Использование технологии VLAN (802.1q) на устройствах серии DFL.

Предложенный материал подразумевает, что Вы обладаете базовыми знаниями по стандарту 802.1q, а так же Вам знакомы и понятны термины тег (tag), «tagged port» и «untagged port», VLAN ID. Если Вы не знакомы со стандартом 802.1q, рекомендуется предварительно ознакомиться с соответствующим материалом на сайте dlink.ua или посетить семинары в ближайшем представительстве D-Link.

Устройства серии DFL полностью поддерживают стандарт 802.1q и способны работать VLAN. Рассмотрим на примере создание VLAN. На нашем устройстве будет создано 2 дополнительные подсети:

·  Подсеть с VLAN ID равным 3 и адресным пространством 192.168.2.1/24

·  Подсеть с VLAN ID равным 4 и адресным пространством 192.168.4.1/24

Сначала создадим объекты, которые будут описывать эти адресные пространства. Для каждой из подсетей нам понадобится по 2 объекта. Первый будет описывать ip-адрес с подсети, который привязан к DFL, второй описывать сам диапазон.

Создаём эти объекты для первой подсети. Сначала адрес:

Далее объект описывающий саму подсеть:

После создания аналогичных объектов для второго сегмента получаем 4 записи:

Следующая наша задача – непосредственно создание интерфейсов, которые будут привязаны к необходимым VLAN_ID. Эти действия будут выполняться в подразделе «VLAN» раздела «Interfaces».

При создании интерфейса задаём:

·  В поле «Name» удобное для нас имя интерфейса.

·  В поле «Interface» выбираем один из физических интерфейсов к которому будет привязан наш VLAN. Тут нам доступны только физические интерфейсы, которые существуют на нашем DFL.

·  В поле «VLAN ID» мы указываем тег (ID) нашего VLAN. В нашем случае для первого VLAN это будет значение «3», для второго «4».

·  В полях «IP address» и «Network» выбираем соответствующие объекты, которые мы создали ранее.

После создания обоих интерфейсов мы имеем следующую картину:

Далее созданные интерфейсы могут использоваться на равнее с другими интерфейсами в любых разделах управления DFL. Например, правило разрешающее прохождение пакетов со стороны VLAN 3 на DFL на ip-адрес 192.168.2.1 будет выглядеть так:

10.png

В предложенном варианте построения наша сеть подключённая к интерфейсу Lan будет работать по следующей схеме:

1.      Входящие пакеты:

a.      Пакеты, содержащие в себе маркеры тегов с ID равным 3 или 4, будут отнесены к интерфейсам vlan3 и vlan4 соответственно, после чего к пакетам будут переменены правила соответствующие данным интерфейсам.

b.      Пакеты не содержащие тега будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

c.       Пакеты содержащие в себе маркеры тегов отличные от 3 и 4 будут отброшены.

2.      Исходящие пакеты:

a.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физический интерфейс как untagged, т.е. не будут содержать тега.

b.      Если пакет в соответствии с маршрутизацией должен отправиться через интерфейсы vlan3 или vlan4, он будет отправлен как tagged, т.е. будет иметь тег с соответствующим VLAN ID.

Бывают случаи, когда физическую сеть необходимо поделить на физические сегменты, однако имеющееся сетевое оборудование или не поддерживает стандарт 802.1q, или, в связи с топологией сети, после маршутизатора DFL физическая сеть должна быть действительно разделена на физически независимые сегменты. На DFL-260E и DFL-860E на физическом интерфейсе LAN по сути установлен свитч (5 портов на DFL-260E и 8 портов на DFL-860E), порты которого могут быть выделены под отдельные VLAN. Этот режим называется «Port based VLAN».

ВАЖНО! В режиме «Port based VLAN» физический интерфейс LAN перестаёт работать с тегами стандарта 802.1q и отбрасывает пакеты содержащие такие теги.

Настройка портов выполняется в подразделе «Switch Management» раздела «Interfaces».

Например, на устройстве DFL-260E выделим порт №3 под VLAN 3, а порты №4 и №5 под VLAN 4. Настройка будет выглядеть так:

В таком случае работа DFL будет выглядеть следующим образом:

1.      Исходящие пакеты:

a.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физические порты 1 и 2 как untagged пакеты, т.е. не будут содержать тега.

b.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan3 будут переданы через физический порт 3 как untagged пакеты, т.е. не будут содержать тега.

c.       Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan4 будут переданы через физические порты 4 и 5 как untagged пакеты, т.е. не будут содержать тега.

2.      Входящие пакеты:

a.      Пакеты не содержащие тега и пришедшие на порты 1 и 2 будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

b.      Пакеты не содержащие тега и пришедшие на порт 3 будут отнесены к сети описанной на интерфейсе vlan3 и к ним будут применены правила соответствующие данному интерфейсу.

c.       Пакеты не содержащие тега и пришедшие на порты 4 и 5 будут отнесены к сети описанной на интерфейсе vlan4 и к ним будут применены правила соответствующие данному интерфейсу.

d.      Пакеты содержащие в себе маркеры тегов будут отброшены.

Если необходимо одновременно разделение на физические сегменты (режим «Port based VLAN») и при этом также необходимо работать с тегированными пакетами, то для этого необходимо задействовать дополнительно ещё 1 физический интерфейс, через который и будут работать пакеты с тегами.

Например: настройка vlan3 в режиме «Port based VLAN», а vlan4 с поддержкой 802.1q.

1.      vlan3 закрепляем за физическим интерфейсом Lan. vlan4 закрепляется за физическим интерфейсом DMZ.

2.      Настройка в подразделе «Switch Management» будет выглядеть так:

Соотвественно, работа устройства будет выглядеть так:

1.      Исходящие пакеты:

a.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса Lan будут переданы через физические порты 1, 2, 4 и 5 как untagged пакеты, т.е. не будут содержать тега.

b.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса DMZ будут переданы через физические интерфейс dmz как untagged пакеты, т.е. не будут содержать тега.

c.       Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan3  будут переданы через физический порт 3 как untagged пакеты, т.е. не будут содержать тега.

d.      Пакеты, которые в соответствии с маршрутизацией должны уйти с интерфейса vlan4  будут переданы через физический порт dmz как tagged пакеты и будут содержать тег с VLAN ID 4.

2.      Входящие пакеты:

a.      Пакеты, содержащие в себе маркеры тегов и входящие на любые порты интерфейса Lan будут отброшены.

b.      Пакеты, содержащие в себе маркеры тегов отличные от 4 и входящие на порт интерфейса DMZ будут отброшены.

c.       Пакеты, содержащие в себе маркеры тега с ID равным 4 и пришедшие на интерфейс dmz, будут отнесены к интерфейсу vlan4, после чего к пакетам будут переменены правила соответствующие данному интерфейсу.

d.      Пакеты не содержащие тега и пришедшие на порт 3 интерфейса Lan будут отнесены к сети описанной на интерфейсе vlan3 и к ним будут применены правила соответствующие данному интерфейсу.

e.      Пакеты не содержащие тега и пришедшие на порты 1, 2, 4 и 5 интерфейса Lan будут отнесены к сети описанной на физическом интерфейсе Lan и к ним будут применены правила соответствующие данному интерфейсу.

f.       Пакеты не содержащие тега и пришедшие на порты интерфейса DMZ будут отнесены к сети описанной на физическом интерфейсе DMZ и к ним будут применены правила соответствующие данному интерфейсу.