D link vlan: Недопустимое название — Xgu.ru

Содержание

D-Link

Вопрос: Что такое Guest VLAN и примеры настройки этой функции?
Ответ: 

1) Что такое Guest VLAN?


3. После того как порт аутентифицирован

  1. Члены Guest VLAN могут иметь доступ друг к другу даже если они не прошли 802.1x аутентификацию.
  2. Член Guest VLAN может быть переведён в Target VLAN (VLAN назначения) в соответствии с параметрами, указанными на RADIUS сервере, после прохождения 802.1x аутентификации.
    (Guest VLAN поддерживает только 802.1x на базе портов, но не базе MAC-адресов)

2) Почему 802.1x Guest VLAN?


802.1x Guest VLAN может предоставлять клиентам ряд ограниченных сервисов до прохождения процесса 802.1x аутентификации. Например клиент может скачать и установить необходимое ПО 802.1x. На рисунке, до того как клиент аутентифицирован, его PC может иметь доступ к публичному Web / FTP серверу в Guest VLAN для получения необходимой информации. После того как клиент аутентифицирован в сети, клиентский порт добавляется в соответствующий VLAN и может получить доступ ко всем сервисам в этом VLAN.

3) Пример 802.1x Guest VLAN


  1. Две VLAN: v10 и v20
  2. Guest VLAN VID=10
  3. Порты 1-12 добавлены в Guest VLAN
  4. Добавить порт в обе VLAN

1. Конфигурация DES3828
# Создайте VLAN v10 и v20 #
config vlan default delete 1-28
create vlan v20 tag 20
config vlan v20 add untagged 25-28
config ipif System ipaddress 10.10.10.1/8 vlan v20
create vlan v10 tag 10
config vlan v10 add untagged 1-24
create ipif p10 11.10.10.1/8 v10
# Включите 802.1x и Guest VLAN #
enable 802.1x
create 802.1x guest_vlan v10
config 802.1x guest_vlan ports 1-12 state enable
# Сделайте коммутатор посредником в процессе 802.1x #

config 802.1x capability ports 1-12 authenticator
config radius add 1 10.10.10.101 key 123456 default

2. Конфигурация PC клиента: Запустите ПО 802.1x D-Link.

3. Конфигурация RADIUS-сервера:
Создайте имя пользователя и задайте пароль. Задайте следующие атрибуты для пользователя:
Tunnel-Medium-Type (65) = 802
Tunnel-Pvt-Group-ID (81) = 20 | VID
Tunnel-Type (64) = VLAN

Перед тем, как порт 1 DES-3828 пройдёт процесс аутентификации 802.1x:

Команда: show vlan

VID : 1 VLAN Name : default
VLAN TYPE : static Advertisement : Enabled
Member ports :
Static ports :
Current Untagged ports :
Static Untagged ports :
Forbidden ports :

VID : 10 VLAN Name : v10
VLAN TYPE : static Advertisement : Disabled

Member ports : 1-24
Static ports : 1-24
Current Untagged ports : 1-24
Static Untagged ports : 1-24
Forbidden ports :

VID : 20 VLAN Name : v20
VLAN TYPE : static Advertisement : Disabled
Member ports : 25-28
Static ports : 25-28
Current Untagged ports : 25-28
Static Untagged ports : 25-28
Forbidden ports :

Команда: show 802.1x auth_state

Port Auth PAE State Backend State Port Status
—— ————— ————- ————
1 Connecting Idle Unauthorized
2 Disconnected Idle
Unauthorized
3 Disconnected Idle Unauthorized
4 Connecting Idle Unauthorized
5 Disconnected Idle Unauthorized
6 Disconnected Idle Unauthorized
7 Disconnected Idle Unauthorized
8 Disconnected Idle Unauthorized
9 Disconnected Idle Unauthorized
10 Disconnected Idle Unauthorized
11 Disconnected Idle Unauthorized
12 Disconnected Idle Unauthorized
13 ForceAuth Success Authorized
14 ForceAuth Success Authorized
15 ForceAuth Success Authorized
16 ForceAuth Success Authorized
17 ForceAuth Success Authorized
18 ForceAuth Success Authorized
19 ForceAuth Success Authorized
20 ForceAuth Success Authorized

На этом этапе, порты 1-24 DES3828 port 1-24 могут передавать данные друг другу, например на Web/FTP Сервер 1 на порту 19 в Guest VLAN, но не имеют доступа к FTP/Web Серверу 2 на порту 26 в VLAN20.

Команда: show vlan

VID : 1 VLAN Name : default
VLAN TYPE : static Advertisement : Enabled
Member ports :
Static ports :
Current Untagged ports :
Static Untagged ports :
Forbidden ports :

VID : 10 VLAN Name : v10
VLAN TYPE : static Advertisement : Disabled
Member ports : 2-24
Static ports : 2-24
Current Untagged ports : 2-24
Static Untagged ports : 2-24
Forbidden ports :

VID : 20 VLAN Name : v20
VLAN TYPE : static Advertisement : Disabled
Member ports : 1, 25-28 – Порт 1 прошёл аутентификацию и был добавлен в VLAN 20
Static ports : 1, 25-28
Current Untagged ports : 1, 25-28
Static Untagged ports : 1, 25-28
Forbidden ports :

Команда: show 802.1x auth_state

Port Auth PAE State Backend State Port Status
—— ————— ————- ————
1 Authenticated Idle Authorized
2 Disconnected Idle Unauthorized
3 Disconnected Idle Unauthorized
4 Connecting Idle Unauthorized
5 Disconnected Idle Unauthorized
6 Disconnected Idle Unauthorized
7 Disconnected
Idle
Unauthorized
8 Disconnected Idle Unauthorized
9 Disconnected Idle Unauthorized
10 Disconnected Idle Unauthorized
11 Disconnected Idle Unauthorized
12 Disconnected Idle Unauthorized
13 ForceAuth Success Authorized
14 ForceAuth Success Authorized
15 ForceAuth Success Authorized
16 ForceAuth Success Authorized
17 ForceAuth Success Authorized
18 ForceAuth Success Authorized
19 ForceAuth Success Authorized
20 ForceAuth Success Authorized

PC на порту 1 имеет доступ к FTP/Web Серверу 2 в VLAN20, так как этот порт стал членом VLAN20.

Результаты тестов:

  1. Перед тем как PC1 пройдёт процесс 802.1x аутентификации, PC1 имеет доступ к PC2 и FTP/WEB Серверу 1, находящимся в Guest VLAN.
  2. После того как PC1 пройдёт процесс аутентификации, PC1 имеет доступ к FTP/WEB Серверу 2, потому что PC1 переведён в VLAN20 из Guest VLAN VID 10 Radius-сервером. (PC 1 не имеет доступа к PC2 и FTP/WEB Серверу 1).

Настройка Private VLAN на коммутаторах D-Link

Технология виртуальных локальных сетей (VLAN)  стандарта 802.1Q всем, я надеюсь, хорошо известна. Она позволяет разделить локальную сеть на широковещательные домены. При этом, порт коммутатора в составе VLAN может быть тегированным (tagged) или нетегированным (untagged). Через тегированные порт кадры покидают коммутатор с меткой (VID) виртуальной локальной сети, которой они принадлежат, а при передаче через нетегированный порт эта метка удаляется. Порт, который передает кадры с любой меткой VLAN называется транковым (trunk).
Но вот что такое Private VLAN?

Смотрим на картинку:

Primary VLAN – это так называемый «первичный» VLAN, которые включает в себя «вторичные» VLAN  (secondary  VLAN). Вторичные VLAN могут быть двух типов – community  (общий) и isolated (изолированный). Компьютеры в community VLAN могут обмениваться данными друг с другом и с promiscuous -портами первичной VLAN, а компьютеры в isolated VLAN – только с promiscuous-портами. Трафик между компьютерами в isolated VLAN и между isolated и community VLAN будет блокирован.

Существует несколько правил:

  • Private VLAN может содержать одну isolated VLAN и несколько community VLAN.
  • Вторичные VLAN не могут быть ассоциированы с несколькими первичными.
  • Нетегированные порты первичной VLAN будут promiscuous –портами.
  • Тегированные порты первичной VLAN будут транковыми (trunk) портами.
  • Promiscuous –порты private VLAN не могут быть Promiscuous –портами в другой private VLAN.
  • Порт первичной VLAN не может быть портом во вторичной VLAN, и наоборот.
  • Вторичные VLAN могут содержать только нетегированные порты.
  • Порт, принадлежащий одной вторичной VLAN, не может одновременно принадлежать другой вторичной VLAN.
  • Когда VLAN ассоциирована с первичной как вторичная, promiscuous –порт первичной VLAN ведет себя как нетегированный порт вторичной VLAN, а транковый порт первичной VLAN – как тегированный порт вторичной VLAN.
  • Только первичная VLAN может быть сконфигурирована как L3-интерфейс.
  • На портах, принадлежащийхк private VLAN, не может быть сконфигурирована функция сегментации трафика (traffic segmentation).
 Пример настройки Private VLAN на коммутаторе D-Link DGS-3120-24TC приведен тут

Работа с vlan на коммутаторах D-Link

Часть 1: 802.1Q VLAN

Сегодня хотелось бы разобрать работу с vlan на коммутаторах Dlink.
Если вы еще не находитесь в CLI коммутатора, предлагаю ознакомится тем как это осуществить в разделе «Подключение к CLI» — ТУТ

Список доступных команд

create vlan <vlan_name 32> tag <vlanid 2-4094> {type 1q_vlan advertisement}
create vlan vlanid <vidlist> {advertisement}
delete vlan <vlan_name 32>
delete vlan vlanid <vidlist>
config vlan <vlan_name 32> {[add [tagged|untagged|forbidden]|delete] <portlist> | advertisement [enable|disable]}
config vlan vlanid <vidlist> {[add [tagged|untagged|forbidden]|delete] <portlist> | advertisement [enable|disable] | name <vlan_name 32>}
config port_vlan[<portlist>|all] {gvrp_state [enable|disable] | ingress_checking [enable|disable] | acceptable_frame [tagged_only|admit_all] | pvid <vlanid 1-4094>}
show vlan {<vlan_name 32>}
show vlan ports {<portlist>}
show vlan vlanid <vidlist>
show port_vlan {<portlist>}
enable pvid auto_assign
disable pvid auto_assign
show pvid auto_assign
config gvrp [timer {join <value 100-100000> | leave <value 100-100000> | leaveall <value 100-100000>} | nni_bpdu_addr [dot1d|dot1ad]]
show gvrp
enable gvrp
disable gvrp

Вланы могут создавать только пользователи с правами администратора и оператора.

Cоздание Vlan

Обязательно должен быть указан vlan id.
Формат: create vlan <vlan_name 32> tag <vlanid 2-4094> {type 1q_vlan advertisement}

Параметры:
<vlan_name 32> — имя создаваемого влана. Может содержать до 32х символов.
<vlanid 2-4094> — vlan id или таг влана. Может быть в диапазоне от 2 до 4094.
type 1q_vlan advertisement — параметр разрешающий анонсировать влан основанный на стандарте 802.1Q по протоколу GVRP. Использовать не рекомендуется, т.к. на разных моделях коммутаторов может вести себя непредсказуемо.

Пример:

create vlan v2 tag 2
или
create vlan v2 tag 2 type 1q_vlan advertisement
Массовое создание Vlan по ID

Метод используется для создания нескольких VLAN одновременно. Уникальное имя VLAN будет назначаться автоматически (например VLAN10). Назначение имени VLAN основано на следующем правиле: «VLAN»+ID. Например, для VLAN ID 100 имя VLAN будет VLAN100. Если это имя VLAN конфликтует с именем существующего VLAN, то оно будет переименовано. Происходит это на следующим образом: “VLAN”+идентификатор+”ALT”+счетчик совпадений. Например, если конфликт является вторым, то имя будет VLAN100ALT2.

Формат: create vlan vlanid <vidlist> {advertisement}

Параметры:
<vidlist> — количество вланов (VID) для создания.

Пример:

create vlan vlanid 10-30
Удаление Vlan

Формат: delete vlan <vlan_name 32>
Пример:

delete vlan v1
Массовое удаление Vlan по ID

Формат: delete vlan vlanid <vidlist>
Пример:

delete vlan vlanid 10-30
Конфигурирование Vlan

Формат: config vlan [<vlan_name 32>| vlanid] | {[add [tagged | untagged | forbidden] | delete] <portlist> | advertisement [enable | disable]}

Параметры:
add [tagged | untagged | forbidden] | delete] — Назначит порт Тегированным |Не тегированным | Запрещенным. forbidden (Запрещенный) указывает на то, что порт не сможет присоединиться к влану ни при каких условиях, кроме ручного добавления. Примером автоматического присоединения портов является протокол GVRP.
delete — удаление портов из влана
advertisement [enable | disable] — включение/отключение анонсирования влана в сеть. Используется протоколом GVRP

Пример:

config vlan v2 add tagged 4-8
config vlan vlanid 10-20 add tagged 4-8
GVRP и Ingress Checking

Ingress Checking — «проверка попадания» фрейма в набор VID, ассоцирированных с портом. Если Ingress Checking включен, то при поступлении в порт коммутатора фрейма, производится сравнение VID фрейма с набором идентификаторов VID, ассоциированных с портом (включая PVID порта). Если нет совпадения, то фрейм отбрасывается. Т.е. на порт принимаются только фреймы с идентификаторами VLAN ID, для которых данный порт является выходным. Если же Ingress Checking выключен, то никакой проверки не производится.

Формат: config port_vlan [<portlist> | all] {gvrp_state [enable | disable] | ingress_checking [enable | disable] | acceptable_frame [tagged_only | admit_all] | pvid <vlanid 1-4094>}

Параметр:
gvrp_state [enable | disable] — Включает или отключает GVRP для портов, указанных в списке
ingress_checking [enable | disable] — включение/отключение функции Ingress Checking
acceptable_frame [tagged_only | admit_all] — Разрешить только тегированный трафик на порту или весь.

config port_vlan 1-5 gvrp_state enable ingress_checking enable acceptable_frame tagged_only pvid 2
Команды просмотра Show

show vlan — Отображение информации о всех vlan, включая параметры и настройки.
show vlan ports 6 — отображает информацию о vlan на требуемом порту.
show vlan vlanid 1 — отображает информацию о требуемом vlan по его ID
show port_vlan — отображения атрибутов VLAN yна портах на коммутатора

PVID auto assign

PVID — указывать на то, каким тегом будет помечен трафик поступивший от хоста на порт коммутатора.
Пример:
Порт 16 — транковый порт. На него приходит несколько вланов. В том числе vlan2
Порт 1 — порт доступа (Access/Untagged). За ним располагается хост. Например абонент.

1. На коммутатор в порт 16, приходит тегированный фрейм. Коммутатор проверяет ARP таблицу и видит, что абонент доступен через порт 1.
2. Порт 1 работает в режиме Untagged, поэтому с фрейма снимается метка влана (его принадлежность к данному влану). После этого фрейм становится нетегированным.
3. Так как порт настроен как Untagged, то когда фрейм от абонента приходит на порт 1 коммутатора, в нём проставляется тег соответствующий PVIDу, который указывает какому VLAN’у принадлежит этот фрейм. В данном случае проставляется тег с VLAN’ом 2.

Для абонента фреймы остаются нетегированными. Операция тегирования, которую выполняют коммутаторы абсолютно прозрачна. Хосты ничего не знают о тегах и получают обычные фреймы.

PVID auto assign используется для включения автоматического назначения PVID. Когда назначается VLAN X untagged, PVID этого порта будет назначен VLAN X. PVID будет автоматически обновляться на последний добавленный untagged vlan. Когда untagged порт удаляется, PVID порта будет назначается на «default VLAN» или предыдущий.
Значение по умолчанию включено.
Пример:

enable pvid auto_assign 
disable pvid auto_assign

Проверка автоматического сопоставления PVID
show pvid auto_assign

Асимметричные VLAN

Суть данной технологии в том, что бы предоставить доступ с одного влана в другой, не используя маршрутизацию. Например абоненты разных сегментов сети не имея доступ друг к другу могли подключаться к требуемому серверу или интернет шлюзу.

enable asymmetric_vlan
create vlan v2 tag 2
create vlan v3 tag 3
config vlan v2 add untagged 9-16
config vlan v3 add untagged 1-8,17-24
config gvrp 1-8 pvid 3
config gvrp 9-16 pvid 2
config gvrp 17-24 pvid 1
save

Минусы использования:

  1. IGMP Snooping не поддерживается при использовании
    асимметричных VLAN.
    Решение: Использование коммутатора 3 уровня + ACL(листы
    доступа) + многоадресная (multicasting) маршрутизация + IGMP
    snooping
  2. При использовании Assymetric VLAN не происходит изучение, а
    также добавление в таблицы коммутации, MAC-адресов с
    тегированных портов. Тем самым применение Assymetric VLAN
    ограничивается одним коммутатором.
Настройка GVRP

GVRP (GARP VLAN Registration Protocol) служит для передачи между устройствами информации о vlan, используемых на данном отрезке сети. При использовании в сети большого количества устройств, добавление в сеть нового vlan часто влечет за собой перенастройку всех устройств, через которые должен проходить новый vlan. В сети провайдера, особенно при применении схемы vlan-per-customer, это может создавать огромную головную боль. Использование протокола GVRP позволяет избежать перенастройки оборудования каждый раз при изменении vlan в сети.

config gvrp timer устанавливает значение таймера GVRP. Значение по умолчанию для времени присоединения составляет 200 миллисекунд; для времени отсоединения-600 миллисекунд; Для LeaveAll -10000 миллисекунд.
Формат: config gvrp [timer {join < value 100-100000> | leave < value 100-100000> | leaveall <value100-100000>} | nni_bpdu_addr [dot1d | dot1ad]]

nni_bpdu_addr [dot1d | dot1ad] — Используется для определения адреса протокола BPDU для GVRP в узле предоставления услуг. Он может использовать адрес GVRP 802.1d, адрес GVRP поставщика услуг 802.1ad или пользовательский multicast адрес. Диапазон определенного пользователем адреса: 0180C2000000 — 0180C2FFFFFF.
Пример:

config gvrp timer join 200

show gvrp -Статус GVRP
enable/disable gvrp — включение/отключение GVRP.

Пример настройки GVRP

Схема подключения

На коммутаторах №2 и №3:

enable gvrp
config gvrp 27-28 state enable

На коммутаторе №4

enable gvrp
config gvrp 27 state enable
create vlan vlanid 100 advertisement
config vlan vlanid 100 add untagged 1
config vlan vlanid 100 add tagged 27

Напоминаю, что ключ advertisement при создании vlan говорит коммутатору о том, что этот vlan необходимо анонсировать соседним устройствам.

Статьи — Настройка VLAN на D-Link

Пример настройки vlan dlink на базе одного коммутатора

Задача: создать на коммутаторе 5 VLAN в которые будут входить по 5 портов.

1)По-умолчанию все порты коммутатора находятся в default vlan, который имеет VID 1. Выведем первые 25 портов из default vlan, 26 оставим для управления (ПК администратора):

# config vlan default delete 1-25

2) Создаем свои VLAN с именами «net1», «net2»,«net3»,«net4»,«net5» и соответствующими тегами 2,3,4,5,6:

# create vlan net1 tag 2
# create vlan net2 tag 3
# create vlan net3 tag 4
# create vlan net4 tag 5
# create vlan net5 tag 6

3)Добавили в каждый из новых VLAN соответствующие порты для подключения рабочих станций:

# config vlan net1 add untagged 1-5
# config vlan net2 add untagged 6-10
# config vlan net3 add untagged 11-15
# config vlan net4 add untagged 16-20
# config vlan net5 add untagged 21-25

В результате мы имеем 5 независимых сетей работающих в пределах одного коммутатора, которые не пересекаются друг с другом.

Пример настройки vlan dlink на базе 2-х коммутаторов:

Необходимо подключить два коммутатора с VLAN. На каждом из двух коммутаторов необходимо настроить по 5 VLAN, с условием, что каждый VLAN будет содержать по 5 портов на каждом коммутаторе. Также, необходимо обеспечить взаимодействие между этими VLAN, для общения станций, которые подключены к разным коммутаторам, но находятся в одном VLAN.

1)По-умолчанию все порты коммутатора находятся в default vlan, который имеет VID 1.

Выведем все порты из default vlan:

# config vlan default delete 1-26

2) Создаем свои VLAN с именами «net1», «net2»,«net3»,«net4»,«net5» и соответствующими тегами 2,3,4,5,6 :

# create vlan net1 tag 2
# create vlan net2 tag 3
# create vlan net3 tag 4
# create vlan net4 tag 5
# create vlan net5 tag 6

3)Добавили в каждый из новых VLAN соответствующие порты для подключения рабочих станций:

# config vlan net1 add untagged 1-5
# config vlan net2 add untagged 6-10
# config vlan net3 add untagged 11-15
# config vlan net4 add untagged 16-20
# config vlan net5 add untagged 21-25

4)Добавили в каждый из VLAN tagged порт 26:

# config vlan net1 add tagged 26
# config vlan net2 add tagged 26
# config vlan net3 add tagged 26
# config vlan net4 add tagged 26
# config vlan net5 add tagged 26

Настройка обоих коммутаторов будет одинаковой. Помимо создания новых VLAN и регистрации в них портов для подключения рабочих станций (untagged), необходимо включить порт (tagged) по которому будут передаваться трафик между коммутаторами. Понятно, что при передаче фреймов, принадлежащих нескольким VLAN по одному каналу связи между коммутаторами необходимо эти фреймы помечать тегами, для того , чтобы на другой стороне канала коммутатор мог отправить их в соответствующий VLAN. Тегированные порты могут быть зачислены в несколько VLAN. В примере, в каждый VLAN был включен 26-й порт как тегированный.

Пример настройки vlan dlink на базе одного коммутатора:

Задача: создать на коммутаторе 5 VLAN в которые будут входить по 5 портов.

1)По-умолчанию все порты коммутатора находятся в default vlan, который имеет VID 1. Выведем первые 25 портов из  default vlan, 26 оставим для управления (ПК администратора):

# config vlan default delete 1-25

2) Создаем свои VLAN с именами «net1», «net2»,«net3»,«net4»,«net5» и соответствующими тегами 2,3,4,5,6:

# create vlan net1 tag 2
# create vlan net2 tag 3
# create vlan net3 tag 4
# create vlan net4 tag 5
# create vlan net5 tag 6

3)Добавили в каждый из новых VLAN соответствующие порты для подключения рабочих станций:

# config vlan net1 add untagged 1-5
# config vlan net2 add untagged 6-10
# config vlan net3 add untagged 11-15
# config vlan net4 add untagged 16-20
# config vlan net5 add untagged 21-25

В результате мы имеем 5 независимых сетей работающих в пределах одного коммутатора, которые не пересекаются друг с другом.

Пример настройки vlan dlink на базе 2-х коммутаторов:

Необходимо подключить два коммутатора с VLAN. На каждом из двух коммутаторов необходимо настроить по 5 VLAN, с условием, что каждый VLAN будет содержать по 5 портов на каждом коммутаторе. Также, необходимо обеспечить взаимодействие между этими VLAN, для общения станций, которые подключены к разным коммутаторам, но находятся в одном VLAN.

1)По-умолчанию все порты коммутатора находятся в default vlan, который имеет VID 1.

Выведем все порты из  default vlan:

# config vlan default delete 1-26

2) Создаем свои VLAN с именами «net1», «net2»,«net3»,«net4»,«net5» и соответствующими тегами 2,3,4,5,6 :

# create vlan net1 tag 2
# create vlan net2 tag 3
# create vlan net3 tag 4
# create vlan net4 tag 5
# create vlan net5 tag 6

3)Добавили в каждый из новых VLAN соответствующие порты для подключения рабочих станций:

# config vlan net1 add untagged 1-5
# config vlan net2 add untagged 6-10
# config vlan net3 add untagged 11-15
# config vlan net4 add untagged 16-20
# config vlan net5 add untagged 21-25

4)Добавили в каждый из VLAN tagged порт 26:

# config vlan net1 add tagged 26
# config vlan net2 add tagged 26
# config vlan net3 add tagged 26
# config vlan net4 add tagged 26
# config vlan net5 add tagged 26

Настройка обоих коммутаторов будет одинаковой. Помимо создания новых VLAN и регистрации в них портов для подключения рабочих станций (untagged), необходимо включить порт (tagged) по которому будут передаваться трафик между коммутаторами. Понятно, что при передаче фреймов, принадлежащих нескольким VLAN по одному каналу связи между коммутаторами необходимо эти фреймы помечать тегами, для того , чтобы на другой стороне канала коммутатор мог отправить их в соответствующий VLAN. Тегированные порты могут быть зачислены в несколько VLAN. В примере, в каждый VLAN был включен 26-й порт как тегированный.

Сегментация сети на оборудовании Mikrotik и D-Link, использование протокола 802.1Q — asp24.ru

Рост компании — неминуемый процесс, рано или поздно приходящий ко всем. Увеличение количества клиентов, открытие новых отделов, слияния, поглощения — всё это увеличивает количество компьютеров, принтеров и других устройств в сети.

С количеством устройств в сети приближающемся к ста, сетевой администратор начинает испытывать проблемы с идентификацией потоков трафика, адресацией устройств, безопасностью сети, количеством широковещательного трафика (особенно если сеть состоит из Windows машин, что сегодня является стандартом).

Перечисленные проблемы решаются сегментацией сети. Сегментация  — разбиение одной локальной сети на сегменты, каждый сегмент имеет свой адрес сети и свой шлюз по умолчанию (физически это может быть одно устройство). Практически сегментировав сеть мы получаем несколько сетей из одной, как если бы использовали несколько коммутаторов для каждой группы устройств.

Для сегментации сети используется технология VLAN, мы будем использовать её реализацию 802.1Q, известную как port-based VLAN. 802.1Q позволяет распределить VLAN по портам коммутатора. Имеются и другие реализации VLAN, которые мы затрагивать не будем. Заметим, что 802.1Q поддерживается не всем оборудованием. Но, как правило, “умные” коммутаторы это умеют.

Технологически протокол 802.1Q вставляет в Ethernet-фрейм 4 байта, 12 бит из которых являются идентификатором VLAN (VID). Соответственно, максимальное количество VLAN в этой технологии может быть 4096.

Информации и руководств по сегментированию сети очень много. Но все статьи содержат только технологическую часть работы, а планирование и адресация остаётся за кадром. В этой статье я хочу показать именно “бумажную” часть работы, а на технологическую отвести меньше усилий.

Что нужно перед проведением сегментации:

  1. Четкое понимание адресации сети, маски, network address, broadcast address.В этом поможет IP Калькулятор Онлайн.
  2. Принцип логического разделения сети: по отделам, этажам, типу трафика и т.д. В одном сегменте рекомендуется держать не более 126 устройств.
  3. Коммутаторы, поддерживающие 802.1Q. Маршрутизатор с поддержкой 802.1Q.

Первым делом необходимо выработать принцип деления сети. Как правило, сначала выделяют control plane и data plane. В control plane выделяют     management трафик (управление гипервизорами, консоли серверов, управление сетевым оборудованием), data plane — бизнес данные (RDP, 1C, SMB). К control plane сегменту доступ должен быть только с компьютеров системных администраторов, соответственно, эти машины тоже необходимо выделить в отдельный сегмент. И так далее, в зависимости от уровней доступа (инженерам не нужен доступ к машинам руководства и т.д.). Оставьте 20% запас для возможного расширения или изменения структуры сегментации.

У меня получилась такая структура:

После выделения сегментов необходимо озадачиться адресацией этих сегмент. Эта работа наиболее трудоемка и требует понимания уровней доступа и возможного роста сети, а так же логики адресации.

На картинке видно, какие адреса я выделил для своих сегментов. Объясню почему. Control plane у меня оказался в синей части таблицы. Management сегмент — сетевое оборудование, консоли серверов, ИБП и т.д. занял сеть 192.18.32.0/25 (192.168.32.1 — 192.168.32.126). VLAN остался дефолтный — так называемый Native VLAN. Это сделано специально. В случае некорректной работы коммутатора, поломки VLAN’ов или полного отказа коммутатора всегда можно будет поставить любой другой коммутатор и увидеть сервера.

В итоге весь control plane занимает сеть 192.168.32.0/23. А конкретно виртуальные машины, например, 192.168.33.0/25. Таким образом, теперь чтобы разрешить доступ к control plane всему отделу ИТ в фаерволе нужно прописать следующее: разрешить доступ к сети 192.168.32.0/23 из сети 192.168.34.0/25. А доступ к Management от главных админов: разрешить доступ к 192.168.32.0/25 от 192.168.34.0/27. Таким образом, близким по назначению сегментам нужно давать адреса из соседних диапазонов, чтобы в будущем можно было одним правилом задействовать несколько потоков трафика.

В связи с этим несколько советов из личного опыта:

  • Оставляйте резерв для адресов и сегментов. Злую шутку сыграет момент, когда выяснится, что в сети есть ещё один тип устройств, который необходимо засунуть третьим в вашу таблицу сегментации. Придется переделывать всё, что ниже: все сегменты, все DHCP-сервера, фаерволы, правила приоритезации и т.д.
  • Адресацию начинайте с четного октета. Так будет удобнее выделять трафик по адресам. Например, первый сегмент первой группы- 192.168.112.0/24, второй — 192.168.113.0/24, третий — 192.168.114.0/24. Первый сегмент второй группы —  192.168.116.64/27, второй — 192.168.116.96/27. Таким образом, первая группа полностью будет описываться адресом 192.168.112.0/22 и для резерва останется подсеть 192.168.115.0/24. А вторая группа полностью — 192.168.116.64/26. Так же можно гибко отфильтровать каждый сегмент каждой группы.
  • Экономьте адреса! Это сейчас вам кажется, что их слишком много. Не выдавайте под сегмент с 12 устройствами всю 24 подсеть. Даже с возможностью роста в 500% будет достаточно 26 маски.
  • Не забывайте о возможных партнерах со схожей адресацией. Перед выбором адресов обязательно узнайте у админов из смежных организаций о их адресации. Не выбирайте адреса из подсетей 192.168.0.0/24, 192.168.1.0/24, т.к. их очень любят использовать производители оборудования, и в случае появления в сети DIR-300, которым один из сотрудников захочет раздать WiFi в своем кабинете, его DHCP сервер с 192.168.0.0/24 подарит вам массу эмоций.

Практическая часть

Работать будем с оборудованием Mikrotik (RB951G-2HnD, хотя все девайсы комплектуются одним ПО, поэтому все сказанное будет справедливо и для других моделей) и D-Link, очень распространненных в секторе SMB.

Схема сети:

Итак, у нас есть маршрутизатор Mirotik, коммутатор D-Link DES-3200 и 3 рабочих станции, которые должны принадлежать разным сегментам.
На маршрутизаторе необходимо создать три виртуальных интерфейса VLAN. Имя: vlan15 vlan17, VID 15-17:
interface vlan add name=vlan15 vlan-id=15 interface=bridge-local
interface vlan add name=vlan16 vlan-id=16 interface=bridge-local
interface vlan add name=vlan17 vlan-id=17 interface=bridge-local

Затем, необходимо каждому виртуальному интерфейсу присвоить IP-адрес.
ip address add address=192.168.15.1/24 interface=vlan15
ip address add address=192.168.16.1/24 interface=vlan16
ip address add address=192.168.17.1/24 interface=vlan17

Затем необходимо настроить DHCP-сервер на каждом интерфейсе, но это выходит за рамки этой статьи.

Настройка коммутатора.

Пусть маршрутизатор подключен к коммутатору 26 портом, поэтому на этот порт должны приходить все VLAN’ы транком (тэгированные в терминологии D-Link’a). С маршрутизатора все 3 VLAN’a мы отдали. Создаем нужный VLAN и делаем порт с нужным компьютером акцесным (нетегированный по-длинковски).

Перед этим ОБЯЗАТЕЛЬНО необходимо убарть с этого порта native VLAN (1), поставив порт в положение Not Member при редактировании VLAN 1. Некоторые модели коммутатора просто не дадут сделать порт нетегированным, пока на нем нетегированно отдается какой-либо другой влан.
На этом настройка одного из сегментов закончена, остальные настраиваются точно так же. Мы получили 3 сети в пределах одного коммутатора (на самом деле 4, ведь есть ещё Native VLAN). В пределах одной сети трафик ничем не ограничен (только настройками конечных устройств), а между сетями трафик ходит через маршрутизатор, на котором можно настроить правила фильтрации трафика, приоритезацию, различные сетевые настройки для каждого сегмента в его DHCP-сервере и так далее.

Источник: https://lanmarket.ua/stats/segmentaciya-seti-ispolzovanie-protokola-802-1Q

Настройка Private VLAN на коммутаторах D-Link | Building networks for everyone

Технология виртуальных локальных сетей (VLAN)  стандарта 802.1Q большинству знакома. Она позволяет логически разделить локальную сеть на широковещательные домены. При этом, порт коммутатора в составе VLAN может быть тегированным (tagged) или нетегированным (untagged). Через тегированные порт кадры покидают коммутатор с меткой (VID) виртуальной локальной сети, которой они принадлежат, а при передаче через нетегированный порт эта метка удаляется. Порт, который передает кадры с любой меткой VLAN называется транковым (trunk).

На коммутаторах D-Link давно реализуется фирменное расширение технологии VLAN под названием «асимметричные VLAN». А на некоторых сериях появилось и расширение под названием «Private VLAN». Попробую объяснить в чем суть этой технологии.

В Private VLAN вводится понятие первичной (primary) и вторичных (secondary) VLAN. Вторичные VLAN могут быть двух типов — community  (общий) и isolated (изолированный). Компьютеры в community VLAN могут обмениваться данными друг с другом и с promiscuous-портами первичной VLAN, а компьютеры в isolated VLAN — только с promiscuous-портами. Трафик между компьютерами в isolated VLAN , между isolated и community VLAN и между разными community VLAN будет блокирован. При настройке вторичные VLAN должны быть соотнесены с первичным.

Существует несколько правил и ограничений:

  • Private VLAN может содержать одну isolated VLAN и несколько community VLAN.
  • Вторичные VLAN не могут быть ассоциированы с несколькими первичными.
  • Нетегированные порты первичной VLAN будут promiscuous –портами.
  • Тегированные порты первичной VLAN будут транковыми (trunk) портами.
  • Promiscuous –порты private VLAN не могут быть Promiscuous –портами в другой private VLAN.
  • Порт первичной VLAN не может быть портом во вторичной VLAN и наоборот.
  • Вторичные VLAN могут содержать только нетегированные порты.
  • Порт, принадлежащий одной вторичной VLAN, не может одновременно принадлежать другой вторичной VLAN.
  • Когда VLAN ассоциирована с первичной как вторичная, promiscuous-порт первичной VLAN ведет себя как нетегированный порт вторичной VLAN, а транковый порт первичной VLAN – как тегированный порт вторичной VLAN.
  • Только первичная VLAN может быть сконфигурирована как L3-интерфейс.
  • На портах, принадлежащийх к private VLAN, не может быть сконфигурирована функция сегментации трафика (traffic segmentation).

Рассмотрим такую схему сети:

  • Первичная VLAN: VID 1000, promiscous-порты 9-14
  • Вторичная community VLAN: VID 100, порты 1-4
  • Вторичная isolated VLAN: VID 200, порты 5-8
Схема сети с Private VLAN

Схема сети с Private VLAN

Настраивать будем коммутатор DGS-3130-30TS со стандартным интерфейсом командной строки.

Switch3(config)# vlan 100
Switch3(config-vlan)# private-vlan community
Switch3(config-vlan)# exit
Switch3(config)# vlan 200
Switch3(config-vlan)# private-vlan isolated
Switch3(config-vlan)# exit
Switch3(config)# vlan 1000
Switch3(config-vlan)# private-vlan primary
Switch3(config-vlan)# private-vlan association add 100,200
Switch3(config)# interface range ethernet 1/0/1-4
Switch3(config-if-range)# switchport mode private-vlan host
Switch3(config-if-range)# switchport private-vlan host-association 1000 100
Switch3(config)# interface range ethernet 1/0/5-8
Switch3(config-if-range)# switchport mode private-vlan host
Switch3(config-if-range)# switchport private-vlan host-association 1000 200
Switch3(config)# interface range ethernet 1/0/9-14
Switch3(config-if-range)# switchport mode private-vlan promiscuous
Switch3(config-if-range)# switchport private-vlan mapping 1000 add 100,200

Просмотреть сделанные настройки можно командой show vlan private-vlan

Вывод команды show vlan private-vlan

Вывод команды show vlan private-vlan

Если проверить при помощи ping сделанные настройки, то «пинги» будут проходить между компьютерами, подключенными к портам 1-4, между портами 1-4 и 9-14, а с портов 5-8 можно пинговать только компьютеры на портах 9-14.

D link dgs 1210 настройка vlan

Description – Voice VLAN allows you to easily prioritize IP voice traffic through the switch

Example – In our example we have created two VLANs:

– Data VLAN – VID 20
– Voice VLAN – VID 50

Ports 2 and 16 are added to the data VLAN (because we have phones connected to these ports)

Every phone has been configured with the VLAN 50 (voice VLAN)

Step 1 – Enter the web configuration interface DGS-1210

Step 2 – Please go to Configuration > 802.1Q VLAN

Step 3 – Click on VLAN 1

Step 4 – Set as “Not Member” on all ports where phones are connected (in this example ports 2 and 16, then click “Apply”

Step 5 – Click “Add VID”


Step 6 – Create the “Data” VLAN, adding ports as “Untagged” where phones are connected (ports 2 and 16), then click “Apply”.



Step 7
– Create Voice VLAN (leaving all ports as Not Member), then click “Apply”



Step 8
– Please go to Configuration > Voice VLAN > Voice VLAN Settings

Step 9 – Set the Voice VLAN with the following parameters

• Voice VLAN: Enable
• VLAN ID: Enter the ID of the VLAN previously created voice (in this example VID 50)
• Priority: Specify the priority

Then click “Apply”

Step 10 – In Voice VLAN Port Settings, change Auto Detection to “Enabled”, and then click “Apply”.



Step 11 – Please go to Configuration > Voice VLAN > Voice VLAN OUI Settings




Step 12 – Is this section, specify the type of device to be connected to the switch, so the switch will know which traffic to prioritize

Note: If you select a predefined mark, be sure what is in “Telephony OUI” match your phone.

If your brand is not on the list, select “User defined OUI”, then enter a description and OUI

Step 13 – Once configured, the phone will be displayed in the list

Наша цель настроить коммутатор таким образом, чтобы каждый порт входил в уникальный VLAN. Коммуникатор имеет 48 портов на скорости 10/100 Мбит/с и 4 порта на скорости 100/1000 Мбит/с, количество арендуемых помещений 42. У нас остаётся в резерве 10 портов. Два гигабитных порта 51-52 из резерва сделаем тегируемыми для подключения двух сетевых карт маршрутизатора (рисунок 2.5).

Рисунок 2.5 Схема подключения маршрутизатора к коммутатору.

Порты 49-50 будут задействованы для подключения 2 каналов интернет-провайдера (основной и резервный).

Порты с 1 по 42 будут задействованы для подключения каждого арендуемого помещения.

Методика настройки на маршрутизаторе

На интерфейсе №1 (eth0) маршрутизатора, будут настроены 2 субинтерфейса vlan100 и vlan101 c настройками интернет провайдеров, на интерфейсе №2 (eth2) маршрутизатора будут настроены 42 субинтерфейса vlan2-vlan43 с настройкой IP параметров(vlan1 используется только для административных целей).

Методика настройки на коммутаторе

Создаются виртуальные сети vlan2-vlan43, порты с 1 по 42 по одному добавляются в VLAN, Отдельно создаются vlan100 и vlan101 на портах 49 и 50. В эти порты будут приходить два Интернет канала от разных провайдеров (рисунок 2.5). Порт 51 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым, и добавить этот порт в vlan100 и vlan101. Тем самым мы сможем использовать 1 физическую линию и вместить в неё 2 канала. Таким образом, можно использовать ещё несколько входящих каналов, главное чтобы были свободные порты на коммутаторе [19].

Порт 52 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым и добавить его в vlan2-vlan43.

Программирование коммутатора

Сеть на коммутаторе настроена по умолчанию по адресу 192.168.1.100/24. По умолчанию все порты включены в vlan1 по этому конфигурировать telnet-ом можно через любой порт [18].

Для того, чтобы не потерять управление над коммутатором при процедуре удаления портов из vlan1 или (defaul vlan), подключим коммутатор к 48 порту, который останется в vlan1. Выполним команду удаления портов с 1 по 42:

config vlan default delete 1-42

Создаём vlan-ы с именем office1….office42 помечая тегами.

create vlan office1 tag2

create vlan office42 tag43

Добавляем в vlan-ы по одному порту

config vlan office1 add untagged 1

config vlan office42 add untagged 42

Порты клиентов настроены

Теперь включим в каждый vlan тегируемый порт 52. Гигабитный порт №52 будет соединен с сетевой картой Linux шлюза, на котором будут настраиваться VLAN порты.

config vlan office1 add tagged 52

config vlan office42 add tagged 52

Коммутацией входящих интернет каналов будет заниматься коммутатор, для каждого канала будет создан отдельный VLAN с привязкой к порту. Так как у нас свободны с 43 по 48 100 мегабитные порты и с 49 по 50 гигабитные, создадим VLAN на 49 и 50 портах.

create vlan provider1 tag 100

create vlan provider2 tag 101

Добавляем гигабитные порты в созданные VLAN

config vlan provider1 add untagged 49

config vlan provider2 add untagged 50

Добавим тегированный порт, в нашем случае гигабитный порт в VLAN.

config vlan provider1 add tagged 51

config vlan provider2 add tagged 51

Использование коммутатора, для коммутации входящих интернет каналов, даёт ряд преимуществ:

1. На сервере будет использованы встроенные сетевые интерфейсы, что важно, так как при использовании серверов 1U, накладывает ограничение на периферийные компоненты по количеству PCI слотов – не более одного.

2. Вся маршрутизация будут проходить на субинтерфейсах двух физических интерфейсов.

3. В коммутаторе есть возможность подключения 2 оптических линий, что значительно дешевле, если бы мы покупали сетевую плату с оптическим входом.

Для достижения высокой производительности коммутации и маршрутизации между VLAN, необходимо использовать сетевую карту с аппаратной поддержкой VLAN 802.1Q. Она освободит процессор сервера от добавления тега в кадр и пересчёта контрольной суммы, процессор будет заниматься только маршрутизацией между интерфейсами и работой сервисов и служб.

Этот VLAN основывается на аппаратных MAC адресах сетевых устройств (адаптер ПК, IP телефон и т.д.). Чтобы создать такой VLAN потребуется:

  1. Создать VLAN на коммутаторе, например VLAN 20
  2. Добавить к этому VLAN 20 все устройства которые мы хотим отделить в отдельную сеть.

Примерная схема сети:

Настройка MAC Based VLAN для IP телефонов > Mac Based VLAN.png» src=»http://storage.yvision.kz/images/user/akehayc/4Q036GD12hRdc05 >

На картинке изображен сервер Asterisk с двумя сетевыми картами. Адаптер eth2 не входит ни в один VLAN, также как и ПК 4. Второй сетевой интерфейс сервера под именем eth3 состоит в VLAN под номером 20. Помимо адаптера сервера eth3, во VLAN 20 включены три ПК и два телефона.

Детальная настройка VLAN на коммутаторе DLINK DGS 1210-52ME для IP телефонов

Настройка MAC Based VLAN для IP телефонов > DLINK DGS-1210-52ME-1.PNG» src=»http://storage.yvision.kz/images/user/akehayc/ib72iBWc9catFL0su5GXR693T6xxDh.png» alt=»» >

Заходим в меню Configuration -> 802.1Q VLAN -> Нажимаем ADD VID

Настройка MAC Based VLAN для IP телефонов > DLINK DGS-1210-52ME-2.PNG» src=»http://storage.yvision.kz/images/user/akehayc/3AO0dVzoBBo321iWx68Fy8DPCQ2r1I.png» alt=»» >

В открывшемся окне, задаем номер для создаваемого VLAN – 20 и добавляем краткое описание VOICE TRAFFIC (Голосовой трафик).

Также здесь требуется указать Untagged порты, которые будут во VLAN 20. На картинке 10,16 и 21 порты состоят во VLAN 20.

После нажимаем кнопку Apply.

Настройка MAC Based VLAN для IP телефонов > DLINK DGS-1210-52ME-3.PNG» src=»http://storage.yvision.kz/images/user/akehayc/3SSgLh3YgV3cjQ37i70fXyLe7d8WNj.png» alt=»» >

Теперь осталось добавить устройства в только что созданный VLAN 20. Для этого идем в меню Configuration -> Mac Based VLAN.

И пишем MAC адрес устройства и номер VLAN’a где будет находится аппарат.

Как настроить VLAN — пример (HTTP и CLI) DGS-1510-Series

Пример настройки:

 
•     Конфигурация VLAN

«Применить» — Функции L2 > VLAN > 802.1Q VLAN

Команды CLI:
vlan 10

Шаг 2 — Редактируем имя
     VLAN Name: corporative

Нажмите «Редактировать» и измените имя VLAN в столбце VLAN Name, после изменения имени пике в конце строки Apply.

CLI-команды:
vlan 10 
название корпорации


 
Команды CLI:

влан 20
имя гости
выход
влан 30
имя маршрутизатор
выход





Шаг 3 —
Настройка портов

У нас есть 3 типа портов — L2 Особенности> VLAN> Интерфейс VLAN

• Гибрид
• Доступ
• Губан

Пример: Гибридный режим:

— A Vlan без тегов (собственный)
— Multiple Tagged vlan
(VID 2 без тегов, ID 1 и 3 с тегами)
Команды CLI:

configure terminal
interface ethernet 1/0/1 tagged 1-3
end

Пример: режим доступа VLAN2 (без тегов)

CLI-команды:

interface ethernet 1/0/1
switchport mode access
switchport access vlan 2
accept-frame accept-all end

Пример: Магистральный порт

Разрешить только тегированные вланы

Команды CLI:

настроить терминал
интерфейс Ethernet 1/0/1
switchport mode trunk
switchport trunk native vlan tag
accept-frame tagged-only
end

Шаг 3.1 — Корпоративный VLAN

5-16 портов каждого блока, куда пользователи будут подключаться в режиме доступа.

CLI-команды:
настроить терминал
диапазон интерфейса Ethernet 1/0/5-1/0/16
доступ к режиму переключения порта
доступ к переключателю порта vlan 10 ethernet 2/0/5-2/0/16
режим доступа к порту переключения
доступ к порту переключения vlan 10
приемлемый-кадр допуска-все
конец

Шаг 3.2 — Guest VLAN

В порты 17-22 каждого блока, куда гости могут подключаться в режиме доступа.

 

Команды CLI:
настроить терминал
диапазон интерфейса ethernet 1/0/17-1/0/22
доступ к режиму коммутатора
доступ к коммутатору по vlan 20
допустимый кадр допустить-все
конец

настроить терминал
диапазон интерфейса ethernet 2/ 0/17-2/0/22
доступ к режиму коммутатора
доступ к коммутатору порта vlan 20
приемлемый-кадр допуск-все
конец

Шаг 3.3
— VLAN для маршрутизатора

Порт 24 — место подключения маршрутизатора vlan 30
accept-frame accept-all
end

configure terminal
interface range ethernet 2/0/23-2/0/24
switchport mode access
switchport access vlan 30
accept-frame accept-all
end

Шаг 4 — Настройка IP-интерфейсов для каждой VLAN — Функции L3 > Интерфейс IPv4 pique Применить для подтверждения настроек.

CLI-команды:
интерфейс vlan 10
IP-адрес 192.168.10.1 255.255.255.0
выход

CLI-команды:
интерфейс vlan 20
IP-адрес 192.168.20.1 255.255.255.0
выход

CLI-команды:
интерфейс vlan 30
IP-адрес 172.16.0.1 255.255.255.0
выход

Шаг 5 — Создание статического маршрута

Мы создадим маршрут по умолчанию к маршрутизатору, который обеспечивает подключение к Интернету через VLAN30

 

Команды CLI:
настроить терминал
ip route 0.0.0.0 0.0.0.0 172.16.0.254 первичный
конечный

Шаг 6 — Создайте списки управления доступом для блокировки доступа из «Гостевой» сети в «Корпоративную» сеть.
Введите параметр ACL > Список доступа ACL , выберите параметр ALL Type ACL и нажмите «Добавить» ACL, чтобы создать ACL для стандартного (базового) типа IP и, таким образом, запретить доступ к сети 192.168.20.0/24 до 192.168 . 10.0 /24
Помните, что правила выполняются последовательно.

CLI-команды:
ip-список доступа блок 1

После создания правила закройте окно (Добавить список доступа ACL), а затем отредактируйте созданное правило, нажав «Изменить», в списке доступа, чтобы добавить два необходимых правила, нажав «Добавить правило».

CLI: команды
диапазон интерфейса ethernet 1/0/5-1/0/16
блокировка группы доступа ip в
выход

Добавить обратное правило

Команды CLI:
ip access-list block 1
1 deny 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
2 запретить 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
выход

Шаг 7 — Назначьте списки ACL задействованным портам

Введите ACL > Группа интерфейса доступа ACL и свяжите имя созданного ACL с соответствующим портом

 

Команды CLI:
interface range ethernet 1/0/5-1/0/16
ip access-group bloqueo in
exit


КАК настроить две сети VLAN — серия DSR

Конфигурация сети:

Эта настройка заключается в разделении двух сетей путем создания двух сетей VLAN на сервисном маршрутизаторе серии DSR.В этом примере будут использоваться следующие настройки:

Сеть 1 — 192.168.10.0 /24 — По умолчанию

Сеть 2 — 192.168.20.0 /24 — VLAN20

Вход в веб-интерфейс Шаг 50 DSR использует свой IP-адрес в веб-браузере. В нашем примере мы использовали IP-адрес 192.168.10.1


 
Примите любые предупреждения о сертификатах, которые вы можете увидеть, это совершенно нормально и безопасно

Шаг 2 . Затем вам должна быть представлена ​​страница входа



Имя пользователя: admin

Пароль:

admin

Нажмите «Логин»


Шаг 3 — Нажмите на следующие параметры для настройки VLAN

Network> VLAN> Настройки VLAN

Шаг 4 — Здесь сначала необходимо включить VLAN, затем нажать «Сохранить»


 
Шаг 5 — После сохранения нажмите «Добавить новую VLAN»

 

IP-адрес VLAN: 20
Имя: VLAN20
Capital Portal: Выкл.
Активировать маршрутизацию InterVLAN: Выкл. друг друга
Подсеть Multi VLAN: 192.168.20.1
Маска подсети: 255.255.255.0

Шаг 5 — Нажмите на опцию «DHCP Server»



Доменное имя:

Начало IP-адрес : 192.168.20.2

Конечный IP-адрес: 192.168.20.254

Шлюз по умолчанию: 192.168.20.1

Первичный DNS-сервер: 8.8.8.8

Вторичный сервер

9000

Время аренды: 24

Прокси-сервер LAN: Вкл. (по умолчанию)

Если для этой новой подсети доступен DHCP, нажмите «DHCP Relay» и настройте в соответствии с требованиями этой сети.После этого нажмите «Сохранить»

В нашем примере мы использовали VLANID 20 для сети 192.168.20.0/24. После нажатия на «Сохранить» наша вторая VLAN будет создана


 
Шаг 6 — Следующим шагом является связывание VLAN с портом или определенными портами. Мы свяжем порт 4


 
Сеть > VLAN > Порт VLAN


 
Шаг 7
. В нашем примере мы собираемся связать VLAN20 с портом 4.Для этого наведите указатель мыши на порт 4 и щелкните правой кнопкой мыши, затем щелкните «Изменить».


 
Шаг 8. PVID 20 (Шаг 5)


 
После этого нажмите «Сохранить».


 
ПРИМЕЧАНИЕ. » верно.

Однако, если вы планируете подключить управляемый коммутатор, который понимает VLANS, вам нужно будет выбрать «Trunk» и VLAN Membership 20


 

Продукты Dlink

Конфигурация сети:

Эта установка состоит из разделения двух сетей путем создания двух сетей VLAN на сервисном маршрутизаторе серии DSR.В этом примере будет использоваться следующая настройка:

.

Сеть 1 — 192.168.10.0/24 — По умолчанию

Сеть 2 — 192.168.20.0/24 — VLAN20

Шаг 1 – Войдите в веб-интерфейс DSR, используя его IP-адрес в веб-браузере. В нашем примере мы использовали IP-адрес 192.168.10.1

.

Примите любые предупреждения сертификата, которые вы можете увидеть, это совершенно нормально и безопасно

Шаг 2 – Затем вам должна быть представлена ​​страница входа

Имя пользователя: администратор

Пароль: админ

Щелкните «Войти»

Шаг 3 — Щелкните следующие параметры для настройки VLANS

Сеть > VLAN > Настройки VLAN

Шаг 4 — Здесь вы должны сначала включить VLAN, затем нажать «Сохранить»

Шаг 5. После сохранения нажмите «Добавить новую VLAN»

IP-адрес VLAN: 20
Имя: VLAN20
Capital Portal: Выкл.
Активировать маршрутизацию InterVLAN: Выкл. друг друга
Подсеть Multi VLAN: 192.168.20.1
Маска подсети: 255.255.255.0

Шаг 5 — Нажмите на опцию «DHCP-сервер»



Имя домена:
DHCP_VLAN20

Начальный IP-адрес : 192.168.20.2

Конечный IP-адрес: 192.168.20.254

Шлюз по умолчанию: 192.168.20.1

Основной DNS-сервер: 8.8.8.8

Дополнительный DNS-сервер: 8.8.4.4.

Время аренды: 24

Прокси-сервер LAN: Вкл. (по умолчанию)

Если у вас есть доступный DHCP для этой новой подсети, нажмите «DHCP Relay» и настройте в соответствии с требованиями этой сети.После этого нажмите «Сохранить»

В нашем примере мы использовали VLANID 20 для сети 192.168.20.0/24. После нажатия на «Сохранить» наша вторая VLAN будет создана

Шаг 6 — Следующим шагом является связывание VLAN с портом или определенными портами. Мы будем ассоциироваться с портом 4

Сеть > VLAN > Порт VLAN



Шаг 7
— В нашем примере мы собираемся связать VLAN20 с портом 4.Для этого наведите указатель мыши на порт 4 и щелкните правой кнопкой мыши, затем нажмите «Изменить»

.

Шаг 8 — После нажатия «Редактировать» нам нужно будет выбрать «Режим» как «Доступ» с PVID 20 (Шаг 5)

После этого нажмите «Сохранить»

ПРИМЕЧАНИЕ. Если вы собираетесь подключить неуправляемый коммутатор к порту 4, который не поддерживает VLANS, то режим «Доступ» является правильным.

Однако, если вы планируете подключить управляемый коммутатор, который понимает VLAN, вам нужно будет выбрать «Trunk» и VLAN Membership 20

Теги: Серия DSR, VLAN

Продукты Dlink Настройка и установка в блоге D-Link Home

Как настроить сеть VLAN для серии BRT на маршрутизаторе ASUS BRT-AC828 VPN Wi-Fi?

Введение

Виртуальная локальная сеть (VLAN) — это логический сегмент локальной сети, который используется для разделения физической сети на несколько виртуальных сетей.Это позволяет бизнес-средам легко управлять несколькими сетями без ущерба для безопасности и ограничивать размер широковещательного домена, снижая при этом вероятность коллизии пакетов, а в бизнес-среде требуется сеть VLAN.

Следующие шаги настройки объясняют, как настроить VLAN для разделения нескольких сетей внутри компании.

 

Содержимое

Топология сети

Разделите сеть на разные отделы с помощью VLAN.

Процедура настройки

1. Введите router.asus.com или 192.168.1.1 в адресной строке и войдите в веб-консоль управления.

2. Нажмите VLAN в дополнительных настройках в левом столбце.

* Если вы уже изменили IP-адрес по умолчанию, введите новый IP-адрес для входа.

* Используйте сетевой инструмент  «Обнаружение устройств»  если вы забыли новый IP-адрес.

3. Включить VLAN

4.  Нажмите  значок «Редактировать (ручка)» , чтобы изменить настройки VLAN

.

*Все порты и беспроводные SSID, принадлежащие VLAN1, отображаются по умолчанию. Это широковещательный домен, поэтому одна и та же группа устройств должна быть назначена одному и тому же идентификатору VLAN.

*Для подсети по умолчанию установлены IP-адрес и подсеть в части настроек локальной сети.

5.  Создать VLAN для группы администраторов .Удалите все, кроме LAN1–LAN4, и нажмите  ОК.

6. Далее  создайте VLAN для отдела продаж . Нажмите «+» , чтобы добавить.

7. Введите информацию о VLAN

Идентификатор VLAN: Номер VLAN

Приоритет: Этот параметр используется для установки приоритета сетевого трафика. Вы можете установить его от 0 (максимальное усилие) до 7 (максимальное)

Подсеть: Показывает сегмент IP-адреса и IP-адрес шлюза по умолчанию.Если вам нужно настроить подробный IP-адрес, нажмите значок Edict (ручка).

 

8. Нажмите OK после завершения настройки.

※PVID (идентификатор VLAN порта) назначает VLAN при получении нетегированного кадра на порт. Если он получает помеченный кадр, система обращается к идентификатору VLAN и определяет назначение VLAN.

 

VLAN с тегами

Tagged VLAN означает, что кадры, принадлежащие одной и той же VLAN, могут быть помечены идентификатором VLAN, поэтому виртуальная сеть может быть построена между несколькими сетевыми коммутаторами через соединительный магистральный порт коммутатора.Чтобы каскадировать несколько коммутаторов с одной и той же сетью VLAN, необходимо включить тегирование на указанном интерфейсе LAN.

В следующей сетевой топологии порт 5 принадлежит VLAN1 и VLAN2, передайте кадр с помеченной VLAN другому сетевому устройству (например, коммутатору).

 

Метки: ASUS, BRT-AC828, vlan, Wi-Fi роутер

Настройка VLAN в WAN и LAN с помощью D-Link DSR-1000AC

Этот маршрутизатор позволяет настраивать VLAN как в глобальной сети Интернет, так и в локальной сети, процесс настройки отличается, как и использование.Настройка VLAN в глобальной сети Интернет необходима только в том случае, если это необходимо вашему сетевому оператору, если он не использует VLAN ID, то вам не придется настраивать глобальную сеть. Настройка VLAN в локальной сети используется для создания различных подсетей и сегментирования сетевого трафика в виртуальных локальных сетях.

Создать VLAN для маршрутизатора LAN

В главном меню маршрутизатора D-Link DSR-1000AC у нас будут все доступы к различным конфигурациям, мы должны войти через Интернет со следующим URL-адресом: https://192.168.10.1, который является IP-адресом по умолчанию, имя пользователя «Admin» и пароль также «admin», хотя это заставит нас изменить пароль доступа.

Нам нужно перейти в меню конфигурации «Network / VLAN / VLAN Settings», здесь мы создадим различные VLAN и подсети, затем мы применим VLAN для каждого порта с помощью опции «Port VLAN».

Первое, что нам нужно сделать в этом меню, это щелкнуть «VLAN Enable» и нажать «Save», таким образом, мы включим поддержку VLAN.По умолчанию мы создали VLAN ID 1 с IP-адресом 192.168.10.1/24, без авторизованного портала и без аутентификации. У нас всегда обязательно будет VLAN ID 1 во всех сетях, но мы можем дополнительно создать те VLAN, которые нам нужны.

Если мы нажмем «Добавить новую VLAN», мы создадим новый идентификатор VLAN с соответствующей конфигурацией подсети, меню, которые вы должны заполнить, следующие:

  • VLAN ID : вы должны ввести уникальный идентификатор от 2 до 4093, мы выбрали VLAN ID 100.Этот идентификатор также должен иметь управляемые коммутаторы, если вы подключаете их к локальной сети маршрутизатора.
  • Yam : мы даем ему описательное имя, «администрация», «гости», «управление» или любое другое.
  • Captive Portal : позволяет нам включать или отключать Captive Portal для аутентификации проводных и беспроводных клиентов.
  • Активировать маршрутизацию InterVLAN : если мы хотим, чтобы эта VLAN могла взаимодействовать с другой VLAN, в которой также активирована маршрутизация между VLAN, мы должны активировать эту опцию конфигурации.Если мы не хотим, чтобы эта VLAN связывалась с какой-либо, мы выбираем «OFF». В случае, если нам нужна только определенная связь (разрешить только определенные ПК или службы), вам нужно будет активировать ее с помощью «ВКЛ», а затем в разделе «Безопасность / Брандмауэр» настроить расширенные правила, чтобы разрешить или запретить сетевой трафик.
  • Multi VLAN Subnet : новая подсеть, связанная с VLAN, здесь мы введем IP-адрес, который будет у самого маршрутизатора в качестве шлюза по умолчанию, а также маску подсети.
  • Режим DHCP : у нас может не быть DHCP-сервера (Нет), DHCP-сервера от самого маршрутизатора (DHCP-сервера) или внешнего DHCP-сервера, который находится в другой подсети (DHCP Relay). Самое нормальное, чтобы на роутере был свой DHCP-сервер, поэтому выбираем этот вариант.

При выборе опции «DHCP-сервер» нам нужно будет заполнить следующие параметры конфигурации:

  • Доменное имя : доменное имя маршрутизатора, необязательно.
  • Начальный IP-адрес : первый адрес DHCP-сервера, который вы можете предоставить клиентам, он не должен находиться в диапазоне IP-адреса маршрутизатора, который мы указали ранее. В нашем случае IP роутера 192.168.100.1 и DHCP начинается с 192.168.100.2
  • Конечный IP-адрес — последний адрес DHCP-сервера маршрутизатора, который он может предоставлять клиентам.
  • Шлюз по умолчанию — IP-адрес маршрутизатора в этой подсети.
  • Первичный и вторичный DNS-сервер — DNS-серверы маршрутизатора.
  • LAN Proxy : мы включаем его, это опция по умолчанию.

Как только мы нажмем «Сохранить», эта новая подсеть будет создана с идентификатором VLAN ID 100, как мы объясняли ранее.

В случае, если мы хотим перенастроить одну из подсетей, мы просто щелкаем правой кнопкой мыши на «Редактировать», чтобы открыть то же меню, что и раньше, и мы можем изменить его по своему усмотрению.

Мы даже можем изменить DHCP-сервер, как только мы это сделали, мы нажимаем «Сохранить».

Если мы подключены к той же подсети, которую мы изменили, по логике мы потеряем соединение с веб-интерфейсом роутера и нам придется повторно войти с новым IP-адресом роутера:

В случае необходимости создать более одной подсети мы можем сделать это без проблем, поставив другой идентификатор VLAN и другую частную подсеть, как вы можете видеть:

У нас будут точно такие же параметры конфигурации, как и раньше, включая все, что связано с сервером DHCP.

После того, как мы настроили все VLAN, мы можем применить их к различным портам LAN этого профессионального маршрутизатора. Если мы щелкнем по каждому из портов правой кнопкой мыши и выберем «Редактировать», мы сможем изменить PVID, а также настроить режим транка. Далее вы можете увидеть четыре порта локальной сети и два SSID, которые мы сейчас настроили:

.

В каждом из портов LAN и SSID мы можем настроить разные режимы конфигурации, по умолчанию все в режиме «доступ» и в PVID 1.Но мы можем изменить его в зависимости от наших потребностей. Например, если мы хотим настроить VLAN ID 100, который мы создали на порту 4, нам просто нужно нажать на PVID и поставить 100, сохранить конфигурацию, и она будет применена мгновенно.

У нас также есть возможность настроить режим «Trunk» с нужными нам Tagged VLAN, чуть ниже мы получим список VLAN, которые мы хотим включить в этот транк. Надо помнить, что раз VLANы Tagged, то надо ставить на этот порт устройство, которое это «понимает», то есть управляемые коммутаторы, серверы, поддерживающие 802.1Q и др.


После того, как мы настроим его с различными VLAN, мы получим сводку всего, что мы сделали, как вы можете видеть здесь:

В случае конфигурации WiFi у нас также будут те же параметры конфигурации, но самое обычное, что в SSID мы настраиваем его в режиме «доступа» всегда для отправки нетегированного VLAN, а также с PVID, который мы хотеть.

Как вы видели, очень легко создавать новые VLAN в маршрутизаторе D-Link DSR-1000AC, идеально подходящем для правильного сегментирования профессиональной локальной сети и изоляции или связи между различными группами, но всегда пропуская трафик через маршрутизатор, чтобы разрешить или запрещать связь на основе правил брандмауэра.

Создать VLAN для WAN

Что касается настройки VLAN в глобальной сети Интернет, мы переходим в раздел «Настройки сети / Интернета / WAN 1», включаем параметр «Включить тег VLAN», вводим идентификатор VLAN, и мы сможем правильно подключиться к нашему интернет-оператору без проблем.

У нас также есть такой же параметр конфигурации, доступный в маршрутизаторе Internet WAN 2, оба меню конфигурации абсолютно одинаковы. Например, если у нас есть FTTH от Movistar или O2, нам нужно будет поставить VLAN ID 6, а если у нас есть FTTH от Grupo Masmóvil, мы поставим VLAN ID 20.

На данный момент мы подготовили это полное руководство по настройке сетей VLAN в локальной сети маршрутизатора D-Link DSR-1000AC, а также сетей VLAN в глобальной сети Интернет, когда это требуется нашему оператору.

D-Link DGS-3100 Port VLAN ID , тегирование и снятие тегов , фильтрация входящего трафика передаваться с одного 802.1Q-совместимое сетевое устройство на

другое с неповрежденной информацией VLAN. Это позволяет VLAN 802.1Q охватывать сетевые устройства (и всю сеть,

, при условии, что все сетевые устройства совместимы с 802.1Q).

Не все сетевые устройства совместимы со стандартом 802.1Q. Такие устройства называются неосведомленными о тегах. Устройства 802.1Q обозначаются

как поддерживающие теги.

До принятия VLAN 802.1Q широко использовались VLAN на основе портов и MAC-адресов. Эти VLAN использовали

для идентификатора Port VLAN ID (PVID) для пересылки пакетов.Пакету, полученному на заданном порту, будет присвоен PVID этого порта

, а затем он будет перенаправлен на порт, соответствующий адресу назначения пакета (найденному в таблице пересылки

коммутатора). Если PVID порта, получающего пакет, отличается от PVID порта, который должен передать пакет, коммутатор

отбрасывает пакет.

Внутри коммутатора разные PVID означают разные VLAN (помните, что две VLAN не могут обмениваться данными без внешнего маршрутизатора

).Таким образом, идентификация VLAN на основе PVID не может создавать VLAN, выходящие за пределы данного коммутатора

(или стека коммутаторов).

Каждый физический порт коммутатора имеет PVID. Портам 802.1Q также назначается PVID для использования в коммутаторе. Если на коммутаторе не определены VLAN

, все порты затем назначаются VLAN по умолчанию с PVID, равным 1. Непомеченным пакетам

присваивается PVID порта, через который они были получены. Решения о пересылке основаны на этом PVID, если речь идет о

VLAN.Тегированные пакеты пересылаются в соответствии с VID, содержащимся в теге. Пакетам с тегами

также назначается PVID, но PVID используется не для принятия решений о пересылке пакетов, а VID.

Коммутаторы с поддержкой тегов должны вести таблицу для соотнесения PVID внутри коммутатора с VID в сети. Коммутатор сравнивает

VID пакета, который должен быть передан, с VID порта, который должен передать пакет. Если два VID различаются, коммутатор

отбрасывает пакет.В результате существования PVID для нетегированных пакетов и VID для тегированных пакетов сетевые устройства, поддерживающие и не поддерживающие теги, могут сосуществовать в одной сети.

Порт коммутатора может иметь только один PVID, но он может иметь столько VID, сколько имеется в памяти коммутатора в его таблице

VLAN, для их хранения.

Поскольку некоторые устройства в сети могут не поддерживать теги, решение должно быть принято на каждом порту устройства, поддерживающего теги, прежде чем

пакетов будут переданы; Должен ли передаваемый пакет иметь тег или нет? Если передающий порт подключен к неосведомленному устройству

, пакет не должен быть помечен.Если передающий порт подключен к поддерживающему теги устройству, пакет

должен быть помечен.

Тегирование и снятие тегов

Каждый порт коммутатора, совместимого со стандартом 802.1Q, можно настроить как тегированный или нетегированный.

Порты с поддержкой тегирования помещают номер VID, приоритет и другую информацию о VLAN в заголовок всех пакетов, которые

передаются в него и из него. Если пакет ранее был помечен, порт не изменяет пакет, таким образом сохраняя информацию VLAN

нетронутой.Информация VLAN в теге затем используется другими устройствами в сети, совместимыми со стандартом 802.1Q, для принятия решений о пересылке пакетов

.

Порты с включенным отключением тегов удаляют тег 802.1Q со всех пакетов, входящих и исходящих через эти порты. Если пакет не имеет

тега VLAN 802.1Q, порт не изменяет пакет. В результате все пакеты, получаемые и пересылаемые портом

без тегов, не содержат информации VLAN 802.1Q (поскольку PVID используется только внутри коммутатора).Untagged — это

, используемый для отправки пакетов с сетевого устройства, совместимого со стандартом 802.1Q, на несовместимое сетевое устройство.

Фильтрация входящего трафика

Порт коммутатора, через который пакеты передаются в коммутатор и должны приниматься решения VLAN, называется входным портом

. Если для порта включена входная фильтрация, коммутатор проверяет информацию о VLAN в заголовке пакета (если присутствует

) и решает, следует ли пересылать пакет.

Если пакет помечен информацией о VLAN, входной порт сначала определяет, является ли сам входной порт членом VLAN с тегами

.Если это не так, пакет отбрасывается. Если входной порт является членом VLAN 802.1Q, коммутатор определяет

, является ли порт назначения членом VLAN 802.1Q. Если это не так, пакет отбрасывается. Если порт назначения является членом

VLAN 802.1Q, пакет пересылается, и порт назначения передает его в свой присоединенный сегмент сети.

Если пакет не помечен информацией VLAN, входной порт помечает пакет своим собственным PVID как VID (если порт

является портом тегирования).Затем коммутатор определяет, является ли порт назначения членом той же VLAN (имеет тот же VID), что и

Как настроить частную VLAN на коммутаторе L3 DGS-1520-28MP

Прежде чем приступить ко всему этому руководству, мы должны отметить, что эта возможность конфигурации предлагается для всей семьи D-Link DGS-1520, поскольку все эти коммутаторы имеют одинаковую прошивку, за исключением отличительных черт, таких как мультигигабитные порты 2,5G и PoE двух из его 4 модов.Таким образом, данный туториал годится для всего семейства коммутаторов, а кроме того, для разных моделей производителя D-Link, имеющих приватные VLAN, так как прошивки могут быть очень похожи на прошивки других моделей, сравнимых с DGS-3630. и DGS-3130, которые мы предварительно проанализировали в RedesZone.

Что такое частные VLAN и для чего они нужны?

Частные виртуальные локальные сети

— это действительно элегантное средство точного разделения сообщества, разрешающее или запрещающее связь между совершенно разными компьютерными системами в одной подсети.Этот атрибут самых лучших коммутаторов L2 позволяет нам изолировать порты на одном и том же IP-разделе без необходимости использовать списки управления входом для включения или запрета посетителей этого сайта.

Если мы хотим организовать сообщество, в котором все компьютерные системы находятся в одной подсети, но они не могут общаться друг с другом, действительно элегантный способ сделать это — использовать эти частные VLAN, которые мы создали. стал доступным. В группах L3 каждая из VLAN часто назначается выбранной подсети, поэтому вполне возможно, что мы теряем IP-адреса.Эти частные виртуальные локальные сети позволят нам разделить зону вещания на несколько поддоменов с совершенно разными разрешениями: могут ли покупатели общаться друг с другом или они полностью удалены?

В частных VLAN всегда есть пара основных и вторичных VLAN, в частной области VLAN может быть несколько пар первичный-вторичный, и каждая из этих пар представляет широковещательный поддомен. Все {пары} имеют только один общий фактор — это основная VLAN, а вторичная VLAN — совсем другое.В каждой частной области VLAN может быть только одна основная VLAN, поскольку вторичная VLAN используется для разделения посетителей сайта внутри аналогичной области VLAN на этапе L2. Существует две разновидности вторичных VLAN, поэтому их необходимо точно различать:

  • VLAN Сообщество или соседство : порты, которые могут быть настроены внутри аналогичной основной VLAN и вторичной VLAN, настроенной как «Сообщество», вероятно, будут в состоянии общаться друг с другом без потребности в маршрутизаторе или до Л3.Может быть несколько VLAN, таких как Community, в одной и той же области Private VLAN, однако совершенно разные VLAN «Community» НЕ МОГУТ обмениваться данными только внутри него. Этот тип VLAN разрешает связь с неразборчивым портом.
  • Изолированная VLAN — Порты, которые могут быть настроены внутри аналогичной первичной VLAN и вторичной VLAN, настроенной как изолированная, НЕ будут иметь возможности взаимодействовать друг с другом. Они, вероятно, будут полностью удалены, у них будет возможность разговаривать только с портом «Promiscuo», который мы увидим позже.

Неразборчивые порты, также называемые «неразборчивыми портами», — это порты, которые могут быть связаны с основной VLAN, и каждый из портов, которые могут быть в сообществе и изолированы, вероятно, будет в состоянии общаться с этим портом. . Этот неразборчивый порт может быть назначен только одной частной сети VLAN, а не нескольким, за исключением того, что это «неразборчивый магистральный порт».

Как вы можете видеть на графике выше, группы в одном районе могут общаться друг с другом, а также с беспорядочным портом, но не могут общаться с другими сообществами или с удаленными портами.Порты, настроенные как «изолированные порты», могут общаться только с неразборчивым портом, у них даже не будет возможности общаться друг с другом.

Как только мы все узнали, что такое частные VLAN, в RedesZone мы настроили структуру сообщества, использующую частные VLAN в D-Link DGS-1520-28MP, и мы собираемся уточнить, как мы ее настроили. .

Конфигурация Private VLAN на коммутаторе L3 D-Link DGS-1520-28MP

В RedesZone мы уже определили, как настроить управляемый коммутатор L3 DGD-3630 с частными VLAN, мы выполнили аналогичную ситуацию с этой новой моделью D-Link DGS-1520-28MP.Самое первое, что мы собираемся предложить вам, это небольшая схема настроенных портов:

  • Порты с 9 по 16: настроены как узлы для применения частных VLAN с сообществами или изолированными.
  • Порты 17 и 18: настроены как неразборчивые порты, где, вероятно, будут находиться все частные VLAN.

В порты 17 и 18 мы подключили каждый наш домашний маршрутизатор, а также сервер NAS. Используется стандартная подсеть 10.10.2.0/24. Затем мы подключили 2 ПК к двум портам, которые можно настроить различными способами (общий и изолированный), и мы проверили, верно ли то, что мы определили выше.Структура сообщества, которую мы создали, выглядит следующим образом:

Мы создали две основные VLAN, VLAN 100 и 200. Затем мы создали VLAN 101 и 201 как «Сообщество», а VLAN 201 и 202 как «Изолированные VLAN», и мы использовали их для соответствующих порты, где мы связали совершенно разные компьютеры. Весь процесс может быть выполнен через графический интерфейс пользователя производителя D-Link, хотя мы можем дополнительно войти через Telnet или SSH, чтобы сделать это по инструкциям.

Самое первое, что мы должны сделать, это войти в меню коммутатора L3, независимо от того, впервые ли вы входите в коммутатор D-Link L3, вы должны указать частный IP-адрес на своем ПК в диапазоне 10.90.90.0/24, после чего введите через http://10.90.90.90 с именем пользователя «admin» и без пароля.

Создание «обычных» VLAN

Самое первое, что нам нужно сделать, это создать VLAN, как обычно, мы переходим к « L2 / VLAN / 802.1Q VLAN Features ».Здесь мы должны вводить VID один за другим, дополнительно будем ставить все VID через запятую, чтобы они создавались одновременно. Неважно, что у нас уже есть обычные и используемые VLAN, каждый вариант конфигурации может сосуществовать без проблем.

После создания VLAN мы изменим заголовок, чтобы сделать его более описательным, и, наконец, контрольный список созданных VLAN будет выглядеть следующим образом:

Конфигурация идентификатора VLAN в частной VLAN (основной, общей и изолированной)

После того, как мы их создали, мы будем работать в части «Private VLAN», отсюда мы собираемся настроить VLAN, соединить их друг с другом и применить к совершенно другим портам:

Самое первое, что нам нужно сделать, это настроить идентификаторы VLAN как основные, соседние или удаленные.Когда мы настроим идентификаторы VLAN, мы нажмем «Статус: активировано», это означает, что нам не придется делать это позже. В пространстве «private VLAN» укажем VID как «100», установим «Enabled» и настроим сортировку, которая в случае с VLAN ID 100 — «Primary». Кратко напоминаем способы их настройки:

  1. Первичный: 100 и 200
  2. Сообщество: 101 и 201
  3. Изолированный: 102 и 202

Неважно, в каком порядке вы их настраиваете, в итоге у вас будет что-то вроде этого:

Привязка соседских и удаленных идентификаторов VLAN к основному

На этом уровне мы настроили идентификаторы VLAN и настроили идентификатор VLAN, который мы хотим настроить как основной, соседний или удаленный.Теперь мы хотели бы связать соседние и удаленные идентификаторы VLAN с правильной основной VLAN. В зависимости от монтирования сообщества это может выглядеть так:

.
  • Ассоциированный VID 101 и со 102 по 100
  • Ассоциированный VID 201 и 202–200.

Для этого в части «Private VLAN Association» мы выбираем VID первичной VLAN и присоединяем ее к вторичной, как вы можете видеть здесь:

После того, как мы завершим его со всеми VID, он должен быть полностью настроен сзади:

Настройте физические порты коммутатора и присоедините к ним частную VLAN

После того, как мы настроили все VLAN как основные, соседние или удаленные и связали их друг с другом, нам может потребоваться настроить физические порты.

Теперь нам нужно перейти к части « VLAN interface » и настроить физические порты, где мы присоединяемся к ПК сзади, как « Host ». Мы должны иметь в виду, что порты, по которым связаны маршрутизатор и сервер, должны быть настроены как «Неразборчивый порт», а не как «Хост». Мы можем клонировать эту конфигурацию, чтобы просто использовать различные порты и никогда не переходить один за другим:

.

После того, как порты настроены как « Host », может оказаться жизненно важным привязать основную и дополнительную VLAN к указанному порту, что выполняется в части «Частная VLAN».Мы указываем порт или порты, которые мы хотим настроить, как основной VLAN 100 и дополнительный 101, и нажимаем «Применить». Аналогично поступаем с портами, чей вторичный VLAN равен 102, и с парами 200-201 и 200-202. Все это может быть включено в часть «Ассоциация хоста частной VLAN».

После того, как мы настроили все порты, сделанная конфигурация должна выглядеть примерно так.

Настройка «Promiscuous Port» и добавление частных VLAN

Теперь мы должны соответствующим образом настроить порты «Promiscuous Port», мы переходим к части «VLAN Interface», выбираем режим Promiscuous VLAN и нажимаем «Применить».Это мы должны сделать с портами 17 и 18 в соответствии с проведенной встречей:

После того, как порты настроены, мы должны сопоставить частные VLAN с соответствующими портами. Переходим в часть «Private VLAN» и в половине «Private VLAN Mapping» выбираем порт 1, и ставим в качестве Primary VID 100, а в качестве Secondary VID 101, 102. Аналогично с основным VLAN 200 и его вторичными, в Вы можете увидеть следующие фотографии:

Как видите, каждая частная VLAN сопоставляется с беспорядочным портом:

.

Пока что мы включили наше руководство по настройке частных VLAN на высокопроизводительном коммутаторе D-Link DGS-1520-28MP.Если мы теперь выполним связь между компьютерами внутри аналогичного соседства, мы увидим, что связь между ними и с неразборчивым портом есть. В случае с инструментами в удаленном, он не будет иметь связи ни с чем, кроме беспорядочного порта.

.

Добавить комментарий

Ваш адрес email не будет опубликован.