Cisco ASR-1001: การทำ Bridge ระหว่างพอร์ตใน Cisco Router
Contents
บทนำ
โดยพื้นฐานแล้ว การทำงานของ Router และ Switch จะแตกต่างกันชัดเจน บน Router แต่ละพอร์ตจะทำหน้าแบ่งเครือข่าย (Layer 3) ออกจากกัน แต่ละพอร์ตที่ใช้งาน ต้องมีเครือข่ายที่เป็นของตัวเอง ไม่สามารถให้มากกว่าหนึ่งพอร์ตอยู่ในเครือข่ายเดียวกันได้ (overlap) ส่วน Switch แต่หลายพอร์ตเป็นสมาชิกของเครือข่ายเดียวกัน ทั้งนี้ Switch รุ่นไหม่ มีความสามารถเสริม ให้สามารถแบ่งเครือข่ายได้ (Layer 3 Switch) ซึ่งไปกำหนดการทำงานเรื่องเครือข่ายย่อยที่ VLAN
Router
----------- | | | +---- Network A (192.168.0.0/24) | Router | | | | +---- Network B (192.168.101.0/24) | | -----------
Switch
----------- | +---- | +---- VLAN_10: Network A (192.168.0.0/24) | +---- | Switch | | +---- | +---- VLAN_20: Network B (192.168.101.0/24) | +---- -----------
นั่นคือ โดยพื้นฐานแล้ว จะใช้ Router เป็นได้แค่ Router แต่สามารถใช้ Switch (L3) เป็น Router ได้ด้วย
สาเหตุของการดำเนินการ
มทร.อีสาน มีเหตุจำเป็นต้องกำหนดให้ Router ทำหน้าที่เป็น Switch ตามโครงสร้างการเชื่อมต่อนี้
-------- G0/0/0 BDI10 G0/0/1 | | +----------+ +----------+ | UniNet +=== VLAN: 10,11,12,13,14,15 ===+ ASR-1001 +-----Native----+ Firewall +--- [RMUTi Nakhon Ratchasima] | (MPLS) | +----++----+ +----++----+ | | || || | | ++=== VLAN: 11,12,13,14 ===++ | | G0/0/2 | UniNet +-- VLAN: 11 -- [RMUTi Surin] | (MPLS) +-- VLAN: 12 -- [RMUTi Khonkean] | +-- VLAN: 13 -- [RMUTi Sakon Nakhon] | +-- VLAN: 14 -- [RMUTi Kalasin] -------- VLAN 10: IPv4/IPv6 Internet Uplink via UniNet VLAN 11: IPv6 Path to Surin VLAN 12: IPv6 Path to Khonkean VLAN 13: IPv6 Path to Sakon Nakhon VLAN 14: IPv6 Path to Kalasin
จากโครงสร้างการเชื่อต่อ มทร.อีสาน นครราชสีมา เชื่อมต่อกับ UniNet ด้วยลิงค์เดียว โดยมีทั้งลิงค์เพื่อเป็นอัพลิงค์ออกสู่เครือข่ายภายนอก และลิงค์ที่เชื่อมต่อไปยังวิทยาเขต เพื่อให้การจัดการความปลอดภัยสามารถจัดการที่ Firewall ได้ โดยให้ IPv6 prefix ทั้งหมดอยู่หลัง Firewall รวมถึง prefix ของวิทยาเขตด้วย จึงต้องให้เส้นทางการสื่อสารจากผ่าน Firweall ดังตัวอย่างตามภาพ
------ .--------+ +--------+
|UniNet|--->|ASR-1001|--->|Firewall|----[Nakhon Ratchasima]
| |<---| | +---+----+
| | ---+----+ |
| | | v
| | +<------------+
| |
| |--->{Campus}
------
/pre>
เส้นทางจาก UniNet ไปยัง ASR-1001 เป็นหนึ่งเครือข่าย สองฝ่ายเป็น gateway ระหว่างกัน เส้นทางจาก ASR-1001 ไปยัง Firewall เป็นหนึ่งเครือข่าย ทั้งสองฝ่ายเป็น gateway ระหว่างกัน แต่เส้นทางจาก Firewall ที่จะส่งข้อมูลต่อไปยังวิทยาเขต ต้องผ่าน ASR-1001 เสมือนว่า ASR-1001 เป็น bridge (พอร์ต G0/0 และ G0/2 เป็น bridge) ของ VLAN 11,12,13 และ 14 และไม่มีการเป็นเครือข่ายที่ ASR-1001 (ถ้ากำหนดจะมีการทำ routing ตามมา)
โดยสรุปคือ ต้องทำให้ ASR-1001 ทำตัวเป็น bridge สำหรับ VLAN 11,12,13 และ 14 บนพอร์ต G0/0 และ G0/2
== Bridge Domain Interface (BDI) ==
เป็นความสมารถที่ทำให้อุปกรณ์ Router ทำหน้าที่เป็น bridge ระหว่าง interfaces
== การดำเนินการ ==
==== ประกาศ Bridge Domain ====
แต่ละ Bridge Domain บน Router ก็เหมือนแต่ละ VLAN บน Switch แต่มีคำสั่งที่ต่างกัน
<pre>
!
bridge-domain 10
member G0/0 service-instance 10 !สัมพันธ์กับ service instance ใน interface
!
bridge-domain 11
member G0/0 service-instance 11 !สัมพันธ์กับ service instance ใน interface
member G0/2 service-instance 11 !สัมพันธ์กับ service instance ใน interface
!
bridge-domain 12
member G0/0 service-instance 12
member G0/2 service-instance 12
!
bridge-domain 13
member G0/0 service-instance 13
member G0/2 service-instance 13
!
bridge-domain 14
member G0/0 service-instance 14
member G0/2 service-instance 14
!
หนึ่ง Bridge Domain สามารถมีหลาย interface เป็นสมาชิกได้ เช่นเดียวกันกับ VLAN ใน Switch
ประกาศ Service Instance และ VLAN ใน interface
แต่ละ interface สามารถประกาศหลาย Service instance ได้ เพื่อทำหน้าที่กระทำกับ VLAN ที่แตกต่างกัน </pre> ! interface G0/0
no ip address no shutdown service instance 10 ethernet encapsulation dot1q 10 rewrite ingress tag pop 1 symmetric ! service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 !
! interface G0/2
no ip address no shutdown service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 !
! </pre> เนื่องจาก VLAN 10 เป็น Peer ระหว่าง UniNet กับ ASR-1001 ไม่ต้องส่งต่อไปยัง G0/2 จึงประกาศ Service instance เฉพาะใน G0/0 และใช้คำสั่ง rewrite ingress tag pop 1 symmetric เพื่อให้นำเฟรมออกจาก VLAN Tag และส่งต่อไปยัง interface BDI10 เพื่อใช้งานเป็น Peer กับ UniNet
การนำ VLAN ใช้งานใน ASR-1001
จากโครงสร้าง พบว่า VLAN 10 เป็นคู่การสื่อสารระหว่าง UniNet กับ ASR-1001 ดังนั้น ในฝั่ง ASR-1001 จะต้องมี interface ที่จะรับเป็นปลายของ VLAN 10 และกำหนด IP เพื่อเป็น gateway ระหว่างกัน
