Меню

Как настроить виланы как настраивать

Настройка тегированных веланов с возможностью управления беспроводными точками

Задача: Пробросить с одной стороны линка на другой несколько тегированных виланов, при этом оставить возможность управления беспроводными точками.

На рис.1 мы набросали примерную схему данного линка.

В нашем распоряжении 2 свитча Dlink DES-3200-10 и 2 роутербоарда 411АН. Но в целом это не принципиально: роутербоарды могут быть иных моделей, а свитчи, главное, чтобы поддерживали 802.1q.

Для примера определимся, что мы хотим пробросить vlan с тегами 10,11,12 при этом управляемый (management) vlan нашей сети с тегом 100.

1. Создаем бридж (например bridge1) (рис.2) и добавляем в него интерфейсы ether1 (рис.3) и wlan1 (рис.4), через которые будут ходить тегированные пакеты “сквозняком”, включая вилан для управления.

2. Беспроводной интерфейс первого боарда переводим в режим ap bridge. (рис.5)

Беспроводную связь необходимо настроить в WDS Mode, иначе пакеты не будут ходить “сквозняком”. Поэтому в настройках wlan1 интерфейса во вкладке WDS параметр WDS Mode переводим в режим dynamic, а парамер WDS Default Bridge: bridge1. (рис.6)

3. Создаем еще один бридж (например bridge2) для “хранения” управляемого вилана. (рис.7)

4. Создаем вилан управления vlan100. ВАЖНО! Он должен висеть на бридже, через который ходят тегированные пакеты, в нашем случае это bridge1. (рис.8)

5. Добавляем этот вилан управления в порты бриджа “хранения” bridge2. (рис.9) ВАЖНО! Не добавлять управляемый вилан как порт в bridge1.

6. Добавляем нужный IP адрес управления из management vlan 100 на бридж “хранения” bridge2. (рис.10)

На втором боарде делаем идентичные настройки, только в пункте №2 Wireless mode будет station wds, а в пункте №6 другой IP адрес из management вилана для управления. Каждый боард включим в 10 порт свитча DES-3200-10 с каждой стороны, и бросим нужные тегированные виланы на эти порты.

DES-3200-10:4#cre vlan 10 t 10

DES-3200-10:4#cre vlan 11 t 11

DES-3200-10:4#cre vlan 12 t 12

DES-3200-10:4#cre vlan management t 100

DES-3200-10:4#conf vlan 10 a t 10

DES-3200-10:4#conf vlan 11 a t 10

DES-3200-10:4#conf vlan 12 a t 10

DES-3200-10:4#conf vlan management a t 10

Все

Три вилана прошли насквозь, а боарды доступны по IP адресам из management вилана с тегом 100.

zulu_radist специально для asp24

Зачем такие сложности, все гораздо проще.
Вот примеры настройки VLAN через консоль:
1. Заходим по SSH или telnet на железку
2. вводим команду для входа в редактор
vi /etc/persistent/rc.poststart жмем enter для начала редактирования жмем на кнопку ” i “, теперь можно вводить команды.
конфиг для использования тегов в радио и эзернет Bullet, Rocket, DreamStation. маленькое отличие в DreamStation интернет порт eth0, а в Bullet, Rocket eth_real0
например: создадим управляющий VLAN 1, и vlanы 3013, 3014 по которым будут бегать ваши сети
ifconfig ath0 0.0.0.0
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0_real
brctl delbr br0
vconfig add ath0 1
ifconfig ath0.1 192.168.1.20 netmask 255.255.255.0 up
route add default gw 192.168.1.1 ath0.1
brctl addbr br1
vconfig add eth0_real 1
vconfig add ath0 1
ifconfig eth0_real.1 0.0.0.0 up
ifconfig ath0.1 0.0.0.0 up
brctl addif br1 eth0_real.1
brctl addif br1 ath0.1
ifconfig br1 192.168.1.20 netmask 255.255.255.0 up
route del default gw 0.0.0.0
route add default gw 192.168.1.1 br1
brctl addbr br9
vconfig add ath0 9
vconfig add eth0_real 9
ifconfig ath0.9 0.0.0.0 up
ifconfig eth0_real.9 0.0.0.0 up
brctl addif br9 ath0.9
brctl addif br9 eth0_real.9
ifconfig br9 0.0.0.0 up
brctl addbr br3013
vconfig add ath0 3013
vconfig add eth0_real 3013
ifconfig ath0.3013 0.0.0.0 up
ifconfig eth0_real.3013 0.0.0.0 up
brctl addif br3013 ath0.3013
brctl addif br3013 eth0_real.3013
ifconfig br3013 0.0.0.0 up
brctl addbr br3014
vconfig add ath0 3014
vconfig add eth0_real 3014
ifconfig ath0.3014 0.0.0.0 up
ifconfig eth0_real.3014 0.0.0.0 up
brctl addif br3014 ath0.3014
brctl addif br3014 eth0_real.3014
ifconfig br3014 0.0.0.0 up

Для выхода с интернет порта не тегированного vlan конфиг таков:
ifconfig ath0 0.0.0.0
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0_real
brctl delbr br0
vconfig add ath0 1
ifconfig ath0.1 192.168.1.20 netmask 255.255.255.0 up
route add default gw 192.168.1.1 ath0.1
brctl addbr br1
vconfig add eth0_real 1
vconfig add ath0 1
ifconfig eth0_real.1 0.0.0.0 up
ifconfig ath0.1 0.0.0.0 up
brctl addif br1 eth0_real.1
brctl addif br1 ath0.1
ifconfig br1 192.168.1.20 netmask 255.255.255.0 up
route del default gw 0.0.0.0
route add default gw 192.168.1.1 br1
brctl addbr br9
vconfig add ath0 9
vconfig add eth0_real 9
brctl addif br9 ath0.9
brctl addif br9 eth0_real
ifconfig ath0.9 0.0.0.0 up
ifconfig eth0_real 0.0.0.0 up
ifconfig br9 up

Читайте также:  Как настроить электронную подпись с флешки

3. для выхода из редактора жмем – Esc -> : -> x -> enter
4. для того чтобы запустить конфиг необходимо получить к нему доступ командой chmod +x /etc/persistent/rc.poststart
запускаем командой /etc/persistent/rc.poststart (для DreamStation ./etc/persistent/rc.poststart)
5. Ву-а-ля и ваша железка с vlanами

забыл, дополнить: Беспроводную связь необходимо настроить в WDS

Источник



Что такое VLAN

VLANs – это широковещательные домены или, если угодно, виртуальные сети, которые существуют на втором уровне модели OSI. То есть, вилан можно настроить на коммутаторе второго уровня. Если смотреть на вилан, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер вилана (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Рабочие станции о виланах ничего не знают. О них думают коммутаторы. На портах коммутаторов указывается в каком вилане они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть виланом. Таким образом этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом вилане и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны виланы?

  • Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
  • Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
  • Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
  • Возможность применять политики на группу устройств, которые находятся в одном вилане.
  • Возможность использовать виртуальные интерфейсы для маршрутизации.

Тэгированные и нетэгированные порты

Когда порт должен уметь принимать или отдавать трафик из разных виланов, то он должен находиться в тэгированном или транковом состоянии Понятие транкового порта и тэгированного порта почти одинаковое, за исключением некоторых особенностей. Транковый порт подразумевает то, что он пропускает трафик всех виланов, а тэгированный порт может быть только для некоторых виланов. Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится тот или иной порт, а на другом в определенном вилане необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько виланов, то в каждом из этих виланов нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks (бывший Cabletron Systems) мы должны указать в каком вилане находится определенный порт и добавить этот порт в egress list этого вилана для того, чтобы трафик мог проходить через этот порт. Если мы хочем чтобы через наш порт проходил трафик еще одного вилана, то мы добавляем этот порт в egress list еще и этого вилана. На оборудовании HP (например, коммутаторах ProCurve) мы в самом вилане указываем какие порты могут пропускать трафик этого вилана и добавляем состояние портов – тэгирован или не тегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими виланами не тэгированы (находятся в режиме access) и какие порты находятся в состоянии Trunk – передают трафик всех виланов настроенных на коммутаторе. Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Кроме того, разные производители могут иметь свои протоколы передачи данных из разных виланов. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

Читайте также:  Как настроить камеру в самсунг галакси s10 плюс

Межвиланная маршрутизация

Что такое межвиланная маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два вилана: VLAN и VLAN На втором уровне эти виланы осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих виланов. Для этого нам необходимо на третьем уровне каждому из виланов присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного вилана маршрутизировать в другой вилан. Что дает нам маршрутизация виланов по сравнению с простой маршрутизацией посетей без использования виланов? А вот что:

  • Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном вилане, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том вилане, котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
  • Мы можем использовать вилан на несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены виланы, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего виланов он должен маршрутизировать.
  • Очень удобно между первым и третьим уровнями использовать второй уровень в виде виланов. Удобно подсети помечать как виланы с определенными интерфейсами. Удобно настроить один вилан и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть виланы.

Источник

Настройка тегированных веланов с возможностью управления беспроводными точками

Задача: Пробросить с одной стороны линка на другой несколько тегированных виланов, при этом оставить возможность управления беспроводными точками.

На рис.1 мы набросали примерную схему данного линка.

В нашем распоряжении 2 свитча Dlink DES-3200-10 и 2 роутербоарда 411АН. Но в целом это не принципиально: роутербоарды могут быть иных моделей, а свитчи, главное, чтобы поддерживали 802.1q.

Для примера определимся, что мы хотим пробросить vlan с тегами 10,11,12 при этом управляемый (management) vlan нашей сети с тегом 100.

1. Создаем бридж (например bridge1) (рис.2) и добавляем в него интерфейсы ether1 (рис.3) и wlan1 (рис.4), через которые будут ходить тегированные пакеты “сквозняком”, включая вилан для управления.

2. Беспроводной интерфейс первого боарда переводим в режим ap bridge. (рис.5)

Беспроводную связь необходимо настроить в WDS Mode, иначе пакеты не будут ходить “сквозняком”. Поэтому в настройках wlan1 интерфейса во вкладке WDS параметр WDS Mode переводим в режим dynamic, а парамер WDS Default Bridge: bridge1. (рис.6)

3. Создаем еще один бридж (например bridge2) для “хранения” управляемого вилана. (рис.7)

4. Создаем вилан управления vlan100. ВАЖНО! Он должен висеть на бридже, через который ходят тегированные пакеты, в нашем случае это bridge1. (рис.8)

5. Добавляем этот вилан управления в порты бриджа “хранения” bridge2. (рис.9) ВАЖНО! Не добавлять управляемый вилан как порт в bridge1.

6. Добавляем нужный IP адрес управления из management vlan 100 на бридж “хранения” bridge2. (рис.10)

На втором боарде делаем идентичные настройки, только в пункте №2 Wireless mode будет station wds, а в пункте №6 другой IP адрес из management вилана для управления. Каждый боард включим в 10 порт свитча DES-3200-10 с каждой стороны, и бросим нужные тегированные виланы на эти порты.

Читайте также:  Как настроить почту протокол pop3

DES-3200-10:4#cre vlan 10 t 10

DES-3200-10:4#cre vlan 11 t 11

DES-3200-10:4#cre vlan 12 t 12

DES-3200-10:4#cre vlan management t 100

DES-3200-10:4#conf vlan 10 a t 10

DES-3200-10:4#conf vlan 11 a t 10

DES-3200-10:4#conf vlan 12 a t 10

DES-3200-10:4#conf vlan management a t 10

Все

Три вилана прошли насквозь, а боарды доступны по IP адресам из management вилана с тегом 100.

zulu_radist специально для asp24

Вас может заинтересовать

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ваш комментарий (не обязательно):

Об авторе asp24

8 Comments

Спасибо… Очень помогло.

Зачем такие сложности, все гораздо проще.
Вот примеры настройки VLAN через консоль:
1. Заходим по SSH или telnet на железку
2. вводим команду для входа в редактор
vi /etc/persistent/rc.poststart жмем enter для начала редактирования жмем на кнопку ” i “, теперь можно вводить команды.
конфиг для использования тегов в радио и эзернет Bullet, Rocket, DreamStation. маленькое отличие в DreamStation интернет порт eth0, а в Bullet, Rocket eth_real0
например: создадим управляющий VLAN 1, и vlanы 3013, 3014 по которым будут бегать ваши сети
ifconfig ath0 0.0.0.0
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0_real
brctl delbr br0
vconfig add ath0 1
ifconfig ath0.1 192.168.1.20 netmask 255.255.255.0 up
route add default gw 192.168.1.1 ath0.1
brctl addbr br1
vconfig add eth0_real 1
vconfig add ath0 1
ifconfig eth0_real.1 0.0.0.0 up
ifconfig ath0.1 0.0.0.0 up
brctl addif br1 eth0_real.1
brctl addif br1 ath0.1
ifconfig br1 192.168.1.20 netmask 255.255.255.0 up
route del default gw 0.0.0.0
route add default gw 192.168.1.1 br1
brctl addbr br9
vconfig add ath0 9
vconfig add eth0_real 9
ifconfig ath0.9 0.0.0.0 up
ifconfig eth0_real.9 0.0.0.0 up
brctl addif br9 ath0.9
brctl addif br9 eth0_real.9
ifconfig br9 0.0.0.0 up
brctl addbr br3013
vconfig add ath0 3013
vconfig add eth0_real 3013
ifconfig ath0.3013 0.0.0.0 up
ifconfig eth0_real.3013 0.0.0.0 up
brctl addif br3013 ath0.3013
brctl addif br3013 eth0_real.3013
ifconfig br3013 0.0.0.0 up
brctl addbr br3014
vconfig add ath0 3014
vconfig add eth0_real 3014
ifconfig ath0.3014 0.0.0.0 up
ifconfig eth0_real.3014 0.0.0.0 up
brctl addif br3014 ath0.3014
brctl addif br3014 eth0_real.3014
ifconfig br3014 0.0.0.0 up

Для выхода с интернет порта не тегированного vlan конфиг таков:
ifconfig ath0 0.0.0.0
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0_real
brctl delbr br0
vconfig add ath0 1
ifconfig ath0.1 192.168.1.20 netmask 255.255.255.0 up
route add default gw 192.168.1.1 ath0.1
brctl addbr br1
vconfig add eth0_real 1
vconfig add ath0 1
ifconfig eth0_real.1 0.0.0.0 up
ifconfig ath0.1 0.0.0.0 up
brctl addif br1 eth0_real.1
brctl addif br1 ath0.1
ifconfig br1 192.168.1.20 netmask 255.255.255.0 up
route del default gw 0.0.0.0
route add default gw 192.168.1.1 br1
brctl addbr br9
vconfig add ath0 9
vconfig add eth0_real 9
brctl addif br9 ath0.9
brctl addif br9 eth0_real
ifconfig ath0.9 0.0.0.0 up
ifconfig eth0_real 0.0.0.0 up
ifconfig br9 up

3. для выхода из редактора жмем – Esc -> : -> x -> enter
4. для того чтобы запустить конфиг необходимо получить к нему доступ командой chmod +x /etc/persistent/rc.poststart
запускаем командой /etc/persistent/rc.poststart (для DreamStation ./etc/persistent/rc.poststart)
5. Ву-а-ля и ваша железка с vlanами

забыл, дополнить: Беспроводную связь необходимо настроить в WDS

А примерно такуюже схему, только немного не так, подскажите, как реализовать?
Комутатор с тегированными вланами допустим 2,3,4 и не тегированным 5 смотрят с порта на роутерборд433 (роутерборд раздает инет с нетегированого 5-го влана по радио, и находится в упавлении под 4 тегом) , с роутерборда принимает булет м2, за ним с пк нужно попасть в нужный хост, допустим, в влан 3. Заранее сенкс.

А если на свичах для управления тоже 100 влан прописать? будет работать?

Источник