Вверх

 
  • Комплексное ИТ обслуживание Вашего бизнеса 24 часа 7 дней в неделю!
  • IP телефония со знанием дела. Установка и настройка.
  • Поставки оборудования по выгодным ценам

03.04.2014 - Настройка VLAN на примере коммутатора D-link DGS-1100-24

Статья раскрывает особенности настройки технологии VLAN на примере конкретного оборудования.

Доброго времени суток, уважаемый посетитель. Сегодня я, как обычно, по нашей доброй традиции, буду рассказывать кое-что интересное. А рассказ сегодня пойдет про замечательную штуку в локальных сетях под названием VLAN. В природе не мало разновидностей данной технологии, про все рассказывать не будем, а только про те, которые решили бы стоящую перед нашей компанией задачу. Данная технология уже не раз применялась нашими специлистами в нашей практике ИТ аутсорсинга в регионе, Но в этот раз, всё было несколько интереснее, т.к. оборудование с которым пришлось работать - несколько "урезанное" (прошлая похожая задача релизовывалась на коммутаторе D-link DES-1210-28). Но, обо всем по порядку.

Что же такое VLAN?

VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Данная технология позволяет выполнять две задачи:

1) группировать устройства на канальном уровне (т.е. устройства, находящиеся в одном VLAN’е), хотя физически при этом они могут быть подключены к разным сетевым коммутаторам (расположенным, к примеру, географически отдаленно);

2) разграничивать устройства (находящиеся в разных VLAN’ах), подключенные к одному коммутатору.

Иначе говоря, VLAN ‘ы позволяют создавать отдельные широковещательные домены, снижая, тем самым, процент широковещательного трафика в сети.

 

Port-BaseVLAN

Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN ’ы только в коммутаторе. Эту технологию мы будем рассматривать на управляемом коммутаторе D-link DGS-1100-24.

 

IEEE 802.1Q

IEEE 802.1Q — открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Кадр 802.1Q

Немного наркомании, а именно - процедура помещения тега в кадр называется – инъекция.

Размер тега — 4 байта. Он состоит из таких полей:

Порты в 802.1Q

Порты могут быть в одном из следующих режимов:

Пример. Имеется офисное помещение, в котором отдел кадров разделен на два этажа, нужно, чтобы сотрудники были отделены от общей сети. Имеется два коммутатора. Создадим VLAN 3 на одном и втором, порты, которые будут в одном из VLAN укажем как Untagget Port. Для того, чтобы коммутаторы понимали в какой VLAN адресуется кадр, нужен порт, через который будет пересылаться трафик в этот же VLAN другого коммутатора. Выделим, к примеру, один порт и укажем его как Tagget. Если у нас, помимо VLAN 3, есть еще и другие, и ПК-1 расположенный в VLAN 3 будет искать ПК-2, то широковещательный трафик не будет «ходить» по всей сети, а только в VLAN 3. Прибежавший кадр будет пропускаться через MAC-таблицу, если же адрес получателя не будет найдет, такой кадр будет отправлен через все порты такого VLAN откуда он прибежал и порт Tagget с меткой VLAN, чтобы другой коммутатор воспроизвел широковещание на ту группу портов, которые указаны в поле VID. Данный пример описывает VLAN – один порт может быть только в одном VLAN.

IEEE 802.1ad

802.1ad — это открытый стандарт (аналогично 802.1q), описывающий двойной тег. Также известен как Q-in-Q, или Stacked VLANs. Основное отличие от предыдущего стандарта — это наличие двух VLAN’ов — внешнего и внутреннего, что позволяет разбивать сеть не на 4095 VLAN’ов, а на 4095х4095.

Кадр 802.1ad

Сценарии могут быть различны – провайдеру надо “пробросить” транк клиента, не затрагивая схему нумерации VLAN’ов, надо балансировать нагрузку между субинтерфейсами внутри сети провайдера, либо просто – маловато номеров. Самое простое – сделать ещё одну такую же метку (tag).

Асимметричный VLAN

В терминологиях D-Link, а также в настройках VLAN, есть понятие асимметричный VLAN – это такой VLAN, в котором один порт может быть в нескольких VLAN.

Состояние портов меняется

Таким образом, мы получаем то, что внутри устройства один порт может принадлежать сразу нескольким VLAN, но при этом, уходящий в tagged (TRUNK) порт, трафик будет маркироваться номером, который мы задаем в PVID.

Настройка асимметричного VLAN

Ограничение: Функция IGMP Snooping не работает при использовании асимметричных VLAN.

Создание VLAN на D-link DGS-1100-24.

Что имеется. Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены машины пользователей – абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище.

Задача. Ограничить отдел кадров от общей среды, так, чтобы при этом были доступны сервера, шлюз и сетевое хранилище.

Ко всему прочему, коммутатор D-link DGS-1100-24 только что вынули из коробки. По умолчанию большинство управляемых коммутаторов компании D-Link имеют адрес 10.90.90.90/8. Нас не интересует физическое нахождение у коммутатора или смена адреса. Существует специальная утилита D-Link SmartConsole Utility, которая помогает найти наше устройство по сети. После установки запускаем утилиту.

Прежде чем переходить к настройке, переключим порты должным образом:

1)      Переключим порт отдела кадров с коммутатора №2 в коммутатор №1

2)      Переключим сервера, шлюз и сетевое хранилище с коммутатора №2 в коммутатор №1

3)      Подключим коммутатор №2 в коммутатор №1

После такого переключения видим следующую картину: сервера, шлюз, сетевое хранилище и отдел кадров подключены в коммутатор №1, а все остальные пользователи в коммутатор №2.

Запуск утилиты D-Link SmartConsole Utility

Жмем кнопку «Discovery»

Поиск устройств с помощью утилиты D-Link SmartConsole Utility

Ставим галочку и жмем значок шестеренки, открывается окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию admin.

Назначение IP адреса, шлюза по умолчанию с помощью D-Link SmartConsole Utility

Далее логинимся на Web-интерфейсе устройства и переходим в ветку VLAN – Port-Based VLAN. На картинки виден уже созданный VLAN, но в качестве демонстрации создадим еще один.

Web-интерфейс коммутатора D-link DGS-1100-24

Жмем «Add VLAN» и указываем имя VLAN и порты

Создание Port-Based VLAN на коммутаторе D-link DGS-1100-24

Жмем «Apply»

Port-Based VLAN на коммутаторе D-link DGS-1100-24

После создания нужных VLAN, сохраним настройку, для этого нажмем «Save», «Save configuration»

Сохранение конфигурации на коммутаторе D-link DGS-1100-24

Итак, мы видим, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет к остальным машинам. И наконец, все остальные машины видят сервера, шлюз, сетевое хранилище, но не видят порты 05,06.]

Таким образом, при наличии определенных знананий об особенностях оборудования и навыков ИТ-аутсорсинга, можно удовлетворить потребности клиента даже на таком бюджетном оборудовании как коммутатор D-Link DGS1100-24.

Все, люди, Мир Вам!

Комментарии (24)

  1. Bogdan:
    26.03.2015 14:57

    Здраствуйте, у меня такая проблема с комутатором DGS-1100-16 (A1) и состоит она вот в чем - когда к нему подключил IP камери то не все определяются, перепробовал практически все что только в голову пришло и прочитал в google но ничего не помогло, мне нужно чоб он просто работал как простой свитч принимал по всем каналам сигнал и отдавал (потому что ситуация состоит в том, что к нему подключено 8 IP камер і только 3 з них определяются и работают, не взависимости в какой номер порта они включени а остальние периодически мигают и все) что можна зделать в такой ситуации? прошу ВАШЕЙ помощи в етом деле. Зарание благодарен.

    Ответить

    1. Олег Карягин:
      26.03.2015 15:59

      Bogdan, для того чтобы конкретно ответить на ваш вопрос нужно больше информации.
      Как понять "не все определяются"? И "периодически мигают и все"?

      Ответить

      1. Bogdan:
        26.03.2015 17:12

        Ну как би ето написать правельние... Ситуация такая, что в 8 портов включени 8 камер но 3 порта мигают постоянно и синхронно один с другим а остальние 5 время от времени мигают и каждий по отдельности с интервалом в 30 сикунд. если можно то напишите свой имеил я скину видео как оно работает посмотрите. Спасибо за то что откликнулись.
        С уважением Богдан.

        Ответить

        1. Олег Карягин:
          21.07.2015 08:52

          Email можете использовать общий. Что касается коммутатора - интересует настройки. Либо же сбросьте его к заводским и отпишитесь что получится (не забудьте сделать резервную копию текущих, если, конечно, там есть что бэкапить)

          Ответить

  2. Александр:
    03.04.2015 11:56

    Доброго времени суток, у меня след. проблема: при подобном построении виланов, как здесь описано, у меня получается. что компьютеры видят друг друга в разных подсетях. У меня так же два коммутатора соединены друг с другом, и один из них с маршрутиризатором. Так вот на том коммутаторе, который лишь соединен с другим я задал порт, который принадлежит одновременно двум подсетям, от этого порта я соединяюсь с коммутатором, а тот в свою очередь дает Интернет, если это порт я оставляю в одном из виланов, то в другом доступа в Интернет нет, как быть?

    Ответить

    1. Олег Карягин:
      21.07.2015 08:54

      Добрый день!
      Не очень ясна схема подключения. Не могли бы вы изобразить в виде схемы что вы хотите получить, а также сделать скриншоты конфигураций свитчей?

      Ответить

  3. Олег:
    13.07.2015 07:05

    D-link DGS-1100-08, мне нужно чоб он просто работал как простой свитч принимал по всем каналам сигнал и отдавал

    Ответить

    1. Олег Карягин:
      21.07.2015 08:50

      В чём проблема? По умолчанию он так и работает. Если нет - сбросьте в заводские настройки или добавьте все порты в 1 VLAN (если речь о port based)

      Ответить

  4. Zerb:
    27.08.2015 14:44

    приветствую! есть коммутатор d-link dgs-3000-24TC с адресом 192.168.0.206 /24 (gateway отсутствует)
    в той же сети присутствуют два хоста 192.168.0.21 и ....0.23/24 (gateway отсутствует)
    оба хоста видят (пингуют) и заходят на вэб-интерфейс коммутатора, но друг друга не видят. никак. только если их подключить друг ко другу на прямую. (на хостах настройки верные, фаервол отключен)
    далее - сбросил коммутатор на заводские настройки, получил адрес 10.90.90.90, сменил адрес на прежний - 192.168.0.206 картина с хостами осталась прежней (адреса хостов, соответственно, тоже прежние)
    подскажите - как настроить локальную сеть через коммутатор d-link dgs-3000-24TC

    Ответить

    1. Олег Карягин:
      28.08.2015 22:52

      Есть ли какие-то другие узлы в сети? До них ICMP ходит?

      Ответить

  5. barada:
    14.11.2015 11:38

    добрый день. хочу приобрести DGS-1100-5, но не знаю подойдет ли мне он для моей задачи. идея в чем. от провайдера по линии я получаю три статичных IP. к примеру LAN провайдера я подключу к порту 1. к портам 2,3,4 будут подключены маршрутизаторы. у каждого свой статичный IP от провайдера. мне нужно направить потоки соответствующих IP по нужным портам с ограничением трафика. к примеру IP1 на порт 2 с ограничением в 50Мбит, IP2 на порт 3 с ограничением в 10Мбит, а IP3 на порт 4 без ограничения. Вопрос - можно ли это организовать на коммутаторе DGS-1100-5, и как?

    Ответить

    1. Олег Карягин:
      14.11.2015 11:50

      Добрый день!
      По сути вам хватит обычного коммутатора (и не гигабит, врядли провайдер отдаёт вам такие скорости), не обязательно брать серии easysmart (только если провайдер вдруг не отдаёт вам адреса по разным VLAN например, что врядли).
      Схема крайне простая - например в LAN1 входит патч-корд провайдера, дальше вы цепляете на порты свои роутеры и настраиваете там интерфейсы (static ip или что-то другое, в зависимости от настроек провайдера), а уже на роутерах вы "режете" канал и решаете свои прочие задачи.
      Также не обязательно под каждый адрес брать по роутеру, можно поставить достаточно "умную" железку (например какой-нибудь MikroTik) и настроить там несколько адресов на одном/разных интерфейсах, а дальше уже работать с трафиком (шейпить и маркировать) и отправлять через нужный IP. (такая схема работает у одного из наших клиентов на RB750GL)

      Ответить

      1. barada:
        14.11.2015 12:13

        Спасибо за быстрый ответ. по порядку. на данный момент у меня стоит обычный хаб и три роутера. в принципе как вы и описали в начале. уточню - провайдер мне выдает гигабит, но не в этом суть. проблема в том что конечные пользователи не понимают слово трафик не "резиновый", и ограничений со своей стороны не хотят. мне нужно их обойти и на входе резать трафик.

        Ответить

        1. Олег Карягин:
          14.11.2015 19:40

          В вашем случае эту задачу лучше решать на маршрутизаторе, либо прокси-сервере. Если вы порежете скорость на порте это будет не логично для вас же. В вашем случае лучше маркировать трафик по какому-либо признаку либо резать скорость по IP/диапазаону (в вышеупомянутом MiikroTik делается при помощи очередей)

          Ответить

  6. Михаил:
    11.01.2016 12:48

    Здравствуйте! Помогите, пожалуйста. Ситуация следующая - имеется DGS-1100-16 и спутниковая тарелка дающая интернет. На спутниковой тарелки статический IP. Мне нужно что-бы модем от тарелки подключался к DGS-1100-16, а DGS в свою очередь на все остальные порты автоматически раздавал IP по DGS-1100-16. Как мне нужно настроить DGS-1100-16? Подскажите.

    Ответить

    1. Олег Карягин:
      11.01.2016 22:45

      Добрый день!
      Не до конца ясна схема подключения, но судя по вашему описанию вам нужен NAT и DHCP, т.е. поставить маршрутизатор (если только тарелка сама не умеет маршрутизировать) и раздавать адреса на вашу подсеть, к существующему коммутатору вы можете подключать клиентов. Чтобы дать полную полную консультацию нужна подробная схема подключения и модели устройств.

      Ответить

      1. Михаил:
        12.01.2016 00:21

        Спасибо за быстрый ответ. Вот схема.
        https://fotki.yandex.ru/next/users/levsard/album/495674/view/1461209

        Ответить

        1. Олег Карягин:
          24.09.2016 12:15

          DGS-1100-16 не может быть DHCP сервером (ftp://ftp.dlink.ru/pub/Switch/DES-1100%20Series/Description/DES-1100-16-24_A1_User%20Manual_v1.01.pdf ), настройте на HN9460 роль DHCP сервера и NAT

          Ответить

  7. Игорь:
    02.04.2016 16:23

    Добрый день, надеюсь тут мне помогут! Ситуация следующая... На предприятии стоит оборудование провайдера, из него кабель идет в наш dlink dgs-1100-08, из него в компьютеры... Как мне настроить диапазон ip адресов, выдаваемых dlinkом? Так как при перезагрузке одного из компьютеров меняется его ip,я уверен что ip присваивается оборудованием провайдера... Как сделать dlink ответственным за выдаваемые ip? Заранее спасибо!

    Ответить

    1. Олег Карягин:
      24.09.2016 12:18

      Ваш коммутатор не может быть DHCP сервером (http://ftp.dlink.ru/pub/Switch/DGS-1100-24/Description/DGS-1100%20Series_A1_Web_UI_Manual_v1.05(WW).pdf )
      Установите между вами и провайдером маршрутизатор и настройте его в соответствии с вашими задачами

      Ответить

  8. Евгений:
    18.04.2016 08:32

    А как быть с интернетом!
    К примеру если на первый порт приходит с маршрутизатора витая
    А как тогда в подсети раскидать одну линию интернета?

    Ответить

    1. Олег Карягин:
      24.09.2016 12:20

      Укажите пожалуйста конфигурацию и модель вашего оборудования и схему сети.
      Непонятен ваш вопрос.

      Ответить

  9. Амыр:
    27.07.2016 00:32

    Здравствуйте! Два вопроса:
    1. Как настроить резервирование соединений между коммутаторами D-Link DGS-3120-24TC, т.е. при потере связи на основном порту происходит автоматическое переключение на резервный порт.
    2. Настройка агрегированного канала между коммутатором D-Link DGS-3120-24TC и сервером IBM System x3650 M4 (гипервизор VMware), т.е. два канала со скоростью 1Gb объединены в один. Пропускная способность канала между сервером и коммутатором увеличена в два раза

    Ответить

    1. Олег Карягин:
      24.09.2016 12:49

      Добрый день!
      1) Не очень ясен вопрос. Если вы строите некую отказоустойчивую схему (например http://thednetworks.com/wp-content/uploads/2011/12/designated-port-rootport-stp-selected-blocked.jpeg ), то вам необходимо соединить все коммутаторы и настроить на них должным образом (R/M)STP (ftp://ftp.dlink.ru/pub/Switch/DGS-3100%20Series/Description/DGS-3100%20Series_User_Manual_v3.6(WW).pdf с 113)
      2) Не смог найти информацию по поддержке сервером 802.3ad (агрегирование каналов, но вроде поддерживается http://www.ibm.com/developerworks/ibmi/library/i-ethernetlines/ ), но если поддерживает то схема примерно такая https://upload.wikimedia.org/wikipedia/commons/5/5b/Link_Aggregation1.JPG примерная настройка описана http://www.dlink.ru/r/faq/62/250.html .

      Ответить


Есть что сказать? Оставьте комментарий

Новости IT рынка