Vlan id: VLAN ID для Ростелекома: что это такое и как его узнать

Содержание

VLAN ID для Ростелекома: что это такое и как его узнать

VLAN ID нужен при использовании многоуровневых сетей, так как узнать принадлежность каждого из устройств в виртуальных группах на основе интернета от Ростелекома можно только при помощи этой технологии. Тегирование VLAN представляет собой вставку идентификатора в заголовок пакета. Это производится для возможности последующего выяснения того, к какой виртуальной локальной сети принадлежит пакет. 

Содержание:

Что такое и зачем нужен VLAN ID в сетях Ростелекома

VLAN ID – это специальная метка, которая позволяет создавать виртуальные локальные сети без каких-либо ограничений. Работа технологии основана на точеной адресации пакетов внутри одной или нескольких обычных локальных сетей.

Идентификатор VLAN наиболее часто используется для определения портов при отправке широковещательных пакетов, к примеру, для возможности использования услуг IPTV или цифровой телефонии от Ростелекома. Технология позволяет указать какие порты или интерфейсы нужно использовать для передачи данных.

Узнайте, как самостоятельно настроить подключение на роутерах от D-Link линейки DIR 3** для Ростелекома.

Прочитать об оплате интернета и других услуг через Сбербанк Онлайн, терминалы и банкоматы можно здесь.

Поддержка тегов позволяет администраторам развертывать сети на основе ProxySG (прокси сервер для поддержки работы крупных предприятий). Это позволяет перенаправлять трафик без риска потери информации.

Почему нужно включить VLAN

VLAN, тегирующий трафик, специально предназначен для структур, где прокси сервер настроен для развертывания сетей с идентификаторами. Такой вариант часто используется для объединения компьютеров, присоединенных к разным свитчам, в общую локальную сеть.

Без активации VLAN на всех устройствах, передающаяся информация попросту не будет видна, так как она зашифрована для определенного идентификатора.

К примеру, для того чтобы активировать услуги IPTV от Ростелекома нужно указать Multicast VLAN, тегирующий трафик для цифрового телевидения. Такая же ситуация складывается и с телефонией провайдера. Настройки же интернета обычно работают со стандартными значения идентификатора.

Внимание! VLAN ID для интернета, IP телевидения и телефонии Ростелекома имеют уникальные значения для каждого дома, что обусловлено использованием различных коммутаторов.

Достоинства технологии

Основным преимуществом технологии является возможность создания групп, изолированных друг от друга, внутри сети. Также существует и поддержка инструкций для выделения виртуальных сетей на основе устройств, подключенных к различным свитчам.

Технология адресной передачи данных имеет высокую степень безопасности. Широковещательный трафик образует пакеты, передающие только между устройствами, принадлежащими к одному VLAN ID.

Также весомым аргументом за использование технологии становится то, что для создания виртуальных сетей не нужна покупка дополнительного оборудования.

Как узнать VLAN ID для интернета от Ростелекома

Узнать VLAN идентификатор для любой услуги можно у специалиста при ее подключении или во время установки оборудования, после чего желательно записать его в надежное место.

Если же настройку сетевых устройств вы будете выполнять лично, рекомендуем выяснять этот параметр при заключении контракта и получении модема/роутера (в случае, если вы покупаете их или берете в аренду у Ростелекома).

Узнайте, как оплатить услуги Ростелекома банковской картой в несколько кликов.

Прочитать о логине и пароль для входа в Личный кабинет можно тут.

Перевод денег на Мегафон: //o-rostelecome.ru/uslugi/s-rostelekoma-na-megafon/.

Информацией о VLAN для интернета от Ростелеком обладает лишь техническая поддержка региона или города, поэтому узнать ID при помощи телефона горячей линии не удастся. Для этого понадобится составить заявку, после чего оператор отправит запрос в техническую поддержку. Также можно выяснить номер тех. поддержки вашего города или района и лично обратится за информацией. Самый быстрый вариант – спросить ID у соседей по дому, использующий услуги Ростелекома.

Использование VLAN адресации пакетов позволит создать виртуальную сеть независимо от того, к какому коммутатору подключены клиенты. Технология позволяет поддерживать работу таких услуг как интернет, IP телевидение и телефония от Ростелекома. Узнать нужный ID можно только в технической поддержке вашего региона.

Технология VLAN

Локальные сети давно перестали состоять из нескольких абонентских устройств, расположенных внутри одного помещения. Современные сети предприятий представляют собой распределенные системы, состоящие из большего количества устройств разного назначения. Ситуация вынуждает разделять такие большие сети на автономные подсети, в итоге логические структуры сети отличаются от физических топологий. Подобные системы создаются с помощью технологии VLAN (Virtual Local Area Network – виртуальная локальная сеть), которая позволяет разделить одну локальную сеть на отдельные сегменты.

Зачем нужна технология VLAN?

Технология VLAN обеспечивает:

  • Гибкое построение сети — VLAN позволяет произвести сегментацию локальной сети на подсети по функциональному признаку независимо от территориального расположения устройств. То есть устройства одной подсети VLAN могут быть подключены к разным коммутаторам, удаленным друг от друга. И наоборот, к одному коммутатору могут быть подключены устройства, относящиеся к разным подсетям VLAN
  • Увеличение производительности – VLAN разделяет подсеть на отдельные широковещательные домены. Это означает, что широковещательные сообщения будут получать только устройства, находящиеся в одной VLAN-подсети. Построение системы с использованием технологии VLAN позволяет уменьшить широковещательный трафик внутри сети, тем самым снижается нагрузка на сетевые устройства и улучшается производительность системы в целом.
  • Улучшение безопасности – Устройства из разных подсетей VLAN не могут общаться друг с другом, что уменьшает шансы произвести несанкционированный доступ к устройствам системы. Связь между разными подсетями возможна только через маршрутизатор. Кроме того, использование маршрутизатора позволяет настроить политики безопасности, которые могут быть применены сразу ко всей группе устройств, принадлежащей одной подсети.

Как работает технология VLAN?

У каждой VLAN-подсети есть свой идентификатор, по которому определяется принадлежность той или иной подсети. Информация об идентификаторе содержится в теге, который добавляется в тело Ethernet-фрейма сети, в которой внедрено разделение на подсети VLAN.

Самый распространенный стандарт, описывающий процедуру тегирования трафика, – это открытый стандарт 802.1 Q. Кроме него есть проприетарные протоколы, но они менее популярны.

Формат Ethernet – фрейма после тегирования:

Тег размером 4 байта состоит из нескольких полей:

  • TPID (Tag Protocol Identifier) — Идентификатор протокола тегирования. Для стандарта 802.1Q значение TPID - 0x8100
  • Р-тег – Определяет приоритет пакета. Используется при работе стандарта 802.1p для определения очередности обработки пакетов
  • CFI (Canonical Format Indicator) – Идентификатор формата МАС-адреса, который использовался для совместимости между сетями Ethernet и Token Ring. В настоящее время поле CFI не используется в связи с отказом от сетей Token Ring
  • VLAN ID – Идентификатор VLAN. Определяет, какой подсети VLAN принадлежит пакет

Именно по тегу сетевое оборудование определяет принадлежность пакета той или иной сети VLAN, осуществляет фильтрацию пакетов и определяет дальнейшие действия с ними: снять тег и передать на конечное оборудование, отбросить пакет, переслать следующему получателю с сохранением тега. Правила, определяющие действия с пакетом на основе тега, зависят от режима работы порта сетевого оборудования. В свою очередь, режим работы выбирается в соответствии с характеристиками подключаемого оборудования. В системе может присутствовать как оборудование с поддержкой технологии VLAN, так и без нее.

Режимы работы портов коммутаторов

    • Access-port – порт доступа, передающий нетегированный трафик. Используется для подключения конечных устройств, не поддерживающих технологию VLAN

Тип Access назначается порту коммутатора, к которому подключено либо единичное абонентское устройство, либо группа устройств, находящихся в одной подсети. Кроме выбора режима работы порта Access необходимо указать идентификатор VLAN-подсети, к которой будет принадлежать оборудование, находящееся за этим портом.

Коммутатор, получив в порт Access данные от подключенных к нему абонентских устройств, добавит ко всем Ethernet-кадрам общий тег с заданным идентификатором подсети и далее будет оперировать уже тегированным пакетом. Напротив, принимая из основной сети данные, предназначенные Access-порту, коммутатор сверит идентификатор VLAN принимаемого пакета с номером VLAN-подсети этого порта. Если они совпадут, то данные будут успешно переданы в порт, а тег удалён, таким образом, подключенные к порту устройства продолжат работать без необходимости поддержки VLAN. Если же идентификатор не равен номеру подсети, кадр будет отброшен, не позволив передать пакет из «чужой» подсети VLAN.

    • Trunk-port – магистральный порт, передающий тегированные пакеты данных. Используется для подключения сетевых устройств с поддержкой VLAN, чаще всего для соединения коммутаторов между собой.

Помимо задания режима работы и идентификатора VLAN, при конфигурировании Trunk-портов создается список разрешенных для передачи подсетей VLAN, с которым коммутатор сверяется при получении пакетов. Благодаря этому через Trunk-порты могут передаваться пакеты нескольких VLAN-подсетей.

Коммутатор, получив в порт Trunk нетегированные данные, поступит аналогично Access-порту, т.е. промаркирует пакеты идентификатором VLAN-подсети, присвоенном этому порту, и передаст дальше в сеть. При получении пакета с таким же идентификатором VLAN, как и у самого порта, тег будет снят и данные отправлены на абонентское устройство без тега. В случае получения тегированного пакета с идентификатором VLAN, отличающимся от номера, присвоенного порту, коммутатор сравнит идентификатор со списком разрешенных VLAN-подсетей. Если номер будет указан в списке, то данные будут переданы по сети на следующее устройство без изменения тега. В случае, если идентификатор указывает на принадлежность незнакомой подсети VLAN, то пакет будет отброшен.

VLAN на коммутаторах Moxa

ЗАДАЧА:
Необходимо построить общую сеть предприятия с разграничением доступа между технологической сетью, предназначеной для управления и мониторинга технологическими процессами и сетью общего назначения. Кроме того, оборудование одной подсети установлено на территориальном удалении друг от друга.

Организовать подобную систему можно с помщою технологии VLAN. Рассмотрим пример реализации данной задачи на коммутаторах Moxa EDS-510E-3GTXSFP.

Технологию VLAN поддерживают все управляемые коммутаторы Moxa.

Оборудование, которое должно находиться в технологической сети (компьютеры A и C), отнесем в подсеть с идентификатором VLAN 10. Оборудование сети общего назначения отнесем в подсеть с идентификатором VLAN 20 (компьютеры B и D). Обмен между этими подсетями происходить не будет. В то же время из-за удаленного расположения устройств оборудование одной VLAN-подсети подключено к разным коммутаторам и необходимо обеспечить обмен данными между ними. Для этого объединим коммутаторы с помощью Trunk портов и поместим их в отдельную подсеть с идентификатором VLAN 30.

Конфигурирование коммутаторов:

  • Порты, к которым подключены устройства A и С, устанавливаем в режим access и назначаем PVID равный 10 (Порт 1 на скриншоте)
  • Порты, к которым подключены устройства B и D, устанавливаем также в режим access и назначаем PVID равный 20 (Порт 3 на скриншоте)
  • Коммутаторы между собой соединяются через trunk-порты. Назначаем этим портам PVID 30. Чтобы trunk-порты пропускали трафик от других VLAN-подсетей (в нашем случае 10 и 20), нужно указать VLAN 10 и 20 в качестве разрешенных. (Порт 5 на скриншоте)

  • PVID (Port VLAN Identifier) – идентификатор VLAN-подсети, к которой относится оборудование, подключенное к порту
  • Tagged VLAN – список разрешенных VLAN

Кроме того, следует обратить внимание на параметр Management VLAN ID – подсеть управления коммутатором. Компьютер, с которого необходимо управлять и следить за состоянием самих коммутаторов, должен находиться в подсети управления, указанной в Management VLAN ID. По умолчанию Management VLAN ID = 1, но для предотвращения несанкционированного доступа к коммутаторам рекомендуется идентификатор VLAN управления менять на любой свободный.

Обмен данными в сети предприятия будет осуществляться в соответствии с правилами обработки пакетов.

Правила обработки пакетов для портов Access

  • Входящие правила
    • Если фрейм без VID, то добавить тег с идентификатором равным PVID
    • Если фрейм с VID = PVID, то принять пакет. Иначе – пакет отбросить.
  • Исходящие правила

Правила обработки пакетов для портов Trunk 

  • Входящие правила
    • Если фрейм без VID, то добавить тег с идентификатором равным PVID
    • Если фрейм с VID = PVID или VID есть в Tagged VLAN, то принять пакет. Иначе – пакет отбросить
  • Исходящие правила
    • Если фрейм с VID = PVID, то снять тег
    • Если фрейм с VID есть в Tagged VLAN, то оставить тег

Таким образом, технология VLAN позволит создать гибкую систему предприятия с объединением удаленного оборудования и разграничением доступа между функциональными сегментами сети.

Что такое VLAN ID 802.1 Q тегирование?! — 192.168.1.1 admin логин вход

Во время настройки вайфай роутера иногда приходится сталкиваться с такой технологией, как VLAN IEEE 802.1Q. Что это такое?

802.1 Q - это открытый стандарт, зарегистрированный в Институте Инженеров Электротехники и Электроники - IEEE. Он описывает процедуру маркировки или, так называемого, тегирования трафика. Это делается для того, чтобы для передать информации о принадлежности этого трафика к определённой виртуальной сети или VLAN (сокращение от Virtual LAN).

Уровень OSI, на котором работает технология 802.1 Q - Канальный.

В двух словах, весь принцип действия заключается в том, что внутрь фрейма устанавливается тег (vlanid). По этому тегу определяется принадлежность этого трафика к виртуальной сети ВЛАН, которая имеет свой идентификатор - VID. Отсюда исходят такие понятия, как:

Тегированный трафик - то есть информация, помеченная маркером принадлежности к той или иной виртуальной сети.

Нетегированный трафик - поток данных, не имеющий тега принадлежности к ВЛАН.

VLAN ID (VLAN Identifier или VID) - это и есть тот самый идентификатор VLAN, то есть маркер, устанавливаемый в l2-фрейм размером поля 12 бит и указывающий к какому ВЛАН принадлежит этот фрейм.
Диапазон значений: от 0 до 4095.
При этом:
0 и 4095 - это зарезервинованные значения для системного использования,
1 - это дефолтный влан на сетевых устройствах, его принято считать, как Native VLAN.
1002-1005 - зарезервированные значения для FDDI и Token Ring (Cisco VLAN).

Port VLAN Identifier (PVID) – это ещё один идентификатор, который используется уже на физическом порту в том случае, если на нём нужно ставить и снимать маркер на весь проходящий трафик.  Именно он показывает сетевому оборудованию какой vlan id будет поставлен в поле тега перед коммутацией фрейма. Существует два вида портов:
Ingress port – порт входа. На него приходят фреймы, проходят проверку на наличие тегов (причастности к определённому VLAN), и далее уже ожидают принятия ррешения о маркировке.
Egress port - порт выхода. Отсюда уже выходят фреймы прошедшие проверку на наличие тегов после принятия решения о их тегировании или растегировании.

Принцип работы и пример настройки VLAN в Ethernet-коммутаторах – Zyxel Support Campus EMEA

 Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).

Виртуальная локальная сеть на базе порта (Port-based VLAN)

Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к меню Advanced Application > VLAN.

VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N.

C помощью VLAN на базе порта можно настраивать довольно сложные схемы "перекрывающихся" виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.

Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q)

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged).

Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля.

Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority.

Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.

Типы кадров

Untagged frame - Кадр, в котором не установлен признак 802.1Q.
Priority-tagged frame - Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета.
VLAN-tagged frame - Кадр с установленным полем 802.1Q и VID больше 0.

Поддержка VLAN в сети

Каждая группа VLAN имеет уникальную в сети идентификацию (уникальный VID). Хосты внутри одного VLAN могут передавать данные между собой.
Все сетевые устройства можно разделить на две группы:

  • VLAN Aware – устройства поддерживающие признак VLAN в соответствии с 802.1Q и могут принимать пакеты с учетом этого поля.

  • VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU - 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.

Процессы 802.1Q

 

Входной процесс:
Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.

Процесс пересылки (перенаправления):
Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.

Выходной процесс:
Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.

Входное правило (VLAN на базе протокола)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

Если кадр без тега или кадр с VID=0

Protocol VID:

Входное правило (PVID)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

Если кадр нетегированный или это кадр приоритета

PVID:

Настройка VLAN на базе протокола

Port: номер порта на котором будет применяться данное правило
Ethernet-type: значение поля type кадра Ethernet
VID: VLAN ID, которым будет маркироваться кадр
Priority: значение поля приоритета, которым будет маркироваться кадр

Таблица VLAN

В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором.

Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:

  • Fixed – порт является выходным для данного VLAN;

  • Forbidden – в порт запрещено передавать кадры, принадлежащие VLAN;

  • Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.

Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта.

С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.

Параметры VLAN 802.1q на портах

У каждого порта имеется набор полей:

  • PVID (см. выше).

  • Acceptable Frame Type – типы принимаемых кадров: или любые, или только с тегами.

  • VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.

  • Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.

  • GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.

  • Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.


    Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

VLAN Stacking

Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов.

Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.

У каждого порта коммутатора может быть две роли (Port Role):

  • Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.

  • Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).

Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority.


Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).

ES-4124# config     – для создания и настройки VLAN необходимо войти в режим config
ES-4124(config)# vlan 100     – создаем VLAN с номером 100
ES-4124(config-vlan)# name vlan100     – имя статической таблицы VLAN
ES-4124(config-vlan)# fixed 5-8     – порты 5-8 включаем в VLAN 100
ES-4124(config-vlan)# no untagged 5-8     – указываем, что на портах 5-8 исходящие кадры коммутатор будет отправлять с установленным тегом 802.1Q
ES-4124(config-vlan)# exit     – выход из режима config-vlan
ES-4124(config)# interface port-channel 5-8     – входим в режим config-interface для определения PVID на портах 5-8
ES-4124(config-interface)# pvid 100     – устанавливаем PVID = 100 на портах 5-8
ES-4124(config-interface)# exit     – выход из режима config-interface
ES-4124(config)# exit     – выход из режима config
ES-4124# wr mem     – запись выполненных настроек в память коммутатора
ES-4124#

Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:

vlan <vlan-id> команда для создания VLAN с номером <vlan-id>
name <name-str> команда устанавливающая название статической таблицы VLAN
fixed <port-list> команда определяет порты <port-list>, которые будут являться выходными для данного VLAN
forbidden <port-list> команда указывает, что в порты <port-list> запрещено передавать кадры принадлежащие данному VLAN
normal <port-list> команда указывает порты <port-list> которые не включены в определенный VLAN, но могут быть включены по протоколу GVRP
untagged <port-list> команда указывает отправлять исходящие кадры с портов <port-list> без тега 801.1Q
no untagged <port-list> команда указывает отправлять исходящие кадры с портов <port-list> с тегом 802.1Q

no fixed <port-list> или
no forbidden <port-list>

команда устанавливает настройки портов <port-list> в статус Normal

где <vlan-id> = VLAN ID [1-4094], <name-str> = имя записи SVLAN и <port-list> = список портов коммутатора.


При создании VLAN по умолчанию все порты находятся в режиме NORMAL.


Информация по всем командам Ethernet-коммутатора находится в руководстве пользователя.

 

KB-1439

что это такое и как узнать?

Ростелеком использует специальную метку VLAN ID для определения портов во время отправления широковещательных пакетов. Эти пакеты как раз и применяются IPTV или цифровой телефонией провайдера телекоммуникационных услуг.

Особенности

Передача информации внутри сети – довольно сложная штука. Чтобы ее еще больше не усложнять, была разработана структура многоуровневой сети по модели OSI. Эта сетевая модель содержит в себе 7 одноуровневых протоколов, которые отвечают за свою часть процесса взаимодействия. Такая структура помогает совместной работе сетевым устройствам и программному обеспечению работать слажено.

Чтобы информация при переходе по многоуровневой сети не терялась, не была поставлена под сомнение и не была удалена, Ростелеком применяет специальную метку VLAN ID, позволяющую точечно адресовать пакеты внутри одной или нескольких локальных сетей. Получается, что VLAN ID отлично взаимодействует с оборудованием для IPTV Ростелеком, если оно подключено через виртуальную сеть.

Зачем включать VLAN ID?

Администраторы с помощью данных тегов могут беспрепятственно развертывать прокси-сервер для крупных предприятий. Таким образом можно перенаправлять трафик без рисков потери пакетов на «предпоследнем сетевом узле». Если прокси сервер развернут с применением тегирования, можно объединить с его помощью компьютеры, подключённые к разным свичам, в единую локальную сеть.

Если же из «объединенной» сети убрать (выключить) идентификатор, необходимая для работы информация попросту не будет определена, так как она зашифрована под указанный VLAN ID.

Ростелеком применяет данный идентификатор для предоставления услуг IPTV и телефонии. Так как в каждом многоквартирном доме используются разные связанные коммутаторы типа Switch, то на каждый дом указывается отдельный идентификатор. Для услуги интернета эта метка не применяется.

Как узнать свой собственный VLAN ID?

Вам предоставляют этот идентификатор во время подключения услуг. Заключается договор, в котором кроме оферты прописываются все нужные для настройки данные. Если же их не прописали:

  1. Узнайте Multicast VLAN у сотрудника технической поддержки вашего провайдера.
  2. Еще, можно узнать VLAN ID у соседа, подключенного к этому же свичу.

Важно отметить, что, позвонив оператору на горячую линию, вам не предоставят информацию по требованию, потому как она имеется у техподдержки города или региона. С оператором вы можете создать заявку, которую он подаст в нужную инстанцию на рассмотрение.

Дополнительно, можно спросить номер техподдержки по вашему месту жительства и выяснить номер VLAN ID напрямую, но не каждый оператор на это может согласиться.

Настройка

Настройка IPTV Ростелеком на D-Link DIR-300 описана в следующем видео:

В каждом роутере данное поле для заполнения находится в различных категориях настроек. Рассмотрим пример для маршрутизатора Zyxel Keenetic:

  1. Откройте новую вкладку браузера и войдите в личный кабинет.

  1. Клацните на вкладку «IPOE» и нажмите «Добавить интерфейс».

  1. Для нулевого разъема в описании ставьте Internet и указывайте идентификатор.
  2. Далее требуется создать новое подключение.
  3. Поставьте галочку напротив «Использовать разъем» того порта, который будет задействован для приставки IPTV. Выставите описание и пропишите VLAN ID.

  1. Жмите применить.

Готово, проверяйте свое цифровое телевидение.

Заключение

Ростелеком использует метку VLAN ID для направления трафика цифрового телевидения и телефонии через виртуальную локальную сеть, созданную поверх множества локальных сетей. Этот идентификатор – словно маяк, указывающий трафику IPTV нужное направление.

VLAN для чайников — asp24.ru

VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То есть, VLAN можно настроить на коммутаторе второго уровня. Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны виланы?

  • Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
  • Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
  • Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
  • Возможность применять политики на группу устройств, которые находятся в одном вилане.
  • Возможность использовать виртуальные интерфейсы для маршрутизации.

Примеры использования VLAN

  • Объединение в единую сеть компьютеров, подключенных к разным коммутаторам. Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

 

  • Разделение в разные подсети компьютеров, подключенных к одному коммутатору. На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.

 

  • Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия. На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.

 

 

Достоинства использования VLAN

  • Гибкое разделение устройств на группы 
  • Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
  • Уменьшение широковещательного трафика в сети 
  • Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
  • Увеличение безопасности и управляемости сети 
  • В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
  • Уменьшение количества оборудования и сетевого кабеля
  • Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

Тэгированные и нетэгированные порты

Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).

Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve)  мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов – тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).

Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

Межвлановская маршрутизация

Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что:

  • Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном VLAN, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том VLAN,  котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
  • Мы можем поместить в VLAN несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены VLAN, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего VLAN он должен маршрутизировать.
  • Очень удобно между первым и третьим уровнями использовать второй уровень в виде VLAN. Удобно подсети помечать как VLAN с определенными интерфейсами. Удобно настроить один VLANн и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть VLAN.

VLAN на основе Intel® Advanced Network Services

Примечание

ОС Windows Server 2016* и более поздних версий имеет встроенные параметры для виртуальной локальной сети (VLAN). Этот процесс также работает в ОС Windows Server 2012 R2*.

См. информацию о VLAN для следующих операционных систем:

 

VLAN или виртуальная локальная сеть представляет собой логическое группирование хостов. Группирование позволяет хостам взаимодействовать так же, как если бы они находились в одной локальной сети независимо от ее физической топологии.

VLAN могут использоваться для группирования компьютеров в логические рабочие группы. Подключение клиентов к географически рассредоточенным серверам упрощает управление сетью.

Обычно VLAN предназначаются для сотрудников одного подразделения, находящихся в разных местоположениях. Они также могут состоять из групп, имеющих перекрестные функции для работы над совместным проектом.

Загрузка ПО

Драйверы и ПО для Ethernet-адаптеров Intel®

Преимущества VLAN

  • Улучшенная производительность сети
  • Ограничение неконтролируемых широковещательных рассылок
  • Улучшение обновлений конфигурации локальных сетей (добавление, перемещение и изменение)
  • Сокращение проблем безопасности
  • Упрощение задач управления

 

Два основных типа VLAN

  • VLAN с пометкой — используют спецификацию IEEE 802.1. Каждый передаваемый пакет имеет 4-байтовый тег, добавленный в заголовок пакета. Коммутатор должен поддерживать пометку IEEE 802.1Q, и вы также должны подготовить надлежащую конфигурацию. См. документацию коммутатора для подготовки корректной конфигурации коммутатора.
  • VLAN без пометки или на основе портов — используют статическую конфигурацию коммутатора. Они доступны для подключенных устройств.

 

Аспекты использования:

  • Программное обеспечение Intel® поддерживает до 64 VLAN на сетевой порт или объединение.
  • Для настройки членства IEEE VLAN (несколько виртуальных локальных сетей) вы должны подключить адаптер к коммутатору с поддержкой IEEE 802.1Q VLAN.
  • VLAN могут сосуществовать с объединением (если адаптер поддерживает оба варианта). Сначала нужно создать объединение, а затем настроить VLAN.
  • Вы можете настроить только одну VLAN без пометки для каждого порта или объединения. Вы должны иметь не менее одной готовой VLAN с пометкой перед настройкой виртуальной сети без пометки.
  • После создания VLAN связанный с ней адаптер может испытать немедленную потерю подключения.
  • Вы не сможете удалить VLAN, если она связана с виртуальным сетевым адаптером.
  • Во время назначения VLAN для адаптера будет активирован параметр Priority & VLANs на вкладке расширенных свойств. Вы не сможете отключить его, пока не удалите из адаптера все VLAN.
  • Если вы измените настройку для одной VLAN на вкладке расширенных настроек, будет изменена конфигурация всех использующих данный порт VLAN.
  • Адаптеры и объединения с активной функцией VMQ не поддерживают VLAN на основе Intel® ANS (Intel® Advanced Network Services).
  • Интерфейс VLAN на основе Microsoft Hyper-V* поддерживает фильтрацию VLAN с VMQ. См. описание использования виртуальных адаптеров Microsoft Hyper-V в объединениях и VLAN в руководстве пользователя сетевых адаптеров.
  • Вы можете использовать различные теги VLAN для дочернего и родительского разделов. Они используют отдельные настройки и могут отличаться или быть подобными. Теги VLAN для родительского и дочернего разделов должны быть одинаковыми, если вам необходимо взаимодействие этих разделов через данную VLAN. Для получения дополнительной информации см. описание использования виртуальных адаптеров Microsoft Hyper-V в объединениях и VLAN в руководстве пользователя сетевых адаптеров.

 

Объединение сетевых адаптеров в ОС Windows Server 2012*

В ОС Windows Server 2012* добавлена поддержка объединения сетевых адаптеров, которая также известна как балансировка нагрузки и отказоустойчивость. Объединение Intel® ANS и VLAN несовместимо с объединениями Microsoft LBFO. Приложение Intel® PROSet блокирует добавление участников объединения LBFO в Intel ANS или VLAN. Не следует добавлять порт, который уже является частью объединения Intel® ANS или VLAN, в объединение LBFO. Кроме того, добавление порта может привести к нестабильности работы системы.

 

Поддерживаемые адаптеры

Сетевые адаптеры Intel® могут использоваться для конфигурации VLAN в любой версии Windows, где данные адаптеры имеют полную программную поддержку.

Узнайте, имеет ли ваш адаптер полную поддержку применительно к вашей операционной системе.

Сетевые адаптеры Intel® PRO/100 и PRO/1000, устанавливаемые в разъемы PCI* или PCI-X*, не поддерживают VLAN Intel® ANS ни в одной версии ОС Windows* после Windows Vista* и Windows Server 2008*. После этих версий для этого доступен только встроенный драйвер Windows от корпорации Microsoft.

 

Установка поддержки Intel ANS для конфигурации VLAN в ОС Windows*

Вы должны установить Intel® PROSet и Intel® ANS для использования конфигурации VLAN с сетевыми адаптерами Intel®. Вы не можете сконфигурировать VLAN лишь с использованием установленных базовых драйверов. Установка ПО Intel PROSet и Intel ANS выполняется по умолчанию во время установки программного обеспечения для сетевых адаптеров Intel®.

В программе установки на экране вариантов установки выберите Intel® PROSet для Диспетчера устройств Windows* и Advanced Network Services.

Настройка VLAN с помощью PowerShell

Обучающее видео: создание VLAN в Windows® 10 с помощью PowerShell*

Настройка VLAN с помощью Intel® PROSet для Диспетчера устройств Windows*


Конфигурация VLAN

  1. Откройте Диспетчер устройств Windows.
  2. Откройте свойства порта, для которого вы хотите сконфигурировать VLAN.
  3. Откройте вкладку VLAN.
  4. Нажмите кнопку Добавить.
  5. Введите идентификационный номер виртуальной локальной сети в поле VLAN ID. Идентификаторы, сконфигурированные для порта, также должны быть настроены на коммутаторе.
  6. Используйте указанное по умолчанию имя VLAN или введите новое имя.
  7. Щелкните OK.

Intro to Networking - Introduction to Virtual LANs (VLANs) and Tagging - Ubiquiti Support and Help Center

Эта статья предназначена для начального введения в тему VLAN (виртуальных локальных сетей) для начинающих. В нем будут затронуты такие темы, как преимущества использования VLAN, некоторые сценарии использования, а также типы тегов VLAN. Он не предназначен для использования в качестве практического руководства. Перейдите в раздел «Похожие статьи» ниже, чтобы увидеть другие более конкретные и расширенные статьи.

Содержание

  1. Введение в виртуальные локальные сети (VLAN) и тегирование
  2. Типичные ситуации использования
  3. Маркировка VLAN
  4. Статьи по теме

Введение в виртуальные локальные сети (VLAN) и тегирование

В начало

Виртуальные локальные сети (VLAN) позволяют администраторам сети разделять физическую сеть на отдельные логические широковещательные домены. В стандартной сети уровня 2 все узлы, подключенные к коммутатору, являются членами одного широковещательного домена; а широковещательные домены могут быть физически разделены между разными коммутаторами только маршрутизаторами.

По мере масштабирования сетей возникает необходимость вводить несколько широковещательных доменов, чтобы сегментировать трафик по соображениям производительности, безопасности или логистики. Без использования виртуальных локальных сетей обычно требуется, чтобы каждый сегмент сети имел свою собственную отдельную инфраструктуру коммутатора с одним или несколькими маршрутизаторами, управляющими связью между каждым сегментом коммутатора.

VLAN представляет собой широковещательный домен. Сети VLAN идентифицируются идентификатором VLAN (число от 0 до 4095), при этом VLAN по умолчанию в любой сети является VLAN 1.Каждый порт на коммутаторе или маршрутизаторе может быть назначен членом VLAN (т. Е. Разрешать прием и отправку трафика в этой VLAN). Например: на коммутаторе трафик, который отправляется на порт, который является членом VLAN 100, может быть перенаправлен на любой другой порт VLAN 100 на коммутаторе, а также может проходить через магистральный порт (соединения между коммутаторами) к другой коммутатор и перенаправляется на все порты VLAN 100 на этом коммутаторе. Однако трафик не будет перенаправляться на порты с другим идентификатором VLAN.

Это эффективно позволяет сетевому администратору логически разделить коммутатор, позволяя сосуществовать нескольким широковещательным доменам на одном оборудовании, но сохраняя преимущества изоляции, безопасности и производительности за счет использования полностью отдельных коммутаторов.

Поскольку VLAN являются протоколом уровня 2, маршрутизация уровня 3 требуется для обеспечения связи между VLAN, точно так же, как маршрутизатор сегментирует и управляет трафиком между двумя подсетями на разных коммутаторах. Кроме того, некоторые коммутаторы уровня 3 поддерживают маршрутизацию между сетями VLAN, позволяя осуществлять обмен трафиком на основных коммутаторах, повышая производительность за счет предотвращения отправки трафика через маршрутизатор.

Для реализации виртуальных локальных сетей маршрутизаторы и коммутаторы должны поддерживать виртуальные локальные сети. Хотя существует несколько проприетарных протоколов, наиболее часто используемым протоколом для настройки VLAN является IEEE 802.1Q. Коммутаторы, поддерживающие VLAN, часто называют «управляемыми» коммутаторами, но важно знать, что это может быть неправильный маркетинговый термин и не гарантирует поддержку VLAN. Все маршрутизаторы, беспроводные решения и большинство коммутаторов Ubiquiti поддерживают протокол 802.1Q VLAN и могут взаимодействовать с оборудованием сторонних производителей, использующим тот же протокол.

Типичные ситуации использования

В начало

Несколько примеров того, для чего можно использовать VLAN:

  • Для отделения трафика управления сетью от трафика конечного пользователя или сервера.
  • Для изоляции уязвимой инфраструктуры, служб и хостов, например корпоративных пользователей, от гостевых пользователей.
  • Для определения приоритетов или внедрения правил качества обслуживания (QoS) для определенных услуг, таких как телефоны VoIP.
  • Для предоставления сетевых услуг различным клиентам в интернет-провайдере, центре обработки данных или офисном здании с использованием одной и той же инфраструктуры коммутатора и маршрутизатора.
  • Для логического разделения групп хостов независимо от их физического расположения - например, позволяя сотрудникам отдела кадров использовать одну и ту же сетевую подсеть и получать доступ к одним и тем же сетевым ресурсам, независимо от их расположения в здании.

Маркировка VLAN

В начало

Определение и использование термина «теги VLAN» сильно различаются в зависимости от поставщика оборудования. Чтобы оборудование, совместимое с 802.1Q, могло определить, к какой VLAN принадлежит пакет данных, стандарт 802.Заголовок 1Q добавляется к кадру Ethernet, который указывает идентификатор VLAN.

Этот тег VLAN ID может быть добавлен или удален хостом, маршрутизатором или коммутатором. В сети физические порты настроены как нетегированные или помеченные для конкретной VLAN, что определяет, принимать и пересылать трафик, принадлежащий каждому идентификатору VLAN. Давайте подробнее рассмотрим каждую из них.

Без тегов: VLAN без тегов также иногда называют «собственной VLAN». Любой трафик, отправляемый с хоста на порт коммутатора, для которого не указан идентификатор VLAN, будет назначен нетегированной VLAN.

Этот параметр обычно используется при подключении хостов, таких как рабочие станции, или устройств, таких как IP-камеры, которые не маркируют свой собственный трафик и которым необходимо связываться только в одной конкретной VLAN. Для порта одновременно может быть настроена только одна немаркированная VLAN.

Tagged: Назначение помеченной VLAN для порта добавляет этот порт к VLAN, но весь входящий и исходящий трафик должен быть помечен идентификатором VLAN для пересылки. Хост, подключенный к порту коммутатора, должен иметь возможность маркировать свой собственный трафик и быть настроен для этого с тем же идентификатором VLAN.

Tagged VLAN (в отличие от Untagged) на порту обычно используются при подключении к хосту, которому требуется доступ к нескольким сетям одновременно с использованием одного и того же интерфейса, например сервера, предоставляющего услуги более чем одному отделу в офисе. Его также можно использовать при подключении двух коммутаторов, чтобы ограничить доступ к VLAN для хостов, подключенных к коммутатору нисходящего канала в целях безопасности.

Магистраль: Магистральный порт обычно считается членом всех VLAN - он принимает и пересылает трафик по любому идентификатору VLAN и обычно настраивается для портов восходящего и нисходящего каналов между коммутаторами и маршрутизаторами.

Хотя каждое семейство продуктов Ubiquiti использует свой подход к настройке VLAN, все они используют один и тот же метод управления трафиком без тегов, с тегами и транками и совместимы.

Дополнительную информацию о настройке VLAN для конкретного продукта см. В статьях в нашем разделе ниже.

Статьи по теме

В начало

UniFi - Использование виртуальных локальных сетей с оборудованием UniFi Wireless, маршрутизации и коммутации

UniFi - тегирование трафика VLAN

EdgeSwitch - тегирование и отключение тегов VLAN портов

EdgeRouter - Маршрутизатор на палочке

EdgeRouter - коммутатор с поддержкой VLAN

Была ли эта статья полезной?

да Нет

269 "> X нашел это статья полезная

Пользователи, считающие этот материал полезным: 338 из 407

802.Идентификаторы VLAN 1Q и типы интерфейсов Ethernet | Руководство пользователя по коммутации Ethernet

VLAN (виртуальная локальная сеть) абстрагирует идею локальной сети. (LAN), обеспечивая возможность подключения канала передачи данных для подсети. VLAN делают сетевым администраторам легко разделить один коммутируемый сеть, чтобы соответствовать функциональным требованиям и требованиям безопасности их системы без необходимости прокладки новых кабелей или внесения серьезных изменений в их текущая сетевая инфраструктура. Каждую VLAN можно однозначно идентифицировать по идентификатору VLAN, который передается и принимается как IEEE 802.Тег 1Q в кадре Ethernet.

Маршрутизатор можно разделить на 4095 различных сетей VLAN в зависимости от на модели маршрутизатора и типах физических интерфейсов - путем связывания логические интерфейсы с определенными идентификаторами VLAN.

VLAN ID 0 зарезервирован для маркировки приоритета кадров. VLAN Идентификаторы с 1 по 511 зарезервированы для обычных сетей VLAN. Идентификаторы VLAN 512 и вышеуказанные зарезервированы для кросс-коммутации каналов VLAN (CCC).

Для интерфейсов Gigabit Ethernet IQ и PIC Gigabit Ethernet с SFP (кроме 10-портового Gigabit Ethernet PIC и встроенного Порт Gigabit Ethernet на маршрутизаторе M7i), вы можете настроить гибкую Инкапсуляция услуг Ethernet на физическом интерфейсе.С гибким Инкапсуляция услуг Ethernet, идентификаторы VLAN от 1 до 511 отсутствуют больше зарезервировано для обычных сетей VLAN.

Максимальное количество настраиваемых пользователем VLAN - 15 на каждой. порт PIC Dense-FE (8 портов / 12 портов / 48 портов).

В таблице 1 перечислены VLAN. Диапазон идентификаторов по типу интерфейса.

Таблица 1: ID VLAN Диапазон по типу интерфейса

Тип интерфейса

Диапазон идентификаторов VLAN

Агрегированный Ethernet для Fast Ethernet

1–1023

Объединенный Ethernet для Gigabit Ethernet

1–4094

4, 8 и 12 портов Fast Ethernet

1–1023

48-портовый Fast Ethernet

1–4094

Медный кабель Ethernet Tri-Rate

1–4094

Гигабитный Ethernet

1–4094

Gigabit Ethernet IQ

1–4094

10-гигабитный Ethernet

1–4094

100-гигабитный Ethernet

1–4094

Интерфейсы управления и внутренние Ethernet

1–1023

Примечание:

для PIC Gigabit Ethernet IQ и Gigabit Ethernet с SFP (кроме встроенного порта Gigabit Ethernet на маршрутизаторе M7i), Идентификаторы VLAN на одном интерфейсе могут отличаться друг от друга.

Поскольку IS-IS имеет 8-битный предел для широковещательных мультимедийных данных с множественным доступом, вы не можете настроить более 255 смежностей через Gigabit Ethernet с использованием тегов VLAN. Для получения дополнительной информации см. Библиотеку протоколов маршрутизации ОС Junos для устройств маршрутизации.

Что такое виртуальная локальная сеть (VLAN) и как она работает с моим управляемым коммутатором? | Ответ

VLAN - это набор конечных станций и портов коммутатора, которые их соединяют.У вас могут быть разные причины для логического разделения, например членство в отделе или проекте. Единственное физическое требование - конечная станция и порт, к которому она подключена, принадлежали одной и той же VLAN.

Добавление поддержки виртуальной локальной сети (VLAN) к коммутатору уровня 2 дает некоторые преимущества как мостового соединения, так и маршрутизации. Как и мост, коммутатор VLAN пересылает трафик на основе заголовка уровня 2, что происходит быстро. Как и маршрутизатор, он разделяет сеть на логические сегменты, что обеспечивает лучшее администрирование, безопасность и управление многоадресным трафиком.

Каждая VLAN в сети имеет связанный идентификатор VLAN, который появляется в теге IEEE 802.1Q в заголовке уровня 2 пакетов, передаваемых по VLAN. Конечная станция может опустить тег или часть тега VLAN, и в этом случае первый порт коммутатора, который получит пакет, может либо отклонить его, либо вставить тег, используя свой идентификатор VLAN по умолчанию. Данный порт может обрабатывать трафик для нескольких VLAN, но он может поддерживать только один идентификатор VLAN по умолчанию.

Функция Private Edge VLAN позволяет установить защиту между портами, расположенными на коммутаторе.Это означает, что защищенный порт не может перенаправлять трафик на другой защищенный порт того же коммутатора. Эта функция не обеспечивает защиту между портами, расположенными на разных коммутаторах.

На схеме в этой статье показан коммутатор с четырьмя портами, настроенными для обработки трафика для двух сетей VLAN. Порт 1/0/2 обрабатывает трафик для обеих сетей VLAN, порт 1/0/1 является членом только VLAN 2, а порты 1/0/3 и 1/0/4 являются членами только VLAN 3. Сценарий, следующий за схемой, показывает команды, которые вы могли бы использовать для настройки коммутатора, как показано на схеме.

Эта статья относится к следующим управляемым коммутаторам и их соответствующим микропрограммам:

  • M5300 - версия прошивки 10.0.0.xM5300-28G (GSM7228S)
    • M5300-5G (GSM7252S)
    • М5300-28Г3 (GSM7328Св2х3)
    • М5300-52Г3 (GSM7352Св2х3)
    • M5300-28G_POE + (GSM7228PSv1h3)
    • M5300-52G-POE + (GSM7252PSv1h3)
    • M5300-28GF3 (GSM7328FSv2)
  • M4100 - версия прошивки 10.0.1.x
    • M4100-26G (GSM7224v2h3)
    • M4100-50G (GSM7248v2h3)
    • M4100-26G-POE (GSM7226Pv1h2)
    • M4100-50G-POE + (GSM7248Pv1h2)
    • M4100-26G-POE (FSM7226Pv1h2)
    • M4100-50-POE (FSM7250Pv1h2)
    • M4100-D12G (GSM5212v1h2)
    • M4100-D10-POE (FSM5210Pv1h2)
  • M7100 - версия прошивки 10.0.1.x
  • XSM7224S - версия прошивки 9.0.1.x

Последнее обновление: 28.11.2016 | Идентификатор статьи: 21574

сетей VLAN (статические и динамические) - Mist

СТАТИЧЕСКИЕ VLAN

Сначала настройте WLAN, перейдя в Network> WLANs , а затем выберите Tagged в разделе VLAN, чтобы настроить статическую VLAN для вашей сети.Здесь введите свой идентификатор VLAN и убедитесь, что эта же VLAN помечена на порте коммутатора.

По умолчанию WLAN настроена так, чтобы не использовать VLANS - без тегов.

Клиенты, возможно, уже развернули VLAN в своей сети, и вы можете привязать эту WLAN (SSID) к определенной VLAN.

ПУЛ VLAN

Когда пул VLAN включен в вашей WLAN, клиентам будут назначены IP-адреса из любой из VLAN, перечисленных в пуле, которые выбираются случайным образом на основе алгоритма хеширования MAC, выполняемого облаком / точкой доступа.

ДИНАМИЧЕСКИЕ VLAN

Настройка WLAN с использованием динамических VLAN позволяет назначать разных пользователей разным VLAN в зависимости от пароля, предоставленного при подключении к SSID.

Вещи вам понадобятся:

  • Сервер RADIUS с настроенным именем пользователя / паролем и назначениями VLAN
  • Коммутатор, подключенный к точке доступа, настроенной с использованием правильных VLAN

Настройка сервера RADIUS для динамических VLAN:

В этом примере мы настраиваем сервер freeRADIUS.В папке / etc / freeradius (/etc/freeradius/3.0 для freeRADIUS 3.0) мы отредактируем два файла, чтобы настроить динамическую настройку VLAN.

В файле clients.conf обязательно укажите сеть, в которую будут поступать клиентские запросы, и секрет сети. Наша сеть - 10.0.0.0/18, а секрет - «секрет».

В пользователей определите конкретное имя пользователя и пароли для входа в систему, а также конкретную VLAN, которая будет связана с именем пользователя.Вы можете назначить два типа VLAN: Airespace или Standard (Tunnel-Private-Group-ID). Для Tunnel-Private-Group-ID просто укажите идентификатор VLAN. Для Airespace укажите имя интерфейса. Идентификатор VLAN, соответствующий каждому имени интерфейса, будет определен в пользовательском интерфейсе Mist. Здесь у нас есть два пользователя в Standard и два пользователя в Airespace. Обратите внимание, что вы можете использовать только один тип для каждого SSID.

После настройки этих двух файлов запустите сервер RADIUS и перейдите к настройке Mist Dashboard.

Настройка динамических VLAN на панели мониторинга Mist:

Перейдите к сети -> WLANS , чтобы создать новую WLAN. Выберите WPA-2 / EAP (802.1X) в качестве типа безопасности. Прокрутите вниз и найдите раздел RADIUS Authentication Servers, где вы должны ввести IP-адрес вашего RADIUS-сервера и секрет (определенный в clients.conf )

Прокрутите вниз и в разделе VLAN выберите Dynamic . Здесь вы можете выбрать Airespace или Standard в качестве типа вашей VLAN.Для стандартной VLAN введите все идентификаторы VLAN, определенные в файле users на вашем сервере RADIUS.

Для Airespace VLAN введите имена интерфейсов, определенные в файле users , и в левом столбце назначьте желаемую динамическую VLAN для соответствия каждому имени интерфейса.

Убедитесь, что на вашем коммутаторе настроены правильные сети VLAN для подключенных точек доступа. Теперь, когда пользователи подключаются к этому SSID, они будут помещены в определенную VLAN в зависимости от введенного имени пользователя и пароля.

Настроить виртуальные локальные сети для Hyper-V

  • 2 минуты на чтение

В этой статье

Виртуальные локальные сети (VLAN) предлагают один способ изолировать сетевой трафик. VLAN настраиваются в коммутаторах и маршрутизаторах, поддерживающих 802.1q. Если вы настраиваете несколько VLAN и хотите, чтобы между ними происходила связь, вам необходимо настроить сетевые устройства, чтобы это позволяло.

Для настройки VLAN вам потребуется следующее:

  • Физический сетевой адаптер и драйвер, поддерживающий теги 802.1q VLAN.
  • Физический сетевой коммутатор, поддерживающий тегирование 802.1q VLAN.

На хосте вы настроите виртуальный коммутатор, чтобы разрешить сетевой трафик через порт физического коммутатора. Это идентификаторы VLAN, которые вы хотите использовать внутри виртуальных машин. Затем вы настраиваете виртуальную машину, чтобы указать VLAN, которую виртуальная машина будет использовать для всех сетевых подключений.

Разрешение виртуальному коммутатору использовать VLAN
  1. Откройте диспетчер Hyper-V.

  2. В меню Действия щелкните Virtual Switch Manager .

  3. В разделе Virtual Switches выберите виртуальный коммутатор, подключенный к физическому сетевому адаптеру, который поддерживает VLAN.

  4. На правой панели под идентификатором VLAN выберите Включить идентификацию виртуальной локальной сети , а затем введите номер для идентификатора VLAN.

    Весь трафик, проходящий через физический сетевой адаптер, подключенный к виртуальному коммутатору, будет помечен заданным вами идентификатором VLAN.

Разрешить виртуальной машине использовать VLAN
  1. Откройте диспетчер Hyper-V.

  2. На панели результатов в разделе Виртуальные машины выберите соответствующую виртуальную машину и затем щелкните правой кнопкой мыши Параметры .

  3. В разделе Аппаратное обеспечение выберите виртуальный коммутатор, настроенный с помощью VLAN.

  4. На правой панели выберите Включить идентификацию виртуальной локальной сети , а затем введите тот же идентификатор VLAN, который вы указали для виртуального коммутатора.

Если виртуальной машине необходимо использовать больше VLAN, выполните одно из следующих действий:

  • Подключите дополнительные виртуальные сетевые адаптеры к соответствующим виртуальным коммутаторам и назначьте идентификаторы VLAN. Убедитесь, что IP-адреса настроены правильно, и что трафик, который вы хотите маршрутизировать через VLAN, также использует правильный IP-адрес.

  • Настройте виртуальный сетевой адаптер в магистральном режиме с помощью командлета Set-VMNetworkAdapterVlan.

См. Также

Виртуальный коммутатор Hyper-V

10,4. Настройка тегов 802.1Q VLAN с помощью командной строки Red Hat Enterprise Linux 7

В Red Hat Enterprise Linux 7 модуль 8021q загружается по умолчанию. При необходимости вы можете убедиться, что модуль загружен, выполнив следующую команду как root :
 ~] #  modprobe - первый раз 8021q 
modprobe: ОШИБКА: не удалось вставить '8021q': модуль уже в ядре 
Чтобы отобразить информацию о модуле, введите следующую команду:
 ~] $  modinfo 8021q  
См. Справочную страницу modprobe (8) для получения дополнительных параметров команды.

10.4.2. Настройка тегов 802.1Q VLAN с помощью команд ip

Чтобы создать интерфейс 802.1Q VLAN на интерфейсе Ethernet enp1s0 с именем VLAN8 и идентификатором 8 , введите команду root следующим образом:
 ~] #  ip ссылка добавить ссылку  enp1s0  имя  enp1s0.8  тип vlan id 8  
Чтобы просмотреть VLAN, введите следующую команду:
 ~] $  ip -d ссылка показать  enp1s0.8  
4: enp1s0.8 @ enp1s0:  mtu 1500 qdisc noqueue state UP mode DEFAULT
     ссылка / эфир 52: 54: 00: ce: 5f: 6c brd ff: ff: ff: ff: ff: ff неразборчивость 0
     протокол vlan 802.1Q id 8  

Обратите внимание, что служебная программа ip интерпретирует идентификатор VLAN как шестнадцатеричное значение, если ему предшествует 0x , и как восьмеричное значение, если оно имеет ведущее значение 0 . Это означает, что для присвоения идентификатору VLAN ID с десятичным значением 22 вы не должны добавлять начальные нули.

Чтобы удалить VLAN, введите команду root следующим образом:
 ~] #  удаление IP-ссылки  enp1s0.8   
Чтобы использовать несколько интерфейсов, принадлежащих нескольким VLAN, создайте локально enp1s0.1 и enp1s0.2 с соответствующим идентификатором VLAN поверх физического интерфейса enp1s0 :
 ~] #  ip ссылка добавить ссылку  enp1s0  имя  enp1s0.1  тип vlan id 1 
      набор IP-ссылок dev  enp1s0.1  до 
~] #  ip ссылка добавить ссылку  enp1s0  имя  enp1s0.2  тип vlan id 2 
      набор IP-ссылок для устройства  enp1s0.2  вверх  
Обратите внимание, что, запустив сетевой сниффер на физическом устройстве, вы можете захватывать тегированные кадры, достигающие физического устройства, даже если никакое устройство VLAN не настроено поверх enp1s0 . Например:
 tcpdump -nnei  enp1s0  -vvv 

Как изменить внутренний идентификатор VLAN?

16.06.2021 107 6632

ОПИСАНИЕ:

Каждый отдельный интерфейс на брандмауэре отделен внутренними виртуальными локальными сетями.По умолчанию он начинается с 2. В SonicOS 7 идентификатор vlan по умолчанию начинается с 3968.

Если вы настраиваете / используете субинтерфейсы VLAN на коммутаторе, напрямую подключенном к брандмауэру с использованием того же внутреннего идентификатора VLAN, это может быть вызвать непредвиденные проблемы.

Начиная с версии прошивки 6.5.3.x, теперь мы можем настроить внутренние VLAN так, чтобы они не перекрывались с другими VLAN, подключенными / настроенными на брандмауэре.

РАЗРЕШЕНИЕ:

Разрешение для SonicOS 7.X

Этот выпуск включает в себя значительные изменения пользовательского интерфейса и множество новых функций, которые отличаются от прошивки SonicOS 6.5 и более ранних версий. Приведенное ниже разрешение предназначено для клиентов, использующих прошивку SonicOS 7.X.

Чтобы изменить внутренний идентификатор VLAN:

  1. Щелкните Сеть в верхнем меню
  2. Перейдите к Firewall | Расширенный
  3. Измените Начальный идентификатор vlan в разделе Внутренняя VLAN
  4. Нажмите Принять

ПРИМЕЧАНИЕ: Чтобы настроенная внутренняя VLAN вступила в силу, необходимо перезапустить брандмауэр.Когда вы настраиваете внутреннюю VLAN, кнопка RESTART появляется на странице MANAGE I Security Configuration | Настройки брандмауэра | Страница дополнительных настроек.

Разрешение для SonicOS 6.5

Этот выпуск включает в себя значительные изменения пользовательского интерфейса и множество новых функций, которые отличаются от прошивки SonicOS 6.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *