www.seteved.ru - Статья о том, что такое VLANы их как их настроить.

Статья о том, что такое VLANы их как их настроить.

Написал Administrator
вторник, 07 октября 2008
VLAN (Virtual Local Area Network) —устройства объединённые в группы, общающиеся напрямую на канальном уровне, несмотря на то что физически подключены к разным коммутаторам. А также, устройства, находящиеся в разных VLAN'ах, не видят друг друга на канальном уровне, несмотря на то что они подключены к одному коммутатору, - связь возможно только на сетевом или более высоких уровнях. Основная идея, - создание логической топологии сети не зависящей от физической топологии. Использование VLAN'ов сокращает широковещательный трафик в сети. Также имеет большое значение в безопасности сети, к примеру помогает в борьбе с ARP-spoofing'ом. Задачи VLAN'ов. Гибкое разделение устройств на группы Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения Уменьшение количества широковещательного трафика в сети Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен. Увеличение безопасности и управляемости сети Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN. Тегирование трафика VLAN Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN'е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN'e. Трафик, приходящий на порт определённого VLAN'а, ничем особенным не отличается от трафика другого VLAN'а. Другими словами, никакой информации о принадлежности трафика определённому VLAN'у в нём нет. Однако, если через порт может прийти трафик разных VLAN'ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN'у трафик принадлежит. Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q. Существуют проприетарные протоколы, решающие похожие задачи, например, протокол ISL (Inter Switch Link) от Cisco Systems, но их популярность значительно ниже (и снижается). 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN'у. Размер тега — 4 байта. Он состоит из таких полей: Tag Protocol Identifier (TPID) — Идентификатор протокола тегирования. Размер поля — 16 бит. Указывает какой протокол используется для тегирования. Для 802.1q используется значение 0x8100. Priority — приоритет. Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика. Canonical Format Indicator (CFI) — Индикатор канонического формата. Размер поля — 1 бит. Указывает на формат mac адреса. 1 — канонический, 0 — не канонический. VLAN Identifier (VID) — идентификатор VLAN'а. Размер поля — 12 бит. Указывает какому VLAN'у принадлежит фрейм. При использовании стандарта Ethernet II, 802.1Q вставляет тег перед полем "Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма. В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется. Принадлежность VLAN Порты коммутатора, поддерживающие VLAN'ы, (с некоторыми допущениями) можно разделить на два множества: Тегированные порты (или транковые порты, trunk-порты в терминологии Cisco). Нетегированные порты (или порты доступа, access-порты в терминологии Cisco); Тегированные порты нужны для того, чтобы через один порт была возможность передать несколько VLAN'ов и, соответственно, получать трафик нескольких VLAN'ов на один порт. Информация о принадлежности трафика VLAN'у, как было сказано выше, указывается в специальном теге. Без тега коммутатор не сможет различить трафик различных VLAN'ов. Если порт нетегированный в каком-то VLAN'е, то трафик этого VLAN передается без тега. Нетегированным порт может быть только в одном VLAN. Порт может быть одновременно тегированным в нескольких VLAN'ах и нетегированным в одном VLAN (только в одном VLAN). В таком случае VLAN, которому порт принадлежит как нетегированный, называется родным (native VLAN). Если порт принадлежит только одному VLAN как нетегированный, то тегированный трафик, приходящий через такой порт, должен удаляться (как правило, но не всегда). Обычно, по умолчанию все порты коммутатора считаются нетегированными членами VLAN 1. В процессе настройки или работы коммутатора они могут перемещаться в другие VLAN'ы. Существуют два подхода к назначению порта в определённый VLAN: Статическое назначение — когда принадлежность порта VLAN'у задаётся администратором в процессе настройки; Динамическое назначение — когда принадлежность порта VLAN'у определяется в ходе работы коммутатора с помощью процедур, описанных в специальных стандартах, таких, например, как 802.1X. При использовании 802.1X для того чтобы получить доступ к порту коммутатора, пользователь проходит аутентификацию на RADIUS-сервере. По результатам аутентификации порт коммутатора размещается в том или ином VLANe (подробнее: 802.1X и RADIUS). Настройка VLAN на коммутаторах Cisco Сеть с VLANами на коммутаторах Cisco Терминология Cisco: access port — порт принадлежащий одному VLAN'у и передающий нетегированный трафик trunk port — порт передающий тегированный трафик одного или нескольких VLAN'ов Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN'у. В современных моделях коммутаторов Cisco ISL не поддерживается. Создание VLAN'а и задание имени: sw1(config)# vlan 2 sw1(config-vlan)# name test Назначение порта коммутатора в VLAN: sw1(config)# interface fa0/1 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 2 Назначение диапазона портов c fa0/4 до fa0/5 в vlan 10: sw1(config)# interface range fa0/4 - 5 sw1(config-if-range)# switchport mode access sw1(config-if-range)# switchport access vlan 10 Просмотр информации о VLAN'ах: switch# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 test active Fa0/1, Fa0/2 10 VLAN0010 active Fa0/4, Fa0/5 15 VLAN0015 active Fa0/3, Fa0/2, Создание статического транка: sw1(config)# interface fa0/22 sw1(config-if)# switchport encapsulation dot1q sw1(config-if)# switchport mode trunk Если еще задать: sw1(config-if)# switchport trunk native vlan 5 то весь трафик принадлежащий VLAN'у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN'у 5 (по умолчанию VLAN 1) Просмотр информации о транке: sw1# show interface fa0/22 trunk или sw1# show interface fa0/22 switchport Конфигурация sw1: ! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk ! Настройка маршрутизации между VLAN Передача трафика между VLANами с помощью коммутатора Cisco Все настройки по назначению портов в VLAN, сделанные ранее для sw1, сохраняются. Дальнейшие настройки подразумевают использование коммутатора 3 уровня. При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети. Включение маршрутизации на коммутаторе: sw1(config)#ip routing Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2: sw1(config)#interface Vlan2 sw1(config-if)#ip address 10.0.2.1 255.255.255.0 sw1(config-if)#no shutdown Задание адреса в VLAN 10: sw1(config)#interface Vlan10 sw1(config-if)#ip address 10.0.10.1 255.255.255.0 sw1(config-if)#no shutdown Интерфейс fa0/10 соединен с маршрутизатором, который является маршрутизатором по умолчанию для сети. Трафик не предназначенный сетям VLAN'ов будет маршрутизироваться на R1. Перевод fa0/10 в режим интерфейса 3 уровня и задание адреса: sw1(config)#interface FastEthernet 0/10 sw1(config-if)#no switchport sw1(config-if)#ip address 192.168.1.2 255.255.255.0 sw1(config-if)#no shutdown Конфигурация sw1: ! ip routing ! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! ! interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ! ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk ! ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 10.0.2.1 255.255.255.0 ! interface Vlan10 ip address 10.0.10.1 255.255.255.0 ! interface Vlan15 ip address 10.0.15.1 255.255.255.0 ! ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! тут надо уточнить, что сам маршрут прописывается как раз последней строкой ip route 0.0.0.0 0.0.0.0 192.168.1.1 здесь - все запросы на все адреса направляются по адресу 192.168.1.1 Настройка VLAN на коммутаторах Hewlett-Packard ProCurve Сеть с VLANами на коммутаторах ProCurve Указание количества VLAN (максимальное значение варьируется в зависимости от модели коммутатора): sw1(config)# max-vlans {количество VLAN} Создание VLAN'а, задание имени и назначение портов: sw1(config)# vlan 2 sw1(vlan-2)# name test sw1(vlan-2)# untagged 1,2 sw1(vlan-2)# tagged 22 sw1(config)# vlan 10 sw1(vlan-10)# untagged 4-5 sw1(vlan-10)# tagged 22 Так как на коммутаторе sw2 нет VLAN'а 15, то мы не добавляем тегированный порт 22 в этот VLAN: sw1(config)# vlan 15 sw1(vlan-15)# untagged 3 Просмотр информации о существующих VLAN'ах: sw1# sh vlan Status and Counters - VLAN Information Maximum VLANs to support : 256 Primary VLAN : DEFAULT_VLAN Management VLAN : VLAN ID Name \| Status Voice Jumbo ------- -------------------- + ---------- ----- ----- 1 DEFAULT_VLAN \| Port-based No No 2 test \| Port-based No No 10 VLAN10 \| Port-based No No 15 VLAN15 \| Port-based No No Посмотреть, какие порты принадлежат VLAN'у 2 и какой статус у порта: sw1# sh vlan 2 Status and Counters - VLAN Information - Ports - VLAN 2 VLAN ID : 2 Name : test Status : Port-based Voice : No Jumbo : No Port Information Mode Unknown VLAN Status ---------------- -------- ------------ ---------- 1 Untagged Learn Up 2 Untagged Learn Up 22 Tagged Learn Up Посмотреть, каким VLAN'ам принадлежит порт 22: sw1# sh vlan port 22 Status and Counters - VLAN Information - for ports 22 VLAN ID Name \| Status Voice Jumbo ------- -------------------- + ---------- ----- ----- 1 DEFAULT_VLAN \| Port-based No No 2 test \| Port-based No No 10 VLAN10 \| Port-based No No Конфигурация sw1: vlan 1 name "DEFAULT_VLAN" untagged 6-24 ip address dhcp-bootp no untagged 1-5 exit vlan 2 name "test" untagged 1-2 tagged 22 no ip address exit vlan 10 name "VLAN10" untagged 4-5 tagged 22 no ip address exit vlan 15 name "VLAN15" untagged 3 no ip address exit Настройка маршрутизации между VLAN Все настройки по назначению портов в VLAN, сделанные ранее для sw1, сохраняются. Дальнейшие настройки подразумевают использование коммутатора 3 уровня. При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети. Включение маршрутизации на коммутаторе: sw1(config)# ip routing Задание адреса в VLAN. Этот адрес должен быть прописан как маршрут по умолчанию для компьютеров в VLAN 2: sw1(config)# vlan 2 sw1(vlan-2)# ip address 10.0.2.1 255.255.255.0 Или, другой формат задания IP-адреса в VLAN: sw1(config)# vlan 2 ip address 10.0.2.1 255.255.255.0 Просмотр информации о заданных IP-адресах и включен ли ip routing: sw1(config)# show ip Конфигурация sw1: hostname "sw1" max-vlans 256 ip routing vlan 1 name "DEFAULT_VLAN" untagged 6-24 ip address 10.0.1.1 255.255.255.0 no untagged 1-5 exit vlan 2 name "test" untagged 1-2 ip address 10.0.2.1 255.255.255.0 tagged 22 exit vlan 10 name "VLAN10" untagged 4-5 ip address 10.0.10.1 255.255.255.0 tagged 22 exit vlan 15 name "VLAN15" untagged 3 ip address 10.0.15.1 255.255.255.0 exit сам маршрут прописывается командой ip route {сеть, куда идут запросы} {ip адрес, куда запросы перенаправляются} Настройка VLAN на коммутаторах D-LINK create vlan vlan_name tag vlan_id config vlan vlan_name delete port_list config vlan vlan_name add <untagged\|tagged\|forbidden> port_list Создание VLAN'а: # create vlan v6 tag 6 Удаление и добавление портов в VLAN: # config vlan default delete 1-16 # config vlan v6 add untagged 1-16 # config vlan v6 add tagged 21-22 Просмотр информации о VLAN'ах: # show vlan VID : 1 VLAN Name : default VLAN TYPE : static Advertisement : Enabled Member ports : 17-22,24-26 Static ports : 17-22,24-26 Current Untagged ports : 17-22,24-26 Static Untagged ports : 17-22,24-26 Forbidden ports : ... VID : 6 VLAN Name : v6 VLAN TYPE : static Advertisement : Disabled Member ports : 1-16,21-22 Static ports : 1-16,21-22 Current Untagged ports : 1-16 Static Untagged ports : 1-16 Forbidden ports : ... Total Entries : 6 Сохранение изменений в NVRAM: # save Настройка VLAN на маршрутизаторах Передача трафика между VLANами с помощью маршрутизатора Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы на физическом интерфейсе для каждого VLAN. На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк). Настройка VLAN на маршрутизаторах Cisco На физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1. По умолчанию трафик этого VLAN передается не тегированым, поэтому никаких дополнительных настроек делать не нужно. Задание адреса на физическом интерфейсе: R1(config)#interface fa0/0 R1(config-if)#ip address 10.0.1.1 255.255.255.0 Для логических подынтерфейсов необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса: (config-if)#encapsulation dot1q {vlan-id} Создание логического подынтерфейса для VLAN 2: R1(config)#interface fa0/0.2 R1(config-if)#encapsulation dot1q 2 R1(config-if)#ip address 10.0.2.1 255.255.255.0 Создание логического подынтерфейса для VLAN 10: R1(config)#interface fa0/0.10 R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 10.0.10.1 255.255.255.0 Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование. Настройка VLAN на маршрутизаторах ProCurve Настройка физического интерфейса: R1(config)#interface eth 0/1 R1(config-eth 0/1)#encapsulation 802.1q После задания на физическом интерфейсе инкапсуляции 802.1Q на нем нельзя задать IP-адрес (адреса задаются на подынтерфейсах). На логических подынтерфейсах необходимо указать номер VLAN и адрес. Если подынтерфейс должен передавать нетегированный трафик, то необходимо использовать опцию native (по умолчанию native VLAN 1). Создание логического подынтерфейса для VLAN 1: R1(config)#int eth 0/1.1 R1(config-eth 0/1.1)#vlan-id 1 native R1(config-eth 0/1.1)#ip address 10.0.1.1 /24 Создание логического подынтерфейса для VLAN 2: R1(config)#int eth 0/1.2 R1(config-eth 0/1.2)#vlan-id 2 R1(config-eth 0/1.2)#ip address 10.0.2.1 /24 Пример конфигурации R1: ! interface eth 0/1 encapsulation 802.1q no shutdown ! interface eth 0/1.1 vlan-id 1 native no shutdown ip address 10.0.1.1 255.255.255.0 interface eth 0/1.2 vlan-id 2 no shutdown ip address 10.0.2.1 255.255.255.0 interface eth 0/1.10 vlan-id 10 no shutdown ip address 10.0.10.1 255.255.255.0 interface eth 0/1.15 vlan-id 15 no shutdown ip address 10.0.15.1 255.255.255.0 источник - http://xgu.ru
Последнее обновление ( понедельник, 17 августа 2009 )

хорошо бы еще и про программые маршрутизаторы написать к примеру FreeBsd сейчас пытаюсь её прикрутить к свичу 3com !!! Vlan1 Сетка не поднимается думаю что делать =) Цитировать

-1 #4 nik 2009-11-16 22:09 чего тут понимать-то во вланах.. простая вещь. Цитировать

-1 #3 !! 2009-08-16 17:30 спасибо! Цитировать

+2 #2 nowice 2009-04-16 12:04 Огромное спасибо автору! Действительно отличная статья! Цитировать

+2 #1 SirusVirus 2009-03-06 17:53 Лучшая статья про VLAN во всем интернете. Огромное спасибо автору, наконец то досканально понял что такое VLAN и как его можно использовать

Цитировать

Обновить список комментариев

Добавить комментарий

JComments

< Пред.		След. >

[Назад]

Главное Меню

Настройка маршрутизации между VLAN

Настройка маршрутизации между VLAN

Комментарии

Добавить комментарий

Все Статьи