I detta exempel visas hur en Layer 3-switch (Cisco 3560) konfigureras för att fungera som både VTP-server och DHCP-server för VLAN 10, 20, och 100. Utöver dessa VLAN används även VLAN 100 som management-VLAN samt VLAN 999 som native VLAN, vilket är en vanlig rekommenderad praxis ur säkerhetssynpunkt. Som VTP-server ansvarar MLS-switchen för att centralt skapa och distribuera VLAN-konfigurationer till VTP-klienterna S1, S2, S3 och S4.

Det som är särskilt intressant i denna topologi är att L3-switchen inte enbart fungerar som en traditionell switch, utan även dirigerar trafik mellan VLAN, på samma sätt som en router. Genom att använda SVI:er (Switch Virtual Interface) kan varje VLAN tilldelas en egen default gateway, vilket möjliggör kommunikation mellan flera IP-nät utan behov av en extern router.

För att VLAN-information och användardata ska kunna transporteras mellan MLS-switchen och access-switcharna krävs trunk-förbindelser. Därför konfigureras trunk-läge manuellt på MLS-switchens portar Fa0/1, Fa0/2, Fa0/3 och Fa0/4. På dessa trunkar tillåts endast nödvändiga VLAN, och VLAN 999 används som native VLAN för att minska risken för VLAN-hopping-attacker.

Access-switcharna har stöd för Dynamic Trunking Protocol (DTP) och kan därför automatiskt förhandla fram trunk-läge på de portar som är anslutna till MLS-switchen. I detta exempel krävs därför ingen manuell trunk-konfiguration på access-switcharna. Det är dock viktigt att notera att trunk-lägen i produktionsmiljöer normalt konfigureras statiskt för ökad säkerhet och bättre kontroll.

VLAN 100 används som management-VLAN och kan tilldelas en SVI på respektive switch för fjärradministration via exempelvis SSH eller Telnet, separat från användartrafiken.

Nätverkstopologi

Konfigurationer