Пример настройки VLAN в коммутаторах ZyXEL

Подписаться

Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).

Виртуальная локальная сеть на базе порта (Port-based VLAN)

Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к менюAdvanced Application > VLAN.

VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N.

C помощью VLAN на базе порта можно настраивать довольно сложные схемы «перекрывающихся» виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.

Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q)

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged).

Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля.

Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority.

Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.

Типы кадров

Untagged frame — Кадр, в котором не установлен признак 802.1Q.Priority-tagged frame — Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета.VLAN-tagged frame — Кадр с установленным полем 802.1Q и VID больше 0.

Поддержка VLAN в сети

• • VLAN Aware – устройства поддерживающие признак VLAN в соответствии с 802.1Q и могут принимать пакеты с учетом этого поля.

• • VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU — 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.

Процессы 802.1Q

Входной процесс: Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.

Процесс пересылки (перенаправления): Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.

Выходной процесс: Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.

Входное правило (VLAN на базе протокола)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

• • он без изменений передаётся дальше

Если кадр без тега или кадр с VID=0

Protocol VID:

Входное правило (PVID)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

• • он без изменений передаётся дальше

Если кадр нетегированный или это кадр приоритета

• • он маркируется PVID по умолчанию

• • после этого кадр передаётся дальше

PVID:

• • VLAN ID по умолчанию, который назначается на каждый порт.

Настройка VLAN на базе протокола

Port: номер порта на котором будет применяться данное правилоEthernet-type: значение поля type кадра EthernetVID: VLAN ID, которым будет маркироваться кадрPriority: значение поля приоритета, которым будет маркироваться кадр

Таблица VLAN

В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором.

Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:

• • Fixed – порт является выходным для данного VLAN;

• • Forbidden – в порт запрещено передавать кадры, принадлежащие VLAN;

• • Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.

Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта.

С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.

Параметры VLAN 802.1q на портах

У каждого порта имеется набор полей:

• • PVID (см. выше).

• • Acceptable Frame Type – типы принимаемых кадров: или любые, или только с тегами.

• • VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.

• • Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.

• • GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.

• • Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

VLAN Stacking

Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов.

Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.

У каждого порта коммутатора может быть две роли (Port Role):

• • Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.

• • Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).

Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority.

Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).

Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:

При создании VLAN по умолчанию все порты находятся в режиме NORMAL.

Еще есть вопросы? Отправить запрос

Иногда сетевым администраторам необходимо настроить несколько подсетей на одном роутере zyxel keenetic: например, чтобы часть клиентов получала свободный доступ в интернет, а подключенные к другому порту пользователи имели только доступ к локальной сети.

И в данной статье будет рассмотрен пример настройки vlan на роутере zyxel keenetic и создания нескольких подсетей на основе одного маршрутизатора.

Также рекомендуем вам ознакомиться с материалом что такое VLAN и в чем заключается сутьмаршрутизации между VLAN.

Настройка vlan для доступа в интернет на zyxel

Для настройки vlan на zyxel keenetic вам понадобится доступ к маршрутизатору через консоль «Telnet». Если у вас операционная система Windows 7, то нужно активировать «Telnet клиент». Для этого зайдите в «Панель управления» через меню «Пуск» и кликните по вкладке «Программы и компоненты».

В открывшемся окне «Удаление или изменение программ» зайдите на вкладку «Включение компонентов Windows» в левом верхнем углу и в открывшемся окне поставьте галочку на строке «клиент Telnet».

Ваш telnet клиент активирован, теперь нужно зайти в программу и подключиться к маршрутизатору zyxel keenetic. Вновь заходим в меню «Пуск», в строке поиска пишем «cmd» и нажимаем «Enter»: отроется окно режима командной строки.

Вводите команду «Telnet 192.168.1.1» и — если все сделано правильно — появится окно приглашения ввода логина и пароля маршрутизатора. Если вы еще не настраивали свой интернет центр, то пароль вводить не надо (желательно все-таки обезопасить соединение и потом поставить пароль). Если вы правильно авторизовались, то появится окно «Командной строки CLI»: иными словами вы зашли в режим управления и редактирования настроек вашего маршрутизатора.

После проделанных действий, нужно правильно распределить ip адреса в вашей сети.

В данном примере маршрутизатор zyxel keenetic будет иметь IP адрес 192.168.1.1, сегмент сети с доступом в интернет будет иметь IP адрес 192.168.0.124, а подсеть с доступом только к локальной сети будет иметь IP адрес 192.168.2.0.24

То есть порты 1.2.3 будут подключены к первой VLAN, а порт 4 будет подключен ко второй.

Настройка сервера на zyxel keenetic для двух подсетей

Теперь вам нужно создать виртуальную сеть для четвертого порта. Для этого нужно ввести команды:

Теперь нужно задать IP вашей сети и добавить правило безопасности. Для этого вводим очередные команды.

Задаем активацию интерфейса командами:

Следующее наше действие — это объединение посредством моста Wi-Fi и интерфейса.

Обратите внимание, что перед тем как настраивать zyxel keenetic в режиме моста и добавлять интерфейсы в «мост», следует удалить ваш Wi-Fi интерфейс, который именуется как Bridge0.

Теперь можно создать для вашей виртуальной сети под номером три свой мост, так как она уже не связана ни с одним из интерфейсов.

Теперь наш интерфейс надо привязать к диапазону IP адресов: для этого вводим следующие команды.

Потом даем разрешение между нашими сетями.

Теперь нужно, чтобы ваш роутер zyxel keenetic сохранил все ваши действия в памяти. Для этого введите команду:

Как видно из примера доступ в интернет на роутере zyxel keenetic блокируется через отключение NAT в локальной сети под номером два, если же интернет станет необходим для данной сети, то вам нужно будет просто включить NAT

После проделанных действий ваш маршрутизатор полностью настроен (не забудьте установить пароль, если он не установлен).

Zyxel keenetic: настройка iptv ростелеком vlan

Еще один пример настройки VLAN на Zyxel keenetic — это распределение портов для интернета и IP- телевидения.

Вся настройка будет осуществляться через web интерфейс роутера. Для этого пишем в адресной строке браузера IP адрес для авторизации нашего маршрутизатора

Затем кликните на вкладку «интернет», перейдите в окно «IPOE» и нажмите «добавить интерфейс»

Далее обозначаем наше подключение как «интернет», затем прописываем настройки интернета, который вам выдал ваш провайдер в строке «Идентификатор сети (VLAN ID)».

Обратите внимание, что данное подключение создаётся для нулевого разъёма.

Теперь нужно создать следующее соединение. Для этого опять добавляем новый интерфейс и прописываем его соответственно настройкам вашего IP телевидения, ставим галочку напротив порта под номером четыре, что означает включение этого порта для цифрового вещания (именно к нему и будет подключаться тв приставка).

И в завершении настроек кликните на вкладку «PPPoE/VPN», нажмите «добавить соединение» и внесите настройки.

На этом настройка вашего роутера Zyxel keenetic окончена.

Рубрики: оборудование Статья:  1439 Ответ: Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).Виртуальная локальная сеть на базе порта (Port-based VLAN) Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к меню Advanced Application > VLAN. VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N. C помощью VLAN на базе порта можно настраивать довольно сложные схемы «перекрывающихся» виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q) Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged). Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля. Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority. Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.Типы кадровUntagged frame — Кадр, в котором не установлен признак 802.1Q. Priority-tagged frame — Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета. VLAN-tagged frame — Кадр с установленным полем 802.1Q и VID больше 0.Поддержка VLAN в сети Каждая группа VLAN имеет уникальную в сети идентификацию (уникальный VID). Хосты внутри одного VLAN могут передавать данные между собой. Все сетевые устройства можно разделить на две группы:

• VLAN Aware – устройства поддерживающие признак VLAN в соответствии с 802.1Q и могут принимать пакеты с учетом этого поля.
• VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU — 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.

Процессы 802.1QВходной процесс:Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.Процесс пересылки (перенаправления):Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.Выходной процесс:Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.Входное правило (VLAN на базе протокола)VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.Если кадр тегированный

• он без изменений передаётся дальше

Если кадр без тега или кадр с VID=0Protocol VID:

• VLAN ID, который зависит от поля Type входного кадра. Поддерживается с микропрограммы версии 3.70

Входное правило (PVID) VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.Если кадр тегированный

• он без изменений передаётся дальше

Если кадр нетегированный или это кадр приоритета

• он маркируется PVID по умолчанию
• после этого кадр передаётся дальше

PVID:

• VLAN ID по умолчанию, который назначается на каждый порт.

Настройка VLAN на базе протоколаPort: номер порта на котором будет применяться данное правило Ethernet-type: значение поля type кадра Ethernet VID: VLAN ID, которым будет маркироваться кадр Priority: значение поля приоритета, которым будет маркироваться кадрТаблица VLAN В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором. Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:

• Fixed – порт является выходным для данного VLAN;
• Forbidden – в порт запрещено передавать кадры, принадлежащие VLAN;
• Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.

Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта. С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.Параметры VLAN 802.1q на портах У каждого порта имеется набор полей:

• PVID (см. выше).
• Acceptable Frame Type – типы принимаемых кадров: или любые, или только с тегами.
• VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.
• Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.
• GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.
• Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

VLAN Stacking Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов. Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN. У каждого порта коммутатора может быть две роли (Port Role):

• Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.
• Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).

Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority. Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).

Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:

где = VLAN ID [1-4094], = имя записи SVLAN и = список портов коммутатора.При создании VLAN по умолчанию все порты находятся в режиме NORMAL. Информация по всем командам Ethernet-коммутатора находится в руководстве пользователя.Используемые источники:

• https://support.rdb24.com/hc/ru/articles/212468069-пример-настройки-vlan-в-коммутаторах-zyxel
• https://tvoi-setevichok.ru/setevoe-oborudovanie/kak-nastroit-vlan-na-zyxel-keenetic.html
• http://sserjoga.blogspot.com/2013/01/vlan-ethernet-zyxel.html