Как настроить vlan: Что такое VLAN: логика, технология и настройка. Реализация VLAN в устройствах CISCO

Содержание

Как настроить VLAN на двух и более выделенных серверах

VLAN — это функция сетевого оборудования, которая помогает объединять компьютеры (серверы), подключенные к разным коммутаторам доступа, в единую локальную вычислительную сеть. Причем, изолированную от других сетей. Похоже на создание закрытого чата для друзей, живущих в разных подъездах. Как один секретный чат не виден другому, так и компьютеры, подключенные к одной виртуальной сети будут невидимы для компьютеров другой. 

Таким образом, при подключении VLAN повышается уровень безопасности при передаче данных, а перехват трафика другими пользователями становится невозможным. И это ещё не все плюсы. Так на интерфейсах, принадлежащих VLAN, вы можете использовать любые IP-адреса, не боясь конфликтов с другими клиентами. Кроме того, VLAN позволяет объединять серверы из разных помещений дата-центра в группы по нужным вам критериям — и для каждой виртуальной сети могут действовать свои требования и правила. 

Посмотреть, что за услуга VLAN и сколько стоит.

 

Вы приобрели услугу, что дальше

Чтобы объединить выделенные серверы на Linux или на Windows в локальную виртуальную сеть, первое, что вы должны сделать, — это составить запрос в службу технической поддержки на подключение выделенных серверов вторыми сетевыми адаптерами в коммутатор.

Второй шаг — настроить сетевую адресацию. В качестве настроек для сетевого адаптера можно использовать любые IP-адреса из диапазона серых подсетей. «Серыми», частными или внутрисетевыми называют IP-адреса, которые не используется в сети Интернет.

Например, следующие:

10.0.0.0/8;

172.16.0.0/12;

192.168.0.0/16.

После того, как вы определились с IP-адресами, можно приступать к настройке.

Настраиваем VLAN на серверах Linux

Настраиваем VLAN на серверах Windows


 

Настраиваем VLAN на серверах Linux

1. Подключитесь к вашим серверам

Используя протокол доступа SSH, подключитесь к вашим выделенным серверам. Стандартные данные, необходимые для удалённого подключения, указаны в Инструкции к услуге. В Личном кабинете перейдите в меню ТоварыВыделенные серверы

и нажмите кнопку Инструкция для нужного сервера. В разделе «Доступы к серверу для администратора» представлены нужные вам данные.

 

2. Уточните название  второго сетевого интерфейса

Выполните следующую команду и посмотрите, как называется второй сетевой интерфейс на выделенных серверах:

ip link show

В примере статьи второй сетевой интерфейс на выделенном сервере называется — enp2s0f1. Возможно, что на вашем выделенном сервере второй сетевой интерфейс будет называться по другому, например, eth2.

 

3. Настройте второй сетевой интерфейс

Выполнить конфигурирование второго сетевого интерфейса на выделенном сервере с Linux можно двумя способами: через команду ip или через редактирование конфигурационного файла сетевой службы. Первый способ подходит тем, кому настройки нужны на одну сессию. Если же необходимо, чтобы настройки сети сохранялись при каждой перезагрузке, то второй сетевой интерфейс необходимо сконфигурировать через файл.

 

  • 1 способ — через команду ip

Выполните следующую команду на первом выделенном сервере:

ip address add 192.168.0.1/24 dev enp2s0f1
ip link set enp2s0f1 up

В примере данной статьи выбрана серая подсеть 192.168.0.0/24. Настройка второго сетевого интерфейса enp2s0f1 проводится на первый IP-адрес из этой подсети — 192.168.0.1. Все сетевые адреса виртуальной локальной сети для выделенных серверов могут быть любыми. Главное, чтобы они были уникальными в рамках одной подсети.

 

Выполните аналогичные действия на втором выделенном сервере:

ip address add 192.168.0.2/24 dev enp2s0f1
ip link set enp2s0f1 up

На втором выделенном сервере второй сетевой интерфейс носит схожее название — enp2s0f1. Его настройка будет уже осуществляться на следующий, второй IP-адрес в выбранной подсети, то есть на 192.168.0.2.

 

Для CentOS

В CentOS и подобных ей дистрибутивах (например, Fedora) конфигурация сети находится в файле:

/etc/sysconfig/network-scripts/ifcfg-<имя интерфейса>

Откройте конфигурационный файл с помощью вашего любимого редактора, например, vim или nano. Затем выполните настройку второго сетевого интерфейса на первом выделенном сервере, как это показано на видео ниже:

vim /etc/sysconfig/network-scripts/ifcfg-enp2s0f1

И аналогичным образом на втором выделенном сервере.

Для того чтобы выполненная конфигурация сети применилась, перезагрузите сетевую службу network на обоих выделенных серверах:

systemctl restart network

 

Для Debian

В Debian и ему подобных дистрибутивах (например, Ubuntu), конфигурация сети находится в файле:

/etc/network/interface

Как и в случае с CentOS, откройте конфигурационный файл с помощью редактора, например, vim или nano. И выполните настройку второго сетевого интерфейса на первом выделенном сервере, как это показано на видео ниже:

vim /etc/network/interface

Выполните аналогичные шаги на втором выделенном сервере.

Для того чтобы выполненные настройки применились, перезагрузите выделенные серверы. Сделать это можно следующей командой:

systemctl reboot

Если вы работаете с сервером через консоль KVM или IPMI, то можно просто перезагрузить службу сети, как это было показано в примере с CentOS. Работая с Debian через

SSH, не пытайтесь выполнить перезагрузку службы network — потеряете связь с серверами.

 

5. Добавьте метку VLAN к фреймам трафика

Следующий важный шаг — тегирование фреймов. Так называется процесс добавления меток VLAN в пакеты данных трафика. Но вы можете смело его пропустить. Почему так? Если коротко, то настройка тегирования фреймов производится нашими специалистами сразу после запроса на подключение услуги VLAN.

 

6. Проверьте связность между серверами

Для этого выполните команду ping:

Если ping между серверами проходит, связанность есть, значит, виртуальная локальная сеть настроена.

Таким же образом можно настроить VLAN и для большего количества выделенных серверов.


 

Настраиваем VLAN на серверах Windows

1. Подключитесь к вашим серверам

Используя протокол удалённого доступа RDP, подключитесь к выделенному серверу. Стандартные данные, необходимые для удалённого подключения, указаны в Инструкции к услуге. В Личном кабинете перейдите в меню Товары

Выделенные серверы и нажмите кнопку Инструкция для нужного сервера. В разделе «Доступы к серверу для администратора» представлены нужные вам данные.

 

2. Сконфигурируйте второй сетевой интерфейс

Сконфигурировать второй сетевой интерфейс на Windows можно двумя способами: через панель управления или через командную строку. Вы можете выбрать любой из способов настройки, который считаете удобным для себя.

 

Откройте панель управления сетями Windows, выполнив следующие шаги:

Пуск (щелкните правой кнопкой мыши) — Выполнить (Run) — ncpa.cpl

В панели управления сетями Windows найдите второй сетевой интерфейс и сконфигурируйте, как это показано на видео ниже.

В примере данной статьи выбрана серая подсеть 192.168.0.0/24. Настройка второго сетевого интерфейса Ethernet 2 проводится на первый IP-адрес из этой подсети — 192.168.0.1. Все сетевые адреса виртуальной локальной сети для выделенных серверов могут быть любыми. Главное, чтобы они были уникальными в рамках одной подсети.

Выполните аналогичные действия, но уже на втором выделенном сервере.

На втором выделенном сервере второй сетевой интерфейс носит схожее название — Ethernet 2. Его настройка будет осуществляться на следующий, второй IP-адрес в выбранной подсети, то есть на 192.168.0.2.

 

Запустите командную строку:

Пуск (щелкните правой кнопкой мыши) — Выполнить (Run) — cmd

Выполнив следующую команду, посмотрите название второго сетевого интерфейса:

netsh interface ip show config | findstr "interface"

Настройте его на первом сервере:

netsh interface ipv4 add address "Ethernet 2" 192.168.0.1 255.255.255.0

Проверьте, что всё в порядке и настройки к интерфейсу применились:

netsh interface ip show addresses "Ethernet 2"

Выполните аналогичные шаги для второго выделенного сервера. 

Помните, что сетевой адрес для второго сервера для netsh нужно будет указать другой:

netsh interface ipv4 add address "Ethernet 2" 192.168.0.2 255.255.255.0

 

3. Добавьте метку VLAN к фреймам трафика

Следующий важный шаг — тегирование фреймов. Так называется процесс добавления меток VLAN в пакеты данных трафика. Но, как мы писали выше, можете его пропустить — настройка тегирования фреймов производится нашими специалистами сразу после запроса на подключение услуги VLAN.

 

4. Проверьте связность между узлами

Для этого используйте команду ping:

Пуск (щелкните правой кнопкой мыши) — Выполнитьcmd

Если ping между серверами проходит, связанность есть, значит, виртуальная локальная сеть настроена. Таким же образом можно настроить VLAN и для большего количества выделенных серверов.

 

Автор: Александр Замащиков, системный администратор FirstDEDIC

Как настроить VLAN управления не по умолчанию для устройств Nebula? – Zyxel Support Campus EMEA

Оглавление:

  • Что такое VLAN управления?
  • Механизм отступления
  • Настройка интерфейса VLAN на NSG
  • Настройка VLAN управления NSW
  • Настройка VLAN управления NAP:
  • Проверка (NSW & NAP)

Что такое VLAN управления?

Управление VLAN - это обычная практика, используемая сетевыми администраторами, которая запрещает конечным пользователям доступ к ключевым сетевым устройствам в их сетевой инфраструктуре. Это добавляет дополнительный уровень защиты внутри вашей административной новинки. Это делается путем настройки каждого сетевого устройства с уникальным идентификатором VLAN, при этом убедитесь, что конечные пользователи входят в сеть из другой VLAN. Однако в случае устройств Nebula неправильная конфигурация может отключить ваши удаленные устройства из Интернета. Если ваши Nebula устройства сохраняют конфигурацию, которая запрещает ему достигать Nebula CC, то единственным способом восстановить управление устройством может быть восстановление заводских настроек. Это руководство подробно описывает инструкции по правильной установке уникального идентификатора VLAN управления (не VLAN 1) для ваши устройства Nebula на новом сайте, избегая условий, которые могут привести к тому, что ваши устройства потеряют доступ к Nebula CC.

Механизм отступления

Nebula Switch и Точки доступа имеют механизм, который предотвращает утрату доступа этих устройств к Интернету из-за изменений в управлении, внесенных в Nebula CC. При попытке изменить IP-адрес или управляющую VLAN устройства Nebula, что приводит к потере доступа к Интернету, устройства Nebula вернутся к своим старым конфигурациям. На это часто указывает «Конфигурация неправильного назначения IP» на странице устройства.

Ключом к успешной настройке нового управляющего IP-адреса или VLAN является обеспечение доступа к Интернету как старых, так и новых настроек. Только после того, как Nebula CC проверит, что изменения, внесенные на устройстве, не вызывают потерю доступа к Интернету, вы можете начать откат, удаление VLAN или IP-интерфейсов на ваших Switches и Gateways.

Настройка интерфейса VLAN на NSG:

1. Добавьте и сохраните интерфейс VLAN100

NCC> Gateway> Настройка> Адресация интерфейсов> Интерфейс [+ Добавить]
Это создаст тегированную VLAN, установленную на выбранный VID в соответствующей группе Port.

Обратите внимание, что на NSG в LAN1 + LAN2 Ports всегда остаются непомеченными членами в VLAN1 с PVID, установленным в 1 - это неизменяемые настройки.

Настройка VLAN управления NSW:

1. Сконфигурировать и сохранить Switch Ports Разрешенная VLAN
NCC> Switch> Настроить> Switch Ports> Редактировать Ports 1 и 28.

* VLAN 10: Частная сеть, VLAN 20: Гостевая сеть, VLAN 100: Сеть управления.

2. Настройте и сохраните IP-адрес локальной сети NSW
NCC> Switch> Монитор> Switch> Выберите NSW> Изменить IP-адрес локальной сети.

3. Подтвердите IP-адрес локальной сети NSW ( Nebula CC может занять несколько минут для отображения обновленного IP-адреса локальной сети)
NCC> Switch> Монитор> Switch.

Настройка VLAN управления NAP:

1. Настройте и сохраните управление локальной сетью IP
NCC> AP> Монитор> Точка доступа> Выберите NAP> Изменить IP-адрес локальной сети.

Удаление VLAN 1 по умолчанию (необязательно):

1. Сконфигурировать и сохранить Switch Ports Разрешенная VLAN
NCC> Switch> Настроить> Switch Ports> Редактировать Ports 1 и 28.

верификация

1. Проверьте IP-адрес NSW LAN
NCC> Switch> Монитор> Switch> Выбрать NSW

2. Проверьте IP-адрес локальной сети NAP
NCC> AP> Монитор> Точка доступа> Выбрать NAP

Также интересно:
Хотите посмотреть прямо на одном из наших тестовых устройств? Посмотрите здесь, в нашей виртуальной лаборатории:

Виртуальная лаборатория - VPN Nebula для не Nebula устройства

KB-00269

Оригинальная версия

Как настроить VLAN VPN на управляемых коммутаторах 2‑го уровня с новым интерфейсом?

VLAN VPN (Virtual Private Network), также известный как QinQ — это простая и гибкая технология туннелирования уровня L2. VLAN VPN позволяет перенаправить пакеты, отправленные из частной сети, через сеть интернет-провайдера, используя двойные теги VLAN.

При включённом VLAN VPN, когда происходит перенаправление пакетов из частного VLAN к VLAN интернет-провайдера, коммутатор добавляет к пакетам внешний тег VLAN (тег VLAN интернет-провайдера). Таким образом, пакеты могут передаваться через сеть провайдера с двойными тегами VLAN. Внутри сети провайдера пакеты перенаправляются в соответствии с внешним тегом VLAN, в то время как внутренний тег VLAN считается частью полезной нагрузки. Когда пакеты достигают частной сети, коммутатор снимает внешний тег VLAN с пакетов и перенаправляет их во VLAN в соответствии с внутренним тегом VLAN.

Ниже приведён пример конфигурации VLAN VPN.

У компании есть две станции, и компьютеры относятся к VLAN 100 и VLAN 200 соответственно. VLAN интернет-провайдера: VLAN 1050 и VLAN 1060, TPID сети провайдера — 0x9100.

Две станции должны общаться между собой через сеть провайдера. Также требуется, чтобы трафик сети VLAN 100 передавался через VLAN 1050, в то время как трафик сети VLAN 200 передавался через VLAN 1060.

Настройки на коммутаторе 1:

  1. Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config, чтобы создать VLAN 100 и VLAN 200 для частной сети. Назначьте тегированный порт (Tagged Port) 1/0/2 на VLAN 100 и VLAN 200.

  2. Создайте VLAN 1050 и VLAN 1060 для сети провайдера. А также Tagged Port 1/0/1 и Untagged Port 1/0/2 для VLAN 1050 и VLAN 1060.

  3. Зайдите на страницу L2 FEATURES — VLAN — VLAN VPN — VPN Config, поставьте галочку Enable напротив VLAN VPN в разделе Global Config, назначьте порт 1/0/1 в качестве порта NNI, а порт 1/0/2 — в качестве порта UNI. Определите TPID порта 1/0/1 как 9100.

  4. Зайдите на страницу L2 FEATURES — VLAN — VLAN VPN — VLAN Mapping, поставьте галочку Enable напротив VLAN Mapping в разделе Global Config. Затем настройте VLAN Mapping для порта UNI 1/0/2.

Настройки на коммутаторе 3:

  1. Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config, чтобы создать VLAN 100 и VLAN 200 для частной сети. Добавьте Untagged Port 1/0/1 и Tagged Port 1/0/3 к VLAN 100; добавьте Untagged Port 1/0/2 и Tagged Port 1/0/3 к VLAN 200.

  2. Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — Port Config, чтобы задать PVID порта 1/0/1 как 100 и PVID порта 1/0/2 как 200.

Настройки на коммутаторе 2 и коммутаторе 4:

Настройки для коммутатора 2 такие же, как для коммутатора 1, а настройки коммутатора 4 такие же, как для коммутатора 3.

Базовые настройки VLAN на MikroTik: инструкция с примерами

Узнайте как произвести настройку виртуальной локальной сети VLAN для сетевого оборудования Mikrotik поэтапно в состоянии: access, trunk, и в двух состояниях одновременно

1. Понятие VLAN: технические параметры и стандарты, состояние портов

Для начала разберемся, что же означает VLAN. VLAN  – это аббревиатура Virtual Local Area Network виртуальная локальная сеть. Другими словами - эта технология позволяет, на основе реальной сети, создавать виртуальные сети с разными уровнями доступа и распределением пользователей. Виртуальные сети повышают безопасность локальной сети, как пример, отделив рабочую сеть от гостевой и запретив гостевой сети доступ в рабочую, можно использовать физически одну точку доступа для доступа в сеть интернет как для сотрудников, так и для гостей компании. Или разделив сети для разных подразделений или отделов одной компании упростив тем самым обслуживание и мониторинг сети. Сегментируя сеть можно обеспечить отдельные сети для разных компаний в большом бизнес центре, таким образом можно соединить в одну сеть офисы расстояние которых превышает физическую длину сегмента езернет кабеля (100-150 метров). Благодаря разделу сети на сегменты с помощью VLAN, можно уменьшить нагрузку на оборудование, а также более точно определить и исправлять ошибки возникающие в сети.  


ВАЖНО! Для построения сети с продержкой VLAN нужно использовать оборудование, которое поддерживает данный функционал. Также желательно использовать оборудование одного производителя или же убедиться, что все оборудование в сети поддерживаю модификацию стандарта VLAN.


Технические параметры и стандарты:

В одном сегменте локальной сети нет возможности сделать нескончаемое число виртуальных сетей, все дело в ограничении стандарта, он ограничен – 4096 сегментов (от 0 до 4095). Надо учесть тот факт, что VLAN с идентификатором 1 является основным или native и по умолчанию используется на всех портах сетевых устройств.

Стандартные настройки состояния порта:

  • access port или не тегированный – порт транслирует только один VLAN.  Это порт, к которому непосредственно подключается конечное устройство(компьютер, точка доступа, принтер и другие устройства).
  • trunk port или тегированный – порт транслирует несколько VLAN. Этот порт передает несколько идентификаторов VLAN с одного сетевого устройства на другое.

Ввиду особенности оборудования MikroTik настройка VLAN можно делать разными способами. К сожалению, не все способы настройки VLAN будут совместимы с настройками оборудования других производителей, и по этой причине, в данной статье будет рассмотрены настройки которые будут максимально совместимы с оборудованием разных производителей. В данной статье настройки оборудования MikroTik будут осуществляться через программу WinBox.

2. Пример №1 (Настройка VLAN в состоянии access)

В первом примере рассмотрим настройку VLAN на устройстве RB750r2 (hEx lite) у которого порты будут в разных VLAN-ах и в режиме access. Схема приведена ниже.

Схема портов устройства RB750r2

Первый порт будет использоваться для подключению к интернет провайдеру, второй и третий порты для общей сети и останутся в базовой конфигурации. А на четвертый и пятый порты будут навешены VLAN, на четвертый – VLAN100 (VLAN с меткой сто), а на пятый порт – VLAN200 (VLAN с меткой двести).


ВАЖНО! Базовая настройка маршрутизатора в данной статье рассматриваться не будет, перейдем к непосредственной настройки VLAN. Для ознакомления с базовыми настройками маршрутизаторов MikroTik можно перейти по этой ссылке.


Настройка VLAN:

  • Создадим Bridge для каждого из VLAN-ов - Vlan100 и Vlan200. Главное меню – Bridge, нажимаем «+» для создания bridge. Далее задаем имя (в примере будем использовать Vlan100) и нажимаем кнопку ОК. И повторяем такие же действия для создания bridge Vlan200.
  • Вторым этапом нам потребуется создать непосредственно VLAN с метками 100 и 200.  Главное меню – Interfaces -  вкладка VLAN, нажимаем «+» для создания VLAN. Далее даем ему имя и ставим метку согласно нашему VLAN, а также выбираем интерфейс, к которому будет принадлежать VLAN, выбираем ранее созданный нами bridge – Vlan100 и Vlan200 соответственно для 100 и 200 VBLAN-ов.
  • Следующий этап, назначим IP адрес для каждого VLAN-на. Главное меню – IP – Addresses, нажимаем «+» для назначения IP адреса, задаем адресного пространства и выбираем интерфейс, как и в предыдущем шаге нашем интерфейсом служит bridge Vlan100 и Vlan200.
  • Теперь настроим DHCP Server для каждого из VLAN bridge, для примера будет использоваться наиболее простой и быстрый вариант создание DHCP Server. Главное меню – IP – DHCP Server, нажимаем «DHCP Setup» выбираем интерфейс bridge Vlan100 и нажимаем кнопку «Next», в конце нажимаем «ОК», и повторяем процедуру для следующего интерфейса bridge Vlan200.
  • Следующий этап - переводим четвертый и пятый порт в состояние access. Главное меню – Bridges, вкладка VLANs, нажимаем «+» и создаем настройки для VLAN100, в качестве Bridge – выбираем созданный ранее Bridge Vlan100, метка VLAN 100, далее выбираем какой VLAN будет передаваться – Tagged - Bridge Vlan100 и последнее выбираем какой порт будет в состояние access (Untagged – порт 4), нажимаем «ОК» и правило готово. И создаем еще одно правило, но теперь для VLAN200 подставляя все значения для двухсотого VLAN-на, а в качестве access порта выбираем пятый порт согласно нашей схеме. Vlan100 и Vlan200 с меткой 1 создается автоматически, так как VLAN с меткой 1 это VLAN управления, по умолчанию назначается всем портам и bridges. Это означает, что пользователи VLAN100 и VLAN 200 могут попасть в служебную сеть. В следующем этане настроек мы создадим правила, которые помогут изолировать сети одну от другой.
  • Последним действием будет изолирование VLAN-ов один от одного, а также от VLAN с меткой 1, сети управления. Главное меню IP – Routes вкладка Rules нажимаем «+» и создаем правило. Сеть 192.168.100.0/24 недоступна (unreachable) сеть 192.168.200.0/24 и наоборот, а также сетям 192.168.100.0/24 и 192.168.200.0/24 не будет доступна сеть управления 192.168.88.0/24. Для каждого такого ограничения создаться отдельное правило.

В итоге мы получили маршрутизатор с настроенными в режиме access четвертого и пятого портов, согласно нашей схеме.

3. Пример №2 (Настройка VLAN в состоянии trunk)

Во втором примере к предыдущим настройкам добавим VLAN 40 и 30 в состоянии trunk на третий порт RB750r2 (hEx lite). Для примера подключим к третьему порту точку доступа и назначим разные VLAN-ны разным беспроводным сетям VLAN30 – Test30, а VLAN40 – Test40. В качестве точки доступа будет использоваться точка RBwAPG-5HacD2HnD (wAP ac) подключенная к третьему порту RB750r2 (hEx lite).

  • C начала настроим маршрутизатор. Создадим VLAN 30 и 40. Главное меню – Interfaces -  VLAN, нажимаем «+» для создания VLAN. Далее даем ему имя и ставим метку согласно нашему VLAN, и выбираем третий порт, к которому будет принадлежать VLAN. В отличии от предыдущего примера VLAN 30 и 40 будут принадлежать к одному порту (ether3).
  • Следующий этап, назначим IP адрес для каждого VLAN-на. Главное меню – IP – Addresses, нажимаем «+» для назначения адреса, задаем адресного пространства 192168.30.0 для интерфейса Vlan30, а для интерфейса Vlan40 назначаем адрес пространства 192.168.40.0.
  • Теперь настроим DHCP Server для каждого из VLAN-ов. Главное меню – IP – DHCP Server, нажимаем «DHCP Setup» выбираем интерфейс VLAN30 и жмем кнопку «Next», в конце нажимаем «ОК», и повторяем процедуру для интерфейса VLAN40. 
  • Переходим к настройкам точки доступа RBwAPG-5HacD2HnD (wAP ac). Первым этапом удалим все настройки, а также не будем использовать заводские настройки при загрузке устройства. Главное меню – System – Reset Configuration, выбираем пункты No Default Configuration и Do Not Backup далее нажимаем кнопку Reset Configuration.
  • После перезагрузки приступим к настройке беспроводной сети. Главное меню – Wireless, нажимаем «+» для создания Virtual (виртуальной сети), во вкладке General называем беспроводный интерфейс (в примере wlan30 и wlan40  для  VLAN 30 и VLAN40 соответственно), далее переходим во вкладку Wireless и настраиваем беспроводный интерфейс: Mode – ap bridge (тип вещания радиомодуля), SSID – Test30 (название беспроводной сети), Master Interface – wlan1 (так как был создан виртуальный беспроводный интерфейс нужно определить к какому радиомодулю он будет относиться, в данном примере виртуальные интерфейсы будут относиться к радиомодулю с частотой 2,4ГГц), Security Profile – default (профиль безопасности беспроводной сети, в примере будем использовать профиль по умолчанию, изменить параметры которого можно во вкладке Security (Гласное меню – Wireless вкладка  Security)), VLAN Mode – use tag (выбираем использовать  метку VLAN, другими словами переводим беспроводный интерфейс в access), VLAN ID – 30 ( прописываем метку VLAN). Нажимаем «ОК» и создаем еще один беспроводный интерфейс, но уже для VLAN 40 (он будет отличаться от предыдущих настроек следующими параметрами SSID – Test40, VLAN ID – 40, а также может быть выбран другой профиль безопасности).  
  • Cледующим шагом будет создание и объединение всех интерфейсов (физических и виртуальных) в один Bridge. Главное меню – Bridge, нажимаем «+» для создания bridge. Далее даем ему имя (в примере bridge_AP) и нажимаем кнопку ОК. Переходим во вкладку Ports и нажимаем «+» добавляем все порты в созданный ранее bridge_AP.  После этого этапа оборудование будет настроено согласно нашей схеме. Так же эта схема в этом примере будет работать если в разрыв между точкой доступа и маршрутизатором установить неуправляемый коммутатором. Далее в следующем примере рассмотрим схему с использованием управляемого коммутатора для расширения нашей сети.

4. Пример №3 (Настройка VLAN в состоянии trunk и access)

В данном примере мы расширим нашу сеть при помощи коммутатора CRS328-24P-4S+RM под управлением операционной системой SwitchOS.  На первый порт коммутатора будут оправлены три VLAN (VLAN30, VLAN40 и VLAN200) в режиме trunk, с двадцать четвертого порта VLAN30 и VLAN40, также в trunk, будут уходить на точку доступа RBwAPG-5HacD2HnD (wAP ac). А VLAN200 будет на портах с девятого по шестнадцатый в режиме access. Схема представлена ниже. В данном примере будут продолжаться настройки создание в первом и втором примерах. Будут изменены настройки RB750r2 (hEx lite), а настройки на точке доступа RBwAPG-5HacD2HnD (wAP ac) останутся без изменений. Коммутатор CRS328-24P-4S+RM будет настроен под нашу задачу из базовой конфигурации.  Поэтому, перед тем как перейти к третей части, нужно ознакомиться с первым и вторым примером, а настройки коммутатора привести к базовым.


Первым этапом на маршрутизаторе RB750r2 (hEx lite нужно изменить настройки VLAN200. Главное меню – Interface, вкладка VLAN ,  выбираем VLAN200 и меняем интерфейс к которому принадлежит этот VLAN с bridge Vlan200  на ethernet3. Нажимаем «ОК».

  • Далее. Главное меню – Bridges, вкладка Ports нажимаем «+» добавим vlan200 в bridge Vlan200. Нажимаем «ОК», и переходим к следующему этапу.
  • Следующий этап – это настройка коммутатора CRS328-24P-4S+RM. Обратите внимание, что оборудование MikroTik под управлением Switch OS настраивается не через привычный интерфейс программы WinBox, а не посредственно через веб-интерфейс. IP – адрес по умолчанию (192.168.88.1) такой же как и в большинстве устройств MikroTik. Логин admin, а поле пароля пустое. Используя веб-браузер заходим на устройство CRS328-24P-4S+RM (в данном примере настройки будут касаться VLAN). Добавляем выше созданные VLAN200, VLAN40 и VLAN30.  Переходим во вкладку VLANs, жмем Append и добавляем идентификатор VLAN вторым шагом выбираем, к которому порту будет принадлежать тот или иной VLAN (в примере VLAN30 и VLAN40 транслируется на двадцать четвертый порт к которому подключена точка доступа, а VLAN200  отдаем с девятого по шестнадцатый порты). Первый порт будет содержат все три VLAN-на, так как в это порт подключен маршрутизатор сети RB750r2 (hEx lite) третьим портом.  Нажимаем кнопку Apply All применяем создание настройки. Теперь VLAN30 и VLAN40 транслируется на двадцать четвертый.
  • Следующим шагом отдадим VLAN200 в режиме access. Переходим во вкладку VLAN переводим нужные порты в состояние only untagged (access) и идентификатор VLAN 200, нажимаем кнопку Apply All. Все этапы настроек в третьем примере выполнены, сеть работает согласно нашей схеме.

от VLAN до Turbo Ring

Мы знаем, что, управляемый коммутатор «из коробки», готов работать даже без настроек, НО только как неуправляемый. Соответственно, нам предстоит процесс настройки свитча для решения поставленных задач.

Рассмотрим самые распространенные функции и их процесс настройки через web-интерфейс.

VLANs

Основная функция управляемых коммутаторов — это, конечно же, дробление базовой сети на более мелкие подсети.

VLAN – это функция, позволяющая физическую сеть разделить на несколько виртуальных подсетей. Т.е. одна подсеть будет соответствовать определенному VLAN. Простой пример: разграничение компьютеров пользователей по рабочим отделам или должностям (бухгалтерия, отдел продаж, логистика и т.д.) Соответственно, сети с разными VLAN не будут видны друг другу. Физически сеть не затрагивается – это означает, что несколько VLANов проходит через одно и то же соединение.

Это в свою очередь увеличивает безопасность каждой подсети. Стоит отметить, что благодаря разбивке снижается трафик широковещательных доменов (это те данные, которые предназначены для отправки всем участникам сети).

Суть настройки VLAN в правильном заполнении таблицы данными для каждого порта коммутатора:

Существует несколько ролей портов:

Access – для соединения с нетегированными/конечными устройствами, например, с ПК.
Trunk – соединение между несколькими нетегированными/тегированными устройствами и/или коммутаторами.
Hybrid – похож на trunk порт, но с возможностью указывать теги, которые будут удалены из пакетов.

Резервирование

Следующая функция, для которой необходим управляемый свитч – это резервирование.
Помним, что неуправляемый коммутатор НЕ поддерживает кольцевую топологию.
Самый широко используемый протокол резервирования – это RSTP (Rapid spanning tree protocol)

Настройки RSTP намного проще чем понимание его принципа работы с ролями портов, поэтому рассмотрим только сам принцип:

У вас имеется некая сеть из коммутаторов (группа). Вы включаете функцию RSTP на всех коммутаторах, и свитчи самостоятельно выстраиваются в топологию «дерева». Выбирается «корневой» коммутатор (Root), к которому каждый свитч из сети ищет кратчайший путь, а те линии, которые больше не используются, становятся резервными.

В настройках необходимо указать порты коммутатора, на которых включается функция RSTP:

Turbo Ring & Turbo Chain

О современных протоколах резервирования, таких как Turbo Ring и Turbo Chain, обеспечивающие время восстановления сети до 20 мс, и их настройках мы говорили ранее.

Port Trunking

Интересная функция Port Trunking, благодаря которой возможно увеличить пропускную способность сети. Концепция состоит в том, что при объединении нескольких физических каналов получаем один логический, производительность которого приблизительно равна сумме задействованных линий. Это так же обеспечивает резервирование (при обрыве одной из линии, трафик будет проходить по остальным).

В настройках просто выделяются те порты, которые объединяются в trunk. И выбирается транк-группа

В последнем обновлении прошивки Turbo Pack 3 от MOXA появилась поддержка объединения всей транк-группы в виртуальный логический порт Turbo Ring. Это означает, что теперь можно строить резервирование Turbo Ring на объединенных линиях.

Функция блокировки портов обеспечивает дополнительную сетевую безопасность, благодаря возможности контроля доступа к определенным портам коммутатора.

Для настройки необходимо деактивировать соответствующий порт в колонке Enable:

Port Security

Еще одна функция безопасности, ограничивающая доступ к порту — это Port Security. Осуществляется привязкой MAC адреса к определенному порту. Благодаря чему, доступ к данному порту будет иметь только определенно устройство.

Настройки будут выглядеть в виде таблицы:

Порт = MAC адрес

Port Mirror

Зеркалирование порта – используется для мониторинга данных через определенный порт, путем дублирования трафика с одного порта на другой.

В настройках выбирается порт (monitored port), чья активность будет отслеживаться. Выбирается вариант отслеживания (только входящий трафик, только исходящий или оба). И соответственно порт, на который будет осуществляться дублирование сетевой активности (mirror port):

Мониторинг

Управляемый коммутатор имеет микропроцессор, и в режиме реального времени есть возможность осуществлять просмотр статистики. Например, состояние системных ресурсов:

Существует мониторинг общей активности передачи данных, а также каждого порта по отдельности. При этом возможно выбрать тип пакетов:

Восстановления настроек и обновления прошивки

После настроек любого свитча присутствует вероятность, что настройки могут сброситься, если, например, неопытный инженер внесёт нежелательные изменения. Для этого случая существует устройство (flash накопитель) ABC-02-USB, которое копирует все настройки свитча и способно восстановить их, а так же обновить прошивку. Для этого Вам понадобиться подключить конфигуратор к коммутатору и перезагрузить его. При включении коммутатор самостоятельно загрузит все необходимые настройки и/или обновит прошивку.


Если у Вас есть вопросы по продукции МОХА, обращайтесь по телефону: +7 (495) 419-1201 или по e-mail: [email protected]

«VLAN для чайников», сегментация сети предприятия

Начинающий администратор, обслуживающий малую сеть, как правило, даже не задумывается о таком понятии как VLAN. В то же время, сложно представить современный средний бизнес, не говоря уже о большом, который бы не использовал при построении своей сети технологию VLAN.

Как правило, все инструкции по VLAN достаточно сложные для понимания новичком и, уж тем более, человеком, у которого отсутствует специальное образование по данному направлению.

Для нативного понимания технологии VLAN требуется наличие определенного понимания базовых процессов, происходящих в локальных сетях. И именно такого материала в подавляющем большинстве инструкций нет вообще как таковых. Если же они и имеются, уровень их описания может оказаться слишком сложным для новичка. Именно по этой причине многие начинающие администраторы обходят эту тему стороной, не уделяя ей должного внимания.

Со своей стороны мы подготовили для читателей публикацию, с помощью которой базовые принципы настройки VLAN сможет освоить даже человек без специального образования.

Некоторые термины и тонкости мы заведомо опустили, для того, чтобы материал был понятен наиболее широкому кругу читателей.

Базовые понятия принципов работы локальных сетей

Подробно рассматривать модель OSI мы не будем, т.к. это отнимет достаточно большое количество времени и усложнит понимание материала. Но в общих чертах понимать модель OSI все же требуется.

Ниже предлагаем вашему вниманию наиболее простую и понятную схему модели OSI.


Первый уровень OSI – физический. Как несложно догадаться, на нем происходит физическая передача данных в виде импульсов. Иными словами это передача битов 0 и 1, независимо от того, какая среда передачи данных используется, будь то витая пара, оптика или даже коаксиал (например, в сетях DOCSIS).

Второй уровень OSI – канальный. На канальном уровне уже появляется такой термин как MAC-адрес.

Вы, наверное, часто встречаете на сайтах производителей сетевого оборудования в описаниях коммутаторов пометку «Layer 2». Это как раз и обозначает то, что коммутатор работает на втором уровне модели OSI.

С понятием MAC-адреса вы сталкиваетесь постоянно, это не что иное, как уникальный физический адрес оборудования, представленный в формате CC:2D:E0:B4:ED:AD. Первые символы МАС-адреса содержат информацию о производителе, именно по этой причине в комплексных мерах повышения безопасности многие администраторы практикуют подмену внешних МАС-адресов на WAN-портах, как один из механизмов маскировки производителя оборудования и усложнения его идентификации. Во избежание конфликтов, МАС-адреса делают уникальными.

Мы сейчас не будем рассматривать хабы (Hub, концентраторы), как устройства, которые окончательно устарели. В то же время вы должны знать, что такие устройства ранее повсеместно использовались. Отличие хаба от коммутатора в том, что хаб всегда дублирует все пакеты на все порты.

На сегодня современные сети строятся с использованием коммутаторов второго уровня (или третьего). Коммутаторы также называют свичами, от английского Switch.

В отличие от хабов, у коммутатора имеется таблица MAC-адресов (MAC-table). В характеристиках коммутатора всегда указан размер данной таблицы, например 2К, 4К или 8К записей. Для более высокоуровневых решений размер таблиц еще больше.

Зачем нужна данная таблица? Во время работы коммутатор анализирует заголовки фреймов (MAC Header) и проверяет, с какого МАС поступил фрейм. После этого МАС отправителя динамически привязывается к конкретному порту.

Если коммутатор получил фрейм с неизвестным ему конечным МАС, он разошлет его на все порты. По сути, это «режим обучения». Затем, после получения ответа от получателя о приеме фрейма, коммутатор привяжет к конкретному порту и МАС получателя. В дальнейшем коммутатор будет слать фреймы только на конкретный порт.

Этим достигается сразу несколько вещей. Во-первых, становится возможным одновременная независимая передача данных на всех портах, она будет ограничена только скоростью порта и возможностями коммутационной матрицы. Во-вторых, повышается безопасность передаваемых данных, т.к. данные будут передаваться только на требуемый порт.

Современные коммутаторы зачастую работают по принципу «Store-and-forward», это так называемая передача с промежуточным хранением. Зачем это нужно и как это работает? Во время получения данных, коммутатор проверяет контрольную сумму, что позволяет избежать передачи поврежденных данных.

Третий уровень OSI – сетевой. Для лучшего понимания, необходимо знать, что на третьем уровне добавляется IP header – заголовок пакета с информацией об IP-адресах. Коммутаторы Layer 2 не обрабатывают IP-заголовки и работают только с «внешним» MAC-заголовком. Для обработки IP header применяются маршрутизаторы Layer 3, которые способны управлять траффиком на основе IP-заголовков.

Существуют также коммутаторы Layer 2 с функциями Layer 3. К примеру, это может быть коммутатор с возможностью статической маршрутизации.

Четвертый уровень OSI – транспортный. На 4-м уровне появляется протоколы TCP и UDP, которые определяют метод доставки информации. Для TCP это доставка пакетов с подтверждением о получении, для UDP – доставка без подтверждения.

Последующие уровни OSI сегодня мы рассматривать не будем, они нам сейчас не интересны. Возвращаемся к Layer 2.

Следующая вещь, которую необходимо знать о коммутаторах это работа с широковещательными пакетами.

Всего в локальной сети существует 3 варианта доставки информации:

  • Unicast

  • Multicast

  • Broadcast

Данные термины вы неоднократно встречали, коротко пройдемся по всем.


Unicast это обычная передача данных от устройства А к устройству Б.

Multicast – передача данных нескольким выборочным устройствам, например от устройства А к устройствам Б и Г.

Broadcast – передача данных всем участникам сети, например от устройства А на устройства Б, В и Г. Бродкаст еще называют широковещательными запросами. Отправляются они с использованием адреса FF:FF:FF:FF:FF:FF, такие фреймы принимаются всеми устройствами, входящими в локальную сеть.


Если рассматривать хаб, в нем присутствует 1 широковещательный домен (broadcast domain) и 1 домен коллизий (collision domain). Что это значит? Это значит, что в пределах хаба, широковещательный запрос (FF:FF:FF:FF:FF:FF) передается всем портам, а одновременная передача данных возможна только по одному интерфейсу.


В коммутаторах также 1 широковещательный домен, а вот доменов коллизий столько, сколько портов. Иными словами, широковещательный запрос передается на все порты, но передача данных возможна по всем портам одновременно.


Вот мы плавно и подошли к VLAN. В случае с применением VLAN, бродкастовых доменов будет столько, сколько создано вланов. Это значит, что устройства, находящиеся в разных VLAN смогут отправлять broadcast FF:FF:FF:FF:FF:FF только в пределах своей виртуальной сети.

Что такое VLAN и как это работает

VLAN является сокращением от английского Virtual Local Area Network, обозначающего виртуальную локальную сеть.

Технология VLAN подробно описана в стандарте IEEE 802.1Q и предоставляет возможность объединения устройств в разные логические сети при использовании единой физической среды передачи данных и единого оборудования. По сути, влан эмулирует несколько каналов передачи данных и несколько физических коммутаторов. Собственно для конечных клиентов это так и выглядит.

За счет использования вланов, предприятия и операторы связи могут экономить ресурсы на прокладку сетей, покупку дополнительного оборудования и сетевое администрирование. К тому же влан позволяет обеспечивать повышенную безопасность передаваемых данных, а также обеспечить удаленное управление по защищенному каналу.

VLAN предоставляет огромные преимущества:

  • виртуализация и деление сети без покупки/установки дополнительного оборудования и линий связи. Вы можете создать 2, 3, 5, 20, сколько угодно подсетей на существующем оборудовании, без прокладки новых кабелей.

  • изоляция подсетей, изоляция подключенных клиентов;

Стандартом предусмотрено до 4096 VLAN’ов, иногда этого может оказаться мало или недостаточно для реализации сложной сети. Оборудование Mikrotik (под управлением RouterOS) поддерживает технологию вложенных VLAN’ов – QinQ.

Следует четко понимать, что QinQ уменьшает размер MTU (размер пакетов), что чревато фрагментацией пакетов. По этой причине QinQ следует использовать только в случае невозможности реализации иного механизма.

Зачем нужен QinQ и где он используется?

QinQ иногда используется интернет-провайдерами для подключения клиентов, при котором может и не хватить 4+ тысяч VLAN’ов.


Также QinQ может быть использован провайдером для транзита клиентских VLAN через свою сеть. К примеру, у провайдера есть клиент с несколькими подключениями, на каждом из которых есть свои VLAN, при этом заказчик не желает менять VLAN ID на своей стороне, но сам провайдер указанные идентификаторы уже использует.

В этом плане QinQ чем-то напоминает проброс портов, только в данном случае пробрасываются VLAN’ы, обеспечивая для клиента «логический транк».

Принцип работы VLAN

При использовании VLAN, в Ethernet-фреймы внедряется дополнительный заголовок-метка, размером 4 байта:


После добавления метки, коммутатор удаляет из фрейма старую контрольную сумму FCS (Frame check sequence), рассчитывает и добавляет новую.

Последующая обработка фреймов осуществляется на основе «меток», именуемых в VLAN тэгами. С метками VLAN работают коммутаторы и маршрутизаторы, для конечных клиентов они остаются незамеченными, потому как на «портах доступа» тег снимается.

VLAN на Mikrotik: варианты реализации

«Микротик микротику рознь», это необходимо всегда помнить, знать и понимать, при реализации VLAN. У Mikrotik, как и у любого другого производителя сетевого оборудования, свое собственное видение реализации настроек VLAN.

На базе оборудования Mikrotik возможна реализация как программных (софтовых) VLAN, так и аппаратных (hardware).

Аппаратный VLAN, как следует из названия, реализуется непосредственно на базе switch-chip. Возможность реализации аппаратного влана зависит от того, какой именно чип коммутации применяется в вашем устройстве.

По этому поводу рекомендуем ознакомиться с официальным руководством Switch Chip Features. Если коротко, аппаратный VLAN (Hardware VLAN) поддерживается следующими чипами:

  1. RB750

  2. RB750UP

  3. RB751U-2HnD

  4. RB951-2n

  1. RB941-2nD (hAP lite)

  2. RB951Ui-2nD (hAP)

  3. RB952Ui-5ac2nD (hAP ac lite)

  4. RB750r2 (hEX lite)

  5. RB750UPr2 (hEX PoE lite)

  6. RB750P-PBr2 (PowerBox)

  7. RB750P r2

  8. RBOmniTikU-5HnDr2 (OmniTIK 5)

  9. RBOmniTikUPA-5HnDr2 (OmniTIK 5 PoE)

  10. RB2011 series (ether6-10)

  11. RB951Ui-2HnD

  1. RB493G

  2. RB435G

  3. RB450G

  4. RB750G

  5. RB1200

  6. RB1100

  1. RB953GS

  2. RB850Gx2

  3. RB2011 series (ether1-5 + sfp1)

  4. RB750GL

  5. RB751G-2HnD

  6. RB951G-2HnD

  7. RBD52G-5HacD2HnD (hAP ac²)

  8. cAP ac

  9. RB1100AH

  10. RB1100AHx2

  11. CCR1009 series (ether1-4)

  12. RB433GL

  1. RB3011 series

  2. RB OmniTik ac series

  3. RB750Gr2 (hEX)

  4. RB962UiGS-5HacT2HnT (hAP ac)

  5. RB960PGS (hEX PoE)

  6. RB960PGS-PB (PowerBox Pro)

Во всех перечисленных устройствах VLAN можно реализовать средствам чипа коммутации. Преимущество данного метода состоит в том, что обработка тегов, их добавление и снятие выполняется самим чипом, без участия процессора (hardware offload, аппаратная разгрузка).

К этому методу следует прибегать в тех случаях, когда:

  1. стоит цель добиться максимальной производительности;

  2. производительность VLAN упирается в возможности CPU;

  3. реализация некоторых возможностей недостижима средствами программного VLAN;

Hardware VLAN предлагает большое число параметров, опций и правил обработки фреймов. Подробную информацию о настройке аппаратного VLAN вы можете найти в официальной документации по ссылке выше.

В случае, если эта тема будет востребованной, мы  опубликуем отдельную инструкцию.

Второй метод реализации – программный / «софтовый» VLAN / Software VLAN. Именно данный метод наиболее часто описывается и встречается на практике. Он не так функционален, зато максимально прост в настройке.

Настройка программного VLAN в RouterOS на оборудовании Mikrotik 

Рассматривать процесс настройки мы будем на примере устройств RB750UPr2 (hEX POE lite) и RB750r2 (hEX lite). Оба устройства реализованы на базе платформы MIPSBE (qca9531L). И там и там 64 МБ оперативной памяти, POE-версия отличается поддержкой PoE-out. Есть и другое отличие, в обычных версиях процессор работает на более высокой частоте – 850 МГц против 650 МГц у POE-версии. Такая разница обеспечивает на 30% большую производительность.

RB750UPr2 мы будем использовать в качестве главного шлюза, центрального узла коммутации и источника питания, два оставшиеся устройства RB750r2 будут использованы в качестве коммутаторов.

Оговоримся сразу, вариант не самый оптимальный, немного доплатив, можно приобрести RB260GS (SwOS) с гигабитными интерфейсами. Как вариант это могут быть и недорогие коммутаторы сторонних производителей, например TL-SG105E / TL-GS108E от TP-Link. При этом процесс их настройки будет отличаться.

Также можно рассматривать hAP lite (RB941-2nD), hAP ac lite (RB952Ui-5ac2nD), hAP (RB951Ui-2nD) и прочие модели со встроенным модулем Wi-Fi. Особый интерес будут представлять RB951Ui-2HnD и гигабитный RB951G-2HnD. Оба устройства оснащены радиомодулями повышенной мощности и большим объемом оперативной памяти, что позволяет реализовать беспроводную сеть на предприятии с несколькими SSID, в т.ч. HotSpot. Такой вариант реализации обойдется заметно дешевле, нежели использование, к примеру, CRS109-8G-1S-2HnD-IN.

Чуть ниже предлагаем вашему вниманию условную схему сети, которую мы и будем реализовывать.


В качестве основного устройства выбран Mikrotik hEX POE lite (RB750UPr2), он будет выполнять функции шлюза, маршрутизирующего траффик в локальной сети вымышленного предприятия. На схеме данное устройство обозначено как узел R1.

Допустим, нам требуется реализовать 2 подсети – офисную и гостевую. Для офисной сети мы будем использовать VLAN 20, для гостевой – VLAN 30. Номера вланов особого значения не имеют, главное, чтобы вы четко понимали, какой из них за какую сеть отвечает.

VLAN1 использовать нельзя, т.к. это «нативный» VLAN (native) для большого числа оборудования, в том числе и для Mikrotik.

Для офисной сети с VLAN 20 мы будем использовать подсеть 10.20.0.0/24, а для гостевой – 10.30.0.0/24. Идеальным вариантом является использование разных подсетей из списка:

  • 10.0.0.0 — 10.255.255.255

  • 172.16.0.0 — 172.31.255.255

  • 192.168.0.0 — 192.168.255.255

Например, 10.х.х.х для офиса и 192.168.х.х для гостевой сети. Подсеть 100.64.0.0 — 100.127.255.255 использовать не стоит, т.к. она предназначена для NAT интернет-провайдеров (CGN, Carrier-Grade NAT).

Конфигурация маршрутизатора R1

На узле R1 реализуем следующую конфигурацию:

  • ether1 используется для подключения к сети провайдера;

  • ether2 кидаем в офисную сеть VLAN 20;

  • ether3 кидаем в гостевую сеть VLAN 30;

  • ether4 и ether5 будем использовать в качестве магистральных каналов (trunk) для подключения двух дополнительных hEX lite (RB750r2), на схеме они обозначены как R2 и R3.

Сами R2 и R3 будем использовать вместо управляемых коммутаторов.

Перед настройкой мы выполняем полный сброс устройства и начинаем настройку с нуля. Вы же можете выполнять модификацию существующей конфигурации, правда в этом случае вам потребуется на завершающем этапе удалить некоторые элементы, среди которых бридж, dhcp-сервер и т.п. созданные по-умолчанию.

Поскольку устройств Mikrotik у нас несколько, первым делом задаем имя устройства (identity, alias), чтобы впоследствии не возникало путаницы с управлением. Делаем это командой:

/system identity

set name=R1-POE

Затем, в целях повышения безопасности, отключаем все неиспользуемые сервисы, оставляем только Winbox:

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes


Для удобства, переименовываем сетевые интерфейсы и добавляем к ним комментарии:

/interface ethernet

set [ find default-name=ether1 ] comment=WAN name=ether1-wan

set [ find default-name=ether2 ] comment="VLAN20 OFFICE"

set [ find default-name=ether3 ] comment="VLAN30 GUEST"

set [ find default-name=ether4 ] comment="TRUNK 1" name=ether4-trunk

set [ find default-name=ether5 ] comment="TRUNK 2" name=ether5-trunk

Это будет особенно актуально, если устройств приличное количество и/или они оснащены большим количеством интерфейсов.


Как видите, ether1 мы переименовали в ether1-wan, а ether4/ether5 в ether4-trunk/ether5-trunk.

На интерфейсе ether1-wan у нас подключение к сети провайдера. Настраиваем динамическое получение IP (от DHCP-сервера):

/ip dhcp-client

add dhcp-options=hostname,clientid disabled=no interface=ether1-wan



При использовании софтового VLAN, существует два основные типа интерфейсов:

Тегированные интерфейсы, это интерфейсы, на которых фреймы маркируются при помощи VLAN-меток. На таких интерфейсах можно одновременно передавать несколько VLAN’ов и, как правило, они используются в качестве магистральных каналов. Такие порты называют транками (trunk).

Нетегированные (untagged) интерфейсы используют для подключения конечных устройств и клиентов, их еще можно называть «портами доступа» (access port).

При программной реализации портов доступа VLAN, в RouterOS используются бриджи. Поскольку у нас предполагается выделение 2 портов под офисную и гостевую сеть, создаем для них соответствующие бриджи:

/interface bridge

add comment=OFFICE fast-forward=no name=bridge-vlan20-office

add arp=reply-only comment=GUEST fast-forward=no name=bridge-vlan30-guest


Как вы могли заметить, для гостевого бриджа мы используем дополнительный параметр arp=reply-only, он будет использоваться совместно с ARP для того, чтобы сделать невозможным использование самоназначенных IP в гостевой сети. Иными словами, маршрутизатор не будет отвечать на запросы устройств, на которых назначен статический IP.

Перед настройкой DHCP, заранее, для каждой подсети необходимо создать пулы адресов:

/ip pool

add comment=OFFICE name=pool-vlan20-office ranges=10.20.0.11-10.20.0.253

add comment=GUEST name=pool-vlan30-guest ranges=10.30.0.11-10.30.0.253


Если в сети больше 250+ устройств, необходимо создавать дополнительные пулы. Затем они выбираются в параметре «next pool» (следующий пул, который будет задействован после исчерпания предыдущего).

В нашем случае это 10.20.0.11-10.20.0.253 для офисных устройств и 10.30.0.11-10.30.0.253 для гостевых. Первые и последний IP-адрес в обоих диапазонах мы резервируем для будущих возможных сервисов (делать это вовсе не обязательно).

Назначать все IP мы будем средствами Mikrotik, при помощи DHCP-серверов:

/ip dhcp-server

add address-pool=pool-vlan20-office disabled=no interface=\

   bridge-vlan20-office name=dhcp-vlan20-office

add add-arp=yes address-pool=pool-vlan30-guest disabled=no interface=\

   bridge-vlan30-guest name=dhcp-vlan30-guest


Обратите внимание! Создано 2 сервера, по одному на каждый бридж. Каждый сервер будет выдавать IP из своего пула, таким образом, для VLAN 20 и VLAN 30 будут выдаваться адреса с разных подсетей (10.20.х и 10.30.х).

Для гостей мы дополнительно используем параметр add-arp=yes, он будет добавлять ARP для всех выданных аренд (DHCP leases). Если этого не сделать, гостевая сеть не будет работать, т.к. гостевой бридж не будет отвечать на запросы клиентов – ранее в настройках бриджа мы уже задали параметр arp=reply-only (только отвечать).

В каждой из подсетей назначаем маршрутизатору свой отдельный IP:

/ip address

add address=10.20.0.1/24 comment=OFFICE interface=bridge-vlan20-office \

   network=10.20.0.0

add address=10.30.0.1/24 comment=GUEST interface=bridge-vlan30-guest network=\

   10.30.0.0


Затем для каждой подсети указываем DNS и шлюз, используемые по-умолчанию:

/ip dhcp-server network

add address=10.20.0.0/24 comment=OFFICE dns-server=10.20.0.1 gateway=\

   10.20.0.1 netmask=24

add address=10.30.0.0/24 comment=GUEST dns-server=10.30.0.1 gateway=10.30.0.1 \

   netmask=24


Поскольку к интерфейсам ether4 и ether5 будут подключены другие маршрутизаторы/коммутаторы (R2 и R3), их необходимо превратить в транки, выдав по 2 vlan в каждый порт:

/interface vlan

add interface=ether4-trunk name=vlan20-trunk-to-R2 vlan-id=20

add interface=ether5-trunk name=vlan20-trunk-to-R3 vlan-id=20

add interface=ether4-trunk name=vlan30-trunk-to-R2 vlan-id=30

add interface=ether5-trunk name=vlan30-trunk-to-R3 vlan-id=30


Делать это можно как с вкладки Interfaces/VLAN, так и с основного раздела.

VLAN’ы созданы, но порты ether2 и ether3 все еще ни к чему не привязаны.

Порт ether2 необходимо закинуть в bridge-vlan20-office и туда же закинуть 20-й влан с интерфейсов ether4 и ether5. Те же действия выполняем для ether3 и vlan 30 на транковых портах.

Иными словами, при помощи бриджа мы объединили каждый vlan в свой бридж, и туда же закинули соответствующие порты доступа. Как видите, ничего сложного здесь нет.

/interface bridge port

add bridge=bridge-vlan20-office comment="OFFICE access port" interface=ether2

add bridge=bridge-vlan30-guest comment="GUEST access port" interface=ether3

add bridge=bridge-vlan20-office comment="VLAN 20" interface=\

   vlan20-trunk-to-R2

add bridge=bridge-vlan20-office comment="VLAN 20" interface=\

   vlan20-trunk-to-R3

add bridge=bridge-vlan30-guest comment="VLAN 30" interface=vlan30-trunk-to-R2

add bridge=bridge-vlan30-guest comment="VLAN 30" interface=vlan30-trunk-to-R3


Собственно по части VLAN на устройстве R1 все готово.

Далее, для удобства работы с правилами Firewall, фильтрами и ограничениями, создаем 2 списка интерфейсов:

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN


После чего распределяем интерфейсы по группам:

/interface list member

add interface=ether1-wan list=WAN

add interface=bridge-vlan20-office list=LAN

add disabled=yes interface=bridge-vlan30-guest list=LAN

В группу WAN (внешние интерфейсы) добавляем ether1-wan, т.к. он используется для подключения к сети провайдера. Если вы используете PPPoE, в WAN следует добавлять и ether1, и pope-client. То же самое применимо и к другим типам подключения с VPN. Использование групп интерфейсов позволяет оптимизировать правила Firewall.

bridge-vlan20-office с офисной подсетью добавляем в список LAN-интерфейсов. Во-первых, нам нужно в этой сети иметь доступ к Интернет. Во-вторых, мы хотим сохранить возможность управления Mikrotik из этой подсети.

bridge-vlan30-guest в список LAN-интерфейсов не добавляем (disabled=yes). Почему? Потому, что последующими правилами мы запретим маршрутизатору принимать входящие соединения (input) с гостевой сети. Из гостевой сети разрешать будем только транзитный траффик (forward) в сеть Интернет. Иными словами, зайти в настройки RouterOS гости не смогут, даже если будут знать логин и пароль администратора.

Чтобы Mikrotik не обнаруживался в Winbox Neighbor, задаем соответствующие ограничения, указав доступ для группы LAN:

/ip neighbor discovery-settings

set discover-interface-list=LAN


Дополнительно устанавливаем ограничения для подключения к Mikrotik по MAC:

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN


Подключения будут разрешены только с интерфейсов, входящих в LAN-группу.

Чтобы пользователи обеих подсетей могли выходить в интернет, необходимо разрешить запросы к DNS-серверу и настроить маскарадинг:

/ip dns

set allow-remote-requests=yes

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

   ipsec-policy=out,none out-interface-list=WAN



Бывают случаи, когда одному из VLAN доступ к Интернет необходимо запретить. В этом случае в правилах маскарадинга следует явно указать src.address, для которого выполнять обработку траффика. Например, для vlan 20 необходимо указать src.address 10.20.0.0/24. Пользователи, находящиеся в vlan 30 имеют адреса 10.30.0.0/24, поэтому правило на них распространяться не будет и, соответственно, доступ в Интернет они не получат.

Если вы используете стандартные (defconf) правила Firewall, клиенты в гостевой сети не смогут использовать локальный DNS.

Правила необходимо привести до следующего вида:

/ip firewall filter

add action=accept chain=input comment=\

   "defconf: accept established,related,untracked" connection-state=\

   established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

   invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment="DNS for VLAN 30" dst-port=53 \

   in-interface=bridge-vlan30-guest protocol=udp

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

   in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

   ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

   ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

   connection-state=established,related

add action=accept chain=forward comment=\

   "defconf: accept established,related, untracked" connection-state=\

   established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

   connection-state=invalid

add action=drop chain=forward comment=\

   "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

   connection-state=new in-interface-list=WAN


Почему так происходит?

Все дело в наличии правила:

action=drop chain=input in-interface-list=!LAN

Данное правило будет отбрасывать все пакеты, приходящие в цепочку input (входящий траффик) с интерфейсов, не входящих в LAN.

Для снятия данного ограничения, чуть выше соответствующего запрещающего правила, мы добавили специальное разрешающее правило:

action=accept chain=input dst-port=53 in-interface=bridge-vlan30-guest protocol=udp

Это правило будет разрешать входящие соединения на Mikrotik из гостевого бриджа по протоколу UDP на 53-порт, который используется для DNS-сервера.

Казалось бы, вот и все… но нет. Есть нюансы, о которых во многих инструкциях не сказано ни слова. Дело в том, что на устройствах Layer 2, VLANы между собой изолированы полностью.

В случае с Layer 3 не все так просто. Маршрутизатор знает все адреса и подсети, поэтому может возникнуть ситуация, когда устройства из одного VLAN смогут увидеть устройства из другого VLAN. Тут все зависит от маршрутов, правил и фильтров.

Для того, чтобы запретить маршрутизатору обрабатывать траффик между VLAN 20 и VLAN 30 можно написать соответствующее правило Firewall для цепочки forward. Но мы реализуем это более эстетично – через правила маршрутизации:

/ip route rule

add action=unreachable dst-address=10.30.0.0/24 src-address=10.20.0.0/24

add action=unreachable dst-address=10.20.0.0/24 src-address=10.30.0.0/24


Иными словами, мы явно запрещаем маршрутизировать траффик из 10.30.0.0/24 в 10.20.0.0/24 и наоборот.

Настройка маршрутизаторов R2 и R3

Для маршрутизаторов R2 и R3 настроек куда меньше, т.к. по сути, они у нас выполняют функции управляемых коммутаторов. Далее мы приведем конфигурацию для R2, для R3 она будет идентична, так что вы спокойно сможете сделать выгрузку-загрузку файла-конфигурации.

Выгрузка:

export file=conf2.rsc

Загрузка

import file=conf2.rsc

Где conf2.rsc – название файла конфигурации.

Как и ранее, первым делом отключаем ненужные сервисы, создаем новую учетку, задаем идентификатор устройства. Полагаем, данные операции вы можете выполнить самостоятельно.

Для того, чтобы распределить наши вланы, создаем все те же 2 бриджа:

/interface bridge

add comment=OFFICE fast-forward=no name=bridge-vlan20-office

add comment=GUEST fast-forward=no name=bridge-vlan30-guest

Для удобства, к интерфейсам можно добавить комментарии:

/interface ethernet

set [ find default-name=ether1 ] comment="UPLINK TRUNK" name=ether1-trunk

set [ find default-name=ether2 ] comment=OFFICE

set [ find default-name=ether4 ] comment=GUEST

Интерфейс ether1 при этом мы также немного переименовали, добавив приставку «trunk». После этого вешаем на него наши VLANы:

/interface vlan

add interface=ether1-trunk name=vlan20-uplink vlan-id=20

add interface=ether1-trunk name=vlan30-uplink vlan-id=30


В R2 и R2 транковый порт всего один, оставшиеся 4 интерфейса разделены в две группы, vlan 20 и vlan 30.

Соответствующим образом (согласно схеме) распределяем интерфейсы по ранее созданным бриджам:

/interface bridge port

add bridge=bridge-vlan20-office comment="UPLINK OFFICE" interface=\

   vlan20-uplink

add bridge=bridge-vlan30-guest comment="UPLINK GUEST" interface=vlan30-uplink

add bridge=bridge-vlan20-office comment=OFFICE interface=ether2

add bridge=bridge-vlan20-office interface=ether3

add bridge=bridge-vlan30-guest comment=GUEST interface=ether4

add bridge=bridge-vlan30-guest interface=ether5


С аплинка vlan’ы необходимо раскинуть каждый в свой бридж, 20-й в bridge-vlan20-office, 30-й в bridge-vlan20-guest.

Далее в эти же бриджи добавляем требуемые порты. В нашем случае 2 и 3 порт добавлены в офисную сеть, а 4 и 5 – в гостевую.

Следующий момент касается ограничения доступа к маршрутизатору из гостевой сети. Механизм блокировки доступа используем тот же, что и на R1. Создаем новый список интерфейсов:

/interface list

add comment="OFFICE Subnet" name=LAN

После чего заносим в этом список 20-й влан с аплинка и офисный бридж:

/interface list member

add interface=bridge-vlan20-office list=LAN

add interface=vlan20-uplink list=LAN

Для ограничения доступа добавляем правило в файрволл:

/ip firewall filter

add action=drop chain=input in-interface-list=!LAN

После этого маршрутизатор перестанет принимать входящие (input) соединения с сетей, не входящих в список «LAN», при этом пересылка пакетов (forward) останется как есть.

Для удобства, самому маршрутизатору можно назначить IP-адрес:

/ip dhcp-client

add add-default-route=no dhcp-options=clientid,hostname disabled=no \

   interface=bridge-vlan20-office

Как видите, IP мы будем получать только в 20-м VLAN непосредственно от DHCP-сервера. В 30-м VLAN устройству IP-адрес не нужен, на пересылку пакетов это никак не влияет.

Вот собственно и все. Можно приступать к проверке портов.


10.20.0.1 это главный шлюз в 20-м vlan, 10.20.0.251/252 – маршрутизаторы R2/R3. HP-NC360T это тестовый ПК, выполняющий сканирование подсети.

Если вы выполните сканирование подсети 10.30.0.0/24, устройства отображаться не будут, хотя они там есть:


10.30.0.252/253 это IP маршрутизаторов, которые мы добавляли для удобства управления из vlan 30 на этапе начальной конфигурации, у вас они отображаться не будут в виду отсутствия dhcp-client на R2 и R3 в VLAN 30.

Теперь что касается производительности. Как вы помните, мы уже упоминали о том, что программные VLAN отнимают ресурсы процессора. Чтобы изучить взаимосвязь, выполняем небольшой тест скорости между двумя ПК. Первый ПК подключен к R2, второй – к R3.


Обычная пересылка пакетов в локальной сети приводит к использованию ресурсов CPU. В конкретном примере сгенерирован дуплексный траффик с суммарной скоростью около 180 Мбит/сек (100 Мбит FDX), при этом загрузка процессора QCA9531 (650 МГц) составляет в среднем до 20%.


Как видим, даже для столь бюджетного решения не составляет особых проблем обрабатывать траффик в софтовой конфигурации VLAN. Где это и будет ощущаться, так это в больших сетях, с большим числом соединений между устройствами, например, при наличии NAS и гостевых HotSpot. Впрочем, такие решения как RB750Gr3, RB3011, RB450Gx4 с подобной задачей справляются отлично, не говоря уже о старших моделях.

Не забывайте, в сложных сетях со сложной конфигурацией стоит применять соответствующее более высокоуровневое оборудование, а при необходимости, и вовсе, использовать Hardware VLAN.

Для предприятий VLAN является весьма оправданным решением, позволяющем повысить защищенность сети в целом. К примеру, если у вас есть торговые залы, вполне логичным шагом будет поместить все кассовые ПК и POS-системы в VLAN, отличный от офисного. Если же вы используете IP-видеонаблюдение, для него также стоит выделить отдельный VLAN. В конечном итоге, даже если в вашем программном обеспечении и будет уязвимость, она будет изолирована в отдельной подсети. Вспомните сколько проблем доставил «Petya». Именно технология VLAN позволила многим предприятиям понести «минимальные потери» и ограничить распространение вредоносного ПО.  

Дополнительная справочная информация по теме VLAN:

Как сделать VLAN: Сегментация маленькой компьютерной сети (Часть2)

VLAN – это аббревиатура, означающая Virtual Local Area Network (виртаульная локальная сеть). На одном физическом порту может совместно существовать несколько VLAN-сетей, которые настраиваются программными средствами Linux, а не конфигурацией физических интерфейсов (но настройка самих интерфейсов тоже требуется). С помощью VLAN можно разделить сетевые ресурсы для использования различных сервисов.

Преимущества VLAN следующие:

  • Производительность
  • Простота управления
  • Безопасность
  • Магистральные cоединения (trunk)
  • Возможность разделения внутри локальной сети из соображений безопасности
  • Отсутствие необходимости настройки аппаратных средств при физическом переносе сервера в другое место.

Содержание

Требования к сетевому оборудованию

Чтобы использовать VLAN, вам потребуется:

  1. Коммутатор с поддержкой стандарта IEEE 802.1q в сети Ethernet.
  2. Сетевая карта, которая работает с Linux и поддерживает стандарт 802.1q .

Возможные проблемы

Наиболее распространенные при настройке VLAN в Linux проблемы следующие:

  • Не все сетевые драйверы поддерживают VLAN. Может потребоваться обновление драйвера.
  • Возможны проблемы с MTU. Работа VLAN основана на присвоении каждому кадру тега длиной 4 байта, то есть заголовок фактически расширяется с 14 до 18 байт. Тег VLAN содержит идентификатор (VLAN ID) и приоритет.
  • Лучше не использовать VLAN ID, равный 1, так как он может быть зарезервирован для административных целей.

Сначала убедитесь, что драйвер (модуль) ядра Linux под названием 8021 загружен:

# lsmod | grep 8021q

Если он не загружен, загрузите его командой modprobe:

# modprobe 8021q

Настройка VLAN в CentOS/RHEL/Fedora Linux

Допустим, нам нужно создать VLAN интерфейс с тегом 100 который будет работать на физическом интерфейсе eth0. Для этого создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0.100. Узнать название сетевых интерфейсов в системе можно с помощью команды ifconfig.

# ifconfig

Создаем новый файл например с помощью редактора vim

# vim /etc/sysconfig/network-scripts/ifcfg-eth0.100

Добавьте в него следующий код

# Конфигурация VLAN с ID – 100 для интерфейса eth0 #DEVICE=eth0.100  BOOTPROTO=none  ONBOOT=yes  IPADDR=192.168.1.5  NETMASK=255.255.255.0  USERCTL=no  NETWORK=192.168.1.0  VLAN=yes

Жирным шрифтом выделены строки которые относятся к настройкам VLAN. Остальные настройки аналогичны настройкам на физическом интерфейсе.

Если вам нужна еще одна виртуальная сеть, то создайте новый файл сетевых настроек с нужным тегом VLAN. Что бы изменения вступили в силу, перезапустите сетевую службу

# systemctl restart network

Теперь можно проверить созданные интерфейсы командой ifconfig. Мы должны увидеть наш VLAN интерфейс

Конфигурация VLAN в Debian и Ubuntu

Откройте файл /etc/network/interfaces любым текстовым редактором, например nano

$ sudo nano /etc/network/interfaces

Добавьте в файл следующие строки:

##vlan с ID-100 для интерфейса eth0 with ID - 100 в Debian/Ubuntu Linux##  auto eth0.100  iface eth0.100 inet static  address 192.168.1.200  netmask 255.255.255.0  vlan-raw-device eth0

auto eth0.100 — «поднимать» интерфейс при запуске сетевой службыiface eth0.100 — название интерфейсаvlan-raw-device— указывает на каком физическом интерфейсе создавать VLAN.

Сохраните и закройте файл. После чего перезапустите сеть.

systemctl restart network

Важно! Если у вас используется Ubuntu версии 17.10 и выше, то необходимо установить пакет ifupdown или настраивать VLAN интерфейсы через netplan

Использование команды vconfig

Также существует команда vconfig. Она позволяет вам создавать и удалять устройства VLAN в ядре с поддержкой VLAN. Устройства VLAN – это виртуальные Ethernet-устройства, которые представляют виртуальные локальные сети в физической. Это еще один метод настройки VLAN. Чтобы добавить VLAN с ID 5 для интерфейса eth0 выполните следующую команду:

# vconfig add eth0 5

Команда vconfig add создает на интерфейсе eth0 VLAN-устройство, в результате чего появляется интерфейс eth0.5. Теперь с помощью ifconfig настроим ip адрес

# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up

Для получения подробной информации об интерфейсе выполните:

# cat /proc/net/vlan/eth0.5

Учтите, что после перезагрузки системы этот интерфейс будет удален.

Для удаления интерфейса вручную выполните следующие действия:

# ifconfig eth0.5 down  # vconfig rem eth0.5

Создание устройства VLAN командой ip

Для интерфейса eth0 и VLAN ID 10 выполните следующие команды:

# ip link add link eth0 name eth0.10 type vlan id 10  # ip -d link show eth0.10

Устройство нужно активировать и присвоить ему IP-адрес:

# ip addr add 192.168.1.200/24 brd 192.168.1.255 dev eth0.10  # ip link set dev eth0.10 up
# ip link set dev eth0.10 down  # ip link delete eth0.10

Этот интерфейс также будет удален после перезагрузки системы

Заключение

Настроить VLAN относительно несложно, но в конфигурации и используемых командах есть огромное количество различных тонкостей, которые при необходимости можно выяснить, обратившись к man-страницам соответствующих команд.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

У каждой виртуальной сети есть свой идентификатор Vlan ID или VID, который используется в стандарте 802.1Q. Стандартный для сетевых устройств диапазон значений Vlan ID — от 0 до 4095. При этом, как правило, VID’ы 0 и 4095 использовать нельзя, так как они зарезервированы для иных задач и доступными остаются номера он 1 до 4094. Кстати, какое бы ни было ограничение на количество поддерживаемых вланов (10, 100 или 1000), их идентификаторы, тем не менее, можно брать из всего диапазона. На оборудовании Циско различают две группы Vlan — normal-range и extended-range. По русски — обычный и расширенный диапазоны соответственно. В стандартный диапазон входят Vlan — от 1 до 1005, а в расширенный — от 1006 до 4094. При этом надо учитывать, что VID 1002 — 1005 зарезервированы для Token Ring и FDDI Vlan и их занять не получится.

Теперь давайте посмотрим на коммутатор Cisco Catalyst. В  своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:

switch#show vlan

Результатом будет список всех созданных на устройстве влан:

switch#configure terminal

После этого набираем команду:

В моём примере я создаю 11й влан:

Заметьте, что виртуальной сети можно дать имя с помощью команды name.

Удалить влан можно с помощью команды:

Примечание: На древних версиях IOS все манипуляции с вланами приходилось осуществлять в отдельно базе — vlan database. К счастью, сейчас от этого анахронизма ушли. Для того, чтобы добавить порт в созданный влан, нужно так же, в режиме конфигурации выбрать нужный порт:

switch#interface gigabitEthernet <номер_порта>

И набрать команду:

Вот как это выглядит на «живом» коммутаторе:

Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:

Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:

switch(config-if)#ip address <маска сети>

После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:

switch(config-if)#no shutdown

Пример настройки управления на коммутаторе Cisco 2960:

Не забудьте — для того, чтобы управление коммутатором было доступно, необходимо добавить в этот Vlan хотя бы один порт, либо, создать на других коммутаторах, с которых Вы хотите управлять этим устройством.

ВЗЯТО С: http://mcp1971.livejournal.com/1851.htmlДиапазоны номеров VLANовВсе VLANы доступа можно разбить на два диапазона:Обычный диапазон VLANов— используется в малых и средних сетях- имеют номера от 1 до 1005- номера с 1002 до 1005 зарезервированы для Token Ring and FDDI VLANов- номера 1, 1002 и 1005 создаются автоматически и не могут быть удалены- все данные о VLANах хранятся в файле vlan.dat, который располагается на флеш памяти (flash:vlan.dat)- протокол VTP может изучать VLANы только обычного диапазрна и сохранять сведения о них в vlan.datРасширенный диапазон VLANов— используются провайдерами или на очень больших сетях для расширения инфраструктуры VLANов- имеют номера от 1006 до 4094- поддерживают меньше возможностей, чем VLANы обычного диапазона- все данные о VLANах хранятся в рабочей конфигурации- нет поддержки VTPКоммутатор Cisco Catalyst 2960 поддерживает до 255 VLANов обычного и расширенного диапазоновТипы VLANовВсе VLANы можно отнести к конкретному типу:1. Data VLAN (VLAN данных) — VLAN, в котором проходят данные, генерируемые пользователями. Но это не могут быть голосовые данные или управляющий трафик для коммутаторов.2. Default VLAN (VLAN по умолчанию) — VLAN, в котором находятся все порты коммутатора перед началом конфигурирования. VLAN по умолчанию для коммутаторов Cisco — VLAN1. По умолчанию управляющий трафик 2-го уровня, такой как CDP и STP, ассоциируется с VLAN1.3. Native VLAN (родной VLAN) — VLAN, через который на порту, сконфигурированном как транковый порт (802.1Q), и пропускающем с помощью 802.1Q тегированные фреймы, сможет подключиться рабочая станция и передавать нетегированные фреймы. Это реализовано для того, чтобы к транковому порту можно было подключить компьютер, который не может тегировать фреймы. Рекомендуется использовать родным VLANом VLAN, отличный от VLAN1.4. Management VLAN (управляющий VLAN) — VLAN, через который происводится конфигурирование. Для этого VLANу надо назначить IP адрес и маску подсети.5. Voice VLAN (голосовой VLAN) — VLAN, предназначенный для передачи голоса. Такой VLAN должен обеспечивать:— гарантированнуюполосу пропусканиядля обеспечениякачества передачи голоса— приоритет голосового трафика по сравнению сдругими типамитрафика— возможностьнаправлятьтрафик в обход загруженных районовв сети— иметь задержкуменее 150миллисекундв сетиБывает, что компьютер подключается к коммутатору через IP телефон. Получается, что надо разграничить на порту голосовой трафик и трафик данных. Для этого телефон представляет собой трехпортовый коммутатор. Один порт подключен к коммутатору. Второй — внутренний порт для передачи голосового трафика. Третий порт — порт, к которому подключен компьютер. Трафик с внутреннего порта телефона тегируется номером голосового VLAN. Трафик с компьютера не тегируется. Поэтому коммутатор может определить трафик, которому надо предоставить приоритет. Точно также происходит разделение входящего трафика — тегированный номером голосового VLAN — на телефон, не тегированный — на компьютер. Соответственно на порту коммутатора настраивается и голосовой VLAN, и VLAN доступа.Режимы работы портов коммутатора в VLANахКаждый порт коммутатора может быть настроен для работы конкретного типа VLANа различными методами:Статический VLAN — каждому порту вручную указывается VLAN, к которому он принадледит.Динамический VLAN — каждому порту указывается VLAN, к которому он принадледит, с помощью Сервера политики членства в VLAN (VMPS — VLAN Membership Policy Server). СVMPSможно назначитьVLAN портам коммутатора динамически,на основеМАС-адреса устройства, подключенного кпорту.Это полезно, когдавы перемещаетеустройство спорта одного коммутаторв сетик портудругого коммутаторав сети, коммутатординамически назначаетVLANдля этого устройства на новом порту.Голосовой VLAN — порт настраивается и для передачи тегированного голосового трафика, и для передачи нетегированного трафика данных. Для настройки голосовой VLAN используются команды:S1(config)#interface fastethernet 0/18S1(config-if)#mls qos trust cos — определяем голосовй трафик, как приоритетныйS1(config-if)#switchport voice vlan 150 — определяем голосовой VLANS1(config-if)#switchport mode access — определяем, что этот порт для данных (порт доступа — нетегированный трафик)S1(config-if)#switchport access vlan 20 — определяем VLAN для данныхТранки VLANовТранк — это соединение типа точка-точка между сетевыми устройствами, которые передают данные более чем одного VLANа. Если бы не было транков, для каждого VLANа при соединении коммутаторов необходимо было бы выделять отдельный порт. При транке все VLANы проходят через один порт.Для того, чтобы транковый порт знал, к какому VLANу принадлежит фрейм, передаваемый через порт, в заголовок фрейма вводится тег 802.1Q, в котором указывается номер VLANа, также приоритет передаваемого кадра.Если на порт поступает нетегированный фрейм, коммутатор автоматически отправляет его в родной VLAN. По умолчанию родным VLANом является VLAN1. Но его можно изменить командой:S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan vlan-idДля проверки, на какой родной VLAN передается нетегированный фрейм, используется команда:S1#show interfaces interface-id switchportDTPDTP — это проприеритарный протокол коспании Cisco, который позволяет автоматически настраивать транкинговые режимы работы портов коммутатора. Бывает три режима работы:On (по умолчанию) — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он работает как транковый порт. Включается командой S1(config-if)#switchport mode trunk. Если удаленный порт работает как access-порт, локальный порт не рекомендуется использовать с этим режимом DTP.Dynamic auto — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт, но не требует работать в транковом режиме. Порт включает транковый режим, если удаленный порт уже работает, как транковый или у него настроен режими Dynamic desirable, порты согласовуют работу в транковом режиме. Если удаленный порт настроен тоже как  Dynamic auto, согласование не проводится — порты работают как порты доступа. Если удаленный порт — access, локальный тоже access. Включается командой S1(config-if)#switchport mode dynamic auto.Dynamic desirable — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт и просит работать в транковом режиме. Если удаленный порт работает в режиме Dynamic auto или Dynamic desirable, порты переходят работать в транковый режим. Если удаленный порт не поддерживает согласование, локальный порт работает в нетранковом режиме.Отключить согласование режимов работы можно командой S1(config-if)#switchport nonegotiate.Команды для настройка VLANов1. S1(config)#vlan vlan id — добавление VLAN.2. S1(config-vlan)#name vlan name — присвоение имени VLANу.3. S1#show vlan brief — проверка наличия VLANа в база данных, access-портов, принадлежащих VLANу4. S1(config-if)#switchport mode access — перевод порта в режим работы access-порта.    S1(config-if)#switchport access vlan vlan id — назначение номера VLANа порту.5. S1#show interfaces [interface-id  | vlan vlan-id] | switchport — проверка режима работы конкретного интерфейса6. S1(config-if)#no switchport access vlan — исключение порта из VLANа с настроенным номером и перевод его вVLAN по умолчанию7. S1(config)#no vlan vlan id — удаление VLANа из базы данных. Перед этим обязательно надо удалить все порты из этого VLANа, иначе они будут недоступны.8. S1#delete flash:vlan.dat — удаление всей базы VLANов. Останутся только VLANы по умолчанию.9. S1(config-if)#switchport mode trunk — принудительный перевод режима работы порта в транковый.10. S1(config-if)#switchport trunk native vlan vlan id — изменение родного VLANа для транкового порта.11. S1(config-if)#switchport trunk allowedvlan id — назначение VLANов, которые могут проходить через порт. Без применения этой команды все VLANы могут проходить через порт.12. S1(config-if)#no switchport trunk allowed vlan — сброс всех разрешенных VLANов на транковом порту.13. S1(config-if)#no switchport trunk native vlan — возвращение VLAN1 как родного VLANа на транковом порту.Используемые источники:

  • https://itproffi.ru/nastrojka-vlan-interfejsov-v-linux/
  • https://nastroisam.ru/nastroyka-vlan-na-cisco/
  • http://laferont.blogspot.com/2013/12/vlan.html

Рецепты конфигурации pfSense - Настройка коммутаторов с VLAN

В этом разделе представлены инструкции по настройке нескольких типов переключателей для использования. с VLAN. Здесь предлагается общее руководство, которое применимо к большинству, если не ко всем Коммутаторы с поддержкой 802.1Q, затем переходим к настройке конкретных коммутаторы от Cisco, HP, Netgear и Dell.

Примечание

Это минимальная конфигурация, необходимая для работы VLAN, и он не обязательно показывает идеальную конфигурацию безопасного коммутатора для любая конкретная среда.Подробное обсуждение безопасности коммутатора выходит за рамки данной документации.

Обзор конфигурации коммутатора

Обычно на коммутаторах с поддержкой VLAN необходимо настроить три или четыре параметра:

  1. Добавить / определить VLAN

    Большинство коммутаторов имеют средства определения списка настроенных VLAN, и они должны быть добавлены до того, как их можно будет настроить на каких-либо портах.

  2. Настроить магистральный порт

    Необходимо настроить порт, к которому будет подключен брандмауэр pfSense®. в качестве магистрального порта, маркируя все возможные сети VLAN на интерфейсе.

  3. Настроить порты доступа

    Настройте порты для внутренних хостов как порты доступа в желаемых VLAN с непомеченных сетей VLAN.

  4. Настройте идентификатор порта VLAN (PVID)

    Некоторые коммутаторы требуют настройки PVID для портов доступа. Это указывает какую VLAN использовать для трафика, поступающего на этот порт коммутатора. Для некоторых коммутаторы, это одноэтапный процесс, настраивая порт как доступ порт в конкретной VLAN, он автоматически маркирует входящий в этот порт.Другие коммутаторы требуют настройки в одном или двух местах. Обратитесь к документации по коммутатору для получения подробной информации, если она не описана в этом глава.

Коммутаторы на базе Cisco IOS

Настройка и использование VLAN на коммутаторах Cisco с IOS довольно проста. процесса, потребовав всего несколько команд для создания и использования виртуальных локальных сетей, магистральных портов и назначение портов VLAN. Многие коммутаторы других производителей ведут себя аналогично IOS, и будет использовать почти такой же, если не идентичный синтаксис для конфигурации.

Создание сетей VLAN

VLAN могут быть созданы автономно или с использованием магистрального протокола VLAN. (VTP). Использование VTP может быть более удобным, поскольку оно автоматически распространяет Конфигурация VLAN для всех коммутаторов в домене VTP, хотя она также может создавать собственные проблемы с безопасностью и открывают возможности для непреднамеренного уничтожения конфигурация VLAN.

С VTP, чтобы добавить еще одну VLAN, ее нужно настроить только на одном коммутаторе, а затем все остальные транкинговые коммутаторы в группе могут назначать порты этой VLAN.Если виртуальные локальные сети настраиваются независимо, они должны быть добавлены к каждому коммутатору с помощью рука. Обратитесь к документации Cisco по VTP, чтобы обеспечить безопасное использование конфигурации. используется, и что он не подвержен случайному разрушению.

В сети с несколькими коммутаторами, где виртуальные локальные сети не меняются часто, VTP может быть излишним, и его избегание также поможет избежать потенциальных падений.

Автономные сети VLAN

Для создания автономных VLAN:

 sw # база данных vlan
sw (vlan) # vlan 10 имя "Серверы DMZ"
sw (vlan) # vlan 20 name "Телефоны"
sw (vlan) # выход
 
VTP VLAN

Чтобы настроить коммутатор для VTP и VLAN, создайте базу данных VTP на главный коммутатор, а затем создайте две сети VLAN:

 sw # база данных vlan
sw (vlan) # сервер vtp
sw (vlan) # пример домена vtp.ком
sw (vlan) # пароль vtp SuperSecret
sw (vlan) # vlan 10 имя "Серверы DMZ"
sw (vlan) # vlan 20 name "Телефоны"
sw (vlan) # выход
 

Настроить магистральный порт

Для pfSense порт коммутатора должен быть не только в транковом режиме, но и с использованием тегов 802.1q. Это можно сделать так:

 sw # настроить терминал
sw (config) # interface FastEthernet 0/24
sw (config-if) # транк в режиме switchport
sw (config-if) # инкапсуляция транка порта коммутатора dot1q
 

Примечание

На некоторых новых коммутаторах Cisco IOS проприетарная сеть Cisco ISL VLAN Метод инкапсуляции устарел и больше не поддерживается.Если переключатель не допускать опцию конфигурации инкапсуляции dot1q , она поддерживает только 802.1Q и инкапсуляцию указывать не нужно.

Добавить порты в VLAN

Чтобы добавить порты в эти VLAN, назначьте их следующим образом:

 sw # настроить терминал
sw (config) # interface FastEthernet 0/12
sw (config-if) # доступ в режим switchport
sw (config-if) # switchport access vlan 10
 

Коммутаторы на базе Cisco CatOS

Создание сетей VLAN в CatOS немного отличается, хотя терминология то же самое, что и использование VLAN под IOS.Как автономные VLAN, так и VTP можно поддерживать базу данных VLAN:

 # установить сервер в режиме примера домена vtp
# установить vtp passwd SuperSecret
# установить vlan 10 name dmz
# установить имена телефонов vlan 20
 

Затем настройте магистральный порт для автоматической обработки каждой VLAN:

 # установить транк 5/24 на dot1q 1-4094
 

Затем добавьте порты в VLAN:

 # установить vlan 10 5 / 1-8
# установить vlan 20 5 / 9-15
 

Коммутаторы HP ProCurve

Коммутаторы

HP ProCurve поддерживают только 802.Транкинг 1q, поэтому настройка не требуется для инкапсуляции. Сначала подключитесь к коммутатору по ssh или telnet и включите меню управления.

Включить поддержку VLAN

Во-первых, на коммутаторе должна быть включена поддержка VLAN, если это еще не сделано:

  1. Выберите Конфигурация коммутатора

  2. Выберите Расширенные функции

  3. Выберите Меню VLAN…

  4. Выберите Поддержка VLAN

  5. Установите Включить VLAN с на Да , если это еще не сделано, и выберите количество VLAN.Каждый раз, когда это значение изменяется, переключатель необходимо перезапускать, поэтому убедитесь, что он достаточно большой, чтобы поддерживать необходимое количество VLAN.

  6. Перезапустите коммутатор, чтобы изменения вступили в силу.

Создание сетей VLAN

Перед назначением виртуальных локальных сетей портам необходимо создать виртуальные локальные сети. На Меню конфигурации переключателя:

  1. Выберите Конфигурация коммутатора

  2. Выберите Расширенные функции

  3. Выберите Меню VLAN…

  4. Выберите имен VLAN

  5. Выбрать Добавить

  6. Введите VLAN ID , 10

  7. Введите имя , DMZ

  8. Выбрать Сохранить

  9. Повторите шаги с Добавьте до Сохраните для всех оставшихся VLAN

Назначение магистральных портов VLAN

Затем настройте магистральный порт для брандмауэра, а также все магистральные порты, идущие к другим коммутаторам, содержащим несколько VLAN.

  1. Выберите Конфигурация коммутатора

  2. Выберите Меню VLAN…

  3. Выберите Назначение порта VLAN

  4. Выбрать Изменить

  5. Найдите порт для назначения

  6. Нажмите пробел в VLAN по умолчанию, пока не отобразится Нет

  7. Перейдите к столбцу для каждой из сетей VLAN на этом магистральном порту и нажмите пробел , пока не отобразится Tagged .Каждая используемая VLAN должна быть помечена на магистральный порт.

Назначение портов доступа VLAN

  1. Выберите Конфигурация коммутатора

  2. Выберите Меню VLAN…

  3. Выберите Назначение порта VLAN

  4. Выбрать Изменить

  5. Найдите порт для назначения

  6. Нажмите пробел на VLAN по умолчанию , пока не отобразится Нет

  7. Перейдите в столбец VLAN, к которому будет подключен этот порт. присвоен

  8. Нажмите пробел , пока не отобразится Без тегов .

Управляемые коммутаторы Netgear

Этот пример находится на GS108Tv1, но все другие модели Netgear очень похожи, если не идентичны. Есть также несколько других поставщиков, включая Zyxel, которые продают переключатели того же производителя, использующие тот же веб-интерфейс с другой логотип. Войдите в веб-интерфейс коммутатора, чтобы начать.

Планирование конфигурации VLAN

Перед настройкой коммутатора необходимо выполнить несколько пунктов:

  1. Количество настраиваемых VLAN

  2. Идентификаторы, используемые для сетей VLAN

  3. Как нужно настроить каждый порт коммутатора

В этом примере используется 8-портовый GS108Tv1, и он будет настроен, как показано в таблице Netgear GS108T VLAN Configuration.

Netgear GS108T Конфигурация VLAN

Порт коммутатора

Режим VLAN

Назначено VLAN

1

ствол

10 и 20 , с тегами

2

доступ

10 без тегов

3

доступ

10 без тегов

4

доступ

10 без тегов

5

доступ

20 без тегов

6

доступ

20 без тегов

7

доступ

20 без тегов

8

доступ

20 без тегов

Включить 802.1 квартал VLAN

Чтобы настроить коммутатор для использования транкинга 802.1Q VLAN:

  • Перейдите в меню System в левой части страницы

  • Щелкните Настройка группы VLAN , как показано на рисунке Настройка группы VLAN.

    Настройка группы VLAN

  • Выберите IEEE 802.1Q VLAN (Рисунок Включить 802.1Q VLAN).

    Включить 802.1Q VLAN

  • Нажмите ОК , чтобы подтвердить переключение на 802.Транкинг 1Q, как показано на рисунке Подтвердите переход на 802.1Q VLAN.

    Подтвердите переход на 802.1Q VLAN

После нажатия OK страница обновится с конфигурацией 802.1Q VLAN как показано на рисунке Конфигурация 802.1Q по умолчанию.

Конфигурация 802.1Q по умолчанию

Добавить VLAN

В этом примере добавлены две сети VLAN с идентификаторами 10 и 20 . Чтобы добавить VLAN:

  • Щелкните раскрывающийся список Управление VLAN

  • Щелкните Добавить новую VLAN , как показано на рисунке Добавить новую VLAN.

    Добавить новую VLAN

  • Введите идентификатор VLAN для этой новой VLAN, например 10

  • Щелкните Применить . Экран VLAN теперь готов для настройки VLAN 10 (рис. Добавьте VLAN 10).

  • Щелкните Добавить новую VLAN еще раз, как показано на рисунке Добавить новую VLAN в добавьте VLAN 20 (рисунок Добавить VLAN 20).

    Добавить VLAN 10

    Добавить VLAN 20

Добавьте необходимое количество VLAN и переходите к следующему разделу.

Настроить теги VLAN

Когда VLAN выбрана из раскрывающегося списка VLAN Management , отображается как эта VLAN настроена на каждом порту:

  • Пустое поле означает, что порт не является членом выбранной VLAN.

  • Поле, содержащее T , означает, что VLAN отправляется на этот порт с тегом 802.1Q.

  • U указывает, что порт является членом этой VLAN, и оставляет порт нетегированным.

К магистральному порту должны быть добавлены и помечены как VLAN, так и теги.

Предупреждение

Не изменять конфигурацию порта, используемого для доступа веб-интерфейс коммутатора! Это заблокирует доступ администратора к выключатель. Единственным средством восстановления на GS108Tv2 является сброс на заводские настройки по умолчанию - кнопка , так как у нее нет последовательной консоли. Для коммутаторы с последовательными консолями, держите нуль-модемный кабель под рукой на случай сетевое соединение с коммутатором потеряно.Настройка управляющей VLAN рассматривается позже в этом разделе.

Щелкните поля под номером порта, как показано на рисунке. ref: figure-toggle-vlan-members для переключения между тремя вариантами VLAN.

Переключить членство в VLAN

Настроить членство в VLAN 10

На рисунке Настроить членство в VLAN 10 показано, что VLAN 10 настроена как из таблицы table-netgear-gs108t-vlan-configuration . Порты доступа на для этой VLAN установлено значение без тегов, , в то время как порт магистрали настроен на тегированный.

Настроить членство в VLAN 10

Настроить членство в VLAN 20

Выберите 20 из раскрывающегося списка VLAN Management, чтобы настроить порт. членство в VLAN 20 .

Настроить членство в VLAN 20

Изменить PVID

На коммутаторах Netgear, в дополнение к ранее настроенной маркировке параметры, PVID также должен быть настроен для указания используемой VLAN для фреймов, поступающих в порт:

  • Выберите PVID из раскрывающегося списка VLAN Management, как показано на рисунке. Настройка PVID.

    Настройка PVID

    Параметр PVID по умолчанию - VLAN 1 для всех портов, как показано на рисунке. Конфигурация PVID по умолчанию.

    Конфигурация PVID по умолчанию

  • Измените PVID для каждого порта доступа, но оставьте магистральный порт и порт используемыми для доступа к интерфейсу управления коммутатором введите 1 .

    На рисунке Конфигурация VLAN 10 и 20 PVID показана конфигурация PVID. соответствие назначений портов, показанных в таблице Конфигурация Netgear GS108T VLAN, порт 8 используется для получить доступ к интерфейсу управления коммутатором.

    Конфигурация VLAN 10 и 20 PVID

  • Применить изменения по завершении

Удалить конфигурацию VLAN 1

По умолчанию все порты являются членами VLAN 1 с немаркированным исходящим трафиком. кадры. Чтобы удалить VLAN 1 из других портов:

  • Выберите 1 (по умолчанию) из раскрывающегося списка Управление VLAN

  • Удалите VLAN 1 со всех портов, кроме того, который используется для управления коммутатором и магистральный порт, чтобы избежать отключения.

    В этом примере порт 8 используется для управления коммутатором. Когда закончите, Экран будет выглядеть как Рисунок Удаление членства в VLAN 1.

    Удалить членство в VLAN 1

  • Применить изменения по завершении

Проверить работоспособность VLAN

Настройте VLAN на pfSense, включая DHCP-сервер на интерфейсах VLAN, если нужный. Подключите системы к настроенным портам доступа и проверьте возможность подключения. Если все работает как надо, переходите к следующему шагу.Если что-то не работает как предполагалось, просмотрите маркировку и конфигурацию PVID на коммутаторе и VLAN конфигурация и назначение интерфейсов в pfSense.

Управляемые коммутаторы Dell PowerConnect

Интерфейс управления коммутаторами Dell незначительно отличается в зависимости от модели, но следующая процедура подходит для большинства моделей. Конфигурация вполне по стилю похож на Cisco IOS.

Сначала создайте сети VLAN:

 консоль # config
console (config) # база данных vlan
console (config-vlan) # vlan 10 имя dmz media ethernet
console (config-vlan) # vlan 20 имя телефоны media ethernet
console (config-vlan) # выход
 

Затем настройте магистральный порт:

 console (config) # interface ethernet 1/1
console (config-if) # транк в режиме switchport
console (config-if) # switchport разрешен vlan добавить 1-4094 с тегами
console (config-if) # выход
 

Наконец, добавьте порты в VLAN:

 console (config) # interface ethernet 1/15
console (config-if) # switchport разрешено vlan добавить 10 без тегов
console (config-if) # выход
 

Как настроить VLAN: пошаговое руководство

Виртуальная локальная сеть или VLAN - это способ разделения компьютеров в сети на группы кластеров, которые служат общей бизнес-цели . Часть LAN указывает, что мы разделяем физическое оборудование , а виртуальная часть указывает, что мы используем логику для выполнения этого. В этой статье мы увидим, как вы можете создать VLAN, а затем настроить ее, чтобы пакеты данных из другой VLAN могли переходить в нее.

Примечание : хотя мы постарались сделать все упражнение по настройке VLAN как можно проще, предполагается, что вы, читатель, имеете базовые представления о конфигурации сети.Мы также предполагаем, что у вас есть практические знания концепций и целей IP-адресов, шлюзов, коммутаторов и маршрутизаторов. Кроме того, вам также необходимо знать о процедурах настройки интерфейса и субинтерфейса на компьютерах и сетевых устройствах.

Пошаговое руководство - Как настроить VLAN

Лучший способ научиться настраивать VLAN - не считая посещения школы сетевых технологий - это сделать это на практике. А поскольку не у всех нас есть маршрутизаторы и коммутаторы, было бы разумно создать нашу VLAN в смоделированной среде.

В этом примере мы будем использовать Cisco Packet Tracer , чтобы продемонстрировать, как настроить нашу VLAN. Это один из самых простых и наиболее реалистичных инструментов в использовании, позволяющий использовать как графический интерфейс, так и интерфейс командной строки. Таким образом, вы можете видеть команды, которые выполняются в режиме реального времени, даже если вы просто щелкаете мышью и перетаскиваете мышью, когда занимаетесь настройкой.

Инструмент можно загрузить, настроить и проверить (открыв учебную учетную запись в Cisco Networking Academy ).Не волнуйтесь; вы можете просто подписаться на БЕСПЛАТНЫЙ курс Cisco Packet Tracer , чтобы получить полный доступ к инструменту проектирования .

Кроме того, помимо простоты использования, поскольку Cisco является лидером рынка, мы считаем, что это подходящий выбор для демонстрации того, как настроить VLAN.

Конечно, вы можете использовать любой другой аналогичный инструмент - потому что концепция остается той же. Быстрый поиск в Интернете покажет вам, что есть приложения - как для настольных компьютеров, так и для браузеров - для каждой марки устройств с сетевым интерфейсом.Найдите и работайте с тем, с которым вам удобнее всего.

Router-on-a-Stick - объяснение

Несмотря на то, что существует множество способов настройки VLAN или inter-VLAN, архитектура , которую мы будем создавать, будет использовать так называемый маршрутизатор Cisco Router on a Stick .

В этой сетевой конфигурации наш маршрутизатор будет иметь одно физическое или логическое соединение с нашей сетью. Этот маршрутизатор поможет соединить две сети VLAN, которые не могут взаимодействовать друг с другом, подключившись к нашему коммутатору с помощью одного кабеля.

Вот как это работает: пакеты данных, которые отправляются с компьютера в учетную VLAN и предназначены для компьютера в логистической VLAN, отправляются на коммутатор. Коммутатор, обнаружив, что пакеты должны перейти в другую VLAN, перенаправит трафик на маршрутизатор.

Маршрутизатор, тем временем, будет иметь один физический интерфейс (в нашем примере - сетевой кабель), который разделен на два логических подчиненных интерфейса . Каждому субинтерфейсу будет разрешен доступ к одной VLAN.

Когда пакеты данных прибывают в маршрутизатор, они будут перенаправлены в правильную VLAN через авторизованный субинтерфейс, а затем прибудут в предполагаемое место назначения.

Наш маршрутизатор на карте VLAN с возможностью подключения к ним будет выглядеть следующим образом:

Планирование задач

Вся задача по созданию нашей сетевой архитектуры будет разделена на четыре основные категории, в которых вы будете:

  • Подключите все устройства , чтобы сформировать правильную архитектуру
  • Настроить интерфейсы , чтобы все устройства могли «разговаривать» друг с другом
  • Создайте сети VLAN и назначьте компьютеры их соответствующим VLAN
  • Подтвердите правильную конфигурацию , продемонстрировав, что компьютеры не могут обмениваться данными за пределами своей VLAN

Итак, без лишних слов, приступим к созданию нашей VLAN.Помните, что изначально к нему будут подключены коммутатор и четыре компьютера. Вы можете добавить маршрутизатор в дизайн позже, если захотите.

Подключить все устройства

Перетащите коммутатор, маршрутизатор и четыре компьютера на главную плату дизайна. Для нашей демонстрации мы будем использовать коммутатор 2960 и маршрутизатор 2911. Коммутатор будет подключаться к четырем компьютерам ( ПК 0 , ПК 1 , ПК 2 и ПК 3 ) с помощью прямых медных проводов ( вы увидите описание оборудования и типов подключения в самом низу окна Tracer).

Затем, подключите коммутатор к каждому компьютеру, используя порты FastEthernet .

Как только все устройства подключены, между устройствами должен проходить зеленый трафик. Поскольку инструмент пытается имитировать загрузку и подключение устройств в реальном мире , это может занять минуту или две. Так что не беспокойтесь, если индикаторы потока данных останутся оранжевыми в течение нескольких секунд. Если ваши подключения и настройки верны, скоро все станет зеленым.

Чтобы упростить понимание, давайте обозначим два компьютера слева как принадлежащие бухгалтерии (синий) , а два других - как , принадлежащие отделам логистики (красный) .

Настроить интерфейсы

Теперь давайте начнем назначать IP-адреса, чтобы наши компьютеры могли начать общаться друг с другом. Назначение IP-адресов будет выглядеть так:

  • ACCT PC 0 = 192.168.1.10 / 255.255.255.0
  • ACCT ПК 1 = 192.168.1.20/255.255.255.0
  • ПК журналов 2 = 192.168.2.10/255.255.255.0
  • ЖУРНАЛ ПК 3 = 192.168.2.20/255.255.255.0

Шлюз по умолчанию для компьютеров - 192.168.1.1 для первых двух в бухгалтерии и 192.168.2.1 для двух последних компьютеров в логистике . Вы можете получить доступ к конфигурации, перейдя в меню рабочего стола , а затем щелкнув окно IP Configuration .

Когда вы окажетесь там, начните вводить конфигурации для всех компьютеров:

Когда вы закончите, мы можем перейти к переключателю. Однако сначала нам нужно помнить, что на нашем коммутаторе будет два типа портов :

  • Порты доступа: это порты, которые будут использоваться для подключения к ним обычных устройств, таких как компьютеры и серверы; в нашем примере это FastEthernet 0/1 , FastEthernet 1/1 , FastEthernet 2/1 и FastEthernet 3/1 - по одному для каждого компьютера.
  • Магистральные порты: это порты, которые позволяют коммутатору обмениваться данными с другим коммутатором - или в нашем примере связь VLAN-VLAN на том же коммутаторе (через маршрутизатор) - для расширения сети; мы будем использовать порты GigaEthernet0 / 0 на обоих устройствах связи.

Имея это в виду, перейдем к самой интересной части - настройке коммутатора для работы наших VLAN.

Создание сетей VLAN и назначение компьютеров

Итак, давайте сначала создадим сети VLAN - они будут называться ACCT (VLAN 10) и LOGS (VLAN 20) .

Перейдите в интерфейс командной строки коммутатора и введите команды:

 Switch # config терминал

Переключатель (config) #vlan 10

Коммутатор (config-vlan) # имя ACCT

Коммутатор (config-vlan) #vlan 20

Коммутатор (config-vlan) # имя LOGS 

Команды в вашем CLI должны выглядеть так:

Или, если вам не до этого, вы можете просто использовать графический интерфейс для создания VLAN (и по-прежнему видеть, как выполняются команды, как они выполняются ниже).Перейдите в меню Config-VLAN Database и ADD VLANs, введя их номера (10,20) и имена (ACCT, LOGS) .

Затем нам нужно назначить каждый порт, который коммутатор использует для подключения компьютеров, к их соответствующим VLAN .

Вы можете просто выбрать интерфейс, а затем установить флажок соответствующей VLAN в меню конфигурации справа :

Как видно из изображения выше, вы также можете войти в интерфейс командной строки каждого порта и использовать команду: switchport access vlan 10 для выполнения той же задачи .

Не волнуйтесь; есть более короткий способ сделать это в случае, если нужно назначить большое количество портов. Например, если у вас 14 портов, команда будет:

 Переключатель (config-if) #int range fa0 / 1-14

Switch (config-if-range) #switchport mode access 

Вторая команда проверяет, понимает ли коммутатор, что порты должны быть портами ACCESS , а не портами TRUNK .

Подтвердите правильную конфигурацию

Вот и все; мы создали две сети VLAN на одном коммутаторе.Чтобы проверить это и подтвердить, что наша конфигурация верна, мы можем попробовать выполнить эхо-запрос P 1 и P 3 с P 0 . Первый эхо-запрос должен пройти нормально, в то время как второй должен истечь время ожидания и потерять все пакеты:

Как настроить между VLAN

Теперь, хотя мы разделили компьютеры на две сети VLAN - как и требовалось - более логично, что двум отделам (бухгалтерии и логистике) потребуется взаимодействовать друг с другом.Это было бы нормой в любой реальной деловой среде. В конце концов, логистику нельзя купить или поставить без финансовой поддержки, верно?

Итак, нам нужно убедиться, что ACCT и LOGS могут взаимодействовать, даже если они находятся в разных VLAN. Это означает, что нам нужно создать связь между VLAN .

Вот как это сделать

Нам понадобится помощь нашего роутера; он будет действовать как мост между двумя виртуальными локальными сетями - поэтому, продолжайте и добавьте маршрутизатор в свой проект, если вы еще этого не сделали.

Переходя к настройке, мы должны понимать, что мы будем использовать один порт на маршрутизаторе для связи обеих сетей VLAN , « разделив » на два порта. Между тем, коммутатор будет использовать только один порт TRUNK для отправки и приема всех сообщений на маршрутизатор и от него.

Итак, возвращаясь к нашему маршрутизатору, мы разделим интерфейс GigabitEthernet0 / 0 на GigabitEthernet0 / 0.10 (для VLAN10) и GigabitEthernet0 / 0.20 (для VLAN20). Затем мы будем использовать стандартный протокол IEEE 802.1Q для соединения коммутаторов, маршрутизаторов и определения топологий VLAN.

После этого эти «подчиненные интерфейсы» - как они называются - затем назначаются каждой VLAN, к которой мы хотим подключить или мост.

Наконец, помните шлюзы - 192.168.1.1 и 192.168.2.1 - которые мы добавляли к конфигурациям компьютеров ранее ? Ну, это будут новые IP-адреса разделенных портов или подчиненных интерфейсов на маршрутизаторе.

Команды интерфейса командной строки для создания субинтерфейсов в интерфейсе GigabitEthernet0 / 0 будут иметь следующий вид:

Маршрутизатор
 (конфигурация) # интерфейс GigabitEthernet0 / 0.10

Маршрутизатор (config-subif) #encapsulation dot1q 10

Маршрутизатор (config-subif) #ip-адрес 192.168.1.1 255.255.255.0 

Повторяя все это для второго субинтерфейса и VLAN, получаем

Маршрутизатор
 (конфигурация) # интерфейс GigabitEthernet0 / 0.20

Маршрутизатор (config-subif) #encapsulation dot1q 20

Маршрутизатор (config-subif) #ip адрес 192.168.2.1 255.255.255.0 

После закрытия интерфейса командной строки вы можете подтвердить правильность конфигурации, просто наведя указатель мыши на маршрутизатор, чтобы увидеть свою работу, которая должна выглядеть примерно так:

Теперь мы знаем, что мы можем подключить наши подчиненные интерфейсы (на маршрутизаторе) к нашему коммутатору только через его магистральный порт - и поэтому нам нужно будет создать его сейчас.

Все, что вам нужно сделать, это войти в конфигурацию GigabitEthernet0 / 0 коммутатора и запустить: switchport mode trunk .

И вот оно; , вы только что создали две сети VLAN, каждая из которых содержит по два компьютера и все еще может взаимодействовать друг с другом. . Вы можете доказать это , выполнив эхо-запрос первого компьютера логистики (ПК 2 ) с IP-адресом 192.168.2.10 с первого компьютера учета (ПК 0 ) с IP-адресом 192.168.1.10 :

Большой успех!

Зачем настраивать VLAN или inter-VLAN

На этом этапе некоторые из вас могут задаться вопросом, зачем нам вообще нужно выполнять это упражнение и беспокоиться о виртуальных локальных сетях или между виртуальными локальными сетями.Что ж, есть много причин, некоторые из которых:

  • Безопасность Разделение сети на компоненты гарантирует, что только авторизованные пользователи и устройства могут получить доступ к подсети. Вы же не хотите, чтобы ваши бухгалтеры вмешивались в работу вашего отдела логистики или наоборот.
  • Безопасность В случае вирусной эпидемии только одна подсеть будет затронута, поскольку устройства в одной подсети не смогут обмениваться данными - и, следовательно, передавать - вирус в другую.Таким образом, процедуры очистки будут сосредоточены на этой подсети, что также значительно упростит идентификацию машины-виновника.
  • Обеспечивает конфиденциальность путем изоляции Если кто-то хотел узнать об архитектуре вашей сети (с намерением атаковать ее), он использовал бы анализатор пакетов , чтобы составить карту вашего макета. С изолированными подсетями злоумышленники смогут получить лишь частичное представление о вашей сети, таким образом, отказавшись, например, от критически важной информации о ваших уязвимостях.
  • Упрощает сетевой трафик Изолированные подсети могут снизить использование трафика, ограничивая ресурсоемкие процессы их собственными областями и не перегружая всю сеть. Это означает, что тот факт, что ИТ-специалисты распространяют критические обновления на бухгалтерские машины, не означает, что логистическому отделу также придется столкнуться с замедлением работы сети.
  • Приоритизация трафика Для предприятий, которые имеют различные типы трафика данных, конфиденциальные или ресурсоемкие пакеты (например, VoIP, мультимедиа и большие объемы передачи данных) могут быть назначены VLAN с более широким широкополосным доступом, в то время как те, которым нужна только сеть для отправки электронной почты можно назначить VLAN с меньшей пропускной способностью.
  • Масштабируемость Когда бизнесу необходимо масштабировать ресурсы, доступные для его компьютеров, он может переназначить их новым сетям VLAN. Их администраторы просто создают новую VLAN, а затем с легкостью перемещают в нее компьютеры.

Как мы видим, VLAN помогают защитить сеть, а также улучшают производительность пакетов данных , которые передаются по ней.

Статическая VLAN против динамической VLAN

Мы подумали, что стоит упомянуть, что для реализации доступны два типа VLAN:

Статическая VLAN

Этот дизайн VLAN зависит от оборудования для создания подсетей .Компьютеры назначаются на определенный порт на коммутаторе и подключаются прямо к нему. Если им нужно перейти в другую VLAN, компьютеры просто отключаются от старого коммутатора и снова подключаются к новому.

Проблема в том, что любой может перейти из одной VLAN в другую, просто переключив порты, к которым он подключен. Это означает, что администраторам потребуются методы или устройства физической безопасности для предотвращения такого несанкционированного доступа.

Динамическая VLAN

Это VLAN, которую мы только что создали в упражнении , которое мы сделали ранее.В этой архитектуре VLAN у нас есть программные VLAN, в которых администраторы просто используют логику для назначения определенных IP- или MAC-адресов своим соответствующим VLAN.

Это означает, что устройства можно перемещать в любую часть предприятия, и как только они подключаются к сети, они возвращаются в свои предварительно назначенные VLAN. В дополнительных настройках нет необходимости.

Если у этого сценария есть один недостаток, это может быть только то, что бизнесу потребуется инвестировать в интеллектуальный коммутатор - коммутатор политики управления VLAN (VMPS), который может быть дорогостоящим по сравнению с традиционным коммутатором, используемым в статические VLAN.

Здесь также можно с уверенностью предположить, что предприятий с несколькими компьютерами и меньшим ИТ-бюджетом могут выбрать реализацию статической VLAN , в то время как предприятий с большим количеством устройств и потребностью в большей эффективности и безопасности будет разумно инвестировать в динамической VLAN .

Заключение

Мы надеемся, что вы нашли всю необходимую информацию о том, как настроить VLAN. Мы также надеемся, что выполнить упражнение было легко, и что теперь вы можете продолжить работу над полученными знаниями.Поскольку , даже если вы продолжаете увеличивать масштаб, эти основные шаги остаются теми же - вы просто продолжаете добавлять оборудование и конфигурации к основам.

vlans.mif

% PDF-1.4 % 1 0 объект > эндобдж 9 0 объект > эндобдж 2 0 obj > эндобдж 3 0 obj > эндобдж 4 0 obj > ручей Acrobat Distiller 7.0 (Windows) 2007-04-20T10: 26: 36ZFrameMaker 7.22007-04-20T10: 26: 36Zapplication / pdf

  • ccimr_migadm.gen
  • vlans.mif
  • uuid: ff0c3305-12d5-438e-b69f-626d91dedd19uuid: bc25f2af-5daa-4419-ae17-0f111909b0a9 конечный поток эндобдж 5 0 obj > эндобдж 6 0 obj > эндобдж 7 0 объект > эндобдж 8 0 объект > эндобдж 10 0 obj > эндобдж 11 0 объект > эндобдж 12 0 объект > эндобдж 13 0 объект 3507 эндобдж 14 0 объект > эндобдж 15 0 объект > эндобдж 16 0 объект > эндобдж 17 0 объект > эндобдж 18 0 объект > эндобдж 19 0 объект > эндобдж 20 0 объект > эндобдж 21 0 объект > эндобдж 22 0 объект > эндобдж 23 0 объект > эндобдж 24 0 объект > эндобдж 25 0 объект > эндобдж 26 0 объект > эндобдж 27 0 объект > эндобдж 28 0 объект > эндобдж 29 0 объект > эндобдж 30 0 объект > ручей HlTN1 + c {\ R ^ mhiY @ dRQ2 / \ {s = F \ jKδGɜ = 1k4W: Ie1 \ F & o (eZ-.h = M # es`v & K>% ț # N) IvYǪFjqd_lDt ~ fg-srFx } w = w & IhjS7JGDu8) q!; 38 ځ U

    VLAN в домашних сетях - настройка и использование

    На заре создания сетей для разделения сети на сегменты требовался маршрутизатор.

    VLANS или Virtual LANS - это технология, которая позволяет разделить домашнюю сеть на сегменты с помощью недорогих коммутаторов.

    Обычно коммутатор отправляет широковещательный трафик на все подключенные порты и позволяет устройствам, подключенным к любому порту, связываться с любым другим устройством.

    VLANS были созданы, чтобы уменьшить объем широковещательного трафика в сети.

    Однако в домашних сетях они используются в основном для повышения безопасности сети.

    Если мы рассмотрим коммутатор с 8 портами, как показано на схеме ниже.

    Широковещательная рассылка, отправленная с устройства, подключенного к любому порту, будет отправлена ​​на все порты.

    Кроме того, любое устройство, подключенное к любому порту, может взаимодействовать с любым другим устройством, подключенным к любому порту.

    Это становится проблематичным, если у вас есть ненадежные устройства с доступом к вашей сети или, как в случае домашней автоматизации, у вас есть устройства IOT, которые могут быть уязвимы для атак.

    Однако с помощью коммутатора с поддержкой VLAN можно ограничивать широковещательные передачи и контролировать, какие устройства могут взаимодействовать друг с другом.

    Это позволяет создать более безопасную домашнюю сеть.

    Теперь возьмем 8-портовый коммутатор и разделим его на две VLAN, которые мы назовем VLAN1 и VLAN2 , как показано ниже.

    В этой конфигурации мы фактически создали две независимые сети. Устройства, подключенные к VLAN1 , не могут обмениваться данными с устройствами, подключенными к VLAN2 и наоборот

    VLAN используется в домашней сети

    В основном используется для обеспечения безопасности, когда вы хотите изолировать определенные машины от основной сети. Вот два примера использования, которые должны прояснить ситуацию.

    Примеры простого дизайна

    Пример 1

    У вас есть постояльцы или гостевой дом, и вы хотите изолировать гостевые машины от вашей основной сети, но предоставить им доступ в Интернет.

    Пример 2

    У вас есть устройства IOT, и вы хотите изолировать их от основной сети, но должны быть доступны из Интернета.

    Реализация примеров 1 и 2

    Для реализации обоих примеров 1 и 2 нам потребуется коммутатор с поддержкой VLAN, который мы разделили на 2 VLANS.

    1 VLAN будет для наших домашних устройств VLAN1, а другой - для наших устройств IOT или для гостевого доступа (VLAN2).

    Один порт коммутатора будет общим для обеих сетей VLAN и подключается к нашему маршрутизатору.Это показано на схеме ниже.


    На приведенном выше рисунке порт 1 является общим для VLAN1 и VLAN2 и подключен к маршрутизатору, чтобы предоставить обеим виртуальным локальным сетям доступ к Интернету.

    Устройства, подключенные к портам 2,3,4,5 , могут напрямую связываться с другими, т. Е. Вы можете их пропинговать.

    Они также могут получить доступ к Интернету, но не могут подключаться к устройствам, подключенным к портам 6,7,8.

    Устройства, подключенные к портам 6,7,8 , могут напрямую связываться с другими i.e вы можете пинговать их.

    У них также есть доступ к Интернету, но они не могут подключаться к устройствам, подключенным к портам 2,3,4,5.

    Конфигурация маршрутизатора TP-Link

    Мой маршрутизатор TPlink также поддерживает VLANS, поэтому я подключаю свою гостевую сеть, которая находится в подвале, к LAN1 (порт 1) и назначаю ее собственной VLAN.

    Нет возможности назначить Wan-интерфейс, поскольку он разрешен автоматически.

    Это схема моей домашней сети, использующей маршрутизатор TP-link..

    Примечания:

    • Маршрутизатор Wi-Fi находится в VLAN основной сети.
    • Маршрутизатор назначает другую подсеть второй VLAN. Основная сеть использует 192.168.1.0, а базовая VLAN использует 192.168.2.0
    • .

    Коммутаторы с поддержкой VLAN

    Обычно, если коммутатор помечен как интеллектуальный коммутатор или управляемый коммутатор , он будет иметь поддержку VLAN, но вы должны прочитать описание, чтобы быть уверенным.

    Ниже приведен снимок экрана с Amazon коммутатора TP-link (30 фунтов стерлингов), который поддерживает сети VLAN.

    Сводка

    Сети VLAN

    предоставляют отличный и недорогой метод значительного повышения безопасности вашей домашней сети, и их следует учитывать, если вы делитесь своей сетью с гостями и / или имеете устройства IOT, подключенные к вашей сети.

    Связанные руководства и ресурсы

    Пожалуйста, дайте мне знать, если вы нашли это полезным

    Как настроить виртуальную локальную сеть (VLAN)

    VLAN повсюду. Вы можете найти их в большинстве организаций с правильно настроенной сетью.Если это не было очевидно, VLAN означает «виртуальная локальная сеть», и они повсеместно распространены в любой современной сети, превышающей размер крошечной домашней или очень маленькой офисной сети.

    Существует несколько различных протоколов, многие из которых зависят от производителя, но по своей сути каждая VLAN делает примерно то же самое и дает преимущества масштабирования VLAN по мере роста вашей сети и ее организационной сложности.

    Эти преимущества во многом объясняют, почему виртуальные локальные сети так сильно зависят от профессиональных сетей любого размера.Фактически, без них было бы сложно управлять сетями или масштабировать их.

    Преимущества и масштабируемость сетей VLAN объясняют, почему они стали настолько повсеместными в современных сетевых средах. С пользователем виртуальных локальных сетей было бы сложно управлять или масштабировать даже сети средней сложности.

    Что такое VLAN?

    Хорошо, вы знаете аббревиатуру, но что такое VLAN? Базовая концепция должна быть знакома всем, кто работал с виртуальными серверами или использовал их.

    Задумайтесь на секунду, как работают виртуальные машины.Несколько виртуальных серверов размещаются в одном физическом элементе оборудования, на котором работает операционная система и гипервизор для создания и запуска виртуальных серверов на одном физическом сервере. Благодаря виртуализации вы можете эффективно превратить один физический компьютер в несколько виртуальных компьютеров, каждый из которых доступен для отдельных задач и пользователей.

    Виртуальные локальные сети работают так же, как виртуальные серверы. На одном или нескольких управляемых коммутаторах запускается программное обеспечение (аналогичное программному обеспечению гипервизора), которое позволяет коммутаторам создавать несколько виртуальных коммутаторов в одной физической сети.

    Каждый виртуальный коммутатор представляет собой собственную автономную сеть. Основное различие между виртуальными серверами и виртуальными локальными сетями заключается в том, что виртуальные локальные сети могут быть распределены по нескольким физическим компонентам оборудования с помощью специального кабеля, называемого магистралью.

    Как это работает

    Представьте, что вы управляете сетью для растущего малого бизнеса, добавляя сотрудников, разделяя их на отдельные отделы и становясь более сложной и организованной.

    Чтобы отреагировать на эти изменения, вы обновили коммутатор до 24-портового, чтобы разместить новые устройства в сети.

    Вы можете просто подключить кабель Ethernet к каждому из новых устройств и вызвать задачу как выполненную, но проблема в том, что хранилище файлов и службы, используемые каждым отделом, должны храниться отдельно. VLAN - лучший способ сделать это.

    В веб-интерфейсе коммутатора можно настроить три отдельные сети VLAN, по одной для каждого отдела. Самый простой способ их разделить - по номерам портов. Вы можете назначить порты 1-8 первому отделу, назначить порты 9-16 второму отделу и, наконец, назначить порты 17-24 g последнему отделу.Теперь вы организовали свою физическую сеть в три виртуальные сети.

    Программное обеспечение коммутатора может управлять трафиком между клиентами в каждой VLAN. Каждая VLAN действует как собственная сеть и не может напрямую взаимодействовать с другими VLAN. Теперь у каждого отдела есть своя собственная меньшая, менее загроможденная и более эффективная сеть, и вы можете управлять ими с помощью одного и того же оборудования. Это очень эффективный и экономичный способ управления сетью.

    Если вам нужно, чтобы отделы могли взаимодействовать, вы можете сделать это через маршрутизатор в сети.Маршрутизатор может регулировать и контролировать трафик между сетями VLAN и обеспечивать более строгие правила безопасности.

    Во многих случаях отделам необходимо работать вместе и взаимодействовать. Вы можете реализовать связь между виртуальными сетями через маршрутизатор, задав правила безопасности для обеспечения соответствующей безопасности и конфиденциальности отдельных виртуальных сетей.

    VLAN и подсеть

    VLAN и подсети на самом деле очень похожи и выполняют аналогичные функции. И подсети, и VLAN разделяют сети и широковещательные домены.В обоих случаях взаимодействие между подразделениями может происходить только через маршрутизатор.

    Различия между ними заключаются в их реализации и в том, как они изменяют структуру сети.

    IP-адрес Подсеть

    Подсети существуют на уровне 3 модели OSI, сетевом уровне. Подсети представляют собой структуру сетевого уровня и обрабатываются маршрутизаторами, организованными вокруг IP-адресов.

    Маршрутизаторы выделяют диапазоны IP-адресов и согласовывают соединения между ними.Это возлагает всю нагрузку на управление сетью на маршрутизатор. Подсети также могут усложняться по мере увеличения размера и сложности вашей сети.

    VLAN

    VLAN находят свое пристанище на уровне 2 модели OSI. Уровень канала передачи данных более близок к аппаратному и менее абстрактен. Виртуальные локальные сети эмулируют оборудование, действующее как отдельные коммутаторы.

    Однако виртуальные локальные сети могут разбивать широковещательные домены без необходимости подключаться обратно к маршрутизатору, что снимает с маршрутизатора часть бремени управления.

    Поскольку VLAN являются собственными виртуальными сетями, они должны вести себя как встроенные маршрутизаторы. В результате VLAN содержат по крайней мере одну подсеть и могут поддерживать несколько подсетей.

    VLAN распределяют сетевую нагрузку, а. несколько коммутаторов могут обрабатывать трафик внутри VLAN без участия маршрутизатора, что делает систему более эффективной.

    Преимущества VLAN

    К настоящему времени вы уже увидели несколько преимуществ, которые VLAN приносят.В силу того, что они делают, VLAN обладают рядом ценных атрибутов.

    VLAN помогают в обеспечении безопасности. Разделение трафика ограничивает любую возможность несанкционированного доступа к частям сети. Это также помогает остановить распространение вредоносного программного обеспечения, если оно попадет в сеть. Потенциальные злоумышленники не могут использовать такие инструменты, как Wireshark, для перехвата пакетов где-либо за пределами виртуальной локальной сети, в которой они находятся, что также ограничивает эту угрозу.

    Эффективность сети имеет большое значение.Внедрение виртуальных локальных сетей может сэкономить или обойтись компании в тысячи долларов. Разделение широковещательных доменов значительно увеличивает эффективность сети за счет ограничения количества устройств, участвующих в обмене данными одновременно. VLAN снижает потребность в развертывании маршрутизаторов для управления сетями.

    Часто сетевые инженеры предпочитают создавать виртуальные локальные сети для каждой услуги, отделяя важный или интенсивный сетевой трафик, такой как сеть хранения данных (SAN) или передача голоса по IP (VOIP). Некоторые коммутаторы также позволяют администратору устанавливать приоритеты для виртуальных локальных сетей, предоставляя больше ресурсов более требовательному и отсутствующему критическому трафику.

    Было бы ужасно создавать независимую физическую сеть для разделения трафика. Представьте запутанный клубок кабелей, с которыми вам придется бороться, чтобы внести изменения. Это не говоря уже об увеличении стоимости оборудования и энергопотребления. Кроме того, он был бы крайне негибким. VLAN решают все эти проблемы за счет виртуализации нескольких коммутаторов на одном устройстве.

    VLAN обеспечивают высокую степень гибкости для сетевых администраторов благодаря удобному программному интерфейсу.Скажем, два отдела меняют офисы. Должен ли ИТ-персонал перемещаться между оборудованием, чтобы приспособиться к изменениям? Нет. Они могут просто переназначить порты на коммутаторах правильным сетям VLAN. Для некоторых конфигураций VLAN этого даже не требуется. Они динамически приспосабливались. Этим сетям VLAN не требуются назначенные порты. Вместо этого они основаны на MAC- или IP-адресах. В любом случае перетасовка переключателей или кабелей не требуется. Гораздо эффективнее и экономичнее реализовать программное решение для изменения местоположения сети, чем перемещать физическое оборудование.

    Статические и динамические сети VLAN

    Существует два основных типа VLAN, которые подразделяются на категории по способу подключения к ним компьютеров. У каждого типа есть сильные и слабые стороны, которые следует учитывать в зависимости от конкретной сетевой ситуации.

    Статическая VLAN

    Статические VLAN часто называют сетями VLAN на основе портов, поскольку устройства подключаются путем подключения к назначенному порту. В этом руководстве в качестве примеров пока использовались только статические VLAN.

    При настройке сети со статическими VLAN инженер разделит коммутатор по его портам и назначит каждый порт для VLAN.Любое устройство, которое подключается к этому физическому порту, присоединится к этой VLAN.

    Статические VLAN обеспечивают очень простую и удобную настройку сетей без особой зависимости от программного обеспечения. Однако сложно ограничить доступ в пределах физического местоположения, потому что человек может просто подключиться. Статические VLAN также требуют, чтобы администратор сети изменил назначение портов на случай, если кто-то в сети изменит физическое местоположение.

    Dynamic VLAN

    Динамические VLAN во многом зависят от программного обеспечения и обеспечивают высокую степень гибкости.Администратор может назначать MAC- и IP-адреса для определенных VLAN, что позволяет беспрепятственно перемещаться в физическом пространстве. Машины в динамической виртуальной локальной сети могут перемещаться в любом месте сети и оставаться в одной и той же виртуальной локальной сети.

    Хотя динамические VLAN не имеют себе равных с точки зрения адаптируемости, у них есть ряд серьезных недостатков. Коммутатор высокого класса должен взять на себя роль сервера, известного как сервер политики управления VLAN (VMPS (для хранения и доставки адресной информации другим коммутаторам в сети.VMPS, как и любой другой сервер, требует регулярного управления и обслуживания и подвержен возможному простою.

    Злоумышленники могут подделать MAC-адреса и получить доступ к динамическим VLAN, добавив еще одну потенциальную проблему безопасности.

    Настройка VLAN

    Что вам нужно

    Есть несколько основных элементов, которые вам понадобятся для настройки VLAN или нескольких VLAN. Как указывалось ранее, существует ряд различных стандартов, но наиболее универсальным из них является IEEE 802.1Q. Это то, чему будет следовать этот пример.

    Маршрутизатор

    Технически вам не нужен маршрутизатор для настройки VLAN, но если вы хотите, чтобы несколько VLAN взаимодействовали друг с другом, вам понадобится маршрутизатор.

    Многие современные маршрутизаторы в той или иной форме поддерживают функции VLAN. Домашние маршрутизаторы могут не поддерживать VLAN или поддерживать ее только с ограниченными возможностями. Кастомная прошивка, такая как DD-WRT, поддерживает ее более тщательно.

    Говоря о кастомизации, вам не нужен стандартный маршрутизатор для работы с вашими виртуальными локальными сетями. Специальная прошивка маршрутизатора обычно основана на Unix-подобной ОС, такой как Linux или FreeBSD, поэтому вы можете создать свой собственный маршрутизатор, используя любую из этих операционных систем с открытым исходным кодом.

    Все необходимые вам функции маршрутизации доступны для Linux, и вы можете настроить установку Linux в соответствии с вашими потребностями. Для чего-то более полного, загляните в pfSense. pfSense - отличный дистрибутив FreeBSD, созданный как надежное решение для маршрутизации с открытым исходным кодом. Он поддерживает сети VLAN и включает брандмауэр для лучшей защиты трафика между вашими виртуальными сетями.

    Какой бы маршрут вы ни выбрали, убедитесь, что он поддерживает необходимые вам функции VLAN.

    Управляемый коммутатор

    Коммутаторы лежат в основе сетей VLAN. Там происходит волшебство. Однако вам нужен управляемый коммутатор, чтобы воспользоваться функциональностью VLAN.

    Чтобы поднять уровень выше, буквально доступны управляемые коммутаторы уровня 3. Эти коммутаторы могут обрабатывать некоторый сетевой трафик уровня 3 и в некоторых ситуациях могут заменять маршрутизатор.

    Важно помнить, что эти коммутаторы не являются маршрутизаторами, и их функциональность ограничена.Коммутаторы уровня 3 действительно снижают вероятность задержки в сети, что может быть критичным в некоторых средах, где критически важно иметь сеть с очень низкой задержкой.

    Карты сетевого интерфейса клиента (NIC)

    Сетевые адаптеры, которые вы используете на своих клиентских машинах, должны поддерживать 802.1Q. Скорее всего, есть, но есть на что обратить внимание, прежде чем двигаться дальше.

    Базовая конфигурация

    Вот самая сложная часть. Существуют тысячи различных возможностей настройки вашей сети.Ни одно руководство не может охватить их все. По сути, идеи, лежащие в основе практически любой конфигурации, одинаковы, как и общий процесс.

    Настройка маршрутизатора

    Вы можете начать работу несколькими способами. Вы можете подключить маршрутизатор к каждому коммутатору или к каждой VLAN. Если вы выберете только каждый коммутатор, вам нужно будет настроить маршрутизатор, чтобы дифференцировать трафик.

    Затем вы можете настроить маршрутизатор для обработки проходящего трафика между VLAN.

    Настройка коммутаторов

    Предполагая, что это статические VLAN, вы можете войти в утилиту управления VLAN вашего коммутатора через его веб-интерфейс и начать назначать порты различным VLAN.Многие коммутаторы используют макет таблицы, который позволяет отмечать параметры для портов.

    Если вы используете несколько коммутаторов, назначьте один из портов для всех ваших VLAN и установите его как магистральный порт. Сделайте это на каждом переключателе. Затем используйте эти порты для подключения между коммутаторами и распределения ваших VLAN на несколько устройств.

    Подключение клиентов

    Наконец, подключение клиентов к сети не требует пояснений. Подключите клиентские машины к портам, соответствующим тем виртуальным локальным сетям, в которых они должны быть.

    VLAN дома

    Несмотря на то, что это может не рассматриваться как логическая комбинация, на самом деле VLAN находят отличное применение в домашней сети, в гостевых сетях. Если вы не хотите настраивать сеть WPA2 Enterprise у себя дома и индивидуально создавать учетные данные для входа в систему для своих друзей и семьи, вы можете использовать виртуальные локальные сети, чтобы ограничить доступ ваших гостей к файлам и службам в вашей домашней сети.

    Многие домашние маршрутизаторы более высокого уровня и специализированное микропрограммное обеспечение маршрутизаторов поддерживают создание базовых VLAN.Вы можете настроить гостевую VLAN с собственной информацией для входа, чтобы ваши друзья могли подключать свои мобильные устройства. Если ваш маршрутизатор поддерживает это, гостевая VLAN является отличным дополнительным уровнем безопасности, чтобы не дать зараженному вирусами ноутбуку вашего друга испортить вашу чистую сеть.

    Настроить VLAN через физические порты

    Вы можете создать VLAN для поддержки отдельных широковещательных доменов в одном и том же сетевом домене с помощью команды network port vlan create .

    Прежде чем начать

    Ваш сетевой администратор должен подтвердить выполнение следующих требований:

    • Коммутаторы, развернутые в сети, должны соответствовать IEEE 802.1Q или иметь реализацию виртуальных локальных сетей, зависящую от поставщика.

    • Для поддержки нескольких VLAN конечная станция должна быть статически настроена для принадлежности к одной или нескольким VLAN.

    • VLAN не подключена к порту, на котором размещен кластерный LIF.

    • VLAN не подключена к портам, назначенным IP-пространству кластера.

    • VLAN не создается на порте группы интерфейсов, который не содержит портов-членов.

    Об этой задаче

    В определенных обстоятельствах, если вы хотите создать порт VLAN на порте с ухудшенными характеристиками без исправления аппаратной проблемы или какой-либо неправильной конфигурации программного обеспечения, вы можете установить параметр -ignore- health-status команды network port modify как истинный.

    Создание VLAN подключает VLAN к сетевому порту на указанном узле в кластере.

    При настройке VLAN через порт в первый раз порт может выйти из строя, что приведет к временному отключению сети. Последующие добавления VLAN к тому же порту не влияют на состояние порта.

    Не следует создавать VLAN на сетевом интерфейсе с тем же идентификатором, что и собственная VLAN коммутатора. Например, если сетевой интерфейс e0b находится в собственной VLAN 10, вам не следует создавать VLAN e0b-10 на этом интерфейсе.

    Шаг

    1. Используйте команду network port vlan create для создания VLAN.

    2. При создании VLAN необходимо указать либо vlan-name , либо порт и vlan-id .
      Имя VLAN представляет собой комбинацию имени порта (или группы интерфейсов) и идентификатора VLAN сетевого коммутатора с дефисом между ними. Например, e0c-24 и e1c-80 - допустимые имена VLAN.

    В следующем примере показано, как создать VLAN e1c-80 , подключенную к сетевому порту e1c на узле cluster-1-01 :

     сетевой порт vlan создать -node cluster-1-01 -vlan-name e1c-80 

    Начиная с ONTAP 9.8, виртуальные локальные сети автоматически помещаются в соответствующие широковещательные домены примерно через одну минуту после их создания. Если вы не хотите, чтобы ONTAP делал это, и предпочитаете вручную размещать VLAN в широковещательном домене, укажите параметр -skip-broadcast-domain-deployment как часть команды vlan create .

    Настройка подсетей VLAN для домашней сети

    В этом посте описывается, как настроить подсетей VLAN для вашей домашней сети.

    Это часть 2 из 3 шагов руководства по защите домашней сети с помощью подсетей, основанных на использовании брандмауэра pfSense .

    Так будет выглядеть домашняя сеть после завершения части 1 по созданию 2 физических подсетей . Теперь мы будем использовать технологию VLAN , чтобы добавить еще логических подсетей в домашнюю сеть.

    Виртуальная локальная сеть (VLAN)

    VLAN - это логическая группа устройств, образующая подсеть. Каждая VLAN имеет связанный VLAN ID (тег 802.1Q). Тегированный сетевой трафик содержит информацию об идентификаторе VLAN и принимается только устройствами с таким же идентификатором VLAN.

    Основными преимуществами виртуальных локальных сетей являются повышение производительности, безопасность и простота управления с помощью конфигурации программного обеспечения. Наша цель использования VLAN - это гибкость создания нескольких подсетей для дальнейшего улучшения защиты домашней сети.

    Это упражнение создаст 4 сети VLAN для дальнейшего разделения проводных и беспроводных устройств.

    Требования к VLAN

    Настройка VLAN с использованием Netgear GS108Ev3

    Коммутатор имеет 8 портов, и это руководство настроит 4 VLAN, используя первые 6 портов, порт 7 для управления. порт 8 будет магистральным портом, подключающимся к pfSense.

    Мы используем теги 802.1Q VLAN для определения 4 VLAN + собственная VLAN управления. Каждой VLAN будет назначен идентификатор VLAN: 10, 20, 30, 40, 99 (для собственной VLAN), и коммутатор будет настраиваться с использованием следующих параметров:

    • Порт 1 и 2 для одной и той же VLAN с VLAN ID = 10
    • Порт 3 и 4 для одной и той же VLAN с VLAN ID = 20
    • Порт 5 для VLAN с VLAN ID = 30
    • Порт 6 для VLAN с идентификатором VLAN = 40
    • Порт 7 предназначен для собственной VLAN управления с идентификатором VLAN = 99
    • Порт 8 является магистральным портом

    Примечание: в этом руководстве для выполнения настройки будет использоваться браузер, работающий в Microsoft Windows 10.

    Это руководство может показаться длинным и сложным. Но на самом деле большинство из них - это настройки конфигурации.

    Подключение к коммутатору

    Для подключения и настройки коммутатора требуется компьютер (настольный или портативный) с правами администратора. Предполагается, что коммутатор новый или был сброшен до заводских настроек по умолчанию.

    IP-адрес по умолчанию коммутатора: 192.168.0.239 /255.255.255.0. Нам нужно назначить статический IP-адрес (давайте использовать 192.168.0.99 /255.255.255.0) к компьютеру, чтобы он мог обмениваться данными с коммутатором:

    Установить статический IP-адрес
    1. В Windows 10 перейдите в Параметры Windows> Сеть и Интернет> Изменить параметры адаптера
    2. щелкните правой кнопкой мыши адаптер Ethernet , затем Свойства
    3. выберите Интернет-протокол версии 4 (TCP / IPv4) и нажмите Properties
    4. Задайте статический IP-адрес, как показано ниже, и нажмите OK

    При желании вы можете использовать команду ipconfig в командной строке, чтобы убедиться, что сетевому адаптеру назначен IP-адрес 192.168.0.99 правильно. Мы можем вернуться к Получить IP-адрес автоматически после завершения настройки коммутатора.

    Теперь подключите компьютер к порту 7 коммутатора с помощью кабеля Ethernet. Затем запустите браузер и введите http://192.168.0.239 в качестве URL-адреса. Вас должен приветствовать экран входа в систему с запросом пароля для управления коммутатором.

    Введите пароль по умолчанию , показанный внизу переключателя, и вы попадете на главную страницу.

    На главной странице запишите и запишите MAC-адрес коммутатора. Мы хотели бы назначить коммутатору статический IPv4-адрес при подключении к брандмауэру pfSense позже.

    Включить расширенную конфигурацию VLAN 802.1Q

    У этого коммутатора есть несколько способов настройки VLAN. Мы будем использовать 802.1Q Advanced VLAN Configuration.

    Перейдите к VLAN> 802.1Q> Дополнительно> Конфигурация VLAN :

    Выберите Включить и затем щелкните ОК для подтверждения

    Определить идентификаторы VLAN

    • Введите ID ’10’ в поле VLAN ID
    • Нажмите Добавить

    Сделайте то же самое для VLAN ID ’20’, ’30’, ’40’ и ’99’.

    Назначьте идентификатор VLAN для каждого порта

    • щелкните Членство в VLAN
    • выберите VLAN ID ’10’
    • Щелкните по порт 1 и порт 2 один раз, чтобы отобразить « U » (без тегов).
    • Дважды щелкните порт 8 , чтобы отобразить « T » (с тегом).
    • Нажмите Применить

    Повторить идентификатор VLAN ' 20 ' для порта 3 и порта 4 , идентификатор VLAN ' 30 ' для порта 5 , идентификатор VLAN ' 40 ' для порт 6 .Примечание: все идентификаторы VLAN должны быть помечены на порт 8 .

    Для идентификатора VLAN « 99 » щелкните по порт 7 и порт 8 один раз, чтобы сделать их « U » (без тегов). Это собственная VLAN , поэтому не нужно добавлять теги на магистральный порт 8 .

    После завершения назначений нажмите VLAN Configuration , и должен появиться экран, как показано ниже.

    Установите соответствующий PVID для каждого порта

    PVID обозначает идентификатор VLAN порта.

    • Нажмите Port PVID
    • Включить порт 1 флажок
    • Введите 10 до PVID текстовое поле
    • Нажмите Применить

    Повторите то же самое для:

    • порт 2 с использованием 10
    • порт 3 и порт 4 с использованием 20
    • порт 5 с использованием 30
    • порт 6 с использованием 40
    • порт 7 и порт 8 с использованием 99

    Экран теперь должно выглядеть так.

    Очистить назначения VLAN 1

    По соображениям безопасности не будет использоваться VLAN 1 по умолчанию. Таким образом, мы бы очистили его назначения.

    • щелкните Членство в VLAN
    • выберите идентификатор VLAN ‘ 1
    • щелкните каждый порт , чтобы очистить все назначения
    • щелкните Применить
    Конфигурация VLAN

    То есть. Настройка части переключателя закончена. Не забудьте сменить пароль на надежный.IPv4-адрес компьютера может измениться на Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически .

    Настройка интерфейсов VLAN на брандмауэре pfSense

    За исключением управляющей VLAN 99, соответствующий интерфейс VLAN будет создан для каждого идентификатора VLAN 10, 20, 30 и 40. Используйте компьютер для подключения к веб-конфигуратору pfSense.

    Подготовка: Настройка псевдонима частного IP-адреса

    Этот псевдоним уже настроен, если вы выполнили Часть 1: Создание начальных подсетей с помощью брандмауэра pfSense.

    Он будет использоваться для настройки правил брандмауэра для доступа в Интернет.

    1. перейдите к брандмауэру > Псевдонимы> IP
    2. щелкните Добавить
    3. введите Private_IPv4s как Имя
    4. выберите сеть (и) как Тип
    5. добавьте следующие 3 сети:
      • введите 192.168.0.0 / 16
      • щелкните Добавить сеть и введите 10.0.0.0 / 8
      • щелкните Добавить сеть и введите 172.16.0.0 / 12
    6. щелкните Сохранить , затем Применить изменения

    Шаг 1. Создание интерфейса VLAN

    • перейдите к Интерфейсы> Назначения> VLAN
    • нажмите Добавить
    • выберите OPT1 для родительского интерфейса
    • введите 10 для тега VLAN
    • нажмите Сохранить

    Это приведет к создать интерфейс VLAN для VLAN ID 10.

    Повторите для VLAN 20, 30 и 40.

    Шаг 2: Настройте новый сетевой интерфейс для использования интерфейса VLAN

    • перейдите к Интерфейсы> Назначения
    • выберите « VLAN 10 на igb2 - opt1 » (точное имя сетевого интерфейса «igb2» может отличаться)
    • нажмите Добавить
    • нажмите на созданный новый интерфейс. Вероятно, назван « OPT2 ». Появится экран конфигурации интерфейса.
    • проверьте Включить интерфейс флажок
    • введите « VLAN 10 » для Описание или желаемое имя для подсети
    • выберите Статический IPv4 для Тип конфигурации IPv4
    • прокрутите вниз до Конфигурация статического IPv4 раздел
    • введите 192.168.10.1 / 24 для IPv4-адреса . 192.168.10.x будет частным адресным пространством, используемым для подсети. 192.168.10.1 будет шлюзом для подсети.
    • щелкните Сохранить внизу и затем щелкните Применить изменения

    Повторите этот шаг для:

    • VLAN 20 с IPv4-адресом 192.168.20.1 / 24
    • VLAN 30 с IPv4-адресом 192.168.30.1 /24
    • VLAN 40 с IPv4-адресом 192.168.40.1 /24

    Шаг 3. Включите DHCP-сервер для автоматического назначения IP-адреса

    1. перейдите к Services> DHCP Server , затем нажмите « VLAN10 »
    2. установите флажок Enable DHCP server on VLAN10 interface checkbox
    3. в том же разделе, перейдите к Range . Укажите диапазон IP-адресов, которые можно использовать для назначения (например, от 192.168.10.201 до 192.168.10.254)
    4. щелкните Сохранить в конце страницы.

    Повторите этот шаг для:

    • VLAN 20 с IPv4-адресом 192.168.20.201
    • to 192.168.20.254
    • VLAN 30 с IPv4-адресом 192.168.30.201 to 192.168.30.254
    • VLAN 40 с IPv4 адрес 192.168.40.201 от до 192.168.40.254

    Шаг 4: Настройте правила брандмауэра, чтобы разрешить только доступ в Интернет

    Новая созданная подсеть по умолчанию не имеет доступа ни к чему.Поэтому нам нужно настроить правила, чтобы определить, что разрешено для подсети. Создаваемые нами правила предоставят доступ для связи с другими устройствами в той же подсети и доступ в Интернет.

    • перейдите в Межсетевой экран> Правила> VLAN10
    • щелкните Добавьте , чтобы создать первое правило (разрешить доступ другим устройствам в той же подсети)
    • для семейства адресов , выберите IPv4 + IPv6
    • для Протокол , выберите Любой
    • для обоих Source и Destination , выберите VLAN10 net
    • для Описание , введите «разрешить доступ в подсети»
    • нажмите Сохранить
    • нажмите Добавьте еще раз, чтобы создать второе правило (разрешить доступ в Интернет)
    • для семейства адресов , выберите IPv4 + IPv6
    • для Protocol , выберите Any
    • для Source , выберите VLAN10 net
    • для Назначение , установите флажок Инвертировать соответствие ; выберите Один хост или псевдоним , затем введите Private_IPv4s в качестве адреса назначения
    • для Описание , введите «разрешить доступ в Интернет»
    • нажмите Сохранить , затем Применить изменения

    Повторить этот шаг для VLAN20, VLAN30 и VLAN40.В зависимости от ваших потребностей вы можете настроить правила здесь, чтобы соответственно ограничить доступ или предоставить больше доступа для подсети.

    Соедините их вместе

    Мы почти у цели. Прежде чем соединить их вместе. Давайте сначала назначим статический IPv4-адрес коммутатору на DHCP-сервере pfSense.

    • перейдите к Services> DHCP Server> OPT1
    • прокрутите вниз до DHCP Static Mappings для этого интерфейса
    • нажмите Добавить
    • введите MAC-адрес коммутатора для MAC-адреса
    • введите ' GS108Ev3 'для идентификатора клиента и Имя хоста
    • введите 192.168.99.108 для IP-адреса . (или другой IP-адрес по своему вкусу, если он не входит в диапазон для автоматического назначения IP)
    • щелкните Сохранить затем Применить изменения

    Хорошо! Пришло время собрать их вместе.

    • подключите порт 8 коммутатора к порту OPT1 pfSense.
    • Перезагрузите коммутатор, чтобы он получил новый назначенный статический IPv4-адрес.

    Вот и все. Подключив компьютер к порту 7 коммутатора, вы можете управлять коммутатором с помощью браузера по адресу 192.168.99.108 . И вы можете управлять pfSense по адресу 192.168.99.1 .

    Подключение любого устройства к порту 1 или порту 2 коммутатора подключится к VLAN 10 и автоматически назначит IPv4-адрес в диапазоне 192.168.10.x.

    Аналогично

    • порт 3 и 4 будет VLAN 20 с диапазоном IPv4 192.168.20.x
    • порт 5 для VLAN 30 с диапазоном IPv4 192.168.30.x
    • порт 6 для VLAN 40 с диапазоном IPv4 192.168.40.x

    По проверьте, подключите компьютер к порту и запустите команду ipconfig в командной строке, и вы должны увидеть правильные изменения IPv4 в указанном диапазоне. В противном случае это означает, что некоторые настройки, вероятно, настроены неправильно. Исправьте настройки и проверьте еще раз.

    После проверки вы можете подключить свои устройства к соответствующим портам для правильного назначения подсети VLAN.

    Примечание: если вам нужно на дополнительных подключений к портам Ethernet (больше устройств) для конкретной VLAN, вы можете вместо этого подключить простой коммутатор к порту VLAN, а ваши устройства - к простому коммутатору.

    Далее > Часть 3: Настройка подсетей Wi-Fi с использованием VLAN

    .

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *