − | | | + | | +---- Network A (192.168.0.0/24) |
| − | | Router | + | | Router | |
| − | | | + | | | |
| − | | | + | | +---- Network B (192.168.101.0/24) |
| − | | | + | | | |
| − | + | ---------- | |
</pre> | </pre> | ||
Switch | Switch | ||
<pre> | <pre> | ||
| − | + | ---------- | |
| − | | | + | | +---- |
| − | | | + | | +---- VLAN_10: Network A (192.168.0.0/24) |
| − | | | + | | +---- |
| − | | Switch | + | | Switch | |
| − | | | + | | +---- |
| − | | | + | | +---- VLAN_20: Network B (192.168.101.0/24) |
| − | | | + | | +---- |
| − | + | ---------- | |
</pre> | </pre> | ||
| Line 36: | Line 36: | ||
มทร.อีสาน มีเหตุจำเป็นต้องกำหนดให้ Router ทำหน้าที่เป็น Switch ตามโครงสร้างการเชื่อมต่อนี้ | มทร.อีสาน มีเหตุจำเป็นต้องกำหนดให้ Router ทำหน้าที่เป็น Switch ตามโครงสร้างการเชื่อมต่อนี้ | ||
<pre> | <pre> | ||
| − | + | (1) Internet | |
| − | | | +----------+ | + | -------- G0/0/0 BDI10 G0/0/1 |
| − | | UniNet +=== VLAN: 10,11,12,13,14,15 ===+ ASR-1001 +-----Native----+ Firewall +--- [RMUTi Nakhon Ratchasima] | + | | | +----------+ (1)+----------+ |
| − | | (MPLS) | +----++----+ +----++----+ | + | | UniNet +=== VLAN: 10,11,12,13,14,15 ===+ ASR-1001 +-----Native----+ Firewall +--- [(2) RMUTi Nakhon Ratchasima] |
| − | | | || || | + | | (MPLS) | +----++----+ +----++----+ |
| − | | | ++=== VLAN: 11,12,13,14 ===++ | + | | | || ||(3) Campus |
| − | | | G0/0/2 | + | | | ++=== VLAN: 11,12,13,14 ===++ |
| − | | UniNet +-- VLAN: 11 -- [RMUTi Surin] | + | | | G0/0/2 |
| − | | (MPLS) +-- VLAN: 12 -- [RMUTi Khonkean] | + | | UniNet +-- VLAN: 11 -- [RMUTi Surin] |
| − | | +-- VLAN: 13 -- [RMUTi Sakon Nakhon] | + | | (MPLS) +-- VLAN: 12 -- [RMUTi Khonkean] |
| − | | +-- VLAN: 14 -- [RMUTi Kalasin] | + | | +-- VLAN: 13 -- [RMUTi Sakon Nakhon] |
| − | + | | +-- VLAN: 14 -- [RMUTi Kalasin] | |
| + | -------- | ||
VLAN 10: IPv4/IPv6 Internet Uplink via UniNet | VLAN 10: IPv4/IPv6 Internet Uplink via UniNet | ||
| Line 56: | Line 57: | ||
</pre> | </pre> | ||
| − | จากโครงสร้างการเชื่อต่อ มทร.อีสาน นครราชสีมา เชื่อมต่อกับ UniNet ด้วยลิงค์เดียว โดยมีทั้งลิงค์เพื่อเป็นอัพลิงค์ออกสู่เครือข่ายภายนอก และลิงค์ที่เชื่อมต่อไปยังวิทยาเขต เพื่อให้การจัดการความปลอดภัยสามารถจัดการที่ Firewall ได้ โดยให้ IPv6 prefix ทั้งหมดอยู่หลัง Firewall รวมถึง prefix ของวิทยาเขตด้วย | + | จากโครงสร้างการเชื่อต่อ มทร.อีสาน นครราชสีมา เชื่อมต่อกับ UniNet ด้วยลิงค์เดียว โดยมีทั้งลิงค์เพื่อเป็นอัพลิงค์ออกสู่เครือข่ายภายนอก และลิงค์ที่เชื่อมต่อไปยังวิทยาเขต เพื่อให้การจัดการความปลอดภัยสามารถจัดการที่ Firewall ได้ โดยให้ IPv6 prefix ทั้งหมดอยู่หลัง Firewall รวมถึง prefix ของวิทยาเขตด้วย จึงต้องทำให้เส้นทางการสื่อสารระหว่าง (1) Internet (2) มทร.อีสาน นครราชสีมา และ (3) วิทยาเขต ต้องผ่าน Firweall ดังตัวอย่างตามภาพ |
<pre> | <pre> | ||
| − | + | ------ .--------+ +--------+ | |
| − | |UniNet|--->|ASR-1001|--->|Firewall|----[Nakhon Ratchasima] | + | |UniNet|--->|ASR-1001|--->|Firewall|----[Nakhon Ratchasima] |
| − | | |<---| | +---+----+ | + | | |<---| | +---+----+ |
| − | | | ---+----+ | | + | | | ---+----+ | |
| − | | | | v | + | | | | v |
| − | | | +<------------+ | + | | | +<------------+ |
| − | | | | + | | | |
| − | | |--->{Campus} | + | | |--->{Campus} |
| − | + | ------ | |
| − | /pre> | + | </pre> |
เส้นทางจาก UniNet ไปยัง ASR-1001 เป็นหนึ่งเครือข่าย สองฝ่ายเป็น gateway ระหว่างกัน เส้นทางจาก ASR-1001 ไปยัง Firewall เป็นหนึ่งเครือข่าย ทั้งสองฝ่ายเป็น gateway ระหว่างกัน แต่เส้นทางจาก Firewall ที่จะส่งข้อมูลต่อไปยังวิทยาเขต ต้องผ่าน ASR-1001 เสมือนว่า ASR-1001 เป็น bridge (พอร์ต G0/0 และ G0/2 เป็น bridge) ของ VLAN 11,12,13 และ 14 และไม่มีการเป็นเครือข่ายที่ ASR-1001 (ถ้ากำหนดจะมีการทำ routing ตามมา) | เส้นทางจาก UniNet ไปยัง ASR-1001 เป็นหนึ่งเครือข่าย สองฝ่ายเป็น gateway ระหว่างกัน เส้นทางจาก ASR-1001 ไปยัง Firewall เป็นหนึ่งเครือข่าย ทั้งสองฝ่ายเป็น gateway ระหว่างกัน แต่เส้นทางจาก Firewall ที่จะส่งข้อมูลต่อไปยังวิทยาเขต ต้องผ่าน ASR-1001 เสมือนว่า ASR-1001 เป็น bridge (พอร์ต G0/0 และ G0/2 เป็น bridge) ของ VLAN 11,12,13 และ 14 และไม่มีการเป็นเครือข่ายที่ ASR-1001 (ถ้ากำหนดจะมีการทำ routing ตามมา) | ||
| Line 73: | Line 74: | ||
== Bridge Domain Interface (BDI) == | == Bridge Domain Interface (BDI) == | ||
| − | เป็นความสมารถที่ทำให้อุปกรณ์ Router ทำหน้าที่เป็น bridge ระหว่าง | + | เป็นความสมารถที่ทำให้อุปกรณ์ Router ทำหน้าที่เป็น bridge ระหว่าง interface ได้ |
== การดำเนินการ == | == การดำเนินการ == | ||
| + | |||
==== ประกาศ Bridge Domain ==== | ==== ประกาศ Bridge Domain ==== | ||
แต่ละ Bridge Domain บน Router ก็เหมือนแต่ละ VLAN บน Switch แต่มีคำสั่งที่ต่างกัน | แต่ละ Bridge Domain บน Router ก็เหมือนแต่ละ VLAN บน Switch แต่มีคำสั่งที่ต่างกัน | ||
| Line 104: | Line 106: | ||
==== ประกาศ Service Instance และ VLAN ใน interface ==== | ==== ประกาศ Service Instance และ VLAN ใน interface ==== | ||
แต่ละ interface สามารถประกาศหลาย Service instance ได้ เพื่อทำหน้าที่กระทำกับ VLAN ที่แตกต่างกัน | แต่ละ interface สามารถประกาศหลาย Service instance ได้ เพื่อทำหน้าที่กระทำกับ VLAN ที่แตกต่างกัน | ||
| − | < | + | <pre> |
! | ! | ||
interface G0/0 | interface G0/0 | ||
| Line 153: | Line 155: | ||
==== การนำ VLAN ใช้งานใน ASR-1001 ==== | ==== การนำ VLAN ใช้งานใน ASR-1001 ==== | ||
จากโครงสร้าง พบว่า VLAN 10 เป็นคู่การสื่อสารระหว่าง UniNet กับ ASR-1001 ดังนั้น ในฝั่ง ASR-1001 จะต้องมี interface ที่จะรับเป็นปลายของ VLAN 10 และกำหนด IP เพื่อเป็น gateway | จากโครงสร้าง พบว่า VLAN 10 เป็นคู่การสื่อสารระหว่าง UniNet กับ ASR-1001 ดังนั้น ในฝั่ง ASR-1001 จะต้องมี interface ที่จะรับเป็นปลายของ VLAN 10 และกำหนด IP เพื่อเป็น gateway | ||
| − | ระหว่างกัน | + | ระหว่างกัน โดยประกาศ interface BDI10 ขึ้นมาใช้งาน |
| + | <pre> | ||
| + | ! | ||
| + | interface BDI10 | ||
| + | ip address <ipv4> <netmask> | ||
| + | ipv6 address <ipv6>/<prefix> | ||
| + | no shutdown | ||
| + | ! | ||
| + | </pre> | ||
| + | |||
| + | == สรุป == | ||
| + | * เราสามารถกำหนดคุณสมบัติบน ASR-1001 ให้สามารถทำ bridge ระหว่าง interface ได้ โดยในตัวอย่างนี้ เป็นการทำ bridge ร่วมกับ VLAN | ||
| + | * VLAN 10 ที่เกิดจากการทำ Bridge Domain ให้ interface สามารถมี interface เสมือนมารองรับได้ โดยใช้ interface BDI<ID> | ||
| + | * VLAN 11, 12, 13 และ 14 สามารถเคลื่อนที่ผ่าน G0/0 และ G0/2 ได้เสมือนว่าทั้งสอง interface เป็น interface บน Switch | ||
== อ้างอิง == | == อ้างอิง == | ||
| − | *[ | + | *[http://www.cisco.com/c/en/us/td/docs/routers/asr1000/configuration/guide/chassis/asrswcfg/bdi.html Cisco: Configuring Bridge Domain Interfaces] |
| − | + | *[http://www.manualslib.com/manual/576793/Cisco-Asr-903.html Cisco ASR 903 Manual] | |
| − | *[http:// | ||
Revision as of 16:50, 10 August 2015
Contents
บทนำ
โดยพื้นฐานแล้ว การทำงานของ Router และ Switch มีความแตกต่างกันชัดเจน บน Router นั้น แต่ละพอร์ตจะทำหน้าแบ่งเครือข่าย (Layer 3) ออกจากกัน แต่ละพอร์ตต้องมีเครือข่ายที่เป็นของตัวเอง ด้วยการกำหนด IP อยู่คนละเครือข่าย ไม่สามารถทำให้หลายพอร์ตอยู่ในเครือข่ายเดียวกันได้ (overlap) ส่วนของ Switch นั้น แต่หลายพอร์ตเป็นสมาชิกของเครือข่ายเดียวกัน หรืออยู่ใน LAN เดียวกัน ทั้งนี้ ในปัจจุบัน Switch รุ่นไหม่ มีความสามารถเสริม ให้สามารถแบ่งเครือข่ายได้ (Layer 3 switch) และไปกำหนดการทำงานเกี่ยวกับเครือข่ายที่ VLAN
Router
---------- | | | +---- Network A (192.168.0.0/24) | Router | | | | +---- Network B (192.168.101.0/24) | | ----------
Switch
---------- | +---- | +---- VLAN_10: Network A (192.168.0.0/24) | +---- | Switch | | +---- | +---- VLAN_20: Network B (192.168.101.0/24) | +---- ----------
นั่นคือ โดยพื้นฐานแล้ว จะใช้ Router เป็นได้แค่ Router แต่สามารถใช้ Switch (L3) เป็น Router ได้ด้วย
สาเหตุของการดำเนินการ
มทร.อีสาน มีเหตุจำเป็นต้องกำหนดให้ Router ทำหน้าที่เป็น Switch ตามโครงสร้างการเชื่อมต่อนี้
(1) Internet -------- G0/0/0 BDI10 G0/0/1 | | +----------+ (1)+----------+ | UniNet +=== VLAN: 10,11,12,13,14,15 ===+ ASR-1001 +-----Native----+ Firewall +--- [(2) RMUTi Nakhon Ratchasima] | (MPLS) | +----++----+ +----++----+ | | || ||(3) Campus | | ++=== VLAN: 11,12,13,14 ===++ | | G0/0/2 | UniNet +-- VLAN: 11 -- [RMUTi Surin] | (MPLS) +-- VLAN: 12 -- [RMUTi Khonkean] | +-- VLAN: 13 -- [RMUTi Sakon Nakhon] | +-- VLAN: 14 -- [RMUTi Kalasin] -------- VLAN 10: IPv4/IPv6 Internet Uplink via UniNet VLAN 11: IPv6 Path to Surin VLAN 12: IPv6 Path to Khonkean VLAN 13: IPv6 Path to Sakon Nakhon VLAN 14: IPv6 Path to Kalasin
จากโครงสร้างการเชื่อต่อ มทร.อีสาน นครราชสีมา เชื่อมต่อกับ UniNet ด้วยลิงค์เดียว โดยมีทั้งลิงค์เพื่อเป็นอัพลิงค์ออกสู่เครือข่ายภายนอก และลิงค์ที่เชื่อมต่อไปยังวิทยาเขต เพื่อให้การจัดการความปลอดภัยสามารถจัดการที่ Firewall ได้ โดยให้ IPv6 prefix ทั้งหมดอยู่หลัง Firewall รวมถึง prefix ของวิทยาเขตด้วย จึงต้องทำให้เส้นทางการสื่อสารระหว่าง (1) Internet (2) มทร.อีสาน นครราชสีมา และ (3) วิทยาเขต ต้องผ่าน Firweall ดังตัวอย่างตามภาพ
------ .--------+ +--------+
|UniNet|--->|ASR-1001|--->|Firewall|----[Nakhon Ratchasima]
| |<---| | +---+----+
| | ---+----+ |
| | | v
| | +<------------+
| |
| |--->{Campus}
------
เส้นทางจาก UniNet ไปยัง ASR-1001 เป็นหนึ่งเครือข่าย สองฝ่ายเป็น gateway ระหว่างกัน เส้นทางจาก ASR-1001 ไปยัง Firewall เป็นหนึ่งเครือข่าย ทั้งสองฝ่ายเป็น gateway ระหว่างกัน แต่เส้นทางจาก Firewall ที่จะส่งข้อมูลต่อไปยังวิทยาเขต ต้องผ่าน ASR-1001 เสมือนว่า ASR-1001 เป็น bridge (พอร์ต G0/0 และ G0/2 เป็น bridge) ของ VLAN 11,12,13 และ 14 และไม่มีการเป็นเครือข่ายที่ ASR-1001 (ถ้ากำหนดจะมีการทำ routing ตามมา)
โดยสรุปคือ ต้องทำให้ ASR-1001 ทำตัวเป็น bridge สำหรับ VLAN 11,12,13 และ 14 บนพอร์ต G0/0 และ G0/2
Bridge Domain Interface (BDI)
เป็นความสมารถที่ทำให้อุปกรณ์ Router ทำหน้าที่เป็น bridge ระหว่าง interface ได้
การดำเนินการ
ประกาศ Bridge Domain
แต่ละ Bridge Domain บน Router ก็เหมือนแต่ละ VLAN บน Switch แต่มีคำสั่งที่ต่างกัน
! bridge-domain 10 member G0/0 service-instance 10 !สัมพันธ์กับ service instance ใน interface ! bridge-domain 11 member G0/0 service-instance 11 !สัมพันธ์กับ service instance ใน interface member G0/2 service-instance 11 !สัมพันธ์กับ service instance ใน interface ! bridge-domain 12 member G0/0 service-instance 12 member G0/2 service-instance 12 ! bridge-domain 13 member G0/0 service-instance 13 member G0/2 service-instance 13 ! bridge-domain 14 member G0/0 service-instance 14 member G0/2 service-instance 14 !
หนึ่ง Bridge Domain สามารถมีหลาย interface เป็นสมาชิกได้ เช่นเดียวกันกับ VLAN ใน Switch
ประกาศ Service Instance และ VLAN ใน interface
แต่ละ interface สามารถประกาศหลาย Service instance ได้ เพื่อทำหน้าที่กระทำกับ VLAN ที่แตกต่างกัน
! interface G0/0 no ip address no shutdown service instance 10 ethernet encapsulation dot1q 10 rewrite ingress tag pop 1 symmetric ! service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 ! ! interface G0/2 no ip address no shutdown service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 ! !
เนื่องจาก VLAN 10 เป็น Peer ระหว่าง UniNet กับ ASR-1001 ไม่ต้องส่งต่อไปยัง G0/2 จึงประกาศ Service instance เฉพาะใน G0/0 และใช้คำสั่ง rewrite ingress tag pop 1 symmetric เพื่อให้นำเฟรมออกจาก VLAN Tag และส่งต่อไปยัง interface BDI10 เพื่อใช้งานเป็น Peer กับ UniNet
การนำ VLAN ใช้งานใน ASR-1001
จากโครงสร้าง พบว่า VLAN 10 เป็นคู่การสื่อสารระหว่าง UniNet กับ ASR-1001 ดังนั้น ในฝั่ง ASR-1001 จะต้องมี interface ที่จะรับเป็นปลายของ VLAN 10 และกำหนด IP เพื่อเป็น gateway ระหว่างกัน โดยประกาศ interface BDI10 ขึ้นมาใช้งาน
! interface BDI10 ip address <ipv4> <netmask> ipv6 address <ipv6>/<prefix> no shutdown !
สรุป
- เราสามารถกำหนดคุณสมบัติบน ASR-1001 ให้สามารถทำ bridge ระหว่าง interface ได้ โดยในตัวอย่างนี้ เป็นการทำ bridge ร่วมกับ VLAN
- VLAN 10 ที่เกิดจากการทำ Bridge Domain ให้ interface สามารถมี interface เสมือนมารองรับได้ โดยใช้ interface BDI<ID>
- VLAN 11, 12, 13 และ 14 สามารถเคลื่อนที่ผ่าน G0/0 และ G0/2 ได้เสมือนว่าทั้งสอง interface เป็น interface บน Switch
