Настройка vlan на коммутаторе

Обновлено: 05.07.2024

Иногда нам может потребоваться разделить локальную сеть на несколько отдельных сегментов. Например, в компании несколько отделов: Отдел кадров, Производство, Высшее руководство, Технический отдел. Каждый отдел может иметь серверы, доступ к которым нужно ограничить сотрудникам из других отделов.

С одной стороны теоретически это легко реализовать. Ведь можно создать отдельную сетевую инфраструктуру для каждой сети.

Но с другой стороны проблема в том, что довольно сложно планировать такую сеть. Кроме того, может потребоваться изменить и саму конфигурацию сети.

Поэтому гораздо проще создать общую физическую сеть с последующим логическим сегментированием определенных частей сети.

Данный подход позволяет гораздо гибче планировать и управлять сетью, а также повышает безопасность сети.

Сегментированные сети и называются виртуальными локальными сетями (VLAN- Virtual LAN)

Как можно разделить одну физическую сеть на несколько виртуальных?

Это достигается с помощью коммутаторов. Коммутаторы поддерживают технологии IEEE 802.1Q и ISL. ISL - собственный протокол Cisco. Современные коммутаторы его уже не поддерживают, поэтому не будет далее рассматриваться.

Суть технологии заключается в том, что в Ethernet кадр вставляется специальная 4-х байтовая метка. Метка содержит 12-битный идентификатор VLAN, максимальное значение которого 4096. То есть всего может быть 4096 VLAN

Для начала настроим сеть с одним коммутатором:

По умолчанию все порты коммутатора принадлежат VLAN 1, поэтому все компьютеры будут “видеть” друг друга. В этом легко убедиться, запустив утилиту Ping на всех хостах.

Создадим VLAN 23

Затем аналогично создадим и остальные VLAN.

Теперь назначим порты 0/1, 0/2, 0/3, 0/4, 0/5 в VLAN 23:

Если портов слишком много, то будет довольно утомительно вводить одни и те же команды, поэтому гораздо удобнее выделить диапазон портов. Для этого выполни команду

switch(config) interface range fastethernet 0/1-5

Все остальные порты назначим по той же схеме.

Теперь попробуй выполнить команду Ping на каждом компьютере. Компьютеры из другой VLAN уже не доступны.

Помни, что все введенные команды и конфигурация хранятся в оперативной памяти, поэтому при отключении питания все настройки будут удалены.

Как сохранить настройки?

Все настройки записываются в энергонезависимую память NVRAM. Для этого выполни

При включении питания конфигурация из NVRAM записывается в оперативную память.Чтобы проверить произведенные настройки в оперативной памяти выполним команду

Для просмотра настроек, сохраненных в NVRAM выполни

Просмотр сведений о VLAN

Для просмотра информации о VLAN выполни команду

Кстати, конфигурация VLAN сохраняется в отдельном файле, не в NVRAM. Файл с конфигурацией о VLAN хранится во Flash памяти коммутатора. Поэтому командой show running-config мы не увидим никакую информацию о VLAN.

Чтобы уивдеть файл, содержащий данные о VLAN выполни команду

и ты увидишь файл vlan.dat

Теперь подключим к нашему коммутатору еще один коммутатор и выполним те же настройки

Однако компьютеры разных коммутаторов одного VLAN почему-то недоступны друг другу, хотя в рамках одного коммутатора все “видят” друг друга.

Все верно. Дело в том, что в технологии VLAN существуют 2 таких понятия, как порт доступа ( access port ) и магистральный порт ( trunk port ), а также связанные с ними нетегированный ( untagged ) и тегированный ( tagged ) кадры соответственно.

Все конечные устройства, такие как компьютер подключаются к портам доступа. Компьютеры вообще не знают, что принадлежат определенной VLAN, но это знает только коммутатор. Поэтому между коммутатором и компьютерами проходят нетегированные кадры, то есть кадры без метки-идентификатора VLAN.

Однако, если мы соединяем друг с другом коммутаторы, на которых настроен VLAN, то порты, их соединяющие, настраиваются как магистральные.

Во все исходящие кадры коммутатор вставляет соответствующую метку-идентификатор VLAN. Такие кадры называются тегированные.

Режимы работы trunk

Для автоматической настройки магистрального порта коммутаторы Cisco поддерживают специальный протокол DTP (Dynamic Trunk Protocol), который периодически посылает кадры соседним портам. Все коммутаторы поддерживают 4 режима работы магистрального порта

Auto - DTP-кадры не рассылает. Приняв DTP-кадр сразу переходит в магистральный режим.

Desirable - рассылает DTP-кадры. Если на другом конце готовы перейти в магистральный режим, то сразу оба порта переходят в данный режим.

Trunk - статический магистральный режим. DTP-кадры не рассылает.

Nonegotiate - готов перейти в магистральный режим только, если на другом конце установлен магистральный режим. DTP-кадры не рассылает.

В таблице указано в какое состояние перейдут порты автоматически в зависимости от установленных на них режимах:

Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco.

В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco

Настройка VLAN на коммутаторах Cisco под управлением IOS

• access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
• trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.

Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.

Создается VLAN с идентификатором 2 и задается для него имя следующим образом:

Для удаления VLAN с идентификатором 2 используется:

Настройка Access портов

Для назначения коммутационного порта в VLAN нужно:

Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:

Чтобы просмотреть информацию о состоянии VLAN нужно:

VLAN Name Status Ports

1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,

Fa0/10, Fa0/11, Fa0/12, Fa0/13,

Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,

Fa0/22, Fa0/23, Fa0/24

2 test active Fa0/1, Fa0/2

10 VLAN0010 active Fa0/4, Fa0/5

15 VLAN0015 active Fa0/3

Настройка Trunk

Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):

• auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
• desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
• trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
• nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.

По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.

VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.

В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:

% Access VLAN does not exist. Creating vlan 15

Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:

Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.

Настройка статического Trunk

Чтобы создать статический trunk нужно:

Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:

Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.

Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:

После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.

Динамическое создание Trunk

Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:

• auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
• desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
• nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.

Для перевода интерфейса в режим auto:

Для перевода интерфейса в режим desirable:

Для перевода интерфейса в режим nonegotiate:

Для проверки текущего режима DTP:

Разрешенные VLAN'

Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:

Чтобы добавить еще один разрешенный VLAN:

Для удаления VLAN из списка разрешенных:

Native VLAN

Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.

Для настройки VLAN 5 в native нужно:

После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.

Настройка процесса маршрутизации между VLAN

Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.

Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.

Настройки для коммутатора sw3:

VLAN / интерфейс 3го уровня IP-адрес

VLAN 2 10.0.2.1 /24

VLAN 10 10.0.10.1 /24

VLAN 15 10.0.15.1 /24

Fa 0/10 192.168.1.2 /24

тобы включить маршрутизацию на коммутаторе нужно:

Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:

Чтобы задать адрес для VLAN 10:

Процесс перевода интерфейсов в режим 3-го уровня

Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:

R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.

Для настройки маршрута по умолчанию нужно выполнить:

sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1

Просмотр информации

Для просмотра информации о транке:

Port Mode Encapsulation Status Native vlan

Fa0/22 on 802.1q trunking 1

Port Vlans allowed on trunk

Port Vlans allowed and active in management domain

Port Vlans in spanning tree forwarding state and not pruned

Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:

Administrative Mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

Operational Dot1q Ethertype: 0x8100

Negotiation of Trunking: On

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (VLAN_1)

Administrative Native VLAN tagging: enabled

Operational Native VLAN tagging: disabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Чтобы выполнить просмотр информации о настройках интерфейса (access):

Administrative Mode: static access

Operational Mode: static access

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Operational Dot1q Ethertype: 0x8100

Negotiation of Trunking: Off

Access Mode VLAN: 15 (VLAN0015)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Operational Native VLAN tagging: disabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Просмотреть информацию о VLAN:

VLAN Name Status Ports

1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,

Fa0/10, Fa0/11, Fa0/12, Fa0/13,

Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,

Fa0/22, Fa0/23, Fa0/24

2 test active Fa0/1, Fa0/2

10 VLAN0010 active Fa0/4, Fa0/5

15 VLAN0015 active Fa0/3

Диапазоны VLAN

VLANs Диапазон Использование Передается VTP

0, 4095 Reserved Только для системного использования. --

1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да

2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да

1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да

1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да

Примеры настройки

Базовая настройка VLAN (без настройки маршрутизации)

Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.

Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.

Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.

Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.

Конфигурация sw1 имеет вид:

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 15

switchport mode access

switchport access vlan 10

switchport mode access

switchport access vlan 10

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

Конфигурация sw2 имеет вид:

switchport mode access

switchport access vlan 10

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 2

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10

Конфигурация sw3 имеет вид:

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

switchport mode trunk

switchport trunk allowed vlan 1,2,10

Конфигурация с настройкой маршрутизации между VLAN

Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.

Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.

Конфигурация sw1 имеет вид:

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 15

switchport mode access

switchport access vlan 10

switchport mode access

switchport access vlan 10

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

Конфигурация sw2 имеет вид:

switchport mode access

switchport access vlan 10

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 2

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10

Конфигурация sw3 имеет вид:

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

switchport mode trunk

switchport trunk allowed vlan 1,2,10

ip address 192.168.1.2 255.255.255.0

ip address 10.0.2.1 255.255.255.0

ip address 10.0.10.1 255.255.255.0

ip address 10.0.15.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.1.1

Настройка VLAN для маршрутизаторов Cisco

Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физических

интерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).

Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:

VLAN 2 10.0.2.1 /24

VLAN 10 10.0.10.1 /24

VLAN 15 10.0.15.1 /24

Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:

Чтобы создать логический подинтерфейс для VLAN 2:

Чтобы создать логический подинтерфейс для VLAN 10:

Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:

switchport trunk encapsulation dot1q

switchport mode trunk

Пример настройки

Конфигурационные файлы для первой схемы:

Для конфигурации sw1:

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 2

switchport mode access

switchport access vlan 15

switchport mode access

switchport access vlan 10

switchport mode access

switchport access vlan 10

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 2,10,15

Для конфигурации R1:

encapsulation dot1q 2

ip address 10.0.2.1 255.255.255.0

encapsulation dot1q 10

ip address 10.0.10.1 255.255.255.0

encapsulation dot1q 15

ip address 10.0.15.1 255.255.255.0

Настройка native VLAN

В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.

Чтобы задать адрес для физического интерфейса:

Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:

VLAN (Virtual Local Area Network) — это технология, которая помогает решать проблемы с broadcast (разделяет broadcast-домены). Локальную сеть можно разделить на несколько VLAN, и только устройства, находящиеся в пределах одного VLAN, могут общаться между собой.

Ниже представлен пример конфигурации 802.1Q VLAN.

Топология сети:

Требования к сети:

• Компьютеры из одного отдела должны общаться между собой.
• Компьютеры из разных отделов не должны общаться между собой.
• Отдел А и Отдел Б должны иметь доступ к FTP-серверу.

Схема настройки:

• Создайте VLAN 10 и VLAN 20 для отделов A и Б, соответственно.
• Создайте VLAN 30 для FTP-сервера, добавьте компьютеры из отделов А и Б к VLAN 30.
• Настройте PVID для портов. Если PVID настроены корректно, оба отдела смогут получить доступ к FTP-серверу, но не смогут общаться между собой.

Настройки VLAN для Коммутатора 1 и Коммутатора 2

Исходящее правило (Egress Rule) и настройки PVID для Коммутатора 1 и Коммутатора 2:

Настройки на коммутаторе 1

Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config , создайте VLAN 10, VLAN 20 и VLAN 30; добавьте Untagged port 2 и Tagged port 1 к VLAN 10 ; добавьте Untagged port 3 и Tagged port 1 к VLAN 20 ; добавьте Untagged port 2-3 к VLAN 30 и Tagged port 1 к VLAN 30 .

Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — Port Config , задайте значение PVID: 1, 10, 20 для портов 1, 2 и 3, соответственно.

Настройки на коммутаторе 2

Зайдите на страницу L2 FEATURES — VLAN — 802.1Q VLAN — VLAN Config , создайте VLAN 10, VLAN 20 и VLAN 30; добавьте Untagged port 2 , Untagged port 4 и Tagged port 1 к VLAN 10 ; добавьте Untagged port 3 , Untagged port 4 и Tagged port 1 к VLAN 20 ; добавьте Untagged port 2-4 к VLAN 30 и Tagged port 1 к VLAN 30 .

Зайдите на страницу L2 FEATURES — VLAN — 801.1Q VLAN — Port Config , задайте значение PVID: 1, 10, 20 и 30 для портов 1, 2, 3 и 4, соответственно.

Виртуальная локальная сеть — VLAN (Virtual Local Area Network) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии. Компьютеры, подключенные к разным коммутаторам, можно объединить в одну виртуальную сеть, но при этом компьютеры, находящиеся в разных VLAN будут изолированы друг от друга, даже если подключены к одному коммутатору.

Для чего используется VLAN:

• Гибкое разделение устройств на группы;
• Сокращение широковещательного трафика в сети: Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен;
• Увеличение безопасности и управляемости сети: В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN;
• Уменьшение количества оборудования и сетевого кабеля.

Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Но при этом, необходимо использовать более дорогие устройства, позволяющие настроить VLAN. Рассмотрим частный пример настройки PoE-коммутатора второго уровня для разделения телефонии, видеонаблюдения и сети Wi-Fi на независимые группы. Такая мера не позволит пользователям беспроводной сети проникнуть в систему видеонаблюдения и разгрузит сеть VoIP телефонии от ненужных широковещательных запросов.

GL-SW-G204-24P – L2 управляемый, 24 PoE (802.3af/at) портов 10/100/1000Мб/с, 4 Base-X SFP 1000Mb/s, суммарная мощность 400W

В качестве базового устройства будем рассматривать двадцатичетырехпортовый РоЕ коммутатор GL-SW-G204-24P от GIGALINK. Данный гигабитный коммутатор уровня 2+ обладает высокой производительностью и солидным бюджетом PoE – 400Ватт. Для удобства коммутации и использования группы будем назначать согласно группам портов: три группы по 8 портов и SFP порты в качестве транка (trunk — это uplink для VLAN групп) и портов связи с другими сегментами сети.

Шаг 1. IP адрес WEB-интерфейса по умолчанию: 192.168.0.1, логин и пароль стандартные: admin.

Настройка VLAN шаг №1

Шаг 2. Интересующие нас настройки спрятаны в группе L2 Config и называются VLAN Config.

Настройка VLAN шаг №2

Шаг 3. Стандартные настройки коммутатора подразумевают, что все порты включены в одну группу и имеют одинаковый статус «доступен». В этом случае все подключенные устройства «видят» друг друга и могут «общаться». Чтобы изолировать их, внесем необходимые изменения, поставив в группе VLAN ID 1 только первые 8 портов и 25й для связи с другими сегментами сети. В этой группе у нас будут подключены точки доступа. Так как они должны быть доступны одновременно с остальной сетью и компьютерами и должны иметь доступ к роутеру и контроллеру беспроводной сети, то 25й порт назначается таким же доступным, как и первые 8 портов, подающих сеть питание для точек доступа.

Шаг 4. Для портов 9-16 назначаем вторую группу, поставив цифру 2 в поле VLAN ID. В этой группе у нас будут подключены VoIP телефоны на рабочих местах. Так как эта подсеть должна быть изолирована от общей сети, назначим порт 26 для связи с остальной сетью. Этому порту необходимо назначить роль транка (trunk это аплинк для VLAN сетей), порт будет связываться с другим коммутатором, у которого должен быть так же настроен VLAN и соответствующий порт отведен под транк. Таким образом, подсеть VoIP будет не доступна для первой группы, но в то же время физически находится на тех же устройствах сети.

Для транка необходимо указать снимать теги или нет. В сети Tagged Vlan каждый пакет маркируется, ему присваивается ID Vlan’а (тэг). Это нужно для объединения Vlan’ов на нескольких коммутаторах в один широковещательный сегмент, устройства, подключенные к разным коммутаторам с одинаковым Vlan ID смогут «общаться» друг с другом. Untagged Vlan подразумевает, что trunk-порт соединен с устройством, не умеющим работать с виртуальными сетями, пакеты такой сети не содержат маркер, сообщающий Vlan ID порта.

Шаг 5. Порты 17-24 отводятся для питания камер видеонаблюдения. Эта сеть физически изолирована от остального сегмента сети, так как этажный коммутатор один, то просто выделяем третий диапазон, назначив портам соответствующие ID и порт 27 для физического подключения к регистратору или коммутатору видеонаблюдения.

Настройка VLAN шаг №5

Таким образом, один коммутатор подает сеть и питание на три разных группы устройств, но эти устройства не могут взаимодействовать друг с другом на прямую и, например, злоумышленник, получивший доступ к Wi-Fi не сможет влезть в зону телефонии или видеонаблюдения.

Шаг 6. После назначения портам соответствующих ID, настройки нужно сохранить. Нажимаем Apply для применения политики VLAN к портам коммутатора и Save All для сохранения текущей конфигурации. Можно также добавить наименования для групп для более удобного управления.

Настройка VLAN шаг №6

Шаг 7. Следующим действием необходимо активировать протокол GVRP (Group Vlan Registration Protocol), который оповестит соседние коммутаторы о наличии на этом коммутаторе групп Vlan с определенными ID. Это необходимо для корректной работы транка в сетях Tagged Vlan.

Настройка VLAN шаг №7

На этом настройка VLAN заканчивается. Три группы устройств изолированы друг от друга, хотя и подключены к одному коммутатору. Это лишь частный случай возможной настройки для коммутаторов. Современные интеллектуальные устройства обладают огромным функционалом, позволяющим реализовывать самые сложные сценарии и топологии локальных сетей. Ежегодно усложняющаяся техника и внедрение нововедений в повседневную жизнь диктуют условия, игнорировать которые уже становится невозможно и потребность в понимании функционирования сети и принципах тонкой настройки коммутаторов становятся необходимостью.

Что еще интересного?

Видеообзор коммутатора GL-SW-F104-16P. Данное видео включает в себя распаковку устройства, описание технических характеристик, обзор веб-интерфейса и даже пример применения.

Читайте также:

  
• Роутер xiaomi pro r3p обзор
  
• Телеком мпк настройка роутера
  
• Настройка dual ring и dual homing на коммутаторах moxa
  
• Защита от dos в роутере что это
  
• Как подключить селфи палку к телефону через блютуз