fdroid
@fdroid
press any key

Как понять VLANы?

Случилось то, чего я долго избегал - необходимо настроить вланы. И я просто тупо не могу понять как это работает, в инете либо пошаговые инструкции (которые не работают), либо жесткая теория, изучать которую нет времени, т.к. задачу нужно решить "уже вчера". Плюс ещё загадочные письмена про транки, тэгированные и нетэгированные вланы, и нет объяснений для чайников чем они вообще отличаются. Исходные данные: Mikrotik 951 ROS 6.42.3, коммутатор D-Link 1100-10 ME A1. К управляемому коммутатору вообще впервые получил доступ, но, как ни странно, не такой уж и сложный CLI у него - автодополнения опять же, и в целом не особо страшно. А вот с микротиком засада. В данный момент, схема такая. В микротике все порты кроме 1-го связаны в бридж. Первый порт подключен к WAN, во второй подключен тупой свитч, к которому подключено ещё несколько тупых свитчей, к которым подключены... и т.д. вплоть до конечных компьютеров. В общем, тип сети - СТС - Сеть Тупых Свитчей (и админов). Необходимо разбить на два (для начала) сегмента с разными подсетями. Сначала тренируюсь на кошках: в свободный пятый порт подключил компьютер и попытался сделать так, чтобы, хотя бы, его завести в отдельную подсеть. Вся сеть на адресах 192.168.0.0, подопытный комп должен быть в 192.168.1.0, получать адрес по DHCP, выходить в инет. Хотя бы даже это, про изоляцию от основной сети речи нет. Но не выходит каменный цветок. Что делаю я. Удаляю 5-й порт из бриджа, Interfaces - VLAN - создаю новый vlan1, interface - ether5 (ещё есть галочка Use service tag - нужно ли её ставить?), IP - Adressess - добавляю Address List с диапазоном 192.168.1.1/24 Network 192.168.1.0, interface - vlan1. IP - Pool - создаю новый pool1 c диапазоном 192.168.1.2-192.168.1.254. IP - DHCP Server, создаю новый dhcp1, interface - vlan1, Address Pool - pool1. IP - Firewal - NAT - добавляю правило Chain - srcnat, src address - 192.168.1.0/24, Out interface - vlan1, action - Masquarade. Всё применяю, и... ничего! Компьютер, подключенный к 5-му порту даже IP по DHCP не получает, на вручную прописанный какой-нибудь 192.168.1.10 ругается "неопознанной сетью". В правиле NAT вообще не уверен, но сути это не меняет, комп просто не подключается к сети. В то же время из сетит 192.168.0... я могу пропинговать 192.168.1.1. В общем, пробовал несколько мануалов, ни один не работает. То ли я что-то делаю неправильно, то ли мануалы, написанные для предыдущих ROS в новой версии не работают, то ли упускаю какие-то простые нюансы, после которых лицо красное от стыда и фэйспалмов.
  • Вопрос задан
  • 706 просмотров
Решения вопроса 4
athacker
@athacker
Влан -- это всего лишь идентификатор в ethernet фрейме. Который может принимать значения от 1 до 4094. Вланы не бывают тегированными или не-тегированными, они по определению тегированные. Бывает тегированным или не-тегированным трафик. Тегированный -- это тот, в ethernet фреймах которого соответствующее поле реально содержит VID -- VLAN ID, т. е. номер влана. Не-тегированный -- соответственно, такой фрейм, где номера влана нет.

Транковый порт коммутатора -- это порт, который настроен таким образом, чтобы принимать и передавать тегированный трафик, и этот трафик может быть из разных вланом (физически это означает, что в трафике могут быть разные VID -- идентификаторы вланов). Например, так настраиваются порты, к которым подключены другие коммутаторы. Или, например, маршрутизаторы. Или, например, сервера с виртуалками.

Порт, настроенный для приёма не-тегированного трафика, всё равно осознаёт себя в каком-то влане. Т. е. коммутатор внутри себя считает, что в этот порт ему прилетает нетегированный трафик, но этот трафик нужно относить к такому-то влану. Какому конкретно влану -- задаётся сетевым администратором при настройке и включении порта. Не-тегированный трафик может улететь в тегированный (транковый) порт, например, и в этом случае на выходе из транкового порта коммутатор в трафике явным образом проставит тег.

Может быть и обратная ситуация -- прилетит тегированный трафик в транковый порт (допустим, в 5-ом влане). Коммутатор определит, что получатель трафика находится на таком-то порту, и этот порт настроен для отправки не-тегированного трафика. Тогда коммутатор перед передачей пакета в этот порт уберёт трафик из фрейма и только потом отдаст фрейм в порт.

В транковые порты может прилетать любое количество вланов (ну, до 4096, понятное дело). В не-тегированные -- только один какой-то влан, как вы понимаете, так как тега-то в трафике нет, и единственный способ отнести этот трафик к какому-то влану -- это явным образом прописать в настройках коммутатора, что вот этот вот порт относится к такому-то влану.

Обычные компы могут принимать тегированный трафик только в случае дополнительных действий. На винде это должен поддерживать драйвер, и ещё он иметь средства управления вланами на интерфейсе. На линуксе тоже нужно создавать отдельным образом саб-интерфейсы с указанием тегов.

Что касается микрота -- добейтесь сначала связи между роутером и компом в сети 192.168.1.0, без DHCP и тем более натов.

IP 192.168.1.1 пингуется из сети 192.168.0.1 -- это понятно, так как адрес принадлежит вашему маршрутизатору. Вы можете ему на интерфейс 8.8.8.8 повесить, и он тоже будет пинговаться, даже при отсутствии интернета -- если между роутером и компом связь есть.

Service tag ставить не надо -- это уже из области Q-in-Q, вложенных вланов (если на пальцах).

Vlan1 -- какой vlad ID имеет?
Ответ написан
@Maestrosoft
Название влана - роли не играет, главное номер тэга, который Вы задаёте для этого влана - это первое.
Второе - Вы перевели 5 порт в режим транка, а подключенный к нему компьютер, настроен скорее всего не в режиме транка! По этому Ваш компьютер не получает адреса от DHCP-сервера микротика (не понимает он тэгированного траффа).
Если очень по простому, то Вам нужно следующее:
1. Перевести один порт микротика в транк - Вы это сделали и похоже правильно.
2. Подключиться к управляемому свичу и перевести один свободный порт в режим транка (этим портом он будет соединен с 5портов Вашего микротика). Другой свободный порт(ы) перевести в access mode с указанным тэгом (номер должен быть такой же, какой Вы указали при настройке в микротике). Вот к этому порту - Вы подключаете свой компьютер!!!
Ответ написан
@notwrite
С микротиком не ковырялся. На HPделается так создаются vlanы и уже во вланы подключаются интнерфесы в антаггет режиме. Если в один интерфейс надо запихнуть несколько влан режим таггед, но без дополнительных настроек к этим вланам не подключишься. влан1 умолчательный использовать не рекомендуется.
Ответ написан
У микротика НЕТ такого, как у Keenetic, например, что новый мост будет с вланом собственным (по крайней мере в прошлой версии ROS). Вы создаёте новый интерфейс (не влан, можно мост, можно просто на ether 5), ставите на него адреса, пулы dhcp. И тогда уже, если вам надо иметь тегированный порт, вы его отключаете из моста, на него создаёте вланы, и эти вланы включаете в мост той сети, в какой они должны быть.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы