Часто в средних и крупных сетях передачи данных требуется деление сети на отдельные сегменты. Однако в современных реалиях такое деление может потребоваться и в совсем небольших сетях на пару десятков пользователей. Приведу примеры сегментирования сети:
- по типу оборудования. Например разделить серверы и компьютеры пользователей;
- по структурным единицам компании. Например отделить отдел продаж от бухгалтерии.
- для небольших сетей может быть примером выделение в отдельную сеть гостевого Wi-Fi (бары, кафе, рестораны).
Деление сети можно выполнить подключением для каждого сегмента отдельного коммутатора. А в случае с Wi-Fi – подключением дополнительной точки доступа. Однако, очевидно, что этот путь весьма дорог и лишён гибкости в настройке сети. Поэтому широкое распространение получила технология разбиения сети на виртуальные подсети – Virtual Local Area Network (VLAN).
Технология достаточно проста, но для её применения всё же необходимо разобраться как она работает.
VLAN описывает стандарт 802.1Q. VLAN – указывается в IP пакете на сетевом уровне (см рис. 1). Если в пакете после адреса назначения и источника есть поле 0х8100, то это означает, что будет дополнительный блок информации о VLAN. Дальше идёт 3-х битовое поле, сообщающее о приоритете (priority). Т.к. поле 3-х битовое, то приоритетов может быть всего 8 (от 0 до 7).
После приоритета следует 12 битовое поле идентификатора VLAN. Опять же применив несложные преобразования из двоичной системы в 10чную получим максимальное кол-во VLANов – 4096, (от 0 до 4095). В большинстве сетей такое количества VLAN достаточно. Однако в некоторых крупных сетях (например сетях провайдеров интернета) его недостаточно. Поэтому был создан новый стандарт 802.11ad – который позволяет вкладывать один VLAN в другой. Таким образом максимальное кол-во VLAN увеличивается до 4096х4096=16,777,216. Структура пакета меняется так, что добавляется еще один блок информации перед информацией о 1-м уровне VLAN, полностью повторяя его структуру.
Если в IP пакете есть VLAN – значит такой пакет называют тегированным. Если нету – то нетегированным. Есть оборудование, которое не понимает тегированный трафик (старые «неуправляемые» коммутаторы). Тем не менее стандарт 802.11Q предусматривает такое оборудование. В этом случае информация о VLAN игнорируется, его пропускает, просто оно не в состоянии распознать дополнительную информацию о VLAN в пакете, как то повлиять на неё или действовать в соответствии с установленными стандартом 802.11Q правилами.
Также следует отметить, что помечать пакеты может как само оконечное устройство, так и коммутирующее оборудование (комутаторы и маршрутизаторы).
Как правило обычные компьютеры не тегируют свой трафик. Такой трафик можно тегировать на уровне коммутатора.
Примером устройств, способных тегировать свой трафик являются IP телефоны. В этом случае порт на коммутаторе должен понимать, что принимает уже тегированный трафик.
Есть смешанная технология. Например, когда IP телефон подключен к порту коммутатора, а компьютер подключен ко второму порту IP телефона. Телефон и компьютер должны быть в разных VLAN-ах. В этом случае коммутатор должен принимать оба типа трафика. Такой порт называется гибридным.
Из выше изложенного, казалось бы, простая технология вызывает некоторые трудности в настройке. Потому что каждый производитель, в целом соблюдая стандарт, обозначает те или иные сущности по разному.
Также хочу отметить, что часто вносит путаницу понятия, которые встречаются у производителей коммутирующего оборудования - tagged VLAN и untagged VLAN.
И некоторые «специалисты» начинают употреблять термины «тегированный VLAN» и «нетегированный VLAN». Но это не верно. Не бывает «нетегированных» VLANов. Если пакет помечен тегом, то значит ему назначен какой-то VLAN и такой трафик называют тегированным. Если не помечен, то никакого тега нет, и соответственно трафик - нетегированный и никакому VLANу принадлежать не может.
Tagged VLAN и untagged VLAN – это лишь свойства порта коммутирующего оборудования. В случае tagged VLAN – трафик на этом порту пометиться тегом с соответствующим VLANом. Untagged VLAN – это свойство порта (как правило транкового) пропускать тегированный трафик заданного VLANа (но не помечать дополнительно его).
На оконечном оборудовании, которое способно помечать свой трафик VLANом – никогда не найти понятия tagged/untagged. Потому что это свойство исключительно коммутирующего оборудования.
Настройка VLAN на оборудовании Mikrotik
Практически вся линейка оборудования Mikrotik позволяет настраивать VLAN. Операционная система OS Router Mikrotik позволяет настроить сегментирование несколькими способами. И все они рабочие и будут работать. Однако рассмотрим пример настройки, который рекомендует сам производитель. . В оригинале, описанном производителем есть пример настройки с использованием командной строки. Я же приведу пример настройки, используя графический интерфейс.
Настроим VLAN-ы на двух устройствах: роутере и коммутаторе. Для примера я взял реальную схему из практики. Думаю, так будет понятней, с чем реально придётся сталкиваться. Нам необходимо создать 3 сегмента сети:
VLAN10 - резервный
VLAN20 – сервер 1
VLAN251 – сервер 2. Также VLAN251 является управляющим VLAN (Management VLAN)
На роутере будет осуществляться маршрутизация 3-го уровня между VLAN-ами.
Роутер
Сначала на роутере создадим Bridge, в который поместим все необходимые порты. В нашем случае порт Ether3:
В свойствах Bridge1 включим VLAN Filtering:
Во вкладке VLANs укажем следующим образом tagged интерфейсы. Обращу внимание, что Bridge1 здесь указывается, чтобы связать VLAN 2 уровня с маршрутизацией по IP на 3-м уровне:
Теперь перейдём к настройке 3-го уровня маршрутизации.
Во вкладке Interfaces создадим новые интерфейсы VLAN под ранее созданным интерфейсом Bridge:
И назначим им соответствующие IP адреса во вкладке IP -> Addresses:
На этом настройка VLAN на роутере окончена.
Перейдём к настройке на коммутаторе.
Создадим Bridge:
Аналогично роутеру включим в его свойствах VLAN Filtering:
И поместим в этот bridge требуемые порты коммутатора. В примере размещены все порты, хотя это не обязательно:
В свойствах порта Ehter1 укажем PVID=251. Аналогично, согласно нашего ТЗ укажем в свойствах порта Ether2 PVID=20
Аналогично роутеру заполним таблицу разрешений VLAN в интерфейсе bridge. Для второго уровня не надо указывать Current Tagged – интерейс Bridge. Однако здесь 251 VLAN – это менеджмент влан, используется в том числе для управления коммутатором. И на интерфейсе VLAN251 назначен IP адрес коммутатора. Поэтому нужно связать второй уровень VLAN 251 с интерфейсом VLAN 251, на который назначен IP шник. И делается это вот так:
На этом настройка сегментирование нашей небольшой сети окончена.
В завершение хочу отметить, что для решения различных задач, таких как ограничение трафика или запрет трафика в тот или иной сегмент сети в комплексе с сегментированием VLAN применяются правила межсетевого экрана. О том как его настроить читайте в моей статье Настройка Firewall на Mikrotik.
Всем добра! Сегментировал с вами сеть Игорь Мудрецкий.