Введение
VLAN — аббревиатура от английского, Virtual Local Area Network, обозначает виртуальная локальная сеть. Эта технология позволят отделить логические сетевые группы от жесткой привязки к физическим эзернет портам коммутатора, благодаря этому улучшается управляемость, гибкость и безопасность сети. Например, если вы администратор корпоративной сети, вы можете изолировать трафик посетителей вашего офиса от основной сети для обеспечения безопасности, потому что у вас нет гарантии того, что компьютер вашего гостя не заражен вирусами или троянами. Другой пример: в вашей сети очень много компьютеров и в результате возникают проблемы с внутренним трафиком, тогда вы можете разбить компьютеры в вашей сети на логические подгруппы, в зависимости, например, от принадлежности их к различным отделам в вашей компании. Использование VLAN поможет решить подобные ситуации и Draytek поддерживает два популярных варианта организации подобных решений, ниже рассмотрим их.
Port-based
На маршрутизаторах используется таблица адресов по которой определяется принадлежность трафика к тому или иному физическому порту, таким образом, если в одной и той же линии будут идти помеченные и не помеченные пакеты, то не помеченный трафик будет изолирован. Это простейший путь для организации изолированной сети, потому что он основывается на группирования по физическим портам, но он не гибкий в условиях развивающийся сети, а также возникают проблемы взаимодействия между двумя или более коммутаторами. Таким образом, port-based VLAN подходит для небольших сетей, когда требуется, две-три изолированные локальные сети, например небольшие SOHO офисы или сдача квартир в аренду в небольших домовладениях.
Tag-based
Идея тэгированного VLAN заключается в том, чтобы различать виртуальные локальные сети по специальным идентификаторам — VLAN ID. При помощи VLAN ID, пакеты с разными VID (VLAN ID) будет идентифицирован на портах коммутатора как трафики из разных локальных сетей и таким образам изолированы друг от друга. Тэгированные VLAN часто применяются сетевыми администраторами в сетях предприятий и даже в сетях интернет провайдеров, благодаря удобству в обслуживании и управлении в условиях распределенной сети. В больших сетях можно изолировать трафик от различных подразделений просто настроив VID для каждого подразделения. Еще одна особенность использования VLAN это фунцкия Trunk, то есть порт коммутатора настраивается как Trunk порт и тогда идентификаторы VLAN будут сохраняться в трафике при пересылке пакетов между коммутаторами. С помощью этой функции виртуальные локальные сети могут проходить через два и более коммутаторов и на основе использования Trunk портов возможно проектирование крупных и защищенных сетей. На маршрутизаторах Vigor LAN порты автоматически устанавливаются в режиме Trunk при включении VLAN. Также VLAN поддерживается такими свичами, как VigorSwitch G2260/P2261 или VigorSwitch G1240.
vigor роутеры Ниже будет показан WEB интерфейс и настройка маршрутизаторов Draytek. [Note] Широкополосные маршрутизаторы : Vigor2920/Vigor3200/Vigor2925/Vigo2960/Vigor3900 ADSL маршрутизаторы: Vigor2850/Vigor2860 Vlan пакеты на маршрутизаторах Draytek Транковый порт может сохранять пакеты с идентификаторами VLAN, замещая ими пакеты непомеченного трафика и передавать их на транковый порт другого коммутатора. WAN порт в режиме бриджа P1 и P2 обеспечивают доступ в Интернет, обрабатывая поток за NAT, а P3 и P4 передают пакеты между WAN и LAN напрямую. WEB интерфейс пользователя На маршрутизаторах Draytek встречаются два варианта операционных систем. Одна из них это DrayOS, собственная разработка корпорации Draytek, другая это ОС основанная на Linux и кастомизированная для OpenWRT. Ниже мы рассмотрим DrayOS, как наиболее стабильную и сверхбыструю операционную систему. Если стиль WEB интерфейса у вас отличается от приведенного ниже, возможно это новая версия DrayOS или ОС на базе Linux. WAN LAN Применение VLAN на маршрутизаторах Vigor В настройках выше были созданы четыре частные сети и компьютеры, присоединенные к каждому из LAN портов или SSID, получают IP адреса от своих DHCP серверов (LAN1/LAN2/LAN3/LAN4). Вместе с тем потоки трафика из портов локальной сети или SSID, которые не объединены в той же VLAN, не могут быть направлены друг к другу. Преимущество Port-based решения заключается в том, что, добавляя простейший, дешевый свич вы можете обеспечить себя любым необходимым вам количеством медных портов, но решение на основе тэгов более гибкое и хорошо управляемое — сети изолированы, защищены и уменьшена эффективность широковещательного шторма в каждой из сетей VLAN. Для развертывания гостевой сети, которая служит вашим посетителям для доступа в интернет, , в связи с соображениями безопасности трафик должны быть изолирован от вашей основной сети, это может быть сделано путем вышеприведенной настройки. Следует отметить, что коммутатор должен поддерживать режим VLAN если вы используете режим тэгированного VLAN. Triple Play (Multi-WAN) Ниже показаны настройки телеприставки (STB), которую можно подсоединить к любому LAN порту и видео поток, предоставляемый вашим провайдером, будет транслироваться на ваш монитор. Режим бриджа с VLAN Телеприставки (STB) или другие медиа-устройства можно подключить к четвертому или пятому LAN порту, тогда они будут иметь прямой доступ к услугам провайдера. Автор: Альфа Хуанг Перевод: Георгий Кузьменков
LAN в режиме транка
Множество подсетей (VLAN на LAN)
VLAN в режиме NAT
Оставить комментарий
Вы должны войти в чтобы оставлять комментарии.