Как настроить VLAN на двух и более выделенных серверах
VLAN — это функция сетевого оборудования, которая помогает объединять компьютеры (серверы), подключенные к разным коммутаторам доступа, в единую локальную вычислительную сеть. Причем, изолированную от других сетей. Похоже на создание закрытого чата для друзей, живущих в разных подъездах. Как один секретный чат не виден другому, так и компьютеры, подключенные к одной виртуальной сети будут невидимы для компьютеров другой.
Таким образом, при подключении VLAN повышается уровень безопасности при передаче данных, а перехват трафика другими пользователями становится невозможным. И это ещё не все плюсы. Так на интерфейсах, принадлежащих VLAN, вы можете использовать любые IP-адреса, не боясь конфликтов с другими клиентами. Кроме того, VLAN позволяет объединять серверы из разных помещений дата-центра в группы по нужным вам критериям — и для каждой виртуальной сети могут действовать свои требования и правила.
Посмотреть, что за услуга VLAN и сколько стоит.
Вы приобрели услугу, что дальше
Чтобы объединить выделенные серверы на Linux или на Windows в локальную виртуальную сеть, первое, что вы должны сделать, — это составить запрос в службу технической поддержки на подключение выделенных серверов вторыми сетевыми адаптерами в коммутатор.
Второй шаг — настроить сетевую адресацию. В качестве настроек для сетевого адаптера можно использовать любые IP-адреса из диапазона серых подсетей. «Серыми», частными или внутрисетевыми называют IP-адреса, которые не используется в сети Интернет.
Например, следующие:
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16.
После того, как вы определились с IP-адресами, можно приступать к настройке.
Настраиваем VLAN на серверах Linux
Настраиваем VLAN на серверах Windows
Настраиваем VLAN на серверах Linux
1. Подключитесь к вашим серверам
Используя протокол доступа SSH, подключитесь к вашим выделенным серверам. Стандартные данные, необходимые для удалённого подключения, указаны в Инструкции к услуге. В Личном кабинете перейдите в менюТовары
— Выделенные серверы
и нажмите кнопку Инструкция
для нужного сервера. В разделе «Доступы к серверу для администратора» представлены нужные вам данные.
2. Уточните название второго сетевого интерфейса
Выполните следующую команду и посмотрите, как называется второй сетевой интерфейс на выделенных серверах:
ip link show
В примере статьи второй сетевой интерфейс на выделенном сервере называется — enp2s0f1. Возможно, что на вашем выделенном сервере второй сетевой интерфейс будет называться по другому, например, eth2.
3. Настройте второй сетевой интерфейс
Выполнить конфигурирование второго сетевого интерфейса на выделенном сервере с Linux можно двумя способами: через команду ip или через редактирование конфигурационного файла сетевой службы. Первый способ подходит тем, кому настройки нужны на одну сессию. Если же необходимо, чтобы настройки сети сохранялись при каждой перезагрузке, то второй сетевой интерфейс необходимо сконфигурировать через файл.
- 1 способ — через команду ip
Выполните следующую команду на первом выделенном сервере:
ip address add 192.168.0.1/24 dev enp2s0f1 ip link set enp2s0f1 up
В примере данной статьи выбрана серая подсеть 192.168.0.0/24. Настройка второго сетевого интерфейса enp2s0f1 проводится на первый IP-адрес из этой подсети — 192.168.0.1. Все сетевые адреса виртуальной локальной сети для выделенных серверов могут быть любыми. Главное, чтобы они были уникальными в рамках одной подсети.
Выполните аналогичные действия на втором выделенном сервере:
ip address add 192.168.0.2/24 dev enp2s0f1 ip link set enp2s0f1 up
На втором выделенном сервере второй сетевой интерфейс носит схожее название — enp2s0f1. Его настройка будет уже осуществляться на следующий, второй IP-адрес в выбранной подсети, то есть на 192.168.0.2.
Для CentOS
В CentOS и подобных ей дистрибутивах (например, Fedora) конфигурация сети находится в файле:
/etc/sysconfig/network-scripts/ifcfg-<имя интерфейса>
Откройте конфигурационный файл с помощью вашего любимого редактора, например, vim или nano. Затем выполните настройку второго сетевого интерфейса на первом выделенном сервере, как это показано на видео ниже:
vim /etc/sysconfig/network-scripts/ifcfg-enp2s0f1
И аналогичным образом на втором выделенном сервере.
Для того чтобы выполненная конфигурация сети применилась, перезагрузите сетевую службу network на обоих выделенных серверах:
systemctl restart network
Для Debian
В Debian и ему подобных дистрибутивах (например, Ubuntu), конфигурация сети находится в файле:
/etc/network/interface
Как и в случае с CentOS, откройте конфигурационный файл с помощью редактора, например, vim или nano. И выполните настройку второго сетевого интерфейса на первом выделенном сервере, как это показано на видео ниже:
vim /etc/network/interface
Выполните аналогичные шаги на втором выделенном сервере.
Для того чтобы выполненные настройки применились, перезагрузите выделенные серверы. Сделать это можно следующей командой:
systemctl reboot
Если вы работаете с сервером через консоль KVM или IPMI, то можно просто перезагрузить службу сети, как это было показано в примере с CentOS. Работая с Debian через SSH, не пытайтесь выполнить перезагрузку службы network — потеряете связь с серверами.
5. Добавьте метку VLAN к фреймам трафика
Следующий важный шаг — тегирование фреймов. Так называется процесс добавления меток VLAN в пакеты данных трафика. Но вы можете смело его пропустить. Почему так? Если коротко, то настройка тегирования фреймов производится нашими специалистами сразу после запроса на подключение услуги VLAN.
6. Проверьте связность между серверами
Для этого выполните команду ping:
Если ping между серверами проходит, связанность есть, значит, виртуальная локальная сеть настроена.
Таким же образом можно настроить VLAN и для большего количества выделенных серверов.
Настраиваем VLAN на серверах Windows
1. Подключитесь к вашим серверам
Используя протокол удалённого доступа RDP, подключитесь к выделенному серверу. Стандартные данные, необходимые для удалённого подключения, указаны в Инструкции к услуге. В Личном кабинете перейдите в меню
— Выделенные серверы
и нажмите кнопку Инструкция
для нужного сервера. В разделе «Доступы к серверу для администратора» представлены нужные вам данные.
2. Сконфигурируйте второй сетевой интерфейс
Сконфигурировать второй сетевой интерфейс на Windows можно двумя способами: через панель управления или через командную строку. Вы можете выбрать любой из способов настройки, который считаете удобным для себя.
Откройте панель управления сетями Windows, выполнив следующие шаги:
Пуск
(щелкните правой кнопкой мыши) — Выполнить
(Run) — ncpa.cpl
В панели управления сетями Windows найдите второй сетевой интерфейс и сконфигурируйте, как это показано на видео ниже.
В примере данной статьи выбрана серая подсеть 192.168.0.0/24. Настройка второго сетевого интерфейса Ethernet 2 проводится на первый IP-адрес из этой подсети — 192.168.0.1. Все сетевые адреса виртуальной локальной сети для выделенных серверов могут быть любыми. Главное, чтобы они были уникальными в рамках одной подсети.
Выполните аналогичные действия, но уже на втором выделенном сервере.
На втором выделенном сервере второй сетевой интерфейс носит схожее название — Ethernet 2. Его настройка будет осуществляться на следующий, второй IP-адрес в выбранной подсети, то есть на 192.168.0.2.
Запустите командную строку:
Пуск
(щелкните правой кнопкой мыши) — Выполнить
(Run) — cmd
Выполнив следующую команду, посмотрите название второго сетевого интерфейса:
netsh interface ip show config | findstr "interface"
Настройте его на первом сервере:
netsh interface ipv4 add address "Ethernet 2" 192.168.0.1 255.255.255.0
Проверьте, что всё в порядке и настройки к интерфейсу применились:
netsh interface ip show addresses "Ethernet 2"
Выполните аналогичные шаги для второго выделенного сервера.
Помните, что сетевой адрес для второго сервера для netsh нужно будет указать другой:
netsh interface ipv4 add address "Ethernet 2" 192.168.0.2 255.255.255.0
3. Добавьте метку VLAN к фреймам трафика
Следующий важный шаг — тегирование фреймов. Так называется процесс добавления меток VLAN в пакеты данных трафика. Но, как мы писали выше, можете его пропустить — настройка тегирования фреймов производится нашими специалистами сразу после запроса на подключение услуги VLAN.
4. Проверьте связность между узлами
Для этого используйте команду ping:
Пуск
(щелкните правой кнопкой мыши) — Выполнить
— cmd
Если ping между серверами проходит, связанность есть, значит, виртуальная локальная сеть настроена. Таким же образом можно настроить VLAN и для большего количества выделенных серверов.
Автор: Александр Замащиков, системный администратор FirstDEDIC
Как настроить VLAN управления не по умолчанию для устройств Nebula? – Zyxel Support Campus EMEA
Оглавление:
- Что такое VLAN управления?
- Механизм отступления
- Настройка интерфейса VLAN на NSG
- Настройка VLAN управления NSW
- Настройка VLAN управления NAP:
- Проверка (NSW & NAP)
Что такое VLAN управления?
Управление VLAN — это обычная практика, используемая сетевыми администраторами, которая запрещает конечным пользователям доступ к ключевым сетевым устройствам в их сетевой инфраструктуре. Это добавляет дополнительный уровень защиты внутри вашей административной новинки. Это делается путем настройки каждого сетевого устройства с уникальным идентификатором VLAN, при этом убедитесь, что конечные пользователи входят в сеть из другой VLAN. Однако в случае устройств Nebula неправильная конфигурация может отключить ваши удаленные устройства из Интернета. Если ваши Nebula устройства сохраняют конфигурацию, которая запрещает ему достигать Nebula CC, то единственным способом восстановить управление устройством может быть восстановление заводских настроек. Это руководство подробно описывает инструкции по правильной установке уникального идентификатора VLAN управления (не VLAN 1) для ваши устройства Nebula на новом сайте, избегая условий, которые могут привести к тому, что ваши устройства потеряют доступ к Nebula CC.
Механизм отступления
Nebula Switch и Точки доступа имеют механизм, который предотвращает утрату доступа этих устройств к Интернету из-за изменений в управлении, внесенных в Nebula CC. При попытке изменить IP-адрес или управляющую VLAN устройства Nebula, что приводит к потере доступа к Интернету, устройства Nebula вернутся к своим старым конфигурациям. На это часто указывает «Конфигурация неправильного назначения IP» на странице устройства.
Ключом к успешной настройке нового управляющего IP-адреса или VLAN является обеспечение доступа к Интернету как старых, так и новых настроек. Только после того, как Nebula CC проверит, что изменения, внесенные на устройстве, не вызывают потерю доступа к Интернету, вы можете начать откат, удаление VLAN или IP-интерфейсов на ваших Switches и Gateways.
Настройка интерфейса VLAN на NSG:
1. Добавьте и сохраните интерфейс VLAN100
NCC> Gateway> Настройка> Адресация интерфейсов> Интерфейс [+ Добавить]
Это создаст тегированную VLAN, установленную на выбранный VID в соответствующей группе Port.
Обратите внимание, что на NSG в LAN1 + LAN2 Ports всегда остаются непомеченными членами в VLAN1 с PVID, установленным в 1 — это неизменяемые настройки.
Настройка VLAN управления NSW:
1. Сконфигурировать и сохранить Switch Ports Разрешенная VLAN
NCC> Switch> Настроить> Switch Ports> Редактировать Ports 1 и 28.
* VLAN 10: Частная сеть, VLAN 20: Гостевая сеть, VLAN 100: Сеть управления.
2. Настройте и сохраните IP-адрес локальной сети NSW
NCC> Switch> Монитор> Switch> Выберите NSW> Изменить IP-адрес локальной сети.
3. Подтвердите IP-адрес локальной сети NSW ( Nebula CC может занять несколько минут для отображения обновленного IP-адреса локальной сети)
NCC> Switch> Монитор> Switch.
Настройка VLAN управления NAP:
1. Настройте и сохраните управление локальной сетью IP
NCC> AP> Монитор> Точка доступа> Выберите NAP> Изменить IP-адрес локальной сети.
Удаление VLAN 1 по умолчанию (необязательно):
1. Сконфигурировать и сохранить Switch Ports Разрешенная VLAN
NCC> Switch> Настроить> Switch Ports> Редактировать Ports 1 и 28.
1. Проверьте IP-адрес NSW LAN
NCC> Switch> Монитор> Switch> Выбрать NSW
2. Проверьте IP-адрес локальной сети NAP
NCC> AP> Монитор> Точка доступа> Выбрать NAP
Также интересно:
Хотите посмотреть прямо на одном из наших тестовых устройств? Посмотрите здесь, в нашей виртуальной лаборатории:
Виртуальная лаборатория — VPN Nebula для не Nebula устройства
KB-00269
Оригинальная версияКак настроить VLAN VPN на управляемых коммутаторах 2‑го уровня с новым интерфейсом?
VLAN VPN (Virtual Private Network), также известный как QinQ — это простая и гибкая технология туннелирования уровня L2. VLAN VPN позволяет перенаправить пакеты, отправленные из частной сети, через сеть интернет-провайдера, используя двойные теги VLAN.
При включённом VLAN VPN, когда происходит перенаправление пакетов из частного VLAN к VLAN интернет-провайдера, коммутатор добавляет к пакетам внешний тег VLAN (тег VLAN интернет-провайдера). Таким образом, пакеты могут передаваться через сеть провайдера с двойными тегами VLAN. Внутри сети провайдера пакеты перенаправляются в соответствии с внешним тегом VLAN, в то время как внутренний тег VLAN считается частью полезной нагрузки. Когда пакеты достигают частной сети, коммутатор снимает внешний тег VLAN с пакетов и перенаправляет их во VLAN в соответствии с внутренним тегом VLAN.
Ниже приведён пример конфигурации VLAN VPN.
У компании есть две станции, и компьютеры относятся к VLAN 100 и VLAN 200 соответственно. VLAN интернет-провайдера: VLAN 1050 и VLAN 1060, TPID сети провайдера — 0x9100.
Две станции должны общаться между собой через сеть провайдера. Также требуется, чтобы трафик сети VLAN 100 передавался через VLAN 1050, в то время как трафик сети VLAN 200 передавался через VLAN 1060.
Настройки на коммутаторе 1:
- Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config, чтобы создать VLAN 100 и VLAN 200 для частной сети. Назначьте тегированный порт (Tagged Port) 1/0/2 на VLAN 100 и VLAN 200.
- Создайте VLAN 1050 и VLAN 1060 для сети провайдера. А также Tagged Port 1/0/1 и Untagged Port 1/0/2 для VLAN 1050 и VLAN 1060.
- Зайдите на страницу L2 FEATURES — VLAN — VLAN VPN — VPN Config, поставьте галочку Enable напротив VLAN VPN в разделе Global Config, назначьте порт 1/0/1 в качестве порта NNI, а порт 1/0/2 — в качестве порта UNI. Определите TPID порта 1/0/1 как 9100.
- Зайдите на страницу L2 FEATURES — VLAN — VLAN VPN — VLAN Mapping, поставьте галочку Enable напротив VLAN Mapping в разделе Global Config. Затем настройте VLAN Mapping для порта UNI 1/0/2.
Настройки на коммутаторе 3:
- Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config, чтобы создать VLAN 100 и VLAN 200 для частной сети. Добавьте Untagged Port 1/0/1 и Tagged Port 1/0/3 к VLAN 100; добавьте Untagged Port 1/0/2 и Tagged Port 1/0/3 к VLAN 200.
- Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — Port Config, чтобы задать PVID порта 1/0/1 как 100 и PVID порта 1/0/2 как 200.
Настройки на коммутаторе 2 и коммутаторе 4:
Настройки для коммутатора 2 такие же, как для коммутатора 1, а настройки коммутатора 4 такие же, как для коммутатора 3.
Базовые настройки VLAN на MikroTik: инструкция с примерами
Узнайте как произвести настройку виртуальной локальной сети VLAN для сетевого оборудования Mikrotik поэтапно в состоянии: access, trunk, и в двух состояниях одновременно
1. Понятие VLAN: технические параметры и стандарты, состояние портов
Для начала разберемся, что же означает VLAN. VLAN – это аббревиатура Virtual Local Area Network виртуальная локальная сеть. Другими словами — эта технология позволяет, на основе реальной сети, создавать виртуальные сети с разными уровнями доступа и распределением пользователей. Виртуальные сети повышают безопасность локальной сети, как пример, отделив рабочую сеть от гостевой и запретив гостевой сети доступ в рабочую, можно использовать физически одну точку доступа для доступа в сеть интернет как для сотрудников, так и для гостей компании. Или разделив сети для разных подразделений или отделов одной компании упростив тем самым обслуживание и мониторинг сети. Сегментируя сеть можно обеспечить отдельные сети для разных компаний в большом бизнес центре, таким образом можно соединить в одну сеть офисы расстояние которых превышает физическую длину сегмента езернет кабеля (100-150 метров). Благодаря разделу сети на сегменты с помощью VLAN, можно уменьшить нагрузку на оборудование, а также более точно определить и исправлять ошибки возникающие в сети.
ВАЖНО! Для построения сети с продержкой VLAN нужно использовать оборудование, которое поддерживает данный функционал. Также желательно использовать оборудование одного производителя или же убедиться, что все оборудование в сети поддерживаю модификацию стандарта VLAN.
Технические параметры и стандарты:
В одном сегменте локальной сети нет возможности сделать нескончаемое число виртуальных сетей, все дело в ограничении стандарта, он ограничен – 4096 сегментов (от 0 до 4095). Надо учесть тот факт, что VLAN с идентификатором 1 является основным или native и по умолчанию используется на всех портах сетевых устройств.
Стандартные настройки состояния порта:
- access port или не тегированный – порт транслирует только один VLAN. Это порт, к которому непосредственно подключается конечное устройство(компьютер, точка доступа, принтер и другие устройства).
- trunk port или тегированный – порт транслирует несколько VLAN. Этот порт передает несколько идентификаторов VLAN с одного сетевого устройства на другое.
Ввиду особенности оборудования MikroTik настройка VLAN можно делать разными способами. К сожалению, не все способы настройки VLAN будут совместимы с настройками оборудования других производителей, и по этой причине, в данной статье будет рассмотрены настройки которые будут максимально совместимы с оборудованием разных производителей. В данной статье настройки оборудования MikroTik будут осуществляться через программу WinBox.
2. Пример №1 (Настройка VLAN в состоянии access)
В первом примере рассмотрим настройку VLAN на устройстве RB750r2 (hEx lite) у которого порты будут в разных VLAN-ах и в режиме access. Схема приведена ниже.
Схема портов устройства RB750r2Первый порт будет использоваться для подключению к интернет провайдеру, второй и третий порты для общей сети и останутся в базовой конфигурации. А на четвертый и пятый порты будут навешены VLAN, на четвертый – VLAN100 (VLAN с меткой сто), а на пятый порт – VLAN200 (VLAN с меткой двести).
ВАЖНО! Базовая настройка маршрутизатора в данной статье рассматриваться не будет, перейдем к непосредственной настройки VLAN. Для ознакомления с базовыми настройками маршрутизаторов MikroTik можно перейти по этой ссылке.
Настройка VLAN:
- Создадим Bridge для каждого из VLAN-ов — Vlan100 и Vlan200. Главное меню – Bridge, нажимаем «+» для создания bridge. Далее задаем имя (в примере будем использовать Vlan100) и нажимаем кнопку ОК. И повторяем такие же действия для создания bridge Vlan200.
- Вторым этапом нам потребуется создать непосредственно VLAN с метками 100 и 200. Главное меню – Interfaces — вкладка VLAN, нажимаем «+» для создания VLAN. Далее даем ему имя и ставим метку согласно нашему VLAN, а также выбираем интерфейс, к которому будет принадлежать VLAN, выбираем ранее созданный нами bridge – Vlan100 и Vlan200 соответственно для 100 и 200 VBLAN-ов.
- Следующий этап, назначим IP адрес для каждого VLAN-на. Главное меню – IP – Addresses, нажимаем «+» для назначения IP адреса, задаем адресного пространства и выбираем интерфейс, как и в предыдущем шаге нашем интерфейсом служит bridge Vlan100 и Vlan200.
- Теперь настроим DHCP Server для каждого из VLAN bridge, для примера будет использоваться наиболее простой и быстрый вариант создание DHCP Server. Главное меню – IP – DHCP Server, нажимаем «DHCP Setup» выбираем интерфейс bridge Vlan100 и нажимаем кнопку «Next», в конце нажимаем «ОК», и повторяем процедуру для следующего интерфейса bridge Vlan200.
- Следующий этап — переводим четвертый и пятый порт в состояние access. Главное меню – Bridges, вкладка VLANs, нажимаем «+» и создаем настройки для VLAN100, в качестве Bridge – выбираем созданный ранее Bridge Vlan100, метка VLAN 100, далее выбираем какой VLAN будет передаваться – Tagged — Bridge Vlan100 и последнее выбираем какой порт будет в состояние access (Untagged – порт 4), нажимаем «ОК» и правило готово. И создаем еще одно правило, но теперь для VLAN200 подставляя все значения для двухсотого VLAN-на, а в качестве access порта выбираем пятый порт согласно нашей схеме. Vlan100 и Vlan200 с меткой 1 создается автоматически, так как VLAN с меткой 1 это VLAN управления, по умолчанию назначается всем портам и bridges. Это означает, что пользователи VLAN100 и VLAN 200 могут попасть в служебную сеть. В следующем этане настроек мы создадим правила, которые помогут изолировать сети одну от другой.
- Последним действием будет изолирование VLAN-ов один от одного, а также от VLAN с меткой 1, сети управления. Главное меню IP – Routes вкладка Rules нажимаем «+» и создаем правило. Сеть 192.168.100.0/24 недоступна (unreachable) сеть 192.168.200.0/24 и наоборот, а также сетям 192.168.100.0/24 и 192.168.200.0/24 не будет доступна сеть управления 192.168.88.0/24. Для каждого такого ограничения создаться отдельное правило.
В итоге мы получили маршрутизатор с настроенными в режиме access четвертого и пятого портов, согласно нашей схеме.
3. Пример №2 (Настройка VLAN в состоянии trunk)
Во втором примере к предыдущим настройкам добавим VLAN 40 и 30 в состоянии trunk на третий порт RB750r2 (hEx lite). Для примера подключим к третьему порту точку доступа и назначим разные VLAN-ны разным беспроводным сетям VLAN30 – Test30, а VLAN40 – Test40. В качестве точки доступа будет использоваться точка RBwAPG-5HacD2HnD (wAP ac) подключенная к третьему порту RB750r2 (hEx lite).
- C начала настроим маршрутизатор. Создадим VLAN 30 и 40. Главное меню – Interfaces — VLAN, нажимаем «+» для создания VLAN. Далее даем ему имя и ставим метку согласно нашему VLAN, и выбираем третий порт, к которому будет принадлежать VLAN. В отличии от предыдущего примера VLAN 30 и 40 будут принадлежать к одному порту (ether3).
- Следующий этап, назначим IP адрес для каждого VLAN-на. Главное меню – IP – Addresses, нажимаем «+» для назначения адреса, задаем адресного пространства 192168.30.0 для интерфейса Vlan30, а для интерфейса Vlan40 назначаем адрес пространства 192.168.40.0.
- Теперь настроим DHCP Server для каждого из VLAN-ов. Главное меню – IP – DHCP Server, нажимаем «DHCP Setup» выбираем интерфейс VLAN30 и жмем кнопку «Next», в конце нажимаем «ОК», и повторяем процедуру для интерфейса VLAN40.
- Переходим к настройкам точки доступа RBwAPG-5HacD2HnD (wAP ac). Первым этапом удалим все настройки, а также не будем использовать заводские настройки при загрузке устройства. Главное меню – System – Reset Configuration, выбираем пункты No Default Configuration и Do Not Backup далее нажимаем кнопку Reset Configuration.
- После перезагрузки приступим к настройке беспроводной сети. Главное меню – Wireless, нажимаем «+» для создания Virtual (виртуальной сети), во вкладке General называем беспроводный интерфейс (в примере wlan30 и wlan40 для VLAN 30 и VLAN40 соответственно), далее переходим во вкладку Wireless и настраиваем беспроводный интерфейс: Mode – ap bridge (тип вещания радиомодуля), SSID – Test30 (название беспроводной сети), Master Interface – wlan1 (так как был создан виртуальный беспроводный интерфейс нужно определить к какому радиомодулю он будет относиться, в данном примере виртуальные интерфейсы будут относиться к радиомодулю с частотой 2,4ГГц), Security Profile – default (профиль безопасности беспроводной сети, в примере будем использовать профиль по умолчанию, изменить параметры которого можно во вкладке Security (Гласное меню – Wireless вкладка Security)), VLAN Mode – use tag (выбираем использовать метку VLAN, другими словами переводим беспроводный интерфейс в access), VLAN ID – 30 ( прописываем метку VLAN). Нажимаем «ОК» и создаем еще один беспроводный интерфейс, но уже для VLAN 40 (он будет отличаться от предыдущих настроек следующими параметрами SSID – Test40, VLAN ID – 40, а также может быть выбран другой профиль безопасности).
- Cледующим шагом будет создание и объединение всех интерфейсов (физических и виртуальных) в один Bridge. Главное меню – Bridge, нажимаем «+» для создания bridge. Далее даем ему имя (в примере bridge_AP) и нажимаем кнопку ОК. Переходим во вкладку Ports и нажимаем «+» добавляем все порты в созданный ранее bridge_AP. После этого этапа оборудование будет настроено согласно нашей схеме. Так же эта схема в этом примере будет работать если в разрыв между точкой доступа и маршрутизатором установить неуправляемый коммутатором. Далее в следующем примере рассмотрим схему с использованием управляемого коммутатора для расширения нашей сети.
4. Пример №3 (Настройка VLAN в состоянии trunk и access)
В данном примере мы расширим нашу сеть при помощи коммутатора CRS328-24P-4S+RM под управлением операционной системой SwitchOS. На первый порт коммутатора будут оправлены три VLAN (VLAN30, VLAN40 и VLAN200) в режиме trunk, с двадцать четвертого порта VLAN30 и VLAN40, также в trunk, будут уходить на точку доступа RBwAPG-5HacD2HnD (wAP ac). А VLAN200 будет на портах с девятого по шестнадцатый в режиме access. Схема представлена ниже. В данном примере будут продолжаться настройки создание в первом и втором примерах. Будут изменены настройки RB750r2 (hEx lite), а настройки на точке доступа RBwAPG-5HacD2HnD (wAP ac) останутся без изменений. Коммутатор CRS328-24P-4S+RM будет настроен под нашу задачу из базовой конфигурации. Поэтому, перед тем как перейти к третей части, нужно ознакомиться с первым и вторым примером, а настройки коммутатора привести к базовым.
Первым этапом на маршрутизаторе RB750r2 (hEx lite нужно изменить настройки VLAN200. Главное меню – Interface, вкладка VLAN , выбираем VLAN200 и меняем интерфейс к которому принадлежит этот VLAN с bridge Vlan200 на ethernet3. Нажимаем «ОК».
-
- Далее. Главное меню – Bridges, вкладка Ports нажимаем «+» добавим vlan200 в bridge Vlan200. Нажимаем «ОК», и переходим к следующему этапу.
- Следующий этап – это настройка коммутатора CRS328-24P-4S+RM. Обратите внимание, что оборудование MikroTik под управлением Switch OS настраивается не через привычный интерфейс программы WinBox, а не посредственно через веб-интерфейс. IP – адрес по умолчанию (192.168.88.1) такой же как и в большинстве устройств MikroTik. Логин admin, а поле пароля пустое. Используя веб-браузер заходим на устройство CRS328-24P-4S+RM (в данном примере настройки будут касаться VLAN). Добавляем выше созданные VLAN200, VLAN40 и VLAN30. Переходим во вкладку VLANs, жмем Append и добавляем идентификатор VLAN вторым шагом выбираем, к которому порту будет принадлежать тот или иной VLAN (в примере VLAN30 и VLAN40 транслируется на двадцать четвертый порт к которому подключена точка доступа, а VLAN200 отдаем с девятого по шестнадцатый порты). Первый порт будет содержат все три VLAN-на, так как в это порт подключен маршрутизатор сети RB750r2 (hEx lite) третьим портом. Нажимаем кнопку Apply All применяем создание настройки. Теперь VLAN30 и VLAN40 транслируется на двадцать четвертый.
- Следующим шагом отдадим VLAN200 в режиме access. Переходим во вкладку VLAN переводим нужные порты в состояние only untagged (access) и идентификатор VLAN 200, нажимаем кнопку Apply All. Все этапы настроек в третьем примере выполнены, сеть работает согласно нашей схеме.
от VLAN до Turbo Ring
Мы знаем, что, управляемый коммутатор «из коробки», готов работать даже без настроек, НО только как неуправляемый. Соответственно, нам предстоит процесс настройки свитча для решения поставленных задач.
Рассмотрим самые распространенные функции и их процесс настройки через web-интерфейс.
VLANs
Основная функция управляемых коммутаторов — это, конечно же, дробление базовой сети на более мелкие подсети.
VLAN – это функция, позволяющая физическую сеть разделить на несколько виртуальных подсетей. Т.е. одна подсеть будет соответствовать определенному VLAN. Простой пример: разграничение компьютеров пользователей по рабочим отделам или должностям (бухгалтерия, отдел продаж, логистика и т.д.) Соответственно, сети с разными VLAN не будут видны друг другу. Физически сеть не затрагивается – это означает, что несколько VLANов проходит через одно и то же соединение.
Это в свою очередь увеличивает безопасность каждой подсети. Стоит отметить, что благодаря разбивке снижается трафик широковещательных доменов (это те данные, которые предназначены для отправки всем участникам сети).
Суть настройки VLAN в правильном заполнении таблицы данными для каждого порта коммутатора:
Существует несколько ролей портов:
Access – для соединения с нетегированными/конечными устройствами, например, с ПК.
Trunk – соединение между несколькими нетегированными/тегированными устройствами и/или коммутаторами.
Hybrid – похож на trunk порт, но с возможностью указывать теги, которые будут удалены из пакетов.
Резервирование
Следующая функция, для которой необходим управляемый свитч – это резервирование.
Помним, что неуправляемый коммутатор НЕ поддерживает кольцевую топологию.
Самый широко используемый протокол резервирования – это RSTP (Rapid spanning tree protocol)
Настройки RSTP намного проще чем понимание его принципа работы с ролями портов, поэтому рассмотрим только сам принцип:
У вас имеется некая сеть из коммутаторов (группа). Вы включаете функцию RSTP на всех коммутаторах, и свитчи самостоятельно выстраиваются в топологию «дерева». Выбирается «корневой» коммутатор (Root), к которому каждый свитч из сети ищет кратчайший путь, а те линии, которые больше не используются, становятся резервными.
В настройках необходимо указать порты коммутатора, на которых включается функция RSTP:
Turbo Ring & Turbo Chain
О современных протоколах резервирования, таких как Turbo Ring и Turbo Chain, обеспечивающие время восстановления сети до 20 мс, и их настройках мы говорили ранее.
Port Trunking
Интересная функция Port Trunking, благодаря которой возможно увеличить пропускную способность сети. Концепция состоит в том, что при объединении нескольких физических каналов получаем один логический, производительность которого приблизительно равна сумме задействованных линий. Это так же обеспечивает резервирование (при обрыве одной из линии, трафик будет проходить по остальным).
В настройках просто выделяются те порты, которые объединяются в trunk. И выбирается транк-группа
В последнем обновлении прошивки Turbo Pack 3 от MOXA появилась поддержка объединения всей транк-группы в виртуальный логический порт Turbo Ring. Это означает, что теперь можно строить резервирование Turbo Ring на объединенных линиях.
Функция блокировки портов обеспечивает дополнительную сетевую безопасность, благодаря возможности контроля доступа к определенным портам коммутатора.
Для настройки необходимо деактивировать соответствующий порт в колонке Enable:
Port Security
Еще одна функция безопасности, ограничивающая доступ к порту — это Port Security. Осуществляется привязкой MAC адреса к определенному порту. Благодаря чему, доступ к данному порту будет иметь только определенно устройство.
Настройки будут выглядеть в виде таблицы:
Порт = MAC адрес
Port Mirror
Зеркалирование порта – используется для мониторинга данных через определенный порт, путем дублирования трафика с одного порта на другой.
В настройках выбирается порт (monitored port), чья активность будет отслеживаться. Выбирается вариант отслеживания (только входящий трафик, только исходящий или оба). И соответственно порт, на который будет осуществляться дублирование сетевой активности (mirror port):
Мониторинг
Управляемый коммутатор имеет микропроцессор, и в режиме реального времени есть возможность осуществлять просмотр статистики. Например, состояние системных ресурсов:
Существует мониторинг общей активности передачи данных, а также каждого порта по отдельности. При этом возможно выбрать тип пакетов:
Восстановления настроек и обновления прошивки
После настроек любого свитча присутствует вероятность, что настройки могут сброситься, если, например, неопытный инженер внесёт нежелательные изменения. Для этого случая существует устройство (flash накопитель) ABC-02-USB, которое копирует все настройки свитча и способно восстановить их, а так же обновить прошивку. Для этого Вам понадобиться подключить конфигуратор к коммутатору и перезагрузить его. При включении коммутатор самостоятельно загрузит все необходимые настройки и/или обновит прошивку.
Если у Вас есть вопросы по продукции МОХА, обращайтесь по телефону: +7 (495) 419-1201 или по e-mail: [email protected]
«VLAN для чайников», сегментация сети предприятия
Начинающий администратор, обслуживающий малую сеть, как правило, даже не задумывается о таком понятии как VLAN. В то же время, сложно представить современный средний бизнес, не говоря уже о большом, который бы не использовал при построении своей сети технологию VLAN.
Как правило, все инструкции по VLAN достаточно сложные для понимания новичком и, уж тем более, человеком, у которого отсутствует специальное образование по данному направлению.
Для нативного понимания технологии VLAN требуется наличие определенного понимания базовых процессов, происходящих в локальных сетях. И именно такого материала в подавляющем большинстве инструкций нет вообще как таковых. Если же они и имеются, уровень их описания может оказаться слишком сложным для новичка. Именно по этой причине многие начинающие администраторы обходят эту тему стороной, не уделяя ей должного внимания.
Со своей стороны мы подготовили для читателей публикацию, с помощью которой базовые принципы настройки VLAN сможет освоить даже человек без специального образования.
Некоторые термины и тонкости мы заведомо опустили, для того, чтобы материал был понятен наиболее широкому кругу читателей.
Базовые понятия принципов работы локальных сетей
Подробно рассматривать модель OSI мы не будем, т.к. это отнимет достаточно большое количество времени и усложнит понимание материала. Но в общих чертах понимать модель OSI все же требуется.
Ниже предлагаем вашему вниманию наиболее простую и понятную схему модели OSI.
Первый уровень OSI – физический. Как несложно догадаться, на нем происходит физическая передача данных в виде импульсов. Иными словами это передача битов 0 и 1, независимо от того, какая среда передачи данных используется, будь то витая пара, оптика или даже коаксиал (например, в сетях DOCSIS).
Второй уровень OSI – канальный. На канальном уровне уже появляется такой термин как MAC-адрес.
Вы, наверное, часто встречаете на сайтах производителей сетевого оборудования в описаниях коммутаторов пометку «Layer 2». Это как раз и обозначает то, что коммутатор работает на втором уровне модели OSI.
С понятием MAC-адреса вы сталкиваетесь постоянно, это не что иное, как уникальный физический адрес оборудования, представленный в формате CC:2D:E0:B4:ED:AD. Первые символы МАС-адреса содержат информацию о производителе, именно по этой причине в комплексных мерах повышения безопасности многие администраторы практикуют подмену внешних МАС-адресов на WAN-портах, как один из механизмов маскировки производителя оборудования и усложнения его идентификации. Во избежание конфликтов, МАС-адреса делают уникальными.
Мы сейчас не будем рассматривать хабы (Hub, концентраторы), как устройства, которые окончательно устарели. В то же время вы должны знать, что такие устройства ранее повсеместно использовались. Отличие хаба от коммутатора в том, что хаб всегда дублирует все пакеты на все порты.
На сегодня современные сети строятся с использованием коммутаторов второго уровня (или третьего). Коммутаторы также называют свичами, от английского Switch.
В отличие от хабов, у коммутатора имеется таблица MAC-адресов (MAC-table). В характеристиках коммутатора всегда указан размер данной таблицы, например 2К, 4К или 8К записей. Для более высокоуровневых решений размер таблиц еще больше.
Зачем нужна данная таблица? Во время работы коммутатор анализирует заголовки фреймов (MAC Header) и проверяет, с какого МАС поступил фрейм. После этого МАС отправителя динамически привязывается к конкретному порту.
Если коммутатор получил фрейм с неизвестным ему конечным МАС, он разошлет его на все порты. По сути, это «режим обучения». Затем, после получения ответа от получателя о приеме фрейма, коммутатор привяжет к конкретному порту и МАС получателя. В дальнейшем коммутатор будет слать фреймы только на конкретный порт.
Этим достигается сразу несколько вещей. Во-первых, становится возможным одновременная независимая передача данных на всех портах, она будет ограничена только скоростью порта и возможностями коммутационной матрицы. Во-вторых, повышается безопасность передаваемых данных, т.к. данные будут передаваться только на требуемый порт.
Современные коммутаторы зачастую работают по принципу «Store-and-forward», это так называемая передача с промежуточным хранением. Зачем это нужно и как это работает? Во время получения данных, коммутатор проверяет контрольную сумму, что позволяет избежать передачи поврежденных данных.
Третий уровень OSI – сетевой. Для лучшего понимания, необходимо знать, что на третьем уровне добавляется IP header – заголовок пакета с информацией об IP-адресах. Коммутаторы Layer 2 не обрабатывают IP-заголовки и работают только с «внешним» MAC-заголовком. Для обработки IP header применяются маршрутизаторы Layer 3, которые способны управлять траффиком на основе IP-заголовков.
Существуют также коммутаторы Layer 2 с функциями Layer 3. К примеру, это может быть коммутатор с возможностью статической маршрутизации.
Четвертый уровень OSI – транспортный. На 4-м уровне появляется протоколы TCP и UDP, которые определяют метод доставки информации. Для TCP это доставка пакетов с подтверждением о получении, для UDP – доставка без подтверждения.
Последующие уровни OSI сегодня мы рассматривать не будем, они нам сейчас не интересны. Возвращаемся к Layer 2.
Следующая вещь, которую необходимо знать о коммутаторах это работа с широковещательными пакетами.
Всего в локальной сети существует 3 варианта доставки информации:
-
Unicast
-
Multicast
-
Broadcast
Данные термины вы неоднократно встречали, коротко пройдемся по всем.
Unicast это обычная передача данных от устройства А к устройству Б.
Multicast – передача данных нескольким выборочным устройствам, например от устройства А к устройствам Б и Г.
Broadcast – передача данных всем участникам сети, например от устройства А на устройства Б, В и Г. Бродкаст еще называют широковещательными запросами. Отправляются они с использованием адреса FF:FF:FF:FF:FF:FF, такие фреймы принимаются всеми устройствами, входящими в локальную сеть.
Если рассматривать хаб, в нем присутствует 1 широковещательный домен (broadcast domain) и 1 домен коллизий (collision domain). Что это значит? Это значит, что в пределах хаба, широковещательный запрос (FF:FF:FF:FF:FF:FF) передается всем портам, а одновременная передача данных возможна только по одному интерфейсу.
В коммутаторах также 1 широковещательный домен, а вот доменов коллизий столько, сколько портов. Иными словами, широковещательный запрос передается на все порты, но передача данных возможна по всем портам одновременно.
Вот мы плавно и подошли к VLAN. В случае с применением VLAN, бродкастовых доменов будет столько, сколько создано вланов. Это значит, что устройства, находящиеся в разных VLAN смогут отправлять broadcast FF:FF:FF:FF:FF:FF только в пределах своей виртуальной сети.
Что такое VLAN и как это работает
VLAN является сокращением от английского Virtual Local Area Network, обозначающего виртуальную локальную сеть.
Технология VLAN подробно описана в стандарте IEEE 802.1Q и предоставляет возможность объединения устройств в разные логические сети при использовании единой физической среды передачи данных и единого оборудования. По сути, влан эмулирует несколько каналов передачи данных и несколько физических коммутаторов. Собственно для конечных клиентов это так и выглядит.
За счет использования вланов, предприятия и операторы связи могут экономить ресурсы на прокладку сетей, покупку дополнительного оборудования и сетевое администрирование. К тому же влан позволяет обеспечивать повышенную безопасность передаваемых данных, а также обеспечить удаленное управление по защищенному каналу.
VLAN предоставляет огромные преимущества:
-
виртуализация и деление сети без покупки/установки дополнительного оборудования и линий связи. Вы можете создать 2, 3, 5, 20, сколько угодно подсетей на существующем оборудовании, без прокладки новых кабелей.
-
изоляция подсетей, изоляция подключенных клиентов;
Стандартом предусмотрено до 4096 VLAN’ов, иногда этого может оказаться мало или недостаточно для реализации сложной сети. Оборудование Mikrotik (под управлением RouterOS) поддерживает технологию вложенных VLAN’ов – QinQ.
Следует четко понимать, что QinQ уменьшает размер MTU (размер пакетов), что чревато фрагментацией пакетов. По этой причине QinQ следует использовать только в случае невозможности реализации иного механизма.
Зачем нужен QinQ и где он используется?
QinQ иногда используется интернет-провайдерами для подключения клиентов, при котором может и не хватить 4+ тысяч VLAN’ов.
Также QinQ может быть использован провайдером для транзита клиентских VLAN через свою сеть. К примеру, у провайдера есть клиент с несколькими подключениями, на каждом из которых есть свои VLAN, при этом заказчик не желает менять VLAN ID на своей стороне, но сам провайдер указанные идентификаторы уже использует.
В этом плане QinQ чем-то напоминает проброс портов, только в данном случае пробрасываются VLAN’ы, обеспечивая для клиента «логический транк».
Принцип работы VLAN
При использовании VLAN, в Ethernet-фреймы внедряется дополнительный заголовок-метка, размером 4 байта:
После добавления метки, коммутатор удаляет из фрейма старую контрольную сумму FCS (Frame check sequence), рассчитывает и добавляет новую.
Последующая обработка фреймов осуществляется на основе «меток», именуемых в VLAN тэгами. С метками VLAN работают коммутаторы и маршрутизаторы, для конечных клиентов они остаются незамеченными, потому как на «портах доступа» тег снимается.
VLAN на Mikrotik: варианты реализации
«Микротик микротику рознь», это необходимо всегда помнить, знать и понимать, при реализации VLAN. У Mikrotik, как и у любого другого производителя сетевого оборудования, свое собственное видение реализации настроек VLAN.
На базе оборудования Mikrotik возможна реализация как программных (софтовых) VLAN, так и аппаратных (hardware).
Аппаратный VLAN, как следует из названия, реализуется непосредственно на базе switch-chip. Возможность реализации аппаратного влана зависит от того, какой именно чип коммутации применяется в вашем устройстве.
По этому поводу рекомендуем ознакомиться с официальным руководством Switch Chip Features. Если коротко, аппаратный VLAN (Hardware VLAN) поддерживается следующими чипами:
-
RB750
-
RB750UP
-
RB751U-2HnD
-
RB951-2n
-
RB941-2nD (hAP lite)
-
RB951Ui-2nD (hAP)
-
RB952Ui-5ac2nD (hAP ac lite)
-
RB750r2 (hEX lite)
-
RB750UPr2 (hEX PoE lite)
-
RB750P-PBr2 (PowerBox)
-
RB750P r2
-
RBOmniTikU-5HnDr2 (OmniTIK 5)
-
RBOmniTikUPA-5HnDr2 (OmniTIK 5 PoE)
-
RB2011 series (ether6-10)
-
RB951Ui-2HnD
-
RB493G
-
RB435G
-
RB450G
-
RB750G
-
RB1200
-
RB1100
-
RB953GS
-
RB850Gx2
-
RB2011 series (ether1-5 + sfp1)
-
RB750GL
-
RB751G-2HnD
-
RB951G-2HnD
-
RBD52G-5HacD2HnD (hAP ac²)
-
cAP ac
-
RB1100AH
-
RB1100AHx2
-
CCR1009 series (ether1-4)
-
RB433GL
-
RB3011 series
-
RB OmniTik ac series
-
RB750Gr2 (hEX)
-
RB962UiGS-5HacT2HnT (hAP ac)
-
RB960PGS (hEX PoE)
-
RB960PGS-PB (PowerBox Pro)
Во всех перечисленных устройствах VLAN можно реализовать средствам чипа коммутации. Преимущество данного метода состоит в том, что обработка тегов, их добавление и снятие выполняется самим чипом, без участия процессора (hardware offload, аппаратная разгрузка).
К этому методу следует прибегать в тех случаях, когда:
-
стоит цель добиться максимальной производительности;
-
производительность VLAN упирается в возможности CPU;
-
реализация некоторых возможностей недостижима средствами программного VLAN;
Hardware VLAN предлагает большое число параметров, опций и правил обработки фреймов. Подробную информацию о настройке аппаратного VLAN вы можете найти в официальной документации по ссылке выше.
В случае, если эта тема будет востребованной, мы опубликуем отдельную инструкцию.
Второй метод реализации – программный / «софтовый» VLAN / Software VLAN. Именно данный метод наиболее часто описывается и встречается на практике. Он не так функционален, зато максимально прост в настройке.
Настройка программного VLAN в RouterOS на оборудовании Mikrotik
Рассматривать процесс настройки мы будем на примере устройств RB750UPr2 (hEX POE lite) и RB750r2 (hEX lite). Оба устройства реализованы на базе платформы MIPSBE (qca9531L). И там и там 64 МБ оперативной памяти, POE-версия отличается поддержкой PoE-out. Есть и другое отличие, в обычных версиях процессор работает на более высокой частоте – 850 МГц против 650 МГц у POE-версии. Такая разница обеспечивает на 30% большую производительность.
RB750UPr2 мы будем использовать в качестве главного шлюза, центрального узла коммутации и источника питания, два оставшиеся устройства RB750r2 будут использованы в качестве коммутаторов.
Оговоримся сразу, вариант не самый оптимальный, немного доплатив, можно приобрести RB260GS (SwOS) с гигабитными интерфейсами. Как вариант это могут быть и недорогие коммутаторы сторонних производителей, например TL-SG105E / TL-GS108E от TP-Link. При этом процесс их настройки будет отличаться.
Также можно рассматривать hAP lite (RB941-2nD), hAP ac lite (RB952Ui-5ac2nD), hAP (RB951Ui-2nD) и прочие модели со встроенным модулем Wi-Fi. Особый интерес будут представлять RB951Ui-2HnD и гигабитный RB951G-2HnD. Оба устройства оснащены радиомодулями повышенной мощности и большим объемом оперативной памяти, что позволяет реализовать беспроводную сеть на предприятии с несколькими SSID, в т.ч. HotSpot. Такой вариант реализации обойдется заметно дешевле, нежели использование, к примеру, CRS109-8G-1S-2HnD-IN.
Чуть ниже предлагаем вашему вниманию условную схему сети, которую мы и будем реализовывать.
В качестве основного устройства выбран Mikrotik hEX POE lite (RB750UPr2), он будет выполнять функции шлюза, маршрутизирующего траффик в локальной сети вымышленного предприятия. На схеме данное устройство обозначено как узел R1.
Допустим, нам требуется реализовать 2 подсети – офисную и гостевую. Для офисной сети мы будем использовать VLAN 20, для гостевой – VLAN 30. Номера вланов особого значения не имеют, главное, чтобы вы четко понимали, какой из них за какую сеть отвечает.
VLAN1 использовать нельзя, т.к. это «нативный» VLAN (native) для большого числа оборудования, в том числе и для Mikrotik.
Для офисной сети с VLAN 20 мы будем использовать подсеть 10.20.0.0/24, а для гостевой – 10.30.0.0/24. Идеальным вариантом является использование разных подсетей из списка:
-
10.0.0.0 — 10.255.255.255
-
172.16.0.0 — 172.31.255.255
-
192.168.0.0 — 192.168.255.255
Например, 10.х.х.х для офиса и 192.168.х.х для гостевой сети. Подсеть 100.64.0.0 — 100.127.255.255 использовать не стоит, т.к. она предназначена для NAT интернет-провайдеров (CGN, Carrier-Grade NAT).
Конфигурация маршрутизатора R1
На узле R1 реализуем следующую конфигурацию:
-
ether1 используется для подключения к сети провайдера;
-
ether2 кидаем в офисную сеть VLAN 20;
-
ether3 кидаем в гостевую сеть VLAN 30;
-
ether4 и ether5 будем использовать в качестве магистральных каналов (trunk) для подключения двух дополнительных hEX lite (RB750r2), на схеме они обозначены как R2 и R3.
Сами R2 и R3 будем использовать вместо управляемых коммутаторов.
Перед настройкой мы выполняем полный сброс устройства и начинаем настройку с нуля. Вы же можете выполнять модификацию существующей конфигурации, правда в этом случае вам потребуется на завершающем этапе удалить некоторые элементы, среди которых бридж, dhcp-сервер и т.п. созданные по-умолчанию.
Поскольку устройств Mikrotik у нас несколько, первым делом задаем имя устройства (identity, alias), чтобы впоследствии не возникало путаницы с управлением. Делаем это командой:
/system identity
set name=R1-POE
Затем, в целях повышения безопасности, отключаем все неиспользуемые сервисы, оставляем только Winbox:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
Для удобства, переименовываем сетевые интерфейсы и добавляем к ним комментарии:
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-wan
set [ find default-name=ether2 ] comment=»VLAN20 OFFICE»
set [ find default-name=ether3 ] comment=»VLAN30 GUEST»
set [ find default-name=ether4 ] comment=»TRUNK 1″ name=ether4-trunk
set [ find default-name=ether5 ] comment=»TRUNK 2″ name=ether5-trunk
Это будет особенно актуально, если устройств приличное количество и/или они оснащены большим количеством интерфейсов.
Как видите, ether1 мы переименовали в ether1-wan, а ether4/ether5 в ether4-trunk/ether5-trunk.
На интерфейсе ether1-wan у нас подключение к сети провайдера. Настраиваем динамическое получение IP (от DHCP-сервера):
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-wan
При использовании софтового VLAN, существует два основные типа интерфейсов:
Тегированные интерфейсы, это интерфейсы, на которых фреймы маркируются при помощи VLAN-меток. На таких интерфейсах можно одновременно передавать несколько VLAN’ов и, как правило, они используются в качестве магистральных каналов. Такие порты называют транками (trunk).
Нетегированные (untagged) интерфейсы используют для подключения конечных устройств и клиентов, их еще можно называть «портами доступа» (access port).
При программной реализации портов доступа VLAN, в RouterOS используются бриджи. Поскольку у нас предполагается выделение 2 портов под офисную и гостевую сеть, создаем для них соответствующие бриджи:
/interface bridge
add comment=OFFICE fast-forward=no name=bridge-vlan20-office
add arp=reply-only comment=GUEST fast-forward=no name=bridge-vlan30-guest
Как вы могли заметить, для гостевого бриджа мы используем дополнительный параметр arp=reply-only, он будет использоваться совместно с ARP для того, чтобы сделать невозможным использование самоназначенных IP в гостевой сети. Иными словами, маршрутизатор не будет отвечать на запросы устройств, на которых назначен статический IP.
Перед настройкой DHCP, заранее, для каждой подсети необходимо создать пулы адресов:
/ip pool
add comment=OFFICE name=pool-vlan20-office ranges=10.20.0.11-10.20.0.253
add comment=GUEST name=pool-vlan30-guest ranges=10.30.0.11-10.30.0.253
Если в сети больше 250+ устройств, необходимо создавать дополнительные пулы. Затем они выбираются в параметре «next pool» (следующий пул, который будет задействован после исчерпания предыдущего).
В нашем случае это 10.20.0.11-10.20.0.253 для офисных устройств и 10.30.0.11-10.30.0.253 для гостевых. Первые и последний IP-адрес в обоих диапазонах мы резервируем для будущих возможных сервисов (делать это вовсе не обязательно).
Назначать все IP мы будем средствами Mikrotik, при помощи DHCP-серверов:
/ip dhcp-server
add address-pool=pool-vlan20-office disabled=no interface=\
bridge-vlan20-office name=dhcp-vlan20-office
add add-arp=yes address-pool=pool-vlan30-guest disabled=no interface=\
bridge-vlan30-guest name=dhcp-vlan30-guest
Обратите внимание! Создано 2 сервера, по одному на каждый бридж. Каждый сервер будет выдавать IP из своего пула, таким образом, для VLAN 20 и VLAN 30 будут выдаваться адреса с разных подсетей (10.20.х и 10.30.х).
Для гостей мы дополнительно используем параметр add-arp=yes, он будет добавлять ARP для всех выданных аренд (DHCP leases). Если этого не сделать, гостевая сеть не будет работать, т.к. гостевой бридж не будет отвечать на запросы клиентов – ранее в настройках бриджа мы уже задали параметр arp=reply-only (только отвечать).
В каждой из подсетей назначаем маршрутизатору свой отдельный IP:
/ip address
add address=10.20.0.1/24 comment=OFFICE interface=bridge-vlan20-office \
network=10.20.0.0
add address=10.30.0.1/24 comment=GUEST interface=bridge-vlan30-guest network=\
10.30.0.0
Затем для каждой подсети указываем DNS и шлюз, используемые по-умолчанию:
/ip dhcp-server network
add address=10.20.0.0/24 comment=OFFICE dns-server=10.20.0.1 gateway=\
10.20.0.1 netmask=24
add address=10.30.0.0/24 comment=GUEST dns-server=10.30.0.1 gateway=10.30.0.1 \
netmask=24
Поскольку к интерфейсам ether4 и ether5 будут подключены другие маршрутизаторы/коммутаторы (R2 и R3), их необходимо превратить в транки, выдав по 2 vlan в каждый порт:
/interface vlan
add interface=ether4-trunk name=vlan20-trunk-to-R2 vlan-id=20
add interface=ether5-trunk name=vlan20-trunk-to-R3 vlan-id=20
add interface=ether4-trunk name=vlan30-trunk-to-R2 vlan-id=30
add interface=ether5-trunk name=vlan30-trunk-to-R3 vlan-id=30
Делать это можно как с вкладки Interfaces/VLAN, так и с основного раздела.
VLAN’ы созданы, но порты ether2 и ether3 все еще ни к чему не привязаны.
Порт ether2 необходимо закинуть в bridge-vlan20-office и туда же закинуть 20-й влан с интерфейсов ether4 и ether5. Те же действия выполняем для ether3 и vlan 30 на транковых портах.
Иными словами, при помощи бриджа мы объединили каждый vlan в свой бридж, и туда же закинули соответствующие порты доступа. Как видите, ничего сложного здесь нет.
/interface bridge port
add bridge=bridge-vlan20-office comment=»OFFICE access port» interface=ether2
add bridge=bridge-vlan30-guest comment=»GUEST access port» interface=ether3
add bridge=bridge-vlan20-office comment=»VLAN 20″ interface=\
vlan20-trunk-to-R2
add bridge=bridge-vlan20-office comment=»VLAN 20″ interface=\
vlan20-trunk-to-R3
add bridge=bridge-vlan30-guest comment=»VLAN 30″ interface=vlan30-trunk-to-R2
add bridge=bridge-vlan30-guest comment=»VLAN 30″ interface=vlan30-trunk-to-R3
Собственно по части VLAN на устройстве R1 все готово.
Далее, для удобства работы с правилами Firewall, фильтрами и ограничениями, создаем 2 списка интерфейсов:
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
После чего распределяем интерфейсы по группам:
/interface list member
add interface=ether1-wan list=WAN
add interface=bridge-vlan20-office list=LAN
add disabled=yes interface=bridge-vlan30-guest list=LAN
В группу WAN (внешние интерфейсы) добавляем ether1-wan, т.к. он используется для подключения к сети провайдера. Если вы используете PPPoE, в WAN следует добавлять и ether1, и pope-client. То же самое применимо и к другим типам подключения с VPN. Использование групп интерфейсов позволяет оптимизировать правила Firewall.
bridge-vlan20-office с офисной подсетью добавляем в список LAN-интерфейсов. Во-первых, нам нужно в этой сети иметь доступ к Интернет. Во-вторых, мы хотим сохранить возможность управления Mikrotik из этой подсети.
bridge-vlan30-guest в список LAN-интерфейсов не добавляем (disabled=yes). Почему? Потому, что последующими правилами мы запретим маршрутизатору принимать входящие соединения (input) с гостевой сети. Из гостевой сети разрешать будем только транзитный траффик (forward) в сеть Интернет. Иными словами, зайти в настройки RouterOS гости не смогут, даже если будут знать логин и пароль администратора.
Чтобы Mikrotik не обнаруживался в Winbox Neighbor, задаем соответствующие ограничения, указав доступ для группы LAN:
/ip neighbor discovery-settings
set discover-interface-list=LAN
Дополнительно устанавливаем ограничения для подключения к Mikrotik по MAC:
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Подключения будут разрешены только с интерфейсов, входящих в LAN-группу.
Чтобы пользователи обеих подсетей могли выходить в интернет, необходимо разрешить запросы к DNS-серверу и настроить маскарадинг:
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» \
ipsec-policy=out,none out-interface-list=WAN
Бывают случаи, когда одному из VLAN доступ к Интернет необходимо запретить. В этом случае в правилах маскарадинга следует явно указать src.address, для которого выполнять обработку траффика. Например, для vlan 20 необходимо указать src.address 10.20.0.0/24. Пользователи, находящиеся в vlan 30 имеют адреса 10.30.0.0/24, поэтому правило на них распространяться не будет и, соответственно, доступ в Интернет они не получат.
Если вы используете стандартные (defconf) правила Firewall, клиенты в гостевой сети не смогут использовать локальный DNS.
Правила необходимо привести до следующего вида:
/ip firewall filter
add action=accept chain=input comment=\
«defconf: accept established,related,untracked» connection-state=\
established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=\
invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=accept chain=input comment=»DNS for VLAN 30″ dst-port=53 \
in-interface=bridge-vlan30-guest protocol=udp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» \
in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» \
ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» \
connection-state=established,related
add action=accept chain=forward comment=\
«defconf: accept established,related, untracked» connection-state=\
established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» \
connection-state=invalid
add action=drop chain=forward comment=\
«defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
Почему так происходит?
Все дело в наличии правила:
action=drop chain=input in-interface-list=!LAN
Данное правило будет отбрасывать все пакеты, приходящие в цепочку input (входящий траффик) с интерфейсов, не входящих в LAN.
Для снятия данного ограничения, чуть выше соответствующего запрещающего правила, мы добавили специальное разрешающее правило:
action=accept chain=input dst-port=53 in-interface=bridge-vlan30-guest protocol=udp
Это правило будет разрешать входящие соединения на Mikrotik из гостевого бриджа по протоколу UDP на 53-порт, который используется для DNS-сервера.
Казалось бы, вот и все… но нет. Есть нюансы, о которых во многих инструкциях не сказано ни слова. Дело в том, что на устройствах Layer 2, VLANы между собой изолированы полностью.
В случае с Layer 3 не все так просто. Маршрутизатор знает все адреса и подсети, поэтому может возникнуть ситуация, когда устройства из одного VLAN смогут увидеть устройства из другого VLAN. Тут все зависит от маршрутов, правил и фильтров.
Для того, чтобы запретить маршрутизатору обрабатывать траффик между VLAN 20 и VLAN 30 можно написать соответствующее правило Firewall для цепочки forward. Но мы реализуем это более эстетично – через правила маршрутизации:
/ip route rule
add action=unreachable dst-address=10.30.0.0/24 src-address=10.20.0.0/24
add action=unreachable dst-address=10.20.0.0/24 src-address=10.30.0.0/24
Иными словами, мы явно запрещаем маршрутизировать траффик из 10.30.0.0/24 в 10.20.0.0/24 и наоборот.
Настройка маршрутизаторов R2 и R3
Для маршрутизаторов R2 и R3 настроек куда меньше, т.к. по сути, они у нас выполняют функции управляемых коммутаторов. Далее мы приведем конфигурацию для R2, для R3 она будет идентична, так что вы спокойно сможете сделать выгрузку-загрузку файла-конфигурации.
Выгрузка:
export file=conf2.rsc
Загрузка
import file=conf2.rsc
Где conf2.rsc – название файла конфигурации.
Как и ранее, первым делом отключаем ненужные сервисы, создаем новую учетку, задаем идентификатор устройства. Полагаем, данные операции вы можете выполнить самостоятельно.
Для того, чтобы распределить наши вланы, создаем все те же 2 бриджа:
/interface bridge
add comment=OFFICE fast-forward=no name=bridge-vlan20-office
add comment=GUEST fast-forward=no name=bridge-vlan30-guest
Для удобства, к интерфейсам можно добавить комментарии:
/interface ethernet
set [ find default-name=ether1 ] comment=»UPLINK TRUNK» name=ether1-trunk
set [ find default-name=ether2 ] comment=OFFICE
set [ find default-name=ether4 ] comment=GUEST
Интерфейс ether1 при этом мы также немного переименовали, добавив приставку «trunk». После этого вешаем на него наши VLANы:
/interface vlan
add interface=ether1-trunk name=vlan20-uplink vlan-id=20
add interface=ether1-trunk name=vlan30-uplink vlan-id=30
В R2 и R2 транковый порт всего один, оставшиеся 4 интерфейса разделены в две группы, vlan 20 и vlan 30.
Соответствующим образом (согласно схеме) распределяем интерфейсы по ранее созданным бриджам:
/interface bridge port
add bridge=bridge-vlan20-office comment=»UPLINK OFFICE» interface=\
vlan20-uplink
add bridge=bridge-vlan30-guest comment=»UPLINK GUEST» interface=vlan30-uplink
add bridge=bridge-vlan20-office comment=OFFICE interface=ether2
add bridge=bridge-vlan20-office interface=ether3
add bridge=bridge-vlan30-guest comment=GUEST interface=ether4
add bridge=bridge-vlan30-guest interface=ether5
С аплинка vlan’ы необходимо раскинуть каждый в свой бридж, 20-й в bridge-vlan20-office, 30-й в bridge-vlan20-guest.
Далее в эти же бриджи добавляем требуемые порты. В нашем случае 2 и 3 порт добавлены в офисную сеть, а 4 и 5 – в гостевую.
Следующий момент касается ограничения доступа к маршрутизатору из гостевой сети. Механизм блокировки доступа используем тот же, что и на R1. Создаем новый список интерфейсов:
/interface list
add comment=»OFFICE Subnet» name=LAN
После чего заносим в этом список 20-й влан с аплинка и офисный бридж:
/interface list member
add interface=bridge-vlan20-office list=LAN
add interface=vlan20-uplink list=LAN
Для ограничения доступа добавляем правило в файрволл:
/ip firewall filter
add action=drop chain=input in-interface-list=!LAN
После этого маршрутизатор перестанет принимать входящие (input) соединения с сетей, не входящих в список «LAN», при этом пересылка пакетов (forward) останется как есть.
Для удобства, самому маршрутизатору можно назначить IP-адрес:
/ip dhcp-client
add add-default-route=no dhcp-options=clientid,hostname disabled=no \
interface=bridge-vlan20-office
Как видите, IP мы будем получать только в 20-м VLAN непосредственно от DHCP-сервера. В 30-м VLAN устройству IP-адрес не нужен, на пересылку пакетов это никак не влияет.
Вот собственно и все. Можно приступать к проверке портов.
10.20.0.1 это главный шлюз в 20-м vlan, 10.20.0.251/252 – маршрутизаторы R2/R3. HP-NC360T это тестовый ПК, выполняющий сканирование подсети.
Если вы выполните сканирование подсети 10.30.0.0/24, устройства отображаться не будут, хотя они там есть:
10.30.0.252/253 это IP маршрутизаторов, которые мы добавляли для удобства управления из vlan 30 на этапе начальной конфигурации, у вас они отображаться не будут в виду отсутствия dhcp-client на R2 и R3 в VLAN 30.
Теперь что касается производительности. Как вы помните, мы уже упоминали о том, что программные VLAN отнимают ресурсы процессора. Чтобы изучить взаимосвязь, выполняем небольшой тест скорости между двумя ПК. Первый ПК подключен к R2, второй – к R3.
Обычная пересылка пакетов в локальной сети приводит к использованию ресурсов CPU. В конкретном примере сгенерирован дуплексный траффик с суммарной скоростью около 180 Мбит/сек (100 Мбит FDX), при этом загрузка процессора QCA9531 (650 МГц) составляет в среднем до 20%.
Как видим, даже для столь бюджетного решения не составляет особых проблем обрабатывать траффик в софтовой конфигурации VLAN. Где это и будет ощущаться, так это в больших сетях, с большим числом соединений между устройствами, например, при наличии NAS и гостевых HotSpot. Впрочем, такие решения как RB750Gr3, RB3011, RB450Gx4 с подобной задачей справляются отлично, не говоря уже о старших моделях.
Не забывайте, в сложных сетях со сложной конфигурацией стоит применять соответствующее более высокоуровневое оборудование, а при необходимости, и вовсе, использовать Hardware VLAN.
Для предприятий VLAN является весьма оправданным решением, позволяющем повысить защищенность сети в целом. К примеру, если у вас есть торговые залы, вполне логичным шагом будет поместить все кассовые ПК и POS-системы в VLAN, отличный от офисного. Если же вы используете IP-видеонаблюдение, для него также стоит выделить отдельный VLAN. В конечном итоге, даже если в вашем программном обеспечении и будет уязвимость, она будет изолирована в отдельной подсети. Вспомните сколько проблем доставил «Petya». Именно технология VLAN позволила многим предприятиям понести «минимальные потери» и ограничить распространение вредоносного ПО.
Дополнительная справочная информация по теме VLAN:
Как сделать VLAN: Сегментация маленькой компьютерной сети (Часть2)
VLAN – это аббревиатура, означающая Virtual Local Area Network (виртаульная локальная сеть). На одном физическом порту может совместно существовать несколько VLAN-сетей, которые настраиваются программными средствами Linux, а не конфигурацией физических интерфейсов (но настройка самих интерфейсов тоже требуется). С помощью VLAN можно разделить сетевые ресурсы для использования различных сервисов.
Преимущества VLAN следующие:
- Производительность
- Простота управления
- Безопасность
- Магистральные cоединения (trunk)
- Возможность разделения внутри локальной сети из соображений безопасности
- Отсутствие необходимости настройки аппаратных средств при физическом переносе сервера в другое место.
Содержание
Требования к сетевому оборудованию
Чтобы использовать VLAN, вам потребуется:
- Коммутатор с поддержкой стандарта IEEE 802.1q в сети Ethernet.
- Сетевая карта, которая работает с Linux и поддерживает стандарт 802.1q .
Возможные проблемы
Наиболее распространенные при настройке VLAN в Linux проблемы следующие:
- Не все сетевые драйверы поддерживают VLAN. Может потребоваться обновление драйвера.
- Возможны проблемы с MTU. Работа VLAN основана на присвоении каждому кадру тега длиной 4 байта, то есть заголовок фактически расширяется с 14 до 18 байт. Тег VLAN содержит идентификатор (VLAN ID) и приоритет.
- Лучше не использовать VLAN ID, равный 1, так как он может быть зарезервирован для административных целей.
Сначала убедитесь, что драйвер (модуль) ядра Linux под названием 8021 загружен:
# lsmod | grep 8021q
Если он не загружен, загрузите его командой modprobe:
# modprobe 8021q
Настройка VLAN в CentOS/RHEL/Fedora Linux
Допустим, нам нужно создать VLAN интерфейс с тегом 100 который будет работать на физическом интерфейсе eth0. Для этого создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0.100
. Узнать название сетевых интерфейсов в системе можно с помощью команды ifconfig.
# ifconfig
Создаем новый файл например с помощью редактора vim
# vim /etc/sysconfig/network-scripts/ifcfg-eth0.100
Добавьте в него следующий код
# Конфигурация VLAN с ID – 100 для интерфейса eth0 #DEVICE=eth0.100 BOOTPROTO=none ONBOOT=yes IPADDR=192.168.1.5 NETMASK=255.255.255.0 USERCTL=no NETWORK=192.168.1.0 VLAN=yes
Жирным шрифтом выделены строки которые относятся к настройкам VLAN. Остальные настройки аналогичны настройкам на физическом интерфейсе.
Если вам нужна еще одна виртуальная сеть, то создайте новый файл сетевых настроек с нужным тегом VLAN. Что бы изменения вступили в силу, перезапустите сетевую службу
# systemctl restart network
Теперь можно проверить созданные интерфейсы командой ifconfig. Мы должны увидеть наш VLAN интерфейс
Конфигурация VLAN в Debian и Ubuntu
Откройте файл /etc/network/interfaces
любым текстовым редактором, например nano
$ sudo nano /etc/network/interfaces
Добавьте в файл следующие строки:
##vlan с ID-100 для интерфейса eth0 with ID - 100 в Debian/Ubuntu Linux## auto eth0.100 iface eth0.100 inet static address 192.168.1.200 netmask 255.255.255.0 vlan-raw-device eth0
auto eth0.100 — «поднимать» интерфейс при запуске сетевой службыiface eth0.100 — название интерфейсаvlan-raw-device— указывает на каком физическом интерфейсе создавать VLAN.
Сохраните и закройте файл. После чего перезапустите сеть.
systemctl restart network
Важно! Если у вас используется Ubuntu версии 17.10 и выше, то необходимо установить пакет ifupdown или настраивать VLAN интерфейсы через netplan
Использование команды vconfig
Также существует команда vconfig. Она позволяет вам создавать и удалять устройства VLAN в ядре с поддержкой VLAN. Устройства VLAN – это виртуальные Ethernet-устройства, которые представляют виртуальные локальные сети в физической. Это еще один метод настройки VLAN. Чтобы добавить VLAN с ID 5 для интерфейса eth0 выполните следующую команду:
# vconfig add eth0 5
Команда vconfig add создает на интерфейсе eth0 VLAN-устройство, в результате чего появляется интерфейс eth0.5. Теперь с помощью ifconfig настроим ip адрес
# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up
Для получения подробной информации об интерфейсе выполните:
# cat /proc/net/vlan/eth0.5
Учтите, что после перезагрузки системы этот интерфейс будет удален.
Для удаления интерфейса вручную выполните следующие действия:
# ifconfig eth0.5 down # vconfig rem eth0.5
Создание устройства VLAN командой ip
Для интерфейса eth0 и VLAN ID 10 выполните следующие команды:
# ip link add link eth0 name eth0.10 type vlan id 10 # ip -d link show eth0.10
Устройство нужно активировать и присвоить ему IP-адрес:
# ip addr add 192.168.1.200/24 brd 192.168.1.255 dev eth0.10 # ip link set dev eth0.10 up
# ip link set dev eth0.10 down # ip link delete eth0.10
Этот интерфейс также будет удален после перезагрузки системы
Заключение
Настроить VLAN относительно несложно, но в конфигурации и используемых командах есть огромное количество различных тонкостей, которые при необходимости можно выяснить, обратившись к man-страницам соответствующих команд.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
У каждой виртуальной сети есть свой идентификатор Vlan ID или VID, который используется в стандарте 802.1Q. Стандартный для сетевых устройств диапазон значений Vlan ID — от 0 до 4095. При этом, как правило, VID’ы 0 и 4095 использовать нельзя, так как они зарезервированы для иных задач и доступными остаются номера он 1 до 4094. Кстати, какое бы ни было ограничение на количество поддерживаемых вланов (10, 100 или 1000), их идентификаторы, тем не менее, можно брать из всего диапазона. На оборудовании Циско различают две группы Vlan — normal-range и extended-range. По русски — обычный и расширенный диапазоны соответственно. В стандартный диапазон входят Vlan — от 1 до 1005, а в расширенный — от 1006 до 4094. При этом надо учитывать, что VID 1002 — 1005 зарезервированы для Token Ring и FDDI Vlan и их занять не получится.Теперь давайте посмотрим на коммутатор Cisco Catalyst. В своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:
switch#show vlan
Результатом будет список всех созданных на устройстве влан:
switch#configure terminal
После этого набираем команду:
В моём примере я создаю 11й влан:
Заметьте, что виртуальной сети можно дать имя с помощью команды name.
Удалить влан можно с помощью команды:
Примечание: На древних версиях IOS все манипуляции с вланами приходилось осуществлять в отдельно базе — vlan database. К счастью, сейчас от этого анахронизма ушли. Для того, чтобы добавить порт в созданный влан, нужно так же, в режиме конфигурации выбрать нужный порт:
switch#interface gigabitEthernet <номер_порта>
И набрать команду:
Вот как это выглядит на «живом» коммутаторе:
Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:
Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:
switch(config-if)#ip address <маска сети>
После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:
switch(config-if)#no shutdown
Пример настройки управления на коммутаторе Cisco 2960:
Не забудьте — для того, чтобы управление коммутатором было доступно, необходимо добавить в этот Vlan хотя бы один порт, либо, создать на других коммутаторах, с которых Вы хотите управлять этим устройством.
ВЗЯТО С: http://mcp1971.livejournal.com/1851.htmlДиапазоны номеров VLANовВсе VLANы доступа можно разбить на два диапазона:Обычный диапазон VLANов— используется в малых и средних сетях- имеют номера от 1 до 1005- номера с 1002 до 1005 зарезервированы для Token Ring and FDDI VLANов- номера 1, 1002 и 1005 создаются автоматически и не могут быть удалены- все данные о VLANах хранятся в файле vlan.dat, который располагается на флеш памяти (flash:vlan.dat)- протокол VTP может изучать VLANы только обычного диапазрна и сохранять сведения о них в vlan.datРасширенный диапазон VLANов— используются провайдерами или на очень больших сетях для расширения инфраструктуры VLANов- имеют номера от 1006 до 4094- поддерживают меньше возможностей, чем VLANы обычного диапазона- все данные о VLANах хранятся в рабочей конфигурации- нет поддержки VTPКоммутатор Cisco Catalyst 2960 поддерживает до 255 VLANов обычного и расширенного диапазоновТипы VLANовВсе VLANы можно отнести к конкретному типу:1. Data VLAN (VLAN данных) — VLAN, в котором проходят данные, генерируемые пользователями. Но это не могут быть голосовые данные или управляющий трафик для коммутаторов.2. Default VLAN (VLAN по умолчанию) — VLAN, в котором находятся все порты коммутатора перед началом конфигурирования. VLAN по умолчанию для коммутаторов Cisco — VLAN1. По умолчанию управляющий трафик 2-го уровня, такой как CDP и STP, ассоциируется с VLAN1.3. Native VLAN (родной VLAN) — VLAN, через который на порту, сконфигурированном как транковый порт (802.1Q), и пропускающем с помощью 802.1Q тегированные фреймы, сможет подключиться рабочая станция и передавать нетегированные фреймы. Это реализовано для того, чтобы к транковому порту можно было подключить компьютер, который не может тегировать фреймы. Рекомендуется использовать родным VLANом VLAN, отличный от VLAN1.4. Management VLAN (управляющий VLAN) — VLAN, через который происводится конфигурирование. Для этого VLANу надо назначить IP адрес и маску подсети.5. Voice VLAN (голосовой VLAN) — VLAN, предназначенный для передачи голоса. Такой VLAN должен обеспечивать:— гарантированнуюполосу пропусканиядля обеспечениякачества передачи голоса— приоритет голосового трафика по сравнению сдругими типамитрафика— возможностьнаправлятьтрафик в обход загруженных районовв сети— иметь задержкуменее 150миллисекундв сетиБывает, что компьютер подключается к коммутатору через IP телефон. Получается, что надо разграничить на порту голосовой трафик и трафик данных. Для этого телефон представляет собой трехпортовый коммутатор. Один порт подключен к коммутатору. Второй — внутренний порт для передачи голосового трафика. Третий порт — порт, к которому подключен компьютер. Трафик с внутреннего порта телефона тегируется номером голосового VLAN. Трафик с компьютера не тегируется. Поэтому коммутатор может определить трафик, которому надо предоставить приоритет. Точно также происходит разделение входящего трафика — тегированный номером голосового VLAN — на телефон, не тегированный — на компьютер. Соответственно на порту коммутатора настраивается и голосовой VLAN, и VLAN доступа.Режимы работы портов коммутатора в VLANахКаждый порт коммутатора может быть настроен для работы конкретного типа VLANа различными методами:Статический VLAN — каждому порту вручную указывается VLAN, к которому он принадледит.Динамический VLAN — каждому порту указывается VLAN, к которому он принадледит, с помощью Сервера политики членства в VLAN (VMPS — VLAN Membership Policy Server). СVMPSможно назначитьVLAN портам коммутатора динамически,на основеМАС-адреса устройства, подключенного кпорту.Это полезно, когдавы перемещаетеустройство спорта одного коммутаторв сетик портудругого коммутаторав сети, коммутатординамически назначаетVLANдля этого устройства на новом порту.Голосовой VLAN — порт настраивается и для передачи тегированного голосового трафика, и для передачи нетегированного трафика данных. Для настройки голосовой VLAN используются команды:S1(config)#interface fastethernet 0/18S1(config-if)#mls qos trust cos — определяем голосовй трафик, как приоритетныйS1(config-if)#switchport voice vlan 150 — определяем голосовой VLANS1(config-if)#switchport mode access — определяем, что этот порт для данных (порт доступа — нетегированный трафик)S1(config-if)#switchport access vlan 20 — определяем VLAN для данныхТранки VLANовТранк — это соединение типа точка-точка между сетевыми устройствами, которые передают данные более чем одного VLANа. Если бы не было транков, для каждого VLANа при соединении коммутаторов необходимо было бы выделять отдельный порт. При транке все VLANы проходят через один порт.Для того, чтобы транковый порт знал, к какому VLANу принадлежит фрейм, передаваемый через порт, в заголовок фрейма вводится тег 802.1Q, в котором указывается номер VLANа, также приоритет передаваемого кадра.Если на порт поступает нетегированный фрейм, коммутатор автоматически отправляет его в родной VLAN. По умолчанию родным VLANом является VLAN1. Но его можно изменить командой:S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan vlan-idДля проверки, на какой родной VLAN передается нетегированный фрейм, используется команда:S1#show interfaces interface-id switchportDTPDTP — это проприеритарный протокол коспании Cisco, который позволяет автоматически настраивать транкинговые режимы работы портов коммутатора. Бывает три режима работы:On (по умолчанию) — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он работает как транковый порт. Включается командой S1(config-if)#switchport mode trunk. Если удаленный порт работает как access-порт, локальный порт не рекомендуется использовать с этим режимом DTP.Dynamic auto — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт, но не требует работать в транковом режиме. Порт включает транковый режим, если удаленный порт уже работает, как транковый или у него настроен режими Dynamic desirable, порты согласовуют работу в транковом режиме. Если удаленный порт настроен тоже как Dynamic auto, согласование не проводится — порты работают как порты доступа. Если удаленный порт — access, локальный тоже access. Включается командой S1(config-if)#switchport mode dynamic auto.Dynamic desirable — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт и просит работать в транковом режиме. Если удаленный порт работает в режиме Dynamic auto или Dynamic desirable, порты переходят работать в транковый режим. Если удаленный порт не поддерживает согласование, локальный порт работает в нетранковом режиме.Отключить согласование режимов работы можно командой S1(config-if)#switchport nonegotiate.Команды для настройка VLANов1. S1(config)#vlan vlan id — добавление VLAN.2. S1(config-vlan)#name vlan name — присвоение имени VLANу.3. S1#show vlan brief — проверка наличия VLANа в база данных, access-портов, принадлежащих VLANу4. S1(config-if)#switchport mode access — перевод порта в режим работы access-порта. S1(config-if)#switchport access vlan vlan id — назначение номера VLANа порту.5. S1#show interfaces [interface-id | vlan vlan-id] | switchport — проверка режима работы конкретного интерфейса6. S1(config-if)#no switchport access vlan — исключение порта из VLANа с настроенным номером и перевод его вVLAN по умолчанию7. S1(config)#no vlan vlan id — удаление VLANа из базы данных. Перед этим обязательно надо удалить все порты из этого VLANа, иначе они будут недоступны.8. S1#delete flash:vlan.dat — удаление всей базы VLANов. Останутся только VLANы по умолчанию.9. S1(config-if)#switchport mode trunk — принудительный перевод режима работы порта в транковый.10. S1(config-if)#switchport trunk native vlan vlan id — изменение родного VLANа для транкового порта.11. S1(config-if)#switchport trunk allowedvlan id — назначение VLANов, которые могут проходить через порт. Без применения этой команды все VLANы могут проходить через порт.12. S1(config-if)#no switchport trunk allowed vlan — сброс всех разрешенных VLANов на транковом порту.13. S1(config-if)#no switchport trunk native vlan — возвращение VLAN1 как родного VLANа на транковом порту.Используемые источники:
- https://itproffi.ru/nastrojka-vlan-interfejsov-v-linux/
- https://nastroisam.ru/nastroyka-vlan-na-cisco/
- http://laferont.blogspot.com/2013/12/vlan.html
Рецепты конфигурации pfSense — Настройка коммутаторов с VLAN
В этом разделе представлены инструкции по настройке нескольких типов переключателей для использования. с VLAN. Здесь предлагается общее руководство, которое применимо к большинству, если не ко всем Коммутаторы с поддержкой 802.1Q, затем переходим к настройке конкретных коммутаторы от Cisco, HP, Netgear и Dell.
Примечание
Это минимальная конфигурация, необходимая для работы VLAN, и он не обязательно показывает идеальную конфигурацию безопасного коммутатора для любая конкретная среда.Подробное обсуждение безопасности коммутатора выходит за рамки данной документации.
Обзор конфигурации коммутатора
Обычно на коммутаторах с поддержкой VLAN необходимо настроить три или четыре параметра:
Добавить / определить VLAN
Большинство коммутаторов имеют средства определения списка настроенных VLAN, и они должны быть добавлены до того, как их можно будет настроить на каких-либо портах.
Настроить магистральный порт
Необходимо настроить порт, к которому будет подключен брандмауэр pfSense®. в качестве магистрального порта, маркируя все возможные сети VLAN на интерфейсе.
Настроить порты доступа
Настройте порты для внутренних хостов как порты доступа в желаемых VLAN с непомеченных сетей VLAN.
Настройте идентификатор порта VLAN (PVID)
Некоторые коммутаторы требуют настройки PVID для портов доступа. Это указывает какую VLAN использовать для трафика, поступающего на этот порт коммутатора. Для некоторых коммутаторы, это одноэтапный процесс, настраивая порт как доступ порт в конкретной VLAN, он автоматически маркирует входящий в этот порт.Другие коммутаторы требуют настройки в одном или двух местах. Обратитесь к документации по коммутатору для получения подробной информации, если она не описана в этом глава.
Коммутаторы на базе Cisco IOS
Настройка и использование VLAN на коммутаторах Cisco с IOS довольно проста. процесса, потребовав всего несколько команд для создания и использования виртуальных локальных сетей, магистральных портов и назначение портов VLAN. Многие коммутаторы других производителей ведут себя аналогично IOS, и будет использовать почти такой же, если не идентичный синтаксис для конфигурации.
Создание сетей VLAN
VLAN могут быть созданы автономно или с использованием магистрального протокола VLAN. (VTP). Использование VTP может быть более удобным, поскольку оно автоматически распространяет Конфигурация VLAN для всех коммутаторов в домене VTP, хотя она также может создавать собственные проблемы с безопасностью и открывают возможности для непреднамеренного уничтожения конфигурация VLAN.
С VTP, чтобы добавить еще одну VLAN, ее нужно настроить только на одном коммутаторе, а затем все остальные транкинговые коммутаторы в группе могут назначать порты этой VLAN.Если виртуальные локальные сети настраиваются независимо, они должны быть добавлены к каждому коммутатору с помощью рука. Обратитесь к документации Cisco по VTP, чтобы обеспечить безопасное использование конфигурации. используется, и что он не подвержен случайному разрушению.
В сети с несколькими коммутаторами, где виртуальные локальные сети не меняются часто, VTP может быть излишним, и его избегание также поможет избежать потенциальных падений.
Автономные сети VLAN
Для создания автономных VLAN:
sw # база данных vlan sw (vlan) # vlan 10 имя "Серверы DMZ" sw (vlan) # vlan 20 name "Телефоны" sw (vlan) # выход
VTP VLAN
Чтобы настроить коммутатор для VTP и VLAN, создайте базу данных VTP на главный коммутатор, а затем создайте две сети VLAN:
sw # база данных vlan sw (vlan) # сервер vtp sw (vlan) # пример домена vtp.ком sw (vlan) # пароль vtp SuperSecret sw (vlan) # vlan 10 имя "Серверы DMZ" sw (vlan) # vlan 20 name "Телефоны" sw (vlan) # выход
Настроить магистральный порт
Для pfSense порт коммутатора должен быть не только в транковом режиме, но и с использованием тегов 802.1q. Это можно сделать так:
sw # настроить терминал sw (config) # interface FastEthernet 0/24 sw (config-if) # транк в режиме switchport sw (config-if) # инкапсуляция транка порта коммутатора dot1q
Примечание
На некоторых новых коммутаторах Cisco IOS проприетарная сеть Cisco ISL VLAN
Метод инкапсуляции устарел и больше не поддерживается.Если переключатель
не допускать опцию конфигурации инкапсуляции dot1q
, она поддерживает только
802.1Q и инкапсуляцию указывать не нужно.
Добавить порты в VLAN
Чтобы добавить порты в эти VLAN, назначьте их следующим образом:
sw # настроить терминал sw (config) # interface FastEthernet 0/12 sw (config-if) # доступ в режим switchport sw (config-if) # switchport access vlan 10
Коммутаторы на базе Cisco CatOS
Создание сетей VLAN в CatOS немного отличается, хотя терминология то же самое, что и использование VLAN под IOS.Как автономные VLAN, так и VTP можно поддерживать базу данных VLAN:
# установить сервер в режиме примера домена vtp # установить vtp passwd SuperSecret # установить vlan 10 name dmz # установить имена телефонов vlan 20
Затем настройте магистральный порт для автоматической обработки каждой VLAN:
# установить транк 5/24 на dot1q 1-4094
Затем добавьте порты в VLAN:
# установить vlan 10 5 / 1-8 # установить vlan 20 5 / 9-15
Коммутаторы HP ProCurve
КоммутаторыHP ProCurve поддерживают только 802.Транкинг 1q, поэтому настройка не требуется для инкапсуляции. Сначала подключитесь к коммутатору по ssh или telnet и включите меню управления.
Включить поддержку VLAN
Во-первых, на коммутаторе должна быть включена поддержка VLAN, если это еще не сделано:
Выберите Конфигурация коммутатора
Выберите Расширенные функции
Выберите Меню VLAN…
Выберите Поддержка VLAN
Установите Включить VLAN с на Да , если это еще не сделано, и выберите количество VLAN.Каждый раз, когда это значение изменяется, переключатель необходимо перезапускать, поэтому убедитесь, что он достаточно большой, чтобы поддерживать необходимое количество VLAN.
Перезапустите коммутатор, чтобы изменения вступили в силу.
Создание сетей VLAN
Перед назначением виртуальных локальных сетей портам необходимо создать виртуальные локальные сети. На Меню конфигурации переключателя:
Выберите Конфигурация коммутатора
Выберите Расширенные функции
Выберите Меню VLAN…
Выберите имен VLAN
Выбрать Добавить
Введите VLAN ID ,
10
Введите имя ,
DMZ
Выбрать Сохранить
Повторите шаги с Добавьте до Сохраните для всех оставшихся VLAN
Назначение магистральных портов VLAN
Затем настройте магистральный порт для брандмауэра, а также все магистральные порты, идущие к другим коммутаторам, содержащим несколько VLAN.
Выберите Конфигурация коммутатора
Выберите Меню VLAN…
Выберите Назначение порта VLAN
Выбрать Изменить
Найдите порт для назначения
Нажмите пробел в VLAN по умолчанию, пока не отобразится Нет
Перейдите к столбцу для каждой из сетей VLAN на этом магистральном порту и нажмите пробел , пока не отобразится Tagged .Каждая используемая VLAN должна быть помечена на магистральный порт.
Назначение портов доступа VLAN
Выберите Конфигурация коммутатора
Выберите Меню VLAN…
Выберите Назначение порта VLAN
Выбрать Изменить
Найдите порт для назначения
Нажмите пробел на VLAN по умолчанию , пока не отобразится Нет
Перейдите в столбец VLAN, к которому будет подключен этот порт. присвоен
Нажмите пробел , пока не отобразится Без тегов .
Управляемые коммутаторы Netgear
Этот пример находится на GS108Tv1, но все другие модели Netgear очень похожи, если не идентичны. Есть также несколько других поставщиков, включая Zyxel, которые продают переключатели того же производителя, использующие тот же веб-интерфейс с другой логотип. Войдите в веб-интерфейс коммутатора, чтобы начать.
Планирование конфигурации VLAN
Перед настройкой коммутатора необходимо выполнить несколько пунктов:
Количество настраиваемых VLAN
Идентификаторы, используемые для сетей VLAN
Как нужно настроить каждый порт коммутатора
В этом примере используется 8-портовый GS108Tv1, и он будет настроен, как показано в таблице Netgear GS108T VLAN Configuration.
Порт коммутатора | Режим VLAN | Назначено VLAN |
---|---|---|
1 | ствол | 10 и 20 , с тегами |
2 | доступ | 10 без тегов |
3 | доступ | 10 без тегов |
4 | доступ | 10 без тегов |
5 | доступ | 20 без тегов |
6 | доступ | 20 без тегов |
7 | доступ | 20 без тегов |
8 | доступ | 20 без тегов |
Включить 802.1 квартал VLAN
Чтобы настроить коммутатор для использования транкинга 802.1Q VLAN:
Перейдите в меню System в левой части страницы
Щелкните Настройка группы VLAN , как показано на рисунке Настройка группы VLAN.
Настройка группы VLAN
Выберите IEEE 802.1Q VLAN (Рисунок Включить 802.1Q VLAN).
Включить 802.1Q VLAN
Нажмите ОК , чтобы подтвердить переключение на 802.Транкинг 1Q, как показано на рисунке Подтвердите переход на 802.1Q VLAN.
Подтвердите переход на 802.1Q VLAN
После нажатия OK страница обновится с конфигурацией 802.1Q VLAN как показано на рисунке Конфигурация 802.1Q по умолчанию.
Конфигурация 802.1Q по умолчанию
Добавить VLAN
В этом примере добавлены две сети VLAN с идентификаторами 10
и 20
.
Чтобы добавить VLAN:
Щелкните раскрывающийся список Управление VLAN
Щелкните Добавить новую VLAN , как показано на рисунке Добавить новую VLAN.
Добавить новую VLAN
Введите идентификатор VLAN для этой новой VLAN, например
10
Щелкните Применить . Экран VLAN теперь готов для настройки VLAN 10 (рис. Добавьте VLAN 10).
Щелкните Добавить новую VLAN еще раз, как показано на рисунке Добавить новую VLAN в добавьте VLAN 20 (рисунок Добавить VLAN 20).
Добавить VLAN 10
Добавить VLAN 20
Добавьте необходимое количество VLAN и переходите к следующему разделу.
Настроить теги VLAN
Когда VLAN выбрана из раскрывающегося списка VLAN Management , отображается как эта VLAN настроена на каждом порту:
Пустое поле означает, что порт не является членом выбранной VLAN.
Поле, содержащее T , означает, что VLAN отправляется на этот порт с тегом 802.1Q.
U указывает, что порт является членом этой VLAN, и оставляет порт нетегированным.
К магистральному порту должны быть добавлены и помечены как VLAN, так и теги.
Предупреждение
Не изменять конфигурацию порта, используемого для доступа веб-интерфейс коммутатора! Это заблокирует доступ администратора к выключатель. Единственным средством восстановления на GS108Tv2 является сброс на заводские настройки по умолчанию — кнопка , так как у нее нет последовательной консоли. Для коммутаторы с последовательными консолями, держите нуль-модемный кабель под рукой на случай сетевое соединение с коммутатором потеряно.Настройка управляющей VLAN рассматривается позже в этом разделе.
Щелкните поля под номером порта, как показано на рисунке. ref: figure-toggle-vlan-members для переключения между тремя вариантами VLAN.
Переключить членство в VLAN
Настроить членство в VLAN 10
На рисунке Настроить членство в VLAN 10 показано, что VLAN 10 настроена как из таблицы table-netgear-gs108t-vlan-configuration . Порты доступа на для этой VLAN установлено значение без тегов, , в то время как порт магистрали настроен на тегированный.
Настроить членство в VLAN 10
Настроить членство в VLAN 20
Выберите 20 из раскрывающегося списка VLAN Management, чтобы настроить порт. членство в VLAN 20 .
Настроить членство в VLAN 20
Изменить PVID
На коммутаторах Netgear, в дополнение к ранее настроенной маркировке параметры, PVID также должен быть настроен для указания используемой VLAN для фреймов, поступающих в порт:
Выберите PVID из раскрывающегося списка VLAN Management, как показано на рисунке. Настройка PVID.
Настройка PVID
Параметр PVID по умолчанию — VLAN 1 для всех портов, как показано на рисунке. Конфигурация PVID по умолчанию.
Конфигурация PVID по умолчанию
Измените PVID для каждого порта доступа, но оставьте магистральный порт и порт используемыми для доступа к интерфейсу управления коммутатором введите 1 .
На рисунке Конфигурация VLAN 10 и 20 PVID показана конфигурация PVID. соответствие назначений портов, показанных в таблице Конфигурация Netgear GS108T VLAN, порт 8 используется для получить доступ к интерфейсу управления коммутатором.
Конфигурация VLAN 10 и 20 PVID
Применить изменения по завершении
Удалить конфигурацию VLAN 1
По умолчанию все порты являются членами VLAN 1 с немаркированным исходящим трафиком. кадры. Чтобы удалить VLAN 1 из других портов:
Выберите 1 (по умолчанию) из раскрывающегося списка Управление VLAN
Удалите VLAN 1 со всех портов, кроме того, который используется для управления коммутатором и магистральный порт, чтобы избежать отключения.
В этом примере порт 8 используется для управления коммутатором. Когда закончите, Экран будет выглядеть как Рисунок Удаление членства в VLAN 1.
Удалить членство в VLAN 1
Применить изменения по завершении
Проверить работоспособность VLAN
Настройте VLAN на pfSense, включая DHCP-сервер на интерфейсах VLAN, если нужный. Подключите системы к настроенным портам доступа и проверьте возможность подключения. Если все работает как надо, переходите к следующему шагу.Если что-то не работает как предполагалось, просмотрите маркировку и конфигурацию PVID на коммутаторе и VLAN конфигурация и назначение интерфейсов в pfSense.
Управляемые коммутаторы Dell PowerConnect
Интерфейс управления коммутаторами Dell незначительно отличается в зависимости от модели, но следующая процедура подходит для большинства моделей. Конфигурация вполне по стилю похож на Cisco IOS.
Сначала создайте сети VLAN:
консоль # config console (config) # база данных vlan console (config-vlan) # vlan 10 имя dmz media ethernet console (config-vlan) # vlan 20 имя телефоны media ethernet console (config-vlan) # выход
Затем настройте магистральный порт:
console (config) # interface ethernet 1/1 console (config-if) # транк в режиме switchport console (config-if) # switchport разрешен vlan добавить 1-4094 с тегами console (config-if) # выход
Наконец, добавьте порты в VLAN:
console (config) # interface ethernet 1/15 console (config-if) # switchport разрешено vlan добавить 10 без тегов console (config-if) # выход
Как настроить VLAN: пошаговое руководство
Виртуальная локальная сеть или VLAN — это способ разделения компьютеров в сети на группы кластеров, которые служат общей бизнес-цели . Часть LAN указывает, что мы разделяем физическое оборудование , а виртуальная часть указывает, что мы используем логику для выполнения этого. В этой статье мы увидим, как вы можете создать VLAN, а затем настроить ее, чтобы пакеты данных из другой VLAN могли переходить в нее.
Примечание : хотя мы постарались сделать все упражнение по настройке VLAN как можно проще, предполагается, что вы, читатель, имеете базовые представления о конфигурации сети.Мы также предполагаем, что у вас есть практические знания концепций и целей IP-адресов, шлюзов, коммутаторов и маршрутизаторов. Кроме того, вам также необходимо знать о процедурах настройки интерфейса и субинтерфейса на компьютерах и сетевых устройствах.
Пошаговое руководство — Как настроить VLAN
Лучший способ научиться настраивать VLAN — не считая посещения школы сетевых технологий — это сделать это на практике. А поскольку не у всех нас есть маршрутизаторы и коммутаторы, было бы разумно создать нашу VLAN в смоделированной среде.
В этом примере мы будем использовать Cisco Packet Tracer , чтобы продемонстрировать, как настроить нашу VLAN. Это один из самых простых и наиболее реалистичных инструментов в использовании, позволяющий использовать как графический интерфейс, так и интерфейс командной строки. Таким образом, вы можете видеть команды, которые выполняются в режиме реального времени, даже если вы просто щелкаете мышью и перетаскиваете мышью, когда занимаетесь настройкой.
Инструмент можно загрузить, настроить и проверить (открыв учебную учетную запись в Cisco Networking Academy ).Не волнуйтесь; вы можете просто подписаться на БЕСПЛАТНЫЙ курс Cisco Packet Tracer , чтобы получить полный доступ к инструменту проектирования .
Кроме того, помимо простоты использования, поскольку Cisco является лидером рынка, мы считаем, что это подходящий выбор для демонстрации того, как настроить VLAN.
Конечно, вы можете использовать любой другой аналогичный инструмент — потому что концепция остается той же. Быстрый поиск в Интернете покажет вам, что есть приложения — как для настольных компьютеров, так и для браузеров — для каждой марки устройств с сетевым интерфейсом.Найдите и работайте с тем, с которым вам удобнее всего.
Router-on-a-Stick — объяснение
Несмотря на то, что существует множество способов настройки VLAN или inter-VLAN, архитектура , которую мы будем создавать, будет использовать так называемый маршрутизатор Cisco Router on a Stick .
В этой сетевой конфигурации наш маршрутизатор будет иметь одно физическое или логическое соединение с нашей сетью. Этот маршрутизатор поможет соединить две сети VLAN, которые не могут взаимодействовать друг с другом, подключившись к нашему коммутатору с помощью одного кабеля.
Вот как это работает: пакеты данных, которые отправляются с компьютера в учетную VLAN и предназначены для компьютера в логистической VLAN, отправляются на коммутатор. Коммутатор, обнаружив, что пакеты должны перейти в другую VLAN, перенаправит трафик на маршрутизатор.
Маршрутизатор, тем временем, будет иметь один физический интерфейс (в нашем примере — сетевой кабель), который разделен на два логических подчиненных интерфейса . Каждому субинтерфейсу будет разрешен доступ к одной VLAN.
Когда пакеты данных прибывают в маршрутизатор, они будут перенаправлены в правильную VLAN через авторизованный субинтерфейс, а затем прибудут в предполагаемое место назначения.
Наш маршрутизатор на карте VLAN с возможностью подключения к ним будет выглядеть следующим образом:
Планирование задач
Вся задача по созданию нашей сетевой архитектуры будет разделена на четыре основные категории, в которых вы будете:
- Подключите все устройства , чтобы сформировать правильную архитектуру
- Настроить интерфейсы , чтобы все устройства могли «разговаривать» друг с другом
- Создайте сети VLAN и назначьте компьютеры их соответствующим VLAN
- Подтвердите правильную конфигурацию , продемонстрировав, что компьютеры не могут обмениваться данными за пределами своей VLAN
Итак, без лишних слов, приступим к созданию нашей VLAN.Помните, что изначально к нему будут подключены коммутатор и четыре компьютера. Вы можете добавить маршрутизатор в дизайн позже, если захотите.
Подключить все устройства
Перетащите коммутатор, маршрутизатор и четыре компьютера на главную плату дизайна. Для нашей демонстрации мы будем использовать коммутатор 2960 и маршрутизатор 2911. Коммутатор будет подключаться к четырем компьютерам ( ПК 0 , ПК 1 , ПК 2 и ПК 3 ) с помощью прямых медных проводов ( вы увидите описание оборудования и типов подключения в самом низу окна Tracer).
Затем, подключите коммутатор к каждому компьютеру, используя порты FastEthernet .
Как только все устройства подключены, между устройствами должен проходить зеленый трафик. Поскольку инструмент пытается имитировать загрузку и подключение устройств в реальном мире , это может занять минуту или две. Так что не беспокойтесь, если индикаторы потока данных останутся оранжевыми в течение нескольких секунд. Если ваши подключения и настройки верны, скоро все станет зеленым.
Чтобы упростить понимание, давайте обозначим два компьютера слева как принадлежащие бухгалтерии (синий) , а два других — как , принадлежащие отделам логистики (красный) .
Настроить интерфейсы
Теперь давайте начнем назначать IP-адреса, чтобы наши компьютеры могли начать общаться друг с другом. Назначение IP-адресов будет выглядеть так:
- ACCT PC 0 = 192.168.1.10 / 255.255.255.0
- ACCT ПК 1 = 192.168.1.20/255.255.255.0
- ПК журналов 2 = 192.168.2.10/255.255.255.0
- ЖУРНАЛ ПК 3 = 192.168.2.20/255.255.255.0
Шлюз по умолчанию для компьютеров — 192.168.1.1 для первых двух в бухгалтерии и 192.168.2.1 для двух последних компьютеров в логистике . Вы можете получить доступ к конфигурации, перейдя в меню рабочего стола , а затем щелкнув окно IP Configuration .
Когда вы окажетесь там, начните вводить конфигурации для всех компьютеров:
Когда вы закончите, мы можем перейти к переключателю. Однако сначала нам нужно помнить, что на нашем коммутаторе будет два типа портов :
- Порты доступа: это порты, которые будут использоваться для подключения к ним обычных устройств, таких как компьютеры и серверы; в нашем примере это FastEthernet 0/1 , FastEthernet 1/1 , FastEthernet 2/1 и FastEthernet 3/1 — по одному для каждого компьютера.
- Магистральные порты: это порты, которые позволяют коммутатору обмениваться данными с другим коммутатором — или в нашем примере связь VLAN-VLAN на том же коммутаторе (через маршрутизатор) — для расширения сети; мы будем использовать порты GigaEthernet0 / 0 на обоих устройствах связи.
Имея это в виду, перейдем к самой интересной части — настройке коммутатора для работы наших VLAN.
Создание сетей VLAN и назначение компьютеров
Итак, давайте сначала создадим сети VLAN — они будут называться ACCT (VLAN 10) и LOGS (VLAN 20) .
Перейдите в интерфейс командной строки коммутатора и введите команды:
Switch # config терминал Переключатель (config) #vlan 10 Коммутатор (config-vlan) # имя ACCT Коммутатор (config-vlan) #vlan 20 Коммутатор (config-vlan) # имя LOGS
Команды в вашем CLI должны выглядеть так:
Или, если вам не до этого, вы можете просто использовать графический интерфейс для создания VLAN (и по-прежнему видеть, как выполняются команды, как они выполняются ниже).Перейдите в меню Config-VLAN Database и ADD VLANs, введя их номера (10,20) и имена (ACCT, LOGS) .
Затем нам нужно назначить каждый порт, который коммутатор использует для подключения компьютеров, к их соответствующим VLAN .
Вы можете просто выбрать интерфейс, а затем установить флажок соответствующей VLAN в меню конфигурации справа :
Как видно из изображения выше, вы также можете войти в интерфейс командной строки каждого порта и использовать команду: switchport access vlan 10 для выполнения той же задачи .
Не волнуйтесь; есть более короткий способ сделать это в случае, если нужно назначить большое количество портов. Например, если у вас 14 портов, команда будет:
Переключатель (config-if) #int range fa0 / 1-14 Switch (config-if-range) #switchport mode access
Вторая команда проверяет, понимает ли коммутатор, что порты должны быть портами ACCESS , а не портами TRUNK .
Подтвердите правильную конфигурацию
Вот и все; мы создали две сети VLAN на одном коммутаторе.Чтобы проверить это и подтвердить, что наша конфигурация верна, мы можем попробовать выполнить эхо-запрос P 1 и P 3 с P 0 . Первый эхо-запрос должен пройти нормально, в то время как второй должен истечь время ожидания и потерять все пакеты:
Как настроить между VLAN
Теперь, хотя мы разделили компьютеры на две сети VLAN — как и требовалось — более логично, что двум отделам (бухгалтерии и логистике) потребуется взаимодействовать друг с другом.Это было бы нормой в любой реальной деловой среде. В конце концов, логистику нельзя купить или поставить без финансовой поддержки, верно?
Итак, нам нужно убедиться, что ACCT и LOGS могут взаимодействовать, даже если они находятся в разных VLAN. Это означает, что нам нужно создать связь между VLAN .
Вот как это сделать
Нам понадобится помощь нашего роутера; он будет действовать как мост между двумя виртуальными локальными сетями — поэтому, продолжайте и добавьте маршрутизатор в свой проект, если вы еще этого не сделали.
Переходя к настройке, мы должны понимать, что мы будем использовать один порт на маршрутизаторе для связи обеих сетей VLAN , « разделив » на два порта. Между тем, коммутатор будет использовать только один порт TRUNK для отправки и приема всех сообщений на маршрутизатор и от него.
Итак, возвращаясь к нашему маршрутизатору, мы разделим интерфейс GigabitEthernet0 / 0 на GigabitEthernet0 / 0.10 (для VLAN10) и GigabitEthernet0 / 0.20 (для VLAN20). Затем мы будем использовать стандартный протокол IEEE 802.1Q для соединения коммутаторов, маршрутизаторов и определения топологий VLAN.
После этого эти «подчиненные интерфейсы» — как они называются — затем назначаются каждой VLAN, к которой мы хотим подключить или мост.
Наконец, помните шлюзы — 192.168.1.1 и 192.168.2.1 — которые мы добавляли к конфигурациям компьютеров ранее ? Ну, это будут новые IP-адреса разделенных портов или подчиненных интерфейсов на маршрутизаторе.
Команды интерфейса командной строки для создания субинтерфейсов в интерфейсе GigabitEthernet0 / 0 будут иметь следующий вид:
Маршрутизатор(конфигурация) # интерфейс GigabitEthernet0 / 0.10 Маршрутизатор (config-subif) #encapsulation dot1q 10 Маршрутизатор (config-subif) #ip-адрес 192.168.1.1 255.255.255.0
Повторяя все это для второго субинтерфейса и VLAN, получаем
Маршрутизатор(конфигурация) # интерфейс GigabitEthernet0 / 0.20 Маршрутизатор (config-subif) #encapsulation dot1q 20 Маршрутизатор (config-subif) #ip адрес 192.168.2.1 255.255.255.0
После закрытия интерфейса командной строки вы можете подтвердить правильность конфигурации, просто наведя указатель мыши на маршрутизатор, чтобы увидеть свою работу, которая должна выглядеть примерно так:
Теперь мы знаем, что мы можем подключить наши подчиненные интерфейсы (на маршрутизаторе) к нашему коммутатору только через его магистральный порт — и поэтому нам нужно будет создать его сейчас.
Все, что вам нужно сделать, это войти в конфигурацию GigabitEthernet0 / 0 коммутатора и запустить: switchport mode trunk .
И вот оно; , вы только что создали две сети VLAN, каждая из которых содержит по два компьютера и все еще может взаимодействовать друг с другом. . Вы можете доказать это , выполнив эхо-запрос первого компьютера логистики (ПК 2 ) с IP-адресом 192.168.2.10 с первого компьютера учета (ПК 0 ) с IP-адресом 192.168.1.10 :
Большой успех!
Зачем настраивать VLAN или inter-VLAN
На этом этапе некоторые из вас могут задаться вопросом, зачем нам вообще нужно выполнять это упражнение и беспокоиться о виртуальных локальных сетях или между виртуальными локальными сетями.Что ж, есть много причин, некоторые из которых:
- Безопасность Разделение сети на компоненты гарантирует, что только авторизованные пользователи и устройства могут получить доступ к подсети. Вы же не хотите, чтобы ваши бухгалтеры вмешивались в работу вашего отдела логистики или наоборот.
- Безопасность В случае вирусной эпидемии только одна подсеть будет затронута, поскольку устройства в одной подсети не смогут обмениваться данными — и, следовательно, передавать — вирус в другую.Таким образом, процедуры очистки будут сосредоточены на этой подсети, что также значительно упростит идентификацию машины-виновника.
- Обеспечивает конфиденциальность путем изоляции Если кто-то хотел узнать об архитектуре вашей сети (с намерением атаковать ее), он использовал бы анализатор пакетов , чтобы составить карту вашего макета. С изолированными подсетями злоумышленники смогут получить лишь частичное представление о вашей сети, таким образом, отказавшись, например, от критически важной информации о ваших уязвимостях.
- Упрощает сетевой трафик Изолированные подсети могут снизить использование трафика, ограничивая ресурсоемкие процессы их собственными областями и не перегружая всю сеть. Это означает, что тот факт, что ИТ-специалисты распространяют критические обновления на бухгалтерские машины, не означает, что логистическому отделу также придется столкнуться с замедлением работы сети.
- Приоритизация трафика Для предприятий, которые имеют различные типы трафика данных, конфиденциальные или ресурсоемкие пакеты (например, VoIP, мультимедиа и большие объемы передачи данных) могут быть назначены VLAN с более широким широкополосным доступом, в то время как те, которым нужна только сеть для отправки электронной почты можно назначить VLAN с меньшей пропускной способностью.
- Масштабируемость Когда бизнесу необходимо масштабировать ресурсы, доступные для его компьютеров, он может переназначить их новым сетям VLAN. Их администраторы просто создают новую VLAN, а затем с легкостью перемещают в нее компьютеры.
Как мы видим, VLAN помогают защитить сеть, а также улучшают производительность пакетов данных , которые передаются по ней.
Статическая VLAN против динамической VLAN
Мы подумали, что стоит упомянуть, что для реализации доступны два типа VLAN:
Статическая VLAN
Этот дизайн VLAN зависит от оборудования для создания подсетей .Компьютеры назначаются на определенный порт на коммутаторе и подключаются прямо к нему. Если им нужно перейти в другую VLAN, компьютеры просто отключаются от старого коммутатора и снова подключаются к новому.
Проблема в том, что любой может перейти из одной VLAN в другую, просто переключив порты, к которым он подключен. Это означает, что администраторам потребуются методы или устройства физической безопасности для предотвращения такого несанкционированного доступа.
Динамическая VLAN
Это VLAN, которую мы только что создали в упражнении , которое мы сделали ранее.В этой архитектуре VLAN у нас есть программные VLAN, в которых администраторы просто используют логику для назначения определенных IP- или MAC-адресов своим соответствующим VLAN.
Это означает, что устройства можно перемещать в любую часть предприятия, и как только они подключаются к сети, они возвращаются в свои предварительно назначенные VLAN. В дополнительных настройках нет необходимости.
Если у этого сценария есть один недостаток, это может быть только то, что бизнесу потребуется инвестировать в интеллектуальный коммутатор — коммутатор политики управления VLAN (VMPS), который может быть дорогостоящим по сравнению с традиционным коммутатором, используемым в статические VLAN.
Здесь также можно с уверенностью предположить, что предприятий с несколькими компьютерами и меньшим ИТ-бюджетом могут выбрать реализацию статической VLAN , в то время как предприятий с большим количеством устройств и потребностью в большей эффективности и безопасности будет разумно инвестировать в динамической VLAN .
Заключение
Мы надеемся, что вы нашли всю необходимую информацию о том, как настроить VLAN. Мы также надеемся, что выполнить упражнение было легко, и что теперь вы можете продолжить работу над полученными знаниями.Поскольку , даже если вы продолжаете увеличивать масштаб, эти основные шаги остаются теми же — вы просто продолжаете добавлять оборудование и конфигурации к основам.
vlans.mif
% PDF-1.4 % 1 0 объект > эндобдж 9 0 объект > эндобдж 2 0 obj > эндобдж 3 0 obj > эндобдж 4 0 obj > ручей Acrobat Distiller 7.0 (Windows) 2007-04-20T10: 26: 36ZFrameMaker 7.22007-04-20T10: 26: 36Zapplication / pdf
VLAN в домашних сетях — настройка и использование
На заре создания сетей для разделения сети на сегменты требовался маршрутизатор.
VLANS или Virtual LANS — это технология, которая позволяет разделить домашнюю сеть на сегменты с помощью недорогих коммутаторов.
Обычно коммутатор отправляет широковещательный трафик на все подключенные порты и позволяет устройствам, подключенным к любому порту, связываться с любым другим устройством.
VLANS были созданы, чтобы уменьшить объем широковещательного трафика в сети.
Однако в домашних сетях они используются в основном для повышения безопасности сети.
Если мы рассмотрим коммутатор с 8 портами, как показано на схеме ниже.
Широковещательная рассылка, отправленная с устройства, подключенного к любому порту, будет отправлена на все порты.
Кроме того, любое устройство, подключенное к любому порту, может взаимодействовать с любым другим устройством, подключенным к любому порту.
Это становится проблематичным, если у вас есть ненадежные устройства с доступом к вашей сети или, как в случае домашней автоматизации, у вас есть устройства IOT, которые могут быть уязвимы для атак.
Однако с помощью коммутатора с поддержкой VLAN можно ограничивать широковещательные передачи и контролировать, какие устройства могут взаимодействовать друг с другом.
Это позволяет создать более безопасную домашнюю сеть.
Теперь возьмем 8-портовый коммутатор и разделим его на две VLAN, которые мы назовем VLAN1 и VLAN2 , как показано ниже.
В этой конфигурации мы фактически создали две независимые сети. Устройства, подключенные к VLAN1 , не могут обмениваться данными с устройствами, подключенными к VLAN2 и наоборот
VLAN используется в домашней сети
В основном используется для обеспечения безопасности, когда вы хотите изолировать определенные машины от основной сети. Вот два примера использования, которые должны прояснить ситуацию.
Примеры простого дизайна
Пример 1
У вас есть постояльцы или гостевой дом, и вы хотите изолировать гостевые машины от вашей основной сети, но предоставить им доступ в Интернет.
Пример 2
У вас есть устройства IOT, и вы хотите изолировать их от основной сети, но должны быть доступны из Интернета.
Реализация примеров 1 и 2
Для реализации обоих примеров 1 и 2 нам потребуется коммутатор с поддержкой VLAN, который мы разделили на 2 VLANS.
1 VLAN будет для наших домашних устройств VLAN1, а другой — для наших устройств IOT или для гостевого доступа (VLAN2).
Один порт коммутатора будет общим для обеих сетей VLAN и подключается к нашему маршрутизатору.Это показано на схеме ниже.
На приведенном выше рисунке порт 1 является общим для VLAN1 и VLAN2 и подключен к маршрутизатору, чтобы предоставить обеим виртуальным локальным сетям доступ к Интернету.
Устройства, подключенные к портам 2,3,4,5 , могут напрямую связываться с другими, т. Е. Вы можете их пропинговать.
Они также могут получить доступ к Интернету, но не могут подключаться к устройствам, подключенным к портам 6,7,8.
Устройства, подключенные к портам 6,7,8 , могут напрямую связываться с другими i.e вы можете пинговать их.
У них также есть доступ к Интернету, но они не могут подключаться к устройствам, подключенным к портам 2,3,4,5.
Конфигурация маршрутизатора TP-Link
Мой маршрутизатор TPlink также поддерживает VLANS, поэтому я подключаю свою гостевую сеть, которая находится в подвале, к LAN1 (порт 1) и назначаю ее собственной VLAN.
Нет возможности назначить Wan-интерфейс, поскольку он разрешен автоматически.
Это схема моей домашней сети, использующей маршрутизатор TP-link..
Примечания:
- Маршрутизатор Wi-Fi находится в VLAN основной сети.
- Маршрутизатор назначает другую подсеть второй VLAN. Основная сеть использует 192.168.1.0, а базовая VLAN использует 192.168.2.0 .
Коммутаторы с поддержкой VLAN
Обычно, если коммутатор помечен как интеллектуальный коммутатор или управляемый коммутатор , он будет иметь поддержку VLAN, но вы должны прочитать описание, чтобы быть уверенным.
Ниже приведен снимок экрана с Amazon коммутатора TP-link (30 фунтов стерлингов), который поддерживает сети VLAN.
Сводка
Сети VLANпредоставляют отличный и недорогой метод значительного повышения безопасности вашей домашней сети, и их следует учитывать, если вы делитесь своей сетью с гостями и / или имеете устройства IOT, подключенные к вашей сети.
Связанные руководства и ресурсы
Пожалуйста, дайте мне знать, если вы нашли это полезным
Как настроить виртуальную локальную сеть (VLAN)
VLAN повсюду. Вы можете найти их в большинстве организаций с правильно настроенной сетью.Если это не было очевидно, VLAN означает «виртуальная локальная сеть», и они повсеместно распространены в любой современной сети, превышающей размер крошечной домашней или очень маленькой офисной сети.
Существует несколько различных протоколов, многие из которых зависят от производителя, но по своей сути каждая VLAN делает примерно то же самое и дает преимущества масштабирования VLAN по мере роста вашей сети и ее организационной сложности.
Эти преимущества во многом объясняют, почему виртуальные локальные сети так сильно зависят от профессиональных сетей любого размера.Фактически, без них было бы сложно управлять сетями или масштабировать их.
Преимущества и масштабируемость сетей VLAN объясняют, почему они стали настолько повсеместными в современных сетевых средах. С пользователем виртуальных локальных сетей было бы сложно управлять или масштабировать даже сети средней сложности.
Что такое VLAN?
Хорошо, вы знаете аббревиатуру, но что такое VLAN? Базовая концепция должна быть знакома всем, кто работал с виртуальными серверами или использовал их.
Задумайтесь на секунду, как работают виртуальные машины.Несколько виртуальных серверов размещаются в одном физическом элементе оборудования, на котором работает операционная система и гипервизор для создания и запуска виртуальных серверов на одном физическом сервере. Благодаря виртуализации вы можете эффективно превратить один физический компьютер в несколько виртуальных компьютеров, каждый из которых доступен для отдельных задач и пользователей.
Виртуальные локальные сети работают так же, как виртуальные серверы. На одном или нескольких управляемых коммутаторах запускается программное обеспечение (аналогичное программному обеспечению гипервизора), которое позволяет коммутаторам создавать несколько виртуальных коммутаторов в одной физической сети.
Каждый виртуальный коммутатор представляет собой собственную автономную сеть. Основное различие между виртуальными серверами и виртуальными локальными сетями заключается в том, что виртуальные локальные сети могут быть распределены по нескольким физическим компонентам оборудования с помощью специального кабеля, называемого магистралью.
Как это работает
Представьте, что вы управляете сетью для растущего малого бизнеса, добавляя сотрудников, разделяя их на отдельные отделы и становясь более сложной и организованной.
Чтобы отреагировать на эти изменения, вы обновили коммутатор до 24-портового, чтобы разместить новые устройства в сети.
Вы можете просто подключить кабель Ethernet к каждому из новых устройств и вызвать задачу как выполненную, но проблема в том, что хранилище файлов и службы, используемые каждым отделом, должны храниться отдельно. VLAN — лучший способ сделать это.
В веб-интерфейсе коммутатора можно настроить три отдельные сети VLAN, по одной для каждого отдела. Самый простой способ их разделить — по номерам портов. Вы можете назначить порты 1-8 первому отделу, назначить порты 9-16 второму отделу и, наконец, назначить порты 17-24 g последнему отделу.Теперь вы организовали свою физическую сеть в три виртуальные сети.
Программное обеспечение коммутатора может управлять трафиком между клиентами в каждой VLAN. Каждая VLAN действует как собственная сеть и не может напрямую взаимодействовать с другими VLAN. Теперь у каждого отдела есть своя собственная меньшая, менее загроможденная и более эффективная сеть, и вы можете управлять ими с помощью одного и того же оборудования. Это очень эффективный и экономичный способ управления сетью.
Если вам нужно, чтобы отделы могли взаимодействовать, вы можете сделать это через маршрутизатор в сети.Маршрутизатор может регулировать и контролировать трафик между сетями VLAN и обеспечивать более строгие правила безопасности.
Во многих случаях отделам необходимо работать вместе и взаимодействовать. Вы можете реализовать связь между виртуальными сетями через маршрутизатор, задав правила безопасности для обеспечения соответствующей безопасности и конфиденциальности отдельных виртуальных сетей.
VLAN и подсеть
VLAN и подсети на самом деле очень похожи и выполняют аналогичные функции. И подсети, и VLAN разделяют сети и широковещательные домены.В обоих случаях взаимодействие между подразделениями может происходить только через маршрутизатор.
Различия между ними заключаются в их реализации и в том, как они изменяют структуру сети.
IP-адрес Подсеть
Подсети существуют на уровне 3 модели OSI, сетевом уровне. Подсети представляют собой структуру сетевого уровня и обрабатываются маршрутизаторами, организованными вокруг IP-адресов.
Маршрутизаторы выделяют диапазоны IP-адресов и согласовывают соединения между ними.Это возлагает всю нагрузку на управление сетью на маршрутизатор. Подсети также могут усложняться по мере увеличения размера и сложности вашей сети.
VLAN
VLAN находят свое пристанище на уровне 2 модели OSI. Уровень канала передачи данных более близок к аппаратному и менее абстрактен. Виртуальные локальные сети эмулируют оборудование, действующее как отдельные коммутаторы.
Однако виртуальные локальные сети могут разбивать широковещательные домены без необходимости подключаться обратно к маршрутизатору, что снимает с маршрутизатора часть бремени управления.
Поскольку VLAN являются собственными виртуальными сетями, они должны вести себя как встроенные маршрутизаторы. В результате VLAN содержат по крайней мере одну подсеть и могут поддерживать несколько подсетей.
VLAN распределяют сетевую нагрузку, а. несколько коммутаторов могут обрабатывать трафик внутри VLAN без участия маршрутизатора, что делает систему более эффективной.
Преимущества VLAN
К настоящему времени вы уже увидели несколько преимуществ, которые VLAN приносят.В силу того, что они делают, VLAN обладают рядом ценных атрибутов.
VLAN помогают в обеспечении безопасности. Разделение трафика ограничивает любую возможность несанкционированного доступа к частям сети. Это также помогает остановить распространение вредоносного программного обеспечения, если оно попадет в сеть. Потенциальные злоумышленники не могут использовать такие инструменты, как Wireshark, для перехвата пакетов где-либо за пределами виртуальной локальной сети, в которой они находятся, что также ограничивает эту угрозу.
Эффективность сети имеет большое значение.Внедрение виртуальных локальных сетей может сэкономить или обойтись компании в тысячи долларов. Разделение широковещательных доменов значительно увеличивает эффективность сети за счет ограничения количества устройств, участвующих в обмене данными одновременно. VLAN снижает потребность в развертывании маршрутизаторов для управления сетями.
Часто сетевые инженеры предпочитают создавать виртуальные локальные сети для каждой услуги, отделяя важный или интенсивный сетевой трафик, такой как сеть хранения данных (SAN) или передача голоса по IP (VOIP). Некоторые коммутаторы также позволяют администратору устанавливать приоритеты для виртуальных локальных сетей, предоставляя больше ресурсов более требовательному и отсутствующему критическому трафику.
Было бы ужасно создавать независимую физическую сеть для разделения трафика. Представьте запутанный клубок кабелей, с которыми вам придется бороться, чтобы внести изменения. Это не говоря уже об увеличении стоимости оборудования и энергопотребления. Кроме того, он был бы крайне негибким. VLAN решают все эти проблемы за счет виртуализации нескольких коммутаторов на одном устройстве.
VLAN обеспечивают высокую степень гибкости для сетевых администраторов благодаря удобному программному интерфейсу.Скажем, два отдела меняют офисы. Должен ли ИТ-персонал перемещаться между оборудованием, чтобы приспособиться к изменениям? Нет. Они могут просто переназначить порты на коммутаторах правильным сетям VLAN. Для некоторых конфигураций VLAN этого даже не требуется. Они динамически приспосабливались. Этим сетям VLAN не требуются назначенные порты. Вместо этого они основаны на MAC- или IP-адресах. В любом случае перетасовка переключателей или кабелей не требуется. Гораздо эффективнее и экономичнее реализовать программное решение для изменения местоположения сети, чем перемещать физическое оборудование.
Статические и динамические сети VLAN
Существует два основных типа VLAN, которые подразделяются на категории по способу подключения к ним компьютеров. У каждого типа есть сильные и слабые стороны, которые следует учитывать в зависимости от конкретной сетевой ситуации.
Статическая VLAN
Статические VLAN часто называют сетями VLAN на основе портов, поскольку устройства подключаются путем подключения к назначенному порту. В этом руководстве в качестве примеров пока использовались только статические VLAN.
При настройке сети со статическими VLAN инженер разделит коммутатор по его портам и назначит каждый порт для VLAN.Любое устройство, которое подключается к этому физическому порту, присоединится к этой VLAN.
Статические VLAN обеспечивают очень простую и удобную настройку сетей без особой зависимости от программного обеспечения. Однако сложно ограничить доступ в пределах физического местоположения, потому что человек может просто подключиться. Статические VLAN также требуют, чтобы администратор сети изменил назначение портов на случай, если кто-то в сети изменит физическое местоположение.
Dynamic VLAN
Динамические VLAN во многом зависят от программного обеспечения и обеспечивают высокую степень гибкости.Администратор может назначать MAC- и IP-адреса для определенных VLAN, что позволяет беспрепятственно перемещаться в физическом пространстве. Машины в динамической виртуальной локальной сети могут перемещаться в любом месте сети и оставаться в одной и той же виртуальной локальной сети.
Хотя динамические VLAN не имеют себе равных с точки зрения адаптируемости, у них есть ряд серьезных недостатков. Коммутатор высокого класса должен взять на себя роль сервера, известного как сервер политики управления VLAN (VMPS (для хранения и доставки адресной информации другим коммутаторам в сети.VMPS, как и любой другой сервер, требует регулярного управления и обслуживания и подвержен возможному простою.
Злоумышленники могут подделать MAC-адреса и получить доступ к динамическим VLAN, добавив еще одну потенциальную проблему безопасности.
Настройка VLAN
Что вам нужно
Есть несколько основных элементов, которые вам понадобятся для настройки VLAN или нескольких VLAN. Как указывалось ранее, существует ряд различных стандартов, но наиболее универсальным из них является IEEE 802.1Q. Это то, чему будет следовать этот пример.
Маршрутизатор
Технически вам не нужен маршрутизатор для настройки VLAN, но если вы хотите, чтобы несколько VLAN взаимодействовали друг с другом, вам понадобится маршрутизатор.
Многие современные маршрутизаторы в той или иной форме поддерживают функции VLAN. Домашние маршрутизаторы могут не поддерживать VLAN или поддерживать ее только с ограниченными возможностями. Кастомная прошивка, такая как DD-WRT, поддерживает ее более тщательно.
Говоря о кастомизации, вам не нужен стандартный маршрутизатор для работы с вашими виртуальными локальными сетями. Специальная прошивка маршрутизатора обычно основана на Unix-подобной ОС, такой как Linux или FreeBSD, поэтому вы можете создать свой собственный маршрутизатор, используя любую из этих операционных систем с открытым исходным кодом.
Все необходимые вам функции маршрутизации доступны для Linux, и вы можете настроить установку Linux в соответствии с вашими потребностями. Для чего-то более полного, загляните в pfSense. pfSense — отличный дистрибутив FreeBSD, созданный как надежное решение для маршрутизации с открытым исходным кодом. Он поддерживает сети VLAN и включает брандмауэр для лучшей защиты трафика между вашими виртуальными сетями.
Какой бы маршрут вы ни выбрали, убедитесь, что он поддерживает необходимые вам функции VLAN.
Управляемый коммутатор
Коммутаторы лежат в основе сетей VLAN. Там происходит волшебство. Однако вам нужен управляемый коммутатор, чтобы воспользоваться функциональностью VLAN.
Чтобы поднять уровень выше, буквально доступны управляемые коммутаторы уровня 3. Эти коммутаторы могут обрабатывать некоторый сетевой трафик уровня 3 и в некоторых ситуациях могут заменять маршрутизатор.
Важно помнить, что эти коммутаторы не являются маршрутизаторами, и их функциональность ограничена.Коммутаторы уровня 3 действительно снижают вероятность задержки в сети, что может быть критичным в некоторых средах, где критически важно иметь сеть с очень низкой задержкой.
Карты сетевого интерфейса клиента (NIC)
Сетевые адаптеры, которые вы используете на своих клиентских машинах, должны поддерживать 802.1Q. Скорее всего, есть, но есть на что обратить внимание, прежде чем двигаться дальше.
Базовая конфигурация
Вот самая сложная часть. Существуют тысячи различных возможностей настройки вашей сети.Ни одно руководство не может охватить их все. По сути, идеи, лежащие в основе практически любой конфигурации, одинаковы, как и общий процесс.
Настройка маршрутизатора
Вы можете начать работу несколькими способами. Вы можете подключить маршрутизатор к каждому коммутатору или к каждой VLAN. Если вы выберете только каждый коммутатор, вам нужно будет настроить маршрутизатор, чтобы дифференцировать трафик.
Затем вы можете настроить маршрутизатор для обработки проходящего трафика между VLAN.
Настройка коммутаторов
Предполагая, что это статические VLAN, вы можете войти в утилиту управления VLAN вашего коммутатора через его веб-интерфейс и начать назначать порты различным VLAN.Многие коммутаторы используют макет таблицы, который позволяет отмечать параметры для портов.
Если вы используете несколько коммутаторов, назначьте один из портов для всех ваших VLAN и установите его как магистральный порт. Сделайте это на каждом переключателе. Затем используйте эти порты для подключения между коммутаторами и распределения ваших VLAN на несколько устройств.
Подключение клиентов
Наконец, подключение клиентов к сети не требует пояснений. Подключите клиентские машины к портам, соответствующим тем виртуальным локальным сетям, в которых они должны быть.
VLAN дома
Несмотря на то, что это может не рассматриваться как логическая комбинация, на самом деле VLAN находят отличное применение в домашней сети, в гостевых сетях. Если вы не хотите настраивать сеть WPA2 Enterprise у себя дома и индивидуально создавать учетные данные для входа в систему для своих друзей и семьи, вы можете использовать виртуальные локальные сети, чтобы ограничить доступ ваших гостей к файлам и службам в вашей домашней сети.
Многие домашние маршрутизаторы более высокого уровня и специализированное микропрограммное обеспечение маршрутизаторов поддерживают создание базовых VLAN.Вы можете настроить гостевую VLAN с собственной информацией для входа, чтобы ваши друзья могли подключать свои мобильные устройства. Если ваш маршрутизатор поддерживает это, гостевая VLAN является отличным дополнительным уровнем безопасности, чтобы не дать зараженному вирусами ноутбуку вашего друга испортить вашу чистую сеть.
Настроить VLAN через физические порты
Вы можете создать VLAN для поддержки отдельных широковещательных доменов в одном и том же сетевом домене с помощью команды network port vlan create
.
Прежде чем начать
Ваш сетевой администратор должен подтвердить выполнение следующих требований:
Коммутаторы, развернутые в сети, должны соответствовать IEEE 802.1Q или иметь реализацию виртуальных локальных сетей, зависящую от поставщика.
Для поддержки нескольких VLAN конечная станция должна быть статически настроена для принадлежности к одной или нескольким VLAN.
VLAN не подключена к порту, на котором размещен кластерный LIF.
VLAN не подключена к портам, назначенным IP-пространству кластера.
VLAN не создается на порте группы интерфейсов, который не содержит портов-членов.
Об этой задаче
В определенных обстоятельствах, если вы хотите создать порт VLAN на порте с ухудшенными характеристиками без исправления аппаратной проблемы или какой-либо неправильной конфигурации программного обеспечения, вы можете установить параметр -ignore- health-status
команды network port modify
как истинный.
Создание VLAN подключает VLAN к сетевому порту на указанном узле в кластере.
При настройке VLAN через порт в первый раз порт может выйти из строя, что приведет к временному отключению сети. Последующие добавления VLAN к тому же порту не влияют на состояние порта.
Не следует создавать VLAN на сетевом интерфейсе с тем же идентификатором, что и собственная VLAN коммутатора. Например, если сетевой интерфейс e0b находится в собственной VLAN 10, вам не следует создавать VLAN e0b-10 на этом интерфейсе. |
Шаг
Используйте команду
network port vlan create
для создания VLAN.При создании VLAN необходимо указать либо
vlan-name
, либопорт
иvlan-id
.
Имя VLAN представляет собой комбинацию имени порта (или группы интерфейсов) и идентификатора VLAN сетевого коммутатора с дефисом между ними. Например,e0c-24
иe1c-80
— допустимые имена VLAN.
В следующем примере показано, как создать VLAN e1c-80
, подключенную к сетевому порту e1c
на узле cluster-1-01
:
сетевой порт vlan создать -node cluster-1-01 -vlan-name e1c-80
Начиная с ONTAP 9.8, виртуальные локальные сети автоматически помещаются в соответствующие широковещательные домены примерно через одну минуту после их создания. Если вы не хотите, чтобы ONTAP делал это, и предпочитаете вручную размещать VLAN в широковещательном домене, укажите параметр -skip-broadcast-domain-deployment
как часть команды vlan create
.
Настройка подсетей VLAN для домашней сети
В этом посте описывается, как настроить подсетей VLAN для вашей домашней сети.
Это часть 2 из 3 шагов руководства по защите домашней сети с помощью подсетей, основанных на использовании брандмауэра pfSense .
Так будет выглядеть домашняя сеть после завершения части 1 по созданию 2 физических подсетей . Теперь мы будем использовать технологию VLAN , чтобы добавить еще логических подсетей в домашнюю сеть.
Виртуальная локальная сеть (VLAN)
VLAN — это логическая группа устройств, образующая подсеть. Каждая VLAN имеет связанный VLAN ID (тег 802.1Q). Тегированный сетевой трафик содержит информацию об идентификаторе VLAN и принимается только устройствами с таким же идентификатором VLAN.
Основными преимуществами виртуальных локальных сетей являются повышение производительности, безопасность и простота управления с помощью конфигурации программного обеспечения. Наша цель использования VLAN — это гибкость создания нескольких подсетей для дальнейшего улучшения защиты домашней сети.
Это упражнение создаст 4 сети VLAN для дальнейшего разделения проводных и беспроводных устройств.
Требования к VLAN
Настройка VLAN с использованием Netgear GS108Ev3
Коммутатор имеет 8 портов, и это руководство настроит 4 VLAN, используя первые 6 портов, порт 7 для управления. порт 8 будет магистральным портом, подключающимся к pfSense.
Мы используем теги 802.1Q VLAN для определения 4 VLAN + собственная VLAN управления. Каждой VLAN будет назначен идентификатор VLAN: 10, 20, 30, 40, 99 (для собственной VLAN), и коммутатор будет настраиваться с использованием следующих параметров:
- Порт 1 и 2 для одной и той же VLAN с VLAN ID = 10
- Порт 3 и 4 для одной и той же VLAN с VLAN ID = 20
- Порт 5 для VLAN с VLAN ID = 30
- Порт 6 для VLAN с идентификатором VLAN = 40
- Порт 7 предназначен для собственной VLAN управления с идентификатором VLAN = 99
- Порт 8 является магистральным портом
Примечание: в этом руководстве для выполнения настройки будет использоваться браузер, работающий в Microsoft Windows 10.
Это руководство может показаться длинным и сложным. Но на самом деле большинство из них — это настройки конфигурации.
Подключение к коммутатору
Для подключения и настройки коммутатора требуется компьютер (настольный или портативный) с правами администратора. Предполагается, что коммутатор новый или был сброшен до заводских настроек по умолчанию.
IP-адрес по умолчанию коммутатора: 192.168.0.239 /255.255.255.0. Нам нужно назначить статический IP-адрес (давайте использовать 192.168.0.99 /255.255.255.0) к компьютеру, чтобы он мог обмениваться данными с коммутатором:
Установить статический IP-адрес
- В Windows 10 перейдите в Параметры Windows> Сеть и Интернет> Изменить параметры адаптера
- щелкните правой кнопкой мыши адаптер Ethernet , затем Свойства
- выберите Интернет-протокол версии 4 (TCP / IPv4) и нажмите Properties
- Задайте статический IP-адрес, как показано ниже, и нажмите OK
При желании вы можете использовать команду ipconfig в командной строке, чтобы убедиться, что сетевому адаптеру назначен IP-адрес 192.168.0.99 правильно. Мы можем вернуться к Получить IP-адрес автоматически после завершения настройки коммутатора.
Теперь подключите компьютер к порту 7 коммутатора с помощью кабеля Ethernet. Затем запустите браузер и введите http://192.168.0.239 в качестве URL-адреса. Вас должен приветствовать экран входа в систему с запросом пароля для управления коммутатором.
Введите пароль по умолчанию , показанный внизу переключателя, и вы попадете на главную страницу.
На главной странице запишите и запишите MAC-адрес коммутатора. Мы хотели бы назначить коммутатору статический IPv4-адрес при подключении к брандмауэру pfSense позже.
Включить расширенную конфигурацию VLAN 802.1Q
У этого коммутатора есть несколько способов настройки VLAN. Мы будем использовать 802.1Q Advanced VLAN Configuration.
Перейдите к VLAN> 802.1Q> Дополнительно> Конфигурация VLAN :
Выберите Включить и затем щелкните ОК для подтверждения
Определить идентификаторы VLAN
- Введите ID ’10’ в поле VLAN ID
- Нажмите Добавить
Сделайте то же самое для VLAN ID ’20’, ’30’, ’40’ и ’99’.
Назначьте идентификатор VLAN для каждого порта
- щелкните Членство в VLAN
- выберите VLAN ID ’10’
- Щелкните по порт 1 и порт 2 один раз, чтобы отобразить « U » (без тегов).
- Дважды щелкните порт 8 , чтобы отобразить « T » (с тегом).
- Нажмите Применить
Повторить идентификатор VLAN ‘ 20 ‘ для порта 3 и порта 4 , идентификатор VLAN ‘ 30 ‘ для порта 5 , идентификатор VLAN ‘ 40 ‘ для порт 6 .Примечание: все идентификаторы VLAN должны быть помечены на порт 8 .
Для идентификатора VLAN « 99 » щелкните по порт 7 и порт 8 один раз, чтобы сделать их « U » (без тегов). Это собственная VLAN , поэтому не нужно добавлять теги на магистральный порт 8 .
После завершения назначений нажмите VLAN Configuration , и должен появиться экран, как показано ниже.
Установите соответствующий PVID для каждого порта
PVID обозначает идентификатор VLAN порта.
- Нажмите Port PVID
- Включить порт 1 флажок
- Введите 10 до PVID текстовое поле
- Нажмите Применить
Повторите то же самое для:
- порт 2 с использованием 10
- порт 3 и порт 4 с использованием 20
- порт 5 с использованием 30
- порт 6 с использованием 40
- порт 7 и порт 8 с использованием 99
Экран теперь должно выглядеть так.
Очистить назначения VLAN 1
По соображениям безопасности не будет использоваться VLAN 1 по умолчанию. Таким образом, мы бы очистили его назначения.
- щелкните Членство в VLAN
- выберите идентификатор VLAN ‘ 1 ‘
- щелкните каждый порт , чтобы очистить все назначения
- щелкните Применить
То есть. Настройка части переключателя закончена. Не забудьте сменить пароль на надежный.IPv4-адрес компьютера может измениться на Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически .
Настройка интерфейсов VLAN на брандмауэре pfSense
За исключением управляющей VLAN 99, соответствующий интерфейс VLAN будет создан для каждого идентификатора VLAN 10, 20, 30 и 40. Используйте компьютер для подключения к веб-конфигуратору pfSense.
Подготовка: Настройка псевдонима частного IP-адреса
Этот псевдоним уже настроен, если вы выполнили Часть 1: Создание начальных подсетей с помощью брандмауэра pfSense.
Он будет использоваться для настройки правил брандмауэра для доступа в Интернет.
- перейдите к брандмауэру > Псевдонимы> IP
- щелкните Добавить
- введите Private_IPv4s как Имя
- выберите сеть (и) как Тип
- добавьте следующие 3 сети:
- введите 192.168.0.0 / 16
- щелкните Добавить сеть и введите 10.0.0.0 / 8
- щелкните Добавить сеть и введите 172.16.0.0 / 12
- щелкните Сохранить , затем Применить изменения
Шаг 1. Создание интерфейса VLAN
- перейдите к Интерфейсы> Назначения> VLAN
- нажмите Добавить
- выберите OPT1 для родительского интерфейса
- введите 10 для тега VLAN
- нажмите Сохранить
Это приведет к создать интерфейс VLAN для VLAN ID 10.
Повторите для VLAN 20, 30 и 40.
Шаг 2: Настройте новый сетевой интерфейс для использования интерфейса VLAN
- перейдите к Интерфейсы> Назначения
- выберите « VLAN 10 на igb2 — opt1 » (точное имя сетевого интерфейса «igb2» может отличаться)
- нажмите Добавить
- нажмите на созданный новый интерфейс. Вероятно, назван « OPT2 ». Появится экран конфигурации интерфейса.
- проверьте Включить интерфейс флажок
- введите « VLAN 10 » для Описание или желаемое имя для подсети
- выберите Статический IPv4 для Тип конфигурации IPv4
- прокрутите вниз до Конфигурация статического IPv4 раздел
- введите 192.168.10.1 / 24 для IPv4-адреса . 192.168.10.x будет частным адресным пространством, используемым для подсети. 192.168.10.1 будет шлюзом для подсети.
- щелкните Сохранить внизу и затем щелкните Применить изменения
Повторите этот шаг для:
- VLAN 20 с IPv4-адресом 192.168.20.1 / 24
- VLAN 30 с IPv4-адресом 192.168.30.1 /24
- VLAN 40 с IPv4-адресом 192.168.40.1 /24
Шаг 3. Включите DHCP-сервер для автоматического назначения IP-адреса
- перейдите к Services> DHCP Server , затем нажмите « VLAN10 »
- установите флажок Enable DHCP server on VLAN10 interface checkbox
- в том же разделе, перейдите к Range . Укажите диапазон IP-адресов, которые можно использовать для назначения (например, от 192.168.10.201 до 192.168.10.254)
- щелкните Сохранить в конце страницы.
Повторите этот шаг для:
- VLAN 20 с IPv4-адресом 192.168.20.201
- to 192.168.20.254
- VLAN 30 с IPv4-адресом 192.168.30.201 to 192.168.30.254
- VLAN 40 с IPv4 адрес 192.168.40.201 от до 192.168.40.254
Шаг 4: Настройте правила брандмауэра, чтобы разрешить только доступ в Интернет
Новая созданная подсеть по умолчанию не имеет доступа ни к чему.Поэтому нам нужно настроить правила, чтобы определить, что разрешено для подсети. Создаваемые нами правила предоставят доступ для связи с другими устройствами в той же подсети и доступ в Интернет.
- перейдите в Межсетевой экран> Правила> VLAN10
- щелкните Добавьте , чтобы создать первое правило (разрешить доступ другим устройствам в той же подсети)
- для семейства адресов , выберите IPv4 + IPv6
- для Протокол , выберите Любой
- для обоих Source и Destination , выберите VLAN10 net
- для Описание , введите «разрешить доступ в подсети»
- нажмите Сохранить
- нажмите Добавьте еще раз, чтобы создать второе правило (разрешить доступ в Интернет)
- для семейства адресов , выберите IPv4 + IPv6
- для Protocol , выберите Any
- для Source , выберите VLAN10 net
- для Назначение , установите флажок Инвертировать соответствие ; выберите Один хост или псевдоним , затем введите Private_IPv4s в качестве адреса назначения
- для Описание , введите «разрешить доступ в Интернет»
- нажмите Сохранить , затем Применить изменения
Повторить этот шаг для VLAN20, VLAN30 и VLAN40.В зависимости от ваших потребностей вы можете настроить правила здесь, чтобы соответственно ограничить доступ или предоставить больше доступа для подсети.
Соедините их вместе
Мы почти у цели. Прежде чем соединить их вместе. Давайте сначала назначим статический IPv4-адрес коммутатору на DHCP-сервере pfSense.
- перейдите к Services> DHCP Server> OPT1
- прокрутите вниз до DHCP Static Mappings для этого интерфейса
- нажмите Добавить
- введите MAC-адрес коммутатора для MAC-адреса
- введите ‘ GS108Ev3 ‘для идентификатора клиента и Имя хоста
- введите 192.168.99.108 для IP-адреса . (или другой IP-адрес по своему вкусу, если он не входит в диапазон для автоматического назначения IP)
- щелкните Сохранить затем Применить изменения
Хорошо! Пришло время собрать их вместе.
- подключите порт 8 коммутатора к порту OPT1 pfSense.
- Перезагрузите коммутатор, чтобы он получил новый назначенный статический IPv4-адрес.
Вот и все. Подключив компьютер к порту 7 коммутатора, вы можете управлять коммутатором с помощью браузера по адресу 192.168.99.108 . И вы можете управлять pfSense по адресу 192.168.99.1 .
Подключение любого устройства к порту 1 или порту 2 коммутатора подключится к VLAN 10 и автоматически назначит IPv4-адрес в диапазоне 192.168.10.x.
Аналогично
- порт 3 и 4 будет VLAN 20 с диапазоном IPv4 192.168.20.x
- порт 5 для VLAN 30 с диапазоном IPv4 192.168.30.x
- порт 6 для VLAN 40 с диапазоном IPv4 192.168.40.x
По проверьте, подключите компьютер к порту и запустите команду ipconfig в командной строке, и вы должны увидеть правильные изменения IPv4 в указанном диапазоне. В противном случае это означает, что некоторые настройки, вероятно, настроены неправильно. Исправьте настройки и проверьте еще раз.
После проверки вы можете подключить свои устройства к соответствующим портам для правильного назначения подсети VLAN.
Примечание: если вам нужно на дополнительных подключений к портам Ethernet (больше устройств) для конкретной VLAN, вы можете вместо этого подключить простой коммутатор к порту VLAN, а ваши устройства — к простому коммутатору.
Далее > Часть 3: Настройка подсетей Wi-Fi с использованием VLAN
.