Adresacja IP portów L2 i L3 na wieloportowych kartach Ethernet routerów Cisco

W dzisiejszym artykule zostanie przedstawiony fundamentalny, choć często mylący, aspekt konfiguracji routerów Cisco: jak poprawnie zarządzać i przypisywać adresy IP na wieloportowych kartach Ethernet. Współczesne routery, zwłaszcza popularne serie ISR (Integrated Services Routers), zatarły tradycyjną granicę między routerem a przełącznikiem. Już dawno minęły czasy, gdy każdy port na routerze był z definicji portem Layer 3 (L3).

Obecnie, wyciągając router Cisco z pudełka, bardzo prawdopodobne jest, że jego wbudowane porty `GigabitEthernet` domyślnie zachowują się jak porty przełącznika (Layer 2). To rodzi kluczowe pytanie: jak w takim razie przypisać adres IP? Odpowiedź brzmi: „to zależy”. Zależy od tego, czy chcemy, aby port działał jako klasyczny port routowalny (L3), czy też jako port dostępowy do sieci VLAN, dla której bramą jest wirtualny interfejs SVI (Switched Virtual Interface).

Ten artykuł, skierowany do studentów i adeptów inżynierii sieciowej, szczegółowo omówi obie te metody, ich fundamentalne różnice, scenariusze użycia oraz, co najważniejsze, przedstawi liczne przykłady konfiguracji CLI.

1. Fundament: dwa tryby pracy portu

Na nowoczesnym routerze Cisco (lub przełączniku L3) każdy port fizyczny może operować w jednym z dwóch podstawowych trybów:

• Tryb L2 (Switchport): To jest domyślny tryb na większości modułów EtherSwitch w routerach ISR. Port działa jak port w klasycznym przełączniku. Jego zadaniem jest przełączanie ramek w obrębie jednej lub wielu sieci VLAN. Nie można przypisać adresu IP bezpośrednio do portu L2.
• Tryb L3 (Routed Port): Port działa jak tradycyjny port routera. Nie jest członkiem żadnej sieci VLAN i nie uczestniczy w protokołach L2 (jak STP). Jego zadaniem jest routowanie pakietów IP. Można przypisać mu adres IP bezpośrednio.

Zrozumienie tej dychotomii jest kluczem do zrozumienia SVI i portów routowalnych.

2. Metoda pierwsza: port routowalny (L3 routed port)

To jest klasyczne, „stare” podejście. Jeśli mamy port, który ma służyć jako dedykowane łącze punkt-punkt (np. do innego routera, do firewalla, czy jako łącze WAN), konwertujemy go w port L3.

Kluczową komendą jest no switchport. Ta komenda, wydana w trybie konfiguracji interfejsu, magicznie „przekształca” port z przełączającego (L2) na routowalny (L3). Po jej wydaniu, interfejs akceptuje komendę ip address.

Schemat 1: Połączenie L3 Point-to-Point

  +--------------+                               +--------------+
  |   Router_A   |                               |   Router_B   |
  |              |                               |              |
  | [G0/0/1] (L3)|                               | [G0/0/1] (L3)|
  | 192.168.1.1/30 +-------------------------------+ 192.168.1.2/30
  +--------------+                               +--------------+

Przykład 1: Podstawowa konfiguracja portu L3 (P2P)

Konfiguracja portu GigabitEthernet0/0/1 na Router_A jako portu L3.

Przykład 2: Port L3 jako łącze do Firewalla

Scenariusz bardzo podobny. Tworzymy dedykowaną, małą podsieć (np. /30) dla ruchu „tranzytowego” między routerem a firewallem.

Przykład 3: Port L3 z listą ACL

Na portach L3 możemy bezpośrednio aplikować listy kontroli dostępu (ACL) do filtrowania ruchu wchodzącego lub wychodzącego.

3. Metoda druga: interfejs wirtualny (SVI – Switched Virtual Interface)

To jest podejście „nowoczesne”, elastyczne i skalowalne, odziedziczone wprost z przełączników warstwy 3. Jest to dominująca metoda adresacji dla segmentów sieci LAN podłączonych bezpośrednio do routera.

Zamiast przypisywać IP do portu fizycznego, wykonujemy proces w trzech krokach:

1. Tworzymy VLAN (L2): Definiujemy logiczną domenę broadcastową, np. `vlan 10`.
2. Tworzymy SVI (L3): Tworzymy wirtualny interfejs dla tej sieci VLAN, np. `interface Vlan10`.
3. Przypisyujemy IP do SVI: Adres IP (np. `192.168.10.1/24`) jest przypisywany do `interface Vlan10`. Ten adres staje się bramą domyślną dla wszystkich urządzeń w VLAN 10.
4. Przypisujemy porty fizyczne (L2) do VLAN: Na koniec, fizyczne porty RJ45 (np. `G0/0/3` do `G0/0/10`) są konfigurowane jako porty dostępowe L2 i przypisywane do `vlan 10`.

Schemat 2: Architektura SVI

Schemat ten ilustruje oddzielenie logiki L3 (SVI) od fizycznych portów L2.

+-------------------------------------------------+
|          Router (z wbudowanym modułem L2)         |
|                                                 |
|  +-------------------------------------------+  |
|  | Warstwa 3 (Routing)                       |  |
|  |                                           |  |
|  |  [interface Vlan10]

Przykład 4: Podstawowa konfiguracja SVI dla VLAN 10 (Użytkownicy)

Tworzymy sieć dla użytkowników (VLAN 10) i przypisujemy porty fizyczne.

Przykład 5: Routing międzysieciowy (Inter-VLAN) przy użyciu SVI

Główna zaleta SVI. Tworzymy SVI dla VLAN 20 (Inżynieria) i VLAN 30 (Sprzedaż). Router automatycznie będzie routował ruch między nimi (o ile ACL nie zabroni).

Teraz PC w VLAN 20 (np. 192.168.20.10) może pingować PC w VLAN 30 (np. 192.168.30.10). Ruch trafi z PC-20 do `interface Vlan20` (brama), router przekaże go do `interface Vlan30` i wyśle do PC-30.

Przykład 6: SVI dla sieci głosowej (Voice VLAN)

Typowy scenariusz biurowy. Jeden port fizyczny musi obsłużyć PC (VLAN 10) i telefon IP (VLAN 40).

Przykład 7: SVI dla Zarządzania (Management VLAN)

Dobrą praktyką jest wydzielenie sieci do zarządzania urządzeniami (telnet/SSH/SNMP). Używamy do tego dedykowanego SVI. Zazwyczaj nie przypisuje się do niego portów access (chyba że dla dedykowanej stacji), a raczej pozwala na dostęp przez trunk.

4. Alternatywy i scenariusze zaawansowane

Oprócz „czystych” portów L3 i SVI, istnieją inne, często pokrewne konfiguracje, które warto znać na poziomie akademickim.

Przykład 8: „Router on a Stick” (ROAS) na subinterfejsach

To jest klasyczna metoda Inter-VLAN routingu, gdy router *nie ma* modułu przełączającego (jak stary Cisco 2600) i łączy się z zewnętrznym przełącznikiem L2 jednym kablem (trunk). Na routerze *nie używamy SVI*. Zamiast tego, na porcie L3 tworzymy subinterfejsy, po jednym dla każdego VLAN, i „opakowujemy” je tagiem 802.1q.

Różnica: W modelu SVI, porty fizyczne są L2. W modelu ROAS, port fizyczny (np. G0/0/0) jest portem L3, ale jest logicznie podzielony na subinterfejsy L3. Port fizyczny nie ma adresu IP, adresy mają subinterfejsy.

Schemat 3: Architektura „Router on a Stick” (ROAS)

   +----------------------+
   |        Router        |
   | [G0/0/0] (L3)        |
   |   .10 (192.168.10.1) | (Subinterfejs L3 dla VLAN 10)
   |   .20 (192.168.20.1) | (Subinterfejs L3 dla VLAN 20)
   +-----------+----------+
               | (Trunk 802.1q)
               |
   +-----------+----------+
   |   Przełącznik (L2)   |
   | [G0/1] (Trunk)       |
   |                      |
   | [Fa0/1]      [Fa0/2] |
   | (VLAN 10)    (VLAN 20)
   +----------------------+

Przykład 9: SVI z HSRP (Redundancja Bramy)

Prawdziwa moc SVI ujawnia się w scenariuszach wysokiej dostępności (HA). Możemy uruchomić protokół HSRP (lub VRRP) na interfejsach SVI na dwóch routerach, tworząc jedną, wirtualną bramę dla urządzeń końcowych.

Przykład 10: L3 EtherChannel (Agregacja portów L3)

Co jeśli potrzebujemy łącza L3 o dużej przepustowości, większej niż 1Gbps? Możemy połączyć dwa (lub więcej) porty L3 w jeden logiczny „Port-channel”.

5. Tabela porównawcza: Port L3 vs SVI

Aby usystematyzować wiedzę, spójrzmy na bezpośrednie porównanie obu metod.

Cecha	Port Routowalny (L3)	Interfejs Wirtualny (SVI)
Podstawowa jednostka	Port fizyczny (`GigabitEthernet0/0/1`)	Interfejs wirtualny (`interface Vlan10`)
Adres IP	Przypisywany bezpośrednio do portu fizycznego.	Przypisywany do interfejsu wirtualnego, który reprezentuje VLAN.
Kluczowa komenda	no switchport	interface VlanX (oraz switchport access vlan X na portach L2)
Zależność od L2	Brak. Nie uczestniczy w VLAN, STP, VTP.	Krytyczna. SVI jest nierozerwalnie związane z VLAN-em.
Główny scenariusz	Łącza P2P, WAN, połączenia z firewallami, routerami brzegowymi.	Brama domyślna dla podsieci LAN, routing międzysieciowy (Inter-VLAN).
Elastyczność	Niska. 1 port = 1 podsieć/łącze.	Wysoka. Jeden SVI może obsługiwać wiele portów fizycznych (poprzez VLAN).

Podsumowanie

Zarządzanie adresacją na wieloportowych kartach Ethernet w routerach Cisco sprowadza się do fundamentalnej decyzji projektowej: czy dany port ma pełnić rolę izolowanego łącza L3, czy też ma być częścią większej, przełączanej domeny L2?

• Użyj portów routowalnych (L3) (no switchport), gdy łączysz router z innym urządzeniem L3 (innym routerem, firewallem) i potrzebujesz prostego, dedykowanego łącza bez narzutu L2. Jest to preferowana metoda dla łączy infrastrukturalnych.
• Użyj interfejsów SVI (interface VlanX), gdy router ma pełnić rolę bramy domyślnej dla podsieci (VLAN) i obsługiwać ruch Inter-VLAN. Pozwala to na elastyczne przypisywanie wielu portów fizycznych do tej samej podsieci, co jest idealne dla segmentów LAN (użytkownicy, serwery, drukarki, telefony).

Opanowanie obu tych koncepcji jest absolutnie niezbędne dla każdego inżyniera sieciowego pracującego ze sprzętem Cisco. Stanowią one fundament, na którym budowane są bardziej złożone konfiguracje, takie jak routing dynamiczny, polityki bezpieczeństwa i redundancja.