Рейтинг@Mail.ru

NetCloud

Простыми словами о сетевых технологиях

Разделяем сеть с помощью VLAN

Представим такую ситуацию. У нас есть офис небольшой компании, имеющей в своем арсенале 100 компьютеров и 5 серверов. Вместе с тем, в этой компании работают различные категории сотрудников: менеджеры, бухгалтеры, кадровики, технические специалисты, администраторы. Необходимо, чтобы каждый из отделов работал в своей подсети. Каким образом разграничить трафик этой сети? Вообще есть два таких способа: первый способ — разбить пул IP-адресов на подести и выделить для каждого отдела свою подсеть, второй способ — использование VLAN.

VLAN (Virtual Local Area Network) — группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети. В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от ее физической топологии.

Технология VLAN определена в документе IEEE 802.1q — открытый стандарт, который описывает процедуру тегирования для передачи информации о принадлежности к VLAN. 802.1q помещает внутрь ethernet фрейма тег, который передает информацию о принадлежности трафика к VLAN.

dg_wg_vlan_tag_format

Рассмотрим поля VLAN TAG:

  • TPID (Tag Protocol Identifier) — идентификатор протокола тегирования. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.
  • Priority — приоритет. Используется для задания приоритета передаваемого трафика (QoS).
  • CFI (Canoncial Format Indicator) — указывает на формат MAC-адреса (Ethernet или Token Ring).
  • VID (Vlan Indentifier) — идентификатор VLAN. Указывает какому VLAN принадлежит фрейм. Можно задавать число от 0 до 4094.

Компьютер при отправке фреймов ничего не знает в каком VLAN он находится — этим занимается коммутатор. Коммутатор знает к какому порту подключен компьютер и на основании этого определит в каком VLAN этот компьютер находится.

У коммутатора есть два вида портов:

  • Тегированный порт (tagged, trunk) — порт, через который можно передавать или получать трафик нескольких VLAN-групп. При передаче через тегированный порт, к кадру добавляется метка VLAN. Используется для подключения к коммутаторам, маршрутизаторам (то есть тем устройствам, которые распознают метки VLAN).
  • Нетегированный порт (untagged, access) — порт, через который передаются нетегированные кадры. Используется для подключения к конечным узлам (компьютерам, серверам). Каждый нетегированный порт находится в определенном VLAN. При передаче трафика с данного порта, метка VLAN удаляется и до компьютера (который не распознает VLAN) идет уже нетегированный трафик. В обратном случае, при приеме трафика на нетегированный порт к нему добавляется метка VLAN.

 

Настройка VLAN на управляемом коммутаторе Dlink DES-3528 

Серия коммутаторов DES-3528/3552 xStack включает в себя стекируемые коммутаторы L2+ уровня доступа, обеспечивающие безопасное подключение конечных пользователей к сети крупных предприятий и предприятий малого и среднего бизнеса (SMB). Коммутаторы обеспечивают физическое стекирование, статическую маршрутизацию, поддержку многоадресных групп и расширенные функции безопасности. Все это делает данное устройство идеальным решением уровня доступа. Коммутатор легко интегрируется с коммутаторами уровня ядра L3 для формирования многоуровневой сетевой структуры с высокоскоростной магистралью и централизованными серверами. Коммутаторы серии DES-3528/3552 снабжены 24 или 48 портами Ethernet 10/100Мбит/с и поддерживают до 4-х uplink-портов Gigabit Ethernet.

des-3528_front

Рассмотрим принципы настройки VLAN на управляемых коммутаторах Dlink. В ходе работы изучим способы создания, удаления, изменения VLAN, добавления различных видов портов (тегированных и нетегированных).

Подключение к коммутатору производится через консольный порт с помощью программы HyperTerminal.

С помощью команды show vlan посмотрим информацию о существующих VLAN.

show-vlan-empty

На рисунке выше видно, что изначально на коммутаторе создан только один VLAN по умолчанию с именем default. Команда show vlan выводит следующие поля:

  • VID – идентификатор VLAN
  • VLAN Type – тип VLAN
  • Member Ports – задействованные порты
  • Static Ports – статические порты
  • Current Tagged Ports – текущие тегированные порты
  • Current Untagged Ports – текущие нетегированные порты
  • Static Tagged Ports – статические тегированные порты
  • Static Untagged Ports – статические нетегированные порты
  • Total Entries – всего записей
  • VLAN Name – имя VLAN
  • Advertisement – статус

Создадим новый VLAN, в котором в качестве имени используются инициалы AA, а в качестве идентификатора – номер 22. Для этого воспользуемся командой create vlan.

create-vlan-aa-22

В новый VLAN пока не входит ни одного порта. С помощью config vlan изменим VLAN AA так, чтобы в нем появились тегированные порты 10, 14-17 и нетегированные порты 2-5.

config-vlan

Командой show vlan выведем информацию о созданных VLAN.





show-vlan-add

Известно, что тегированные порты могут входить в несколько VLAN, а нетегированные порты только в один VLAN. В данный момент и тегированные, и нетегированные порты входят в VLAN default и VLAN AA. Командой config vlan удалим все порты, задействованные в VLAN AA из VLAN default.

show-vlan-delete

Из рисунка выше видно, что теперь порты 2-5, 10, 14-17 находятся только в VLAN AA.

Рассмотрим разделение сети на разные VLAN. В коммутационном шкафу собрана схема и настроена подсеть 10.0.0.0 /8.

net

В начальный момент времени все компьютеры находятся в одной подсети и пингуются между собой. Необходимо разделить их так, чтобы PC22, PC20, PC18 находились в одном VLAN, а PC 19, PC21 в другом VLAN. Для этого создаем два VLAN:

  • VLAN=10 с именем net1 (PC18, PC20, PC22)
  • VLAN=20 с именем net2 (PC19, PC21)

Для коммутаторов исходя из схемы был разработан план настройки портов. При этом учитывалось, что для компьютеров необходимо использовать нетегированные порты, а для связей между коммутаторами тегированные порты. При настройке коммутаторов тегированные порты размещались в VLAN=10 и VLAN=20, а нетегированные порты размещались только в том VLAN, к которому принадлежит компьютер.

net-%d0%ba%d0%be%d0%bf%d0%b8%d1%8f

На каждом из коммутаторов необходимо настроить порты в соответствии со схемой. На рисунке ниже показан пример настройки SW5. В начале создается vlan с идентификатором net1 и меткой 10. Далее создаем второй vlan net2 с меткой 20. После чего, добавляем порты коммутатора в соответствующие vlan. Порт 1 подключен к компьютеру PC22, который находится в 10 VLAN’е.  Значит 1 порт будет нетегированным (untagged). Второй порт по схеме подключен к SW4 и должен пропускать через себя 10 и 20 VLAN’ы.

Остальные коммутаторы настраиваются по аналогии.

create-and-add-vlan Командой show vlan просмотрим каждый из созданных нами VLAN.

show-vlan-10

show-vlan-2

Теперь можно посмотреть работу VLAN  в действии. Согласно плану наши компьютеры имеют следующие IP-адреса:

  • PC18  — 10.90.90.118
  • PC19 — 10.90.90.119
  • PC20 — 10.90.90.120
  • PC21 — 10.90.90.121
  • PC22 — 10.90.90.122

Будем пинговать с PC22.

ping-ws21

ping-ws20

ping-ws19

ping-ws18

Из результатов видно, что PC22 пингуется с PC20, PC18 так как они находятся в одном VLAN 10. PC21, PC19 недоступны, потому что находятся в другом VLAN 20.


 

  • В ближайшее время выйдет статья про настройку VLAN на Cisco. Следите за обновлениями.

  • Pingback: Настройка VLAN в Cisco()

  • Новичок

    Здравствуйте! Не подскажете, как можно подключить к маршрутизатору VoIP? Какие настройки необходимо сделать при этом? Заранее спасибо!