Cisco ASR-1001: การทำ Bridge ระหว่างพอร์ตใน Cisco Router
Contents
บทนำ
โดยพื้นฐานแล้ว การทำงานของ Router และ Switch มีความแตกต่างกันชัดเจน บน Router นั้น แต่ละพอร์ตจะทำหน้าแบ่งเครือข่าย (Layer 3) ออกจากกัน แต่ละพอร์ตต้องมีเครือข่ายที่เป็นของตัวเอง ด้วยการกำหนด IP อยู่คนละเครือข่าย ไม่สามารถทำให้หลายพอร์ตอยู่ในเครือข่ายเดียวกันได้ (overlap) ส่วนของ Switch นั้น หลายพอร์ตเป็นสมาชิกของเครือข่ายเดียวกัน หรืออยู่ใน LAN เดียวกัน ทั้งนี้ ในปัจจุบัน Switch รุ่นไหม่ มีความสามารถเสริม ให้สามารถแบ่งเครือข่ายได้ (Layer 3 switch) และไปกำหนดการทำงานเกี่ยวกับเครือข่ายที่ VLAN
ลักษระการใช้งาน Router
---------- | | | +---- Network A (192.168.0.0/24) | Router | | +---- Network B (192.168.101.0/24) | | ----------
ลักษณะการใช้งาน Switch
---------- | +---- | +---- VLAN_10: Network A (192.168.0.0/24) | +---- | Switch | | +---- | +---- VLAN_20: Network B (192.168.101.0/24) | +---- ----------
นั่นคือ โดยพื้นฐานแล้ว จะใช้ Router เป็นได้แค่ Router แต่สามารถใช้ Switch (L3) เป็น Router ได้ด้วย
รายละเอียด ASR-1001 ที่ดำเนินการ
Cisco ASR1001-X Cisco IOS XE Software, Version 03.15.01.S
สาเหตุของการดำเนินการ
มทร.อีสาน มีเหตุจำเป็นต้องกำหนดให้ Router ทำหน้าที่เป็น Switch ตามโครงสร้างการเชื่อมต่อนี้
(1) Internet | -------- Gi0/0/0 BDI10 Gi0/0/1 | | (1) +----------+ (1)+----------+(2) | UniNet +=== VLAN: 10,11,12,13,14,15 ===+ ASR-1001 +-----Native----+ Firewall +----[RMUTi Nakhon Ratchasima] | (MPLS) | (3) +----++----+ +----++----+ | | || ||(3) Campus | | ++=== VLAN: 11,12,13,14 ===++ | | (3) Gi0/0/2 | UniNet +-- VLAN: 11 -- [RMUTi Surin] | (MPLS) +-- VLAN: 12 -- [RMUTi Khonkean] | +-- VLAN: 13 -- [RMUTi Sakon Nakhon] | +-- VLAN: 14 -- [RMUTi Kalasin] -------- VLAN 10: IPv4/IPv6 Internet Uplink via UniNet VLAN 11: IPv6 Path to Surin VLAN 12: IPv6 Path to Khonkean VLAN 13: IPv6 Path to Sakon Nakhon VLAN 14: IPv6 Path to Kalasin
จากโครงสร้างการเชื่อต่อ มทร.อีสาน นครราชสีมา เชื่อมต่อกับ UniNet ด้วยลิงค์เดียว โดยมีทั้งลิงค์เพื่อเป็นอัพลิงค์ออกสู่เครือข่ายภายนอก และลิงค์ที่เชื่อมต่อไปยังวิทยาเขต เพื่อให้การจัดการความปลอดภัยสามารถจัดการที่ Firewall ได้ โดยให้ IPv6 prefix ทั้งหมดอยู่หลัง Firewall รวมถึง prefix ของวิทยาเขตด้วย จึงต้องทำให้เส้นทางการสื่อสารระหว่าง (1) Internet (2) มทร.อีสาน นครราชสีมา และ (3) วิทยาเขต ต้องผ่าน Firweall ดังตัวอย่างตามภาพ
| (1) | ------ +--------+ +--------+ | |--(1)-->|ASR-1001|--(1)-->|Firewall|--(2)--[Nakhon Ratchasima] | |<--(3)--| | +---+----+ | | +---+----+ | |UniNet| | v | | +<------(3)-------+ | | | |--(3)-->{Campus} ------
เส้นทางจาก UniNet ไปยัง ASR-1001 เป็นหนึ่งเครือข่าย สองฝ่ายเป็น gateway ระหว่างกัน เส้นทางจาก ASR-1001 ไปยัง Firewall เป็นหนึ่งเครือข่าย ทั้งสองฝ่ายเป็น gateway ระหว่างกัน แต่เส้นทางจาก Firewall ที่จะส่งข้อมูลต่อไปยังวิทยาเขต ต้องผ่าน ASR-1001 เสมือนว่า ASR-1001 เป็น bridge (พอร์ต GigabitEthernet0/0/0 และ GigabitEthernet0/0/2 เป็น bridge) ของ VLAN 11,12,13 และ 14 และไม่มีการเป็นเครือข่ายที่ ASR-1001 (ถ้ากำหนดจะมีการทำ routing ตามมา)
โดยสรุปคือ ต้องทำให้ ASR-1001 ทำตัวเป็น bridge สำหรับ VLAN 11,12,13 และ 14 บนพอร์ต GigabitEthernet0/0/0 และ GigabitEthernet0/0/2
Bridge Domain Interface (BDI)
เป็นความสมารถที่ทำให้อุปกรณ์ Router ทำหน้าที่เป็น bridge ระหว่าง interface ได้
การดำเนินการ
ประกาศ Bridge Domain
แต่ละ Bridge Domain บน Router ก็เหมือนแต่ละ VLAN บน Switch แต่มีคำสั่งที่ต่างกัน
! bridge-domain 10 member GigabitEthernet0/0/0 service-instance 10 !สัมพันธ์กับ service instance ใน interface ! bridge-domain 11 member GigabitEthernet0/0/0 service-instance 11 !สัมพันธ์กับ service instance ใน interface member GigabitEthernet0/0/2 service-instance 11 !สัมพันธ์กับ service instance ใน interface ! bridge-domain 12 member GigabitEthernet0/0/0 service-instance 12 member GigabitEthernet0/0/2 service-instance 12 ! bridge-domain 13 member GigabitEthernet0/0/0 service-instance 13 member GigabitEthernet0/0/2 service-instance 13 ! bridge-domain 14 member GigabitEthernet0/0/0 service-instance 14 member GigabitEthernet0/0/2 service-instance 14 !
หนึ่ง Bridge Domain สามารถมีหลาย interface เป็นสมาชิกได้ เช่นเดียวกันกับ VLAN ใน Switch
ประกาศ Service Instance และ VLAN ใน interface
แต่ละ interface สามารถประกาศหลาย Service instance ได้ เพื่อทำหน้าที่กระทำกับ VLAN ที่แตกต่างกัน
! interface GigabitEthernet0/0/0 no ip address no shutdown service instance 10 ethernet encapsulation dot1q 10 rewrite ingress tag pop 1 symmetric ! service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 ! ! interface GigabitEthernet0/0/2 no ip address no shutdown service instance 11 ethernet encapsulation dot1q 11 ! service instance 12 ethernet encapsulation dot1q 12 ! service instance 13 ethernet encapsulation dot1q 13 ! service instance 14 ethernet encapsulation dot1q 14 ! service instance 15 ethernet encapsulation dot1q 15 ! !
เนื่องจาก VLAN 10 เป็น Peer ระหว่าง UniNet กับ ASR-1001 ไม่ต้องส่งต่อไปยัง GGigabitEthernet0/0/2 จึงประกาศ Service instance เฉพาะใน GigabitEthernet0/0/0 และใช้คำสั่ง rewrite ingress tag pop 1 symmetric เพื่อให้นำเฟรมออกจาก VLAN Tag และส่งต่อไปยัง interface BDI10 เพื่อใช้งานเป็น Peer กับ UniNet
การนำ VLAN ไปใช้งานใน ASR-1001
จากโครงสร้าง พบว่า VLAN 10 เป็นคู่การสื่อสารระหว่าง UniNet กับ ASR-1001 ดังนั้น ในฝั่ง ASR-1001 จะต้องมี interface ที่จะรับเป็นปลายของ VLAN 10 และกำหนด IP เพื่อเป็น gateway ระหว่างกัน โดยประกาศ interface BDI10 ขึ้นมาใช้งาน
! interface BDI10 ip address <ipv4> <netmask> ipv6 address <ipv6>/<prefix> no shutdown !
สรุป
- เราสามารถกำหนดคุณสมบัติบน ASR-1001 ให้สามารถทำ bridge ระหว่าง interface ได้ โดยในตัวอย่างนี้ เป็นการทำ bridge ร่วมกับ VLAN
- VLAN 10 ที่เกิดจากการทำ Bridge Domain ให้ interface สามารถมี interface เสมือนมารองรับได้ โดยใช้ interface BDI<ID>
- VLAN 11, 12, 13 และ 14 สามารถเคลื่อนที่ผ่าน GigabitEthernet0/0/0 และ GigabitEthernet0/0/2 ได้เสมือนว่าทั้งสอง interface เป็น interface บน Switch