Как зависит перевод термина trunk от вендора коммутаторов?

Для начала определимся что такое 802.1q vlan, дабы не изобретать велосипед маленькая вырезка из википедии:

VLAN (аббр. от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств. На устройствах Cisco, протокол VTP (VLAN Trunking Protocol) предусматривает VLAN-домены для упрощения администрирования. VTP также выполняет «чистку» трафика, направляя VLAN трафик только на те коммутаторы, которые имеют целевые VLAN-порты. Коммутаторы Cisco в основном используют протокол ISL (Inter-Switch Link) для обеспечения совместимости информации. По умолчанию на каждом порту коммутатора имеется сеть VLAN1 или VLAN управления. Сеть управления не может быть удалена, однако могут быть созданы дополнительные сети VLAN и этим альтернативным VLAN могут быть дополнительно назначены порты. Native VLAN — это параметр каждого порта, который определяет номер VLAN, который получают все непомеченные (untagged) пакеты.

Для чего это надо? Есть несколько ситуаций: 1. Банально представим ситуацию есть большая сеть, в районе покрытия этой сети у нас расположено два офиса, их необходимо объединить в одну физическую сеть, при этом общегородская сеть не должна видеть/иметь доступ к офисным тачкам. Данную ситуацию конешно можно разрулить VPN-ами, но на шифрованый трафик порядка 100 мегабит нужно не кислое железо, поэтому рулим vlan-aми. 2. Есть масса подсетей, территориально поделенных по городу, необходимо на каждую подсеть настроить интерфейс, по началу можно конечно обойтись сетевыми картами, но сети имеют свойства разростаться, и что прикажете делать, например в такой ситуации?:

serv:~# ifconfig | grep eth | wc -l  152  serv:~#   

3. Клиенту необходимо выдать блок из 4,8,16 и т.д. и т.п. адресов. 4. Уменьшение количества широковещательного трафика в сети Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен. И множество других причин/ситуаций в которых это может понадобиться. 5. Увеличение безопасности и управляемости сети Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.Как мне это все сделать? Легко! Тегирование трафика VLAN Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN’е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN’e. Трафик, приходящий на порт определённого VLAN’а, ничем особенным не отличается от трафика другого VLAN’а. Другими словами, никакой информации о принадлежности трафика определённому VLAN’у в нём нет. Однако, если через порт может прийти трафик разных VLAN’ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN’у трафик принадлежит. Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q. Существуют проприетарные протоколы, решающие похожие задачи, например, протокол ISL от Cisco Systems, но их популярность значительно ниже (и снижается). Настройка обычно происходит на серверах и на свитчах. По умолчанию все сетевые устройства находятся в первом (1, default) vlan-e. Поэтому подними 2-й vlan, с сетью 1 В зависимости от ОСи на сервере vlan-ы конфигурятся по разному. В данной статье я попробую максимально коротко и четко описать различные способы настройки vlan-ов, на разных ОС. И так поехали, попробуем на разных ОС сделать одну и ту же задачу — настроить 2-й vlan, с адресным пространством из 64-х адресов, 10.10.10.0/26 Для начала нам необходимо рассчитать маску, бродкастовый адрес и шлюз, в помощь прийдет ipcalc 🙂

  Address:   10.10.10.0            00001010.00001010.00001010.00 000000  Netmask:   255.255.255.192 = 26  11111111.11111111.11111111.11 000000  Wildcard:  0.0.0.63              00000000.00000000.00000000.00 111111  =>  Network:   10.10.10.0/26         00001010.00001010.00001010.00 000000 (Class A)  Broadcast: 10.10.10.63           00001010.00001010.00001010.00 111111  HostMin:   10.10.10.1            00001010.00001010.00001010.00 000001  HostMax:   10.10.10.62           00001010.00001010.00001010.00 111110  Hosts/Net: 62                    (Private Internet)  

Шлюзом сделаем 10.10.10.1 Маска 255.255.255.192 или 26 Broadcast 10.10.10.63 Итого мы получаем на клиентов 61 адрес, 10.10.10.2 — 10.10.10.62Нам необходимо поставить пакет vlan

# apt-get install vlan

Далее переходим в /etc/network/ и правим файл с интерфейсами.

# nano interfaces  auto eth0.2 # автоматически поднимаем интерфейс после ребута. eth0 транковый интерфейс в которы подаем vlan  iface eth0.2 inet static          address 10.10.10.1          netmask 255.255.255.192          broadcast 10.10.10.63  

поднимаем интерфес:

# ifup eth0.2

Для ред-хата необходима утилита настройки vlan’ов, ставим утилиту vconfig

[root@notebook ~]# yum search vconfig  vconfig.i686 : Linux 802.1q VLAN configuration utility  [root@notebook ~]# yum install -y vconfig  

Добавим второй vlan в eth0.

[root@notebook ~]# vconfig add eth0 2

переходим в /etc/sysconfig/network-scripts, создадим файл интерфейса, редактируем его

[root@notebook ~]# cd /etc/sysconfig/network-scripts  [root@notebook ~]# touch ifcfg-eth0.2  [root@notebook ~]# nano ifcfg-eth0.2  DEVICE=eth0.2  VLAN_TRUNK_IF=eth0  BOOTPROTO=static  IPADDR=10.10.10.1  NETMASK=255.255.255.192  BROADCAST=10.10.10.63  ONBOOT=yes  

поднимаем интерфейс

[root@notebook ~]# ifup eth0.2

ifconfig vlan_device vlan vlan_id vlandev parent_device

ifconfig vlan0 vlan 2 vlandev xl0  ifconfig vlan0 inet 10.10.10.1 netmask 255.255.255.192  

Для того чтобы интерфейс автоматически загружался, правим /etc/rc.conf.

cloned_interfaces="vlan0" #You need a recent STABLE for this else use:  #network_interfaces="lo0 vlan0"  ifconfig_vlan0="inet 10.10.10.1 netmask 255.255.255.192 vlan 24 vlandev xl0"   #Note: If you do not assign an IP Adress to your parent device, you need to   #start it explicitly:  ifconfig_xl0="up"  

Теперь перейдем к более интересному пункту, настройка сетевых коммутаторов. т.к. коммутаторы 2-го уровня бывают разные я приведу несколько примеров по настройке, на разных коммутаторах разное меню соответственно по разному настраивается, обычно ничего сложного нет, и принцип настройки одинаковый. ситуация серв включен в 1-й порт, необходимо подать 2-й влан в 4,5,6 порты, и во втором порту подать его тегированным.На D-Link-е:

  config vlan default delete 1-26  config vlan default add untagged 1,3,7-24  create vlan Offices tag 2  config vlan Offices add tagged 1,2  config vlan Offices add untagged 4,5,6  save  

Пробуем воткнуться в 4 дырочку сетевым устройством и прописать адрес из диапазона 10.10.10.0/26 и банально пингами проверить.На Asotel-ях

set 1qvlan create 2 Offices #создадим 2-й влан  set 1qvlan modify -4-5-6 1 0 #уберем первый с 4,5,6-го портов  set 1qvlan modify +1+2 2 1 #подадим тегированный 2-й влан в 1,2 порты  set 1qvlan modify +4+5+6 2 0 #подадим нетегированный 2-й влан в 4,5,6 порты  set 1qvlan pvid 4 2 # скажем свитчу что 4 дырка пренадлежит 2-му влану, аналогично делаем с 5,6   set 1qvlan pvid 5 2  set 1qvlan pvid 6 2

На EdgeCore/LinkSys

  Vty-0#configure  Vty-0(config)#vlan database  Vty-0(config-vlan)#  Vty-0(config-vlan)#vlan 2 name Offices media ethernet state active  Vty-0(config-vlan)#exit  Vty-0(config)#interface ethernet 1/1  Vty-0(config-if)#switchport mode trunk  Vty-0(config-if)#switchport allowed vlan add 2 tagged  Vty-0(config-if)#exit  Vty-0(config)#interface ethernet 1/2  Vty-0(config-if)#switchport mode trunk  Vty-0(config-if)#switchport allowed vlan add 2 tagged  Vty-0(config-if)#exit  Vty-0(config)#interface ethernet 1/4  Vty-0(config-if)#switchport mode access  Vty-0(config-if)#switchport allowed vlan add 2 untagged  Vty-0(config-if)#switchport native vlan 2  Vty-0(config-if)#exit  Vty-0(config)#interface ethernet 1/5  Vty-0(config-if)#switchport mode access  Vty-0(config-if)#switchport allowed vlan add 2 untagged  Vty-0(config-if)#switchport native vlan 2  Vty-0(config-if)#exit  Vty-0(config)#interface ethernet 1/6  Vty-0(config-if)#switchport mode access  Vty-0(config-if)#switchport allowed vlan add 2 untagged  Vty-0(config-if)#switchport native vlan 2  Vty-0(config-if)#exit  Vty-0(config)#exit  Vty-0#copy running-config startup-config  ; Для проверки запустим  Vty-0#show running-config  

На этом смею откланяться, более детально могу ответить на вопросы в комментариях. Спасибо за внимание :)ВЗЯТО С: http://mcp1971.livejournal.com/1851.htmlДиапазоны номеров VLANовВсе VLANы доступа можно разбить на два диапазона:Обычный диапазон VLANов— используется в малых и средних сетях- имеют номера от 1 до 1005- номера с 1002 до 1005 зарезервированы для Token Ring and FDDI VLANов- номера 1, 1002 и 1005 создаются автоматически и не могут быть удалены- все данные о VLANах хранятся в файле vlan.dat, который располагается на флеш памяти (flash:vlan.dat)- протокол VTP может изучать VLANы только обычного диапазрна и сохранять сведения о них в vlan.datРасширенный диапазон VLANов— используются провайдерами или на очень больших сетях для расширения инфраструктуры VLANов- имеют номера от 1006 до 4094- поддерживают меньше возможностей, чем VLANы обычного диапазона- все данные о VLANах хранятся в рабочей конфигурации- нет поддержки VTPКоммутатор Cisco Catalyst 2960 поддерживает до 255 VLANов обычного и расширенного диапазоновТипы VLANовВсе VLANы можно отнести к конкретному типу:1. Data VLAN (VLAN данных) — VLAN, в котором проходят данные, генерируемые пользователями. Но это не могут быть голосовые данные или управляющий трафик для коммутаторов.2. Default VLAN (VLAN по умолчанию) — VLAN, в котором находятся все порты коммутатора перед началом конфигурирования. VLAN по умолчанию для коммутаторов Cisco — VLAN1. По умолчанию управляющий трафик 2-го уровня, такой как CDP и STP, ассоциируется с VLAN1.3. Native VLAN (родной VLAN) — VLAN, через который на порту, сконфигурированном как транковый порт (802.1Q), и пропускающем с помощью 802.1Q тегированные фреймы, сможет подключиться рабочая станция и передавать нетегированные фреймы. Это реализовано для того, чтобы к транковому порту можно было подключить компьютер, который не может тегировать фреймы. Рекомендуется использовать родным VLANом VLAN, отличный от VLAN1.4. Management VLAN (управляющий VLAN) — VLAN, через который происводится конфигурирование. Для этого VLANу надо назначить IP адрес и маску подсети.5. Voice VLAN (голосовой VLAN) — VLAN, предназначенный для передачи голоса. Такой VLAN должен обеспечивать:— гарантированнуюполосу пропусканиядля обеспечениякачества передачи голоса— приоритет голосового трафика по сравнению сдругими типамитрафика— возможностьнаправлятьтрафик в обход загруженных районовв сети— иметь задержкуменее 150миллисекундв сетиБывает, что компьютер подключается к коммутатору через IP телефон. Получается, что надо разграничить на порту голосовой трафик и трафик данных. Для этого телефон представляет собой трехпортовый коммутатор. Один порт подключен к коммутатору. Второй — внутренний порт для передачи голосового трафика. Третий порт — порт, к которому подключен компьютер. Трафик с внутреннего порта телефона тегируется номером голосового VLAN. Трафик с компьютера не тегируется. Поэтому коммутатор может определить трафик, которому надо предоставить приоритет. Точно также происходит разделение входящего трафика — тегированный номером голосового VLAN — на телефон, не тегированный — на компьютер. Соответственно на порту коммутатора настраивается и голосовой VLAN, и VLAN доступа.Режимы работы портов коммутаторав VLANахКаждый порт коммутатора может быть настроен для работы конкретного типа VLANа различными методами:Статический VLAN — каждому порту вручную указывается VLAN, к которому он принадледит.Динамический VLAN — каждому порту указывается VLAN, к которому он принадледит, с помощью Сервера политики членства в VLAN (VMPS — VLAN Membership Policy Server). СVMPSможно назначитьVLAN портам коммутатора динамически,на основеМАС-адреса устройства, подключенного кпорту.Это полезно, когдавы перемещаетеустройство спорта одного коммутаторв сетик портудругого коммутаторав сети, коммутатординамически назначаетVLANдля этого устройства на новом порту.Голосовой VLAN — порт настраивается и для передачи тегированного голосового трафика, и для передачи нетегированного трафика данных. Для настройки голосовой VLAN используются команды:S1(config)#interface fastethernet 0/18S1(config-if)#mls qos trust cos — определяем голосовй трафик, как приоритетныйS1(config-if)#switchport voice vlan 150 — определяем голосовой VLANS1(config-if)#switchport mode access — определяем, что этот порт для данных (порт доступа — нетегированный трафик)S1(config-if)#switchport access vlan 20 — определяем VLAN для данныхТранкиVLANовТранк — это соединение типа точка-точка между сетевыми устройствами, которые передают данные более чем одного VLANа. Если бы не было транков, для каждого VLANа при соединении коммутаторов необходимо было бы выделять отдельный порт. При транке все VLANы проходят через один порт.Для того, чтобы транковый порт знал, к какому VLANу принадлежит фрейм, передаваемый через порт, в заголовок фрейма вводится тег 802.1Q, в котором указывается номер VLANа, также приоритет передаваемого кадра.Если на порт поступает нетегированный фрейм, коммутатор автоматически отправляет его в родной VLAN. По умолчанию родным VLANом является VLAN1. Но его можно изменить командой:S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan vlan-idДля проверки, на какой родной VLAN передается нетегированный фрейм, используется команда:S1#show interfaces interface-id switchportDTPDTP — это проприеритарный протокол коспании Cisco, который позволяет автоматически настраивать транкинговые режимы работы портов коммутатора. Бывает три режима работы:On (по умолчанию) — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он работает как транковый порт. Включается командой S1(config-if)#switchport mode trunk. Если удаленный порт работает как access-порт, локальный порт не рекомендуется использовать с этим режимом DTP.Dynamic auto — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт, но не требует работать в транковом режиме. Порт включает транковый режим, если удаленный порт уже работает, как транковый или у него настроен режими Dynamic desirable, порты согласовуют работу в транковом режиме. Если удаленный порт настроен тоже как  Dynamic auto, согласование не проводится — порты работают как порты доступа. Если удаленный порт — access, локальный тоже access. Включается командой S1(config-if)#switchport mode dynamic auto.Dynamic desirable — коммутатор периодически отправляет на удаленный порт DTP-фрейм, которым извещает, что он готов работать как транковый порт и просит работать в транковом режиме. Если удаленный порт работает в режиме Dynamic auto или Dynamic desirable, порты переходят работать в транковый режим. Если удаленный порт не поддерживает согласование, локальный порт работает в нетранковом режиме.Отключить согласование режимов работы можно командой S1(config-if)#switchport nonegotiate.Команды для настройка VLANов1. S1(config)#vlan vlan id — добавление VLAN.2. S1(config-vlan)#name vlan name — присвоение имени VLANу.3. S1#show vlan brief — проверка наличия VLANа в база данных, access-портов, принадлежащих VLANу4. S1(config-if)#switchport mode access — перевод порта в режим работы access-порта.    S1(config-if)#switchport access vlan vlan id — назначение номера VLANа порту.5. S1#show interfaces [interface-id  | vlan vlan-id] | switchport — проверка режима работы конкретного интерфейса6. S1(config-if)#no switchport access vlan — исключение порта из VLANа с настроенным номером и перевод его вVLAN по умолчанию7. S1(config)#no vlan vlan id — удаление VLANа из базы данных. Перед этим обязательно надо удалить все порты из этого VLANа, иначе они будут недоступны.8. S1#delete flash:vlan.dat — удаление всей базы VLANов. Останутся только VLANы по умолчанию.9. S1(config-if)#switchport mode trunk — принудительный перевод режима работы порта в транковый.10. S1(config-if)#switchport trunk native vlan vlan id — изменение родного VLANа для транкового порта.11. S1(config-if)#switchport trunk allowedvlan id — назначение VLANов, которые могут проходить через порт. Без применения этой команды все VLANы могут проходить через порт.12. S1(config-if)#no switchport trunk allowed vlan — сброс всех разрешенных VLANов на транковом порту.13. S1(config-if)#no switchport trunk native vlan — возвращение VLAN1 как родного VLANа на транковом порту.

Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.

В качестве примера создадим две виртуальных сети с доступом друг к другу и в интернет.

Создание интерфейсов

Графический интерфейс

Для создания нового интерфейса:

  1. Перейдите на вкладку Network → Interfaces.
  2. Задайте имя новому интерфейсу.
  3. Для параметра Type выберите значение VLAN.
  4. Задайте идентификатор сети в поле VLAN ID.
  5. Выберите для параметра Role значение LAN.
  6. В поле IP/Netmask задайте адрес и маску сети. image
  7. Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects → Addresses. image
  8. Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов.

Консольный интерфейс

Для создания нового интерфейса через CLI введите:

config system interface     edit “VLAN 101”         set vdom root         set ip 192.168.101.1 255.255.255.0         set allowaccess ping https ssh http         set role lan         set interface lan         set vlanid 101     next     edit “VLAN 102”         set vdom root         set ip 192.168.102.1 255.255.255.0         set allowaccess ping https ssh http         set role lan         set interface lan         set vlanid 102 end

Добавьте адреса для созданных VLAN:

config firewall address     edit VLAN 101 address         set type ipmask         set subnet       next     edit VLAN 102 address         set type ipmask         set subnet   end

Настройка политики безопасности

Графический интерфейс

Создайте две политики для доступа подсетей VLAN друг другу. Для добавления правил:

  1. Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
  2. В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
  3. В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
  4. В данной политике NAT не нужен, поэтому убедитесь, что он выключен.
  5. Создайте вторую политику, но поменяйте местами VLAN.
  6. Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.

В данных политиках убедитесь, что NAT включен.

Консольный интерфейс

Для создания новой политики через CLI введите:

config firewall policy     edit 3         set name "VLAN 101 to VLAN 102"         set srcintf "VLAN 101"         set dstintf "VLAN 102"         set srcaddr "VLAN 101 address"         set dstaddr "VLAN 102 address"         set action accept         set schedule "always"         set service "ALL"         set nat disable      next edit 4         set name "VLAN 102 to VLAN 101"         set srcintf "VLAN 102"         set dstintf "VLAN 101"         set srcaddr "VLAN 102 address"         set dstaddr "VLAN 101 address"         set action accept         set schedule "always"         set service "ALL"          set nat disable     next end

Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:

config firewall system          edit 5         set name "VLAN 101 to Internet"         set srcintf "VLAN 101"         set dstintf "wan1"         set srcaddr "VLAN 101 address"         set dstaddr "all"         set action accept         set schedule "always"         set service "ALL"     next     edit 6         set name "VLAN 102 to Internet"         set srcintf "VLAN 102"         set dstintf "wan1"         set srcaddr "VLAN 102 address"         set dstaddr "all"         set action accept         set schedule "always"         set service "ALL"     next end

VLAN – это аббревиатура, означающая Virtual Local Area Network (виртаульная локальная сеть). На одном физическом порту может совместно существовать несколько VLAN-сетей, которые настраиваются программными средствами Linux, а не конфигурацией физических интерфейсов (но настройка самих интерфейсов тоже требуется). С помощью VLAN можно разделить сетевые ресурсы для использования различных сервисов.

Преимущества VLAN следующие:

  • Производительность
  • Простота управления
  • Безопасность
  • Магистральные cоединения (trunk)
  • Возможность разделения внутри локальной сети из соображений безопасности
  • Отсутствие необходимости настройки аппаратных средств при физическом переносе сервера в другое место.

Содержание

Требования к сетевому оборудованию

Чтобы использовать VLAN, вам потребуется:

  1. Коммутатор с поддержкой стандарта IEEE 802.1q в сети Ethernet.
  2. Сетевая карта, которая работает с Linux и поддерживает стандарт 802.1q .

Возможные проблемы

Наиболее распространенные при настройке VLAN в Linux проблемы следующие:

  • Не все сетевые драйверы поддерживают VLAN. Может потребоваться обновление драйвера.
  • Возможны проблемы с MTU. Работа VLAN основана на присвоении каждому кадру тега длиной 4 байта, то есть заголовок фактически расширяется с 14 до 18 байт. Тег VLAN содержит идентификатор (VLAN ID) и приоритет.
  • Лучше не использовать VLAN ID, равный 1, так как он может быть зарезервирован для административных целей.

Сначала убедитесь, что драйвер (модуль) ядра Linux под названием 8021 загружен:

# lsmod | grep 8021q

Если он не загружен, загрузите его командой modprobe:

# modprobe 8021q

Настройка VLAN в CentOS/RHEL/Fedora Linux

Допустим, нам нужно создать VLAN интерфейс с тегом 100 который будет работать на физическом интерфейсе eth0. Для этого создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0.100. Узнать название сетевых интерфейсов в системе можно с помощью команды ifconfig.

# ifconfig

Создаем новый файл например с помощью редактора vim

# vim /etc/sysconfig/network-scripts/ifcfg-eth0.100

Добавьте в него следующий код

# Конфигурация VLAN с ID – 100 для интерфейса eth0 #DEVICE=eth0.100  BOOTPROTO=none  ONBOOT=yes  IPADDR=192.168.1.5  NETMASK=255.255.255.0  USERCTL=no  NETWORK=192.168.1.0  VLAN=yes

Жирным шрифтом выделены строки которые относятся к настройкам VLAN. Остальные настройки аналогичны настройкам на физическом интерфейсе.

Если вам нужна еще одна виртуальная сеть, то создайте новый файл сетевых настроек с нужным тегом VLAN. Что бы изменения вступили в силу, перезапустите сетевую службу

# systemctl restart network

Теперь можно проверить созданные интерфейсы командой ifconfig. Мы должны увидеть наш VLAN интерфейс

Конфигурация VLAN в Debian и Ubuntu

Откройте файл /etc/network/interfaces любым текстовым редактором, например nano

$ sudo nano /etc/network/interfaces

Добавьте в файл следующие строки:

##vlan с ID-100 для интерфейса eth0 with ID - 100 в Debian/Ubuntu Linux##  auto eth0.100  iface eth0.100 inet static  address 192.168.1.200  netmask 255.255.255.0  vlan-raw-device eth0

auto eth0.100 — «поднимать» интерфейс при запуске сетевой службыiface eth0.100 — название интерфейсаvlan-raw-device— указывает на каком физическом интерфейсе создавать VLAN.

Сохраните и закройте файл. После чего перезапустите сеть.

systemctl restart network

Важно! Если у вас используется Ubuntu версии 17.10 и выше, то необходимо установить пакет ifupdown или настраивать VLAN интерфейсы через netplan

Использование команды vconfig

Также существует команда vconfig. Она позволяет вам создавать и удалять устройства VLAN в ядре с поддержкой VLAN. Устройства VLAN – это виртуальные Ethernet-устройства, которые представляют виртуальные локальные сети в физической. Это еще один метод настройки VLAN. Чтобы добавить VLAN с ID 5 для интерфейса eth0 выполните следующую команду:

# vconfig add eth0 5

Команда vconfig add создает на интерфейсе eth0 VLAN-устройство, в результате чего появляется интерфейс eth0.5. Теперь с помощью ifconfig настроим ip адрес

# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up

Для получения подробной информации об интерфейсе выполните:

# cat /proc/net/vlan/eth0.5

Учтите, что после перезагрузки системы этот интерфейс будет удален.

Для удаления интерфейса вручную выполните следующие действия:

# ifconfig eth0.5 down  # vconfig rem eth0.5

Создание устройства VLAN командой ip

Для интерфейса eth0 и VLAN ID 10 выполните следующие команды:

# ip link add link eth0 name eth0.10 type vlan id 10  # ip -d link show eth0.10

Устройство нужно активировать и присвоить ему IP-адрес:

# ip addr add 192.168.1.200/24 brd 192.168.1.255 dev eth0.10  # ip link set dev eth0.10 up
# ip link set dev eth0.10 down  # ip link delete eth0.10

Этот интерфейс также будет удален после перезагрузки системы

Заключение

Настроить VLAN относительно несложно, но в конфигурации и используемых командах есть огромное количество различных тонкостей, которые при необходимости можно выяснить, обратившись к man-страницам соответствующих команд.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Часть 1: 802.1Q VLAN

Сегодня хотелось бы разобрать работу с vlan на коммутаторах Dlink. Если вы еще не находитесь в CLI коммутатора, предлагаю ознакомится тем как это осуществить в разделе «Подключение к CLI» — ТУТ

Список доступных команд

create vlan  tag  {type 1q_vlan advertisement}  create vlan vlanid  {advertisement}  delete vlan   delete vlan vlanid   config vlan  {[add [tagged|untagged|forbidden]|delete]  | advertisement [enable|disable]}  config vlan vlanid  {[add [tagged|untagged|forbidden]|delete]  | advertisement [enable|disable] | name }  config port_vlan[|all] {gvrp_state [enable|disable] | ingress_checking [enable|disable] | acceptable_frame [tagged_only|admit_all] | pvid }  show vlan {}  show vlan ports {}  show vlan vlanid   show port_vlan {}  enable pvid auto_assign  disable pvid auto_assign  show pvid auto_assign  config gvrp [timer {join  | leave  | leaveall } | nni_bpdu_addr [dot1d|dot1ad]]  show gvrp  enable gvrp  disable gvrp

Вланы могут создавать только пользователи с правами администратора и оператора.

Cоздание Vlan

Обязательно должен быть указан vlan id. Формат: create vlan tag {type 1q_vlan advertisement}

Параметры: — имя создаваемого влана. Может содержать до 32х символов. — vlan id или таг влана. Может быть в диапазоне от 2 до 4094. type 1q_vlan advertisement — параметр разрешающий анонсировать влан основанный на стандарте 802.1Q по протоколу GVRP. Использовать не рекомендуется, т.к. на разных моделях коммутаторов может вести себя непредсказуемо.

Пример:

create vlan v2 tag 2  или  create vlan v2 tag 2 type 1q_vlan advertisement

Массовое создание Vlan по ID

Метод используется для создания нескольких VLAN одновременно. Уникальное имя VLAN будет назначаться автоматически (например VLAN10). Назначение имени VLAN основано на следующем правиле: «VLAN»+ID. Например, для VLAN ID 100 имя VLAN будет VLAN100. Если это имя VLAN конфликтует с именем существующего VLAN, то оно будет переименовано. Происходит это на следующим образом: “VLAN”+идентификатор+”ALT”+счетчик совпадений. Например, если конфликт является вторым, то имя будет VLAN100ALT2.

Формат: create vlan vlanid {advertisement}

Параметры: — количество вланов (VID) для создания.

Пример:

create vlan vlanid 10-30

Удаление Vlan

delete vlan v1

Массовое удаление Vlan по ID

delete vlan vlanid 10-30

Конфигурирование Vlan

Формат: config vlan [| vlanid] | {[add [tagged | untagged | forbidden] | delete] | advertisement [enable | disable]}

Пример:

config vlan v2 add tagged 4-8  config vlan vlanid 10-20 add tagged 4-8

GVRP и Ingress Checking

Ingress Checking — «проверка попадания» фрейма в набор VID, ассоцирированных с портом. Если Ingress Checking включен, то при поступлении в порт коммутатора фрейма, производится сравнение VID фрейма с набором идентификаторов VID, ассоциированных с портом (включая PVID порта). Если нет совпадения, то фрейм отбрасывается. Т.е. на порт принимаются только фреймы с идентификаторами VLAN ID, для которых данный порт является выходным. Если же Ingress Checking выключен, то никакой проверки не производится.

Формат: config port_vlan [ | all] {gvrp_state [enable | disable] | ingress_checking [enable | disable] | acceptable_frame [tagged_only | admit_all] | pvid }

config port_vlan 1-5 gvrp_state enable ingress_checking enable acceptable_frame tagged_only pvid 2

Команды просмотра Show

PVID auto assign

PVID — указывать на то, каким тегом будет помечен трафик поступивший от хоста на порт коммутатора.Пример: Порт 16 — транковый порт. На него приходит несколько вланов. В том числе vlan2 Порт 1 — порт доступа (Access/Untagged). За ним располагается хост. Например абонент.

1. На коммутатор в порт 16, приходит тегированный фрейм. Коммутатор проверяет ARP таблицу и видит, что абонент доступен через порт 1.2.Порт 1 работает в режиме Untagged, поэтому с фрейма снимается метка влана (его принадлежность к данному влану). После этого фрейм становится нетегированным.3. Так как порт настроен как Untagged, то когда фрейм от абонента приходит на порт 1 коммутатора, в нём проставляется тег соответствующий PVIDу, который указывает какому VLAN’у принадлежит этот фрейм. В данном случае проставляется тег с VLAN’ом 2.

Для абонента фреймы остаются нетегированными. Операция тегирования, которую выполняют коммутаторы абсолютно прозрачна. Хосты ничего не знают о тегах и получают обычные фреймы.

enable pvid auto_assign   disable pvid auto_assign

Суть данной технологии в том, что бы предоставить доступ с одного влана в другой, не используя маршрутизацию. Например абоненты разных сегментов сети не имея доступ друг к другу могли подключаться к требуемому серверу или интернет шлюзу.

enable asymmetric_vlan  create vlan v2 tag 2  create vlan v3 tag 3  config vlan v2 add untagged 9-16  config vlan v3 add untagged 1-8,17-24  config gvrp 1-8 pvid 3  config gvrp 9-16 pvid 2  config gvrp 17-24 pvid 1  save

Минусы использования:

Настройка GVRP

GVRP (GARP VLAN Registration Protocol) служит для передачи между устройствами информации о vlan, используемых на данном отрезке сети. При использовании в сети большого количества устройств, добавление в сеть нового vlan часто влечет за собой перенастройку всех устройств, через которые должен проходить новый vlan. В сети провайдера, особенно при применении схемы vlan-per-customer, это может создавать огромную головную боль. Использование протокола GVRP позволяет избежать перенастройки оборудования каждый раз при изменении vlan в сети.

config gvrp timer join 200

Пример настройки GVRP

Схема подключения На коммутаторах №2 и №3:

enable gvrp  config gvrp 27-28 state enable

На коммутаторе №4

enable gvrp  config gvrp 27 state enable  create vlan vlanid 100 advertisement  config vlan vlanid 100 add untagged 1  config vlan vlanid 100 add tagged 27

Напоминаю, что ключ advertisement при создании vlan говорит коммутатору о том, что этот vlan необходимо анонсировать соседним устройствам.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий