Vlan для доступа в интернет: Настройка доступа к Интернету и IPTV, когда провайдер предоставляет обе услуги с тегированным трафиком (VLAN)
Настройка vlan на роутере zyxel keenetic
Иногда сетевым администраторам необходимо настроить несколько подсетей на одном роутере zyxel keenetic: например, чтобы часть клиентов получала свободный доступ в интернет, а подключенные к другому порту пользователи имели только доступ к локальной сети.
И в данной статье будет рассмотрен пример настройки vlan на роутере zyxel keenetic и создания нескольких подсетей на основе одного маршрутизатора.
Настройка vlan для доступа в интернет на zyxel
Для настройки vlan на zyxel keenetic вам понадобится доступ к маршрутизатору через консоль «Telnet». Если у вас операционная система Windows 7, то нужно активировать «Telnet клиент». Для этого зайдите в «Панель управления» через меню «Пуск» и кликните по вкладке «Программы и компоненты».
В открывшемся окне «Удаление или изменение программ» зайдите на вкладку «Включение компонентов Windows» в левом верхнем углу и в открывшемся окне поставьте галочку на строке «клиент Telnet».
Ваш telnet клиент активирован, теперь нужно зайти в программу и подключиться к маршрутизатору zyxel keenetic. Вновь заходим в меню «Пуск», в строке поиска пишем «cmd» и нажимаем «Enter»: отроется окно режима командной строки.
Вводите команду «Telnet 192.168.1.1» и — если все сделано правильно — появится окно приглашения ввода логина и пароля маршрутизатора. Если вы еще не настраивали свой интернет центр, то пароль вводить не надо (желательно все-таки обезопасить соединение и потом поставить пароль). Если вы правильно авторизовались, то появится окно «Командной строки CLI»: иными словами вы зашли в режим управления и редактирования настроек вашего маршрутизатора.
После проделанных действий, нужно правильно распределить ip адреса в вашей сети.
В данном примере маршрутизатор zyxel keenetic будет иметь IP адрес 192.168.1.1, сегмент сети с доступом в интернет будет иметь IP адрес 192.168.0.1\24, а подсеть с доступом только к локальной сети будет иметь IP адрес 192.168.2.0.\24
То есть порты 1.2.3 будут подключены к первой VLAN, а порт 4 будет подключен ко второй.
Настройка сервера на zyxel keenetic для двух подсетей
Теперь вам нужно создать виртуальную сеть для четвертого порта. Для этого нужно ввести команды:
Теперь нужно задать IP вашей сети и добавить правило безопасности. Для этого вводим очередные команды.
Задаем активацию интерфейса командами:
Следующее наше действие — это объединение посредством моста Wi-Fi и интерфейса.
Обратите внимание, что перед тем как настраивать zyxel keenetic в режиме моста и добавлять интерфейсы в «мост», следует удалить ваш Wi-Fi интерфейс, который именуется как Bridge0.
Теперь можно создать для вашей виртуальной сети под номером три свой мост, так как она уже не связана ни с одним из интерфейсов.
Теперь наш интерфейс надо привязать к диапазону IP адресов: для этого вводим следующие команды.
Потом даем разрешение между нашими сетями.
Теперь нужно, чтобы ваш роутер zyxel keenetic сохранил все ваши действия в памяти. Для этого введите команду:
Как видно из примера доступ в интернет на роутере zyxel keenetic блокируется через отключение NAT в локальной сети под номером два, если же интернет станет необходим для данной сети, то вам нужно будет просто включить NAT
После проделанных действий ваш маршрутизатор полностью настроен (не забудьте установить пароль, если он не установлен).
Zyxel keenetic: настройка iptv ростелеком vlan
Еще один пример настройки VLAN на Zyxel keenetic — это распределение портов для интернета и IP- телевидения.
Вся настройка будет осуществляться через web интерфейс роутера. Для этого пишем в адресной строке браузера IP адрес для авторизации нашего маршрутизатора
Затем кликните на вкладку «интернет», перейдите в окно «IPOE» и нажмите «добавить интерфейс»
Далее обозначаем наше подключение как «интернет», затем прописываем настройки интернета, который вам выдал ваш провайдер в строке «Идентификатор сети (VLAN ID)».
Обратите внимание, что данное подключение создаётся для нулевого разъёма.
Теперь нужно создать следующее соединение. Для этого опять добавляем новый интерфейс и прописываем его соответственно настройкам вашего IP телевидения, ставим галочку напротив порта под номером четыре, что означает включение этого порта для цифрового вещания (именно к нему и будет подключаться тв приставка).
И в завершении настроек кликните на вкладку «PPPoE/VPN», нажмите «добавить соединение» и внесите настройки.
На этом настройка вашего роутера Zyxel keenetic окончена.
Оцените статью: Поделитесь с друзьями!
VLAN для чайников — asp24.ru
VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То есть, VLAN можно настроить на коммутаторе второго уровня. Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.
Зачем нужны виланы?
- Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
- Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
- Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
- Возможность применять политики на группу устройств, которые находятся в одном вилане.
- Возможность использовать виртуальные интерфейсы для маршрутизации.
Примеры использования VLAN
- Объединение в единую сеть компьютеров, подключенных к разным коммутаторам. Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.
- Разделение в разные подсети компьютеров, подключенных к одному коммутатору. На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.
- Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия. На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.
Достоинства использования VLAN
- Гибкое разделение устройств на группы
- Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
- Уменьшение широковещательного трафика в сети
- Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
- Увеличение безопасности и управляемости сети
- В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
- Уменьшение количества оборудования и сетевого кабеля
- Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.
Тэгированные и нетэгированные порты
Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).
Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve) мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов – тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).
Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).
Межвлановская маршрутизация
Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что:
- Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном VLAN, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том VLAN, котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
- Мы можем поместить в VLAN несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены VLAN, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего VLAN он должен маршрутизировать.
- Очень удобно между первым и третьим уровнями использовать второй уровень в виде VLAN. Удобно подсети помечать как VLAN с определенными интерфейсами. Удобно настроить один VLANн и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть VLAN.
VLAN ID для Ростелекома: что это такое и как его узнать
VLAN ID нужен при использовании многоуровневых сетей, так как узнать принадлежность каждого из устройств в виртуальных группах на основе интернета от Ростелекома можно только при помощи этой технологии. Тегирование VLAN представляет собой вставку идентификатора в заголовок пакета. Это производится для возможности последующего выяснения того, к какой виртуальной локальной сети принадлежит пакет.
Содержание:
Что такое и зачем нужен VLAN ID в сетях Ростелекома
VLAN ID – это специальная метка, которая позволяет создавать виртуальные локальные сети без каких-либо ограничений. Работа технологии основана на точеной адресации пакетов внутри одной или нескольких обычных локальных сетей.
Идентификатор VLAN наиболее часто используется для определения портов при отправке широковещательных пакетов, к примеру, для возможности использования услуг IPTV или цифровой телефонии от Ростелекома. Технология позволяет указать какие порты или интерфейсы нужно использовать для передачи данных.
Узнайте, как самостоятельно настроить подключение на роутерах от D-Link линейки DIR 3** для Ростелекома.
Прочитать об оплате интернета и других услуг через Сбербанк Онлайн, терминалы и банкоматы можно здесь.
Поддержка тегов позволяет администраторам развертывать сети на основе ProxySG (прокси сервер для поддержки работы крупных предприятий). Это позволяет перенаправлять трафик без риска потери информации.
Почему нужно включить VLAN
VLAN, тегирующий трафик, специально предназначен для структур, где прокси сервер настроен для развертывания сетей с идентификаторами. Такой вариант часто используется для объединения компьютеров, присоединенных к разным свитчам, в общую локальную сеть.
Без активации VLAN на всех устройствах, передающаяся информация попросту не будет видна, так как она зашифрована для определенного идентификатора.
К примеру, для того чтобы активировать услуги IPTV от Ростелекома нужно указать Multicast VLAN, тегирующий трафик для цифрового телевидения. Такая же ситуация складывается и с телефонией провайдера. Настройки же интернета обычно работают со стандартными значения идентификатора.
Внимание! VLAN ID для интернета, IP телевидения и телефонии Ростелекома имеют уникальные значения для каждого дома, что обусловлено использованием различных коммутаторов.
Достоинства технологии
Основным преимуществом технологии является возможность создания групп, изолированных друг от друга, внутри сети. Также существует и поддержка инструкций для выделения виртуальных сетей на основе устройств, подключенных к различным свитчам.
Технология адресной передачи данных имеет высокую степень безопасности. Широковещательный трафик образует пакеты, передающие только между устройствами, принадлежащими к одному VLAN ID.
Также весомым аргументом за использование технологии становится то, что для создания виртуальных сетей не нужна покупка дополнительного оборудования.
Как узнать VLAN ID для интернета от Ростелекома
Узнать VLAN идентификатор для любой услуги можно у специалиста при ее подключении или во время установки оборудования, после чего желательно записать его в надежное место.
Если же настройку сетевых устройств вы будете выполнять лично, рекомендуем выяснять этот параметр при заключении контракта и получении модема/роутера (в случае, если вы покупаете их или берете в аренду у Ростелекома).
Узнайте, как оплатить услуги Ростелекома банковской картой в несколько кликов.
Прочитать о логине и пароль для входа в Личный кабинет можно тут.
Перевод денег на Мегафон: //o-rostelecome.ru/uslugi/s-rostelekoma-na-megafon/.
Информацией о VLAN для интернета от Ростелеком обладает лишь техническая поддержка региона или города, поэтому узнать ID при помощи телефона горячей линии не удастся. Для этого понадобится составить заявку, после чего оператор отправит запрос в техническую поддержку. Также можно выяснить номер тех. поддержки вашего города или района и лично обратится за информацией. Самый быстрый вариант – спросить ID у соседей по дому, использующий услуги Ростелекома.
Использование VLAN адресации пакетов позволит создать виртуальную сеть независимо от того, к какому коммутатору подключены клиенты. Технология позволяет поддерживать работу таких услуг как интернет, IP телевидение и телефония от Ростелекома. Узнать нужный ID можно только в технической поддержке вашего региона.
Настройка точки доступа в режиме Multi-SSID (VLAN) на работу с коммутатором
Краткое введение
Точки доступа TP-Link, такие как TL-WA701ND, TL-WA801ND, TL-WA901ND имеют функцию под названием «Multi-SSID». Они могут транслировать до четырех беспроводных сетей с разными именами. При использовании Multi-SSID пользователи могут назначить свой VLAN ID на определенный идентификатор Wi-Fi сети. Это дает возможность использовать точки доступа TP-Link для работы в сетях с разным уровнем доступа и полномочиями.
Ниже приведена топология сети, в которой точка доступа подключена к коммутатору с несколькими VLAN группами. Предположим, что в сети есть четыре группы: HR, Sales, Tech и R&D. Они принадлежат к различным сетям VLAN с различными полномочиями (HR-Vlan1, Sales-Vlan2, Tech-VLAN3, и R&D-VLAN4). Сопоставим VLAN с SSID точки доступа, например:
SSID 1 с VID 1;
SSID 2 с VID 2;
SSID 3 с VID 3;
SSID 4 с VID 4;
Группы A, B, C, D будут иметь доступ только к соответствующими ресурсами VLAN. Возьмите Группу A в качестве примера: клиенты подключаются к SSID 1 и будут иметь доступ только к ресурсам HR. (Контроль доступа и различных сетей VLAN уже настроен на коммутаторе. Точка доступа здесь предназначена для расширения полномочий VLAN из локальной сети в беспроводную сеть. В этом FAQмы говорим только о настройках точки доступа).
Рис. 1. Топология VLAN
2. Настройка
Настройка VLANдля различных SSIDявляется достаточно простой. Следуйте нижеприведённой инструкции:
1. Подключите точку доступа к компьютеру с помощью кабеля. Вручную задайте IP-адрес компьютера, который должен находиться в одной подсети с точкой доступа. Затем перейдите на страницу настроек точки доступа.
2. Перейдите к Wireless-> Wireless settings;
Выберите Multi-SSID в качестве рабочего режима; отметьте Enable VLAN; затем назначьте VLAN ID для каждого SSID. После внесения настроек нажмите Save.
Рис. 2. Настройки Multi-SSID
3. Перейдите в раздел Wireless Security. В данном разделе вам необходимо задать каждому SSID необходимый параметр безопасности.
Технология VLAN: особенности применения
Компания «Ромашки» из Иркутска открыла новое подразделение в Ангарске, где расположены несколько приоритетных клиентов. Начинающий системный администратор Роман взялся за голову: сеть компании состояла из нескольких изолированных сегментов, построенных на отдельных коммутаторах. В новом подразделении требовалось повторить такую же структуру, причём сделать так, чтобы, например, работники бухгалтерии в старом и новом офисе имели доступ к одним и тем же ресурсам и могли взаимодействовать друг с другом.
Приобретать для нового офиса такое же количество коммутаторов, как для главного, было нецелесообразно, поскольку там работало намного меньше сотрудников. Было непонятно, как объединять и разделять трафик от разных сегментов для передачи по WAN-каналу. И самое главное — казалось невозможным обеспечить изолированное взаимодействие пользователей в разных офисах.
Роман обратился за консультацией в компанию-интегратор и получил рекомендацию использовать технологию VLAN. Познакомившись с технологией, системный администратор понял, что это решит все его проблемы.
VLAN — это технология, которая позволяет строить виртуальные сети с независимой от физических устройств топологией. Например, можно объединить в одну сеть отдел компании, сотрудники которого работают в разных зданиях и подключены к разным коммутаторам. Или наоборот, создать отдельные сети для устройств, подключённых к одному коммутатору, если этого требует политика безопасности.
В этой публикации мы расскажем о принципах работы технологии, её возможностях и преимуществах, а также разберём типовые сценарии её применения.
Принципы работы VLAN
Компьютеры в локальной сети соединяются между собой с помощью сетевого оборудования — коммутаторов. По умолчанию все устройства, подключённые к портам одного коммутатора, могут взаимодействовать, обмениваясь сетевыми пакетами. Любой компьютер может направить широковещательный пакет, адресованный всем устройствам в этой сети, и все остальные компьютеры, подключённые к коммутатору, получат его. Все слышат всех.
Большое количество широковещательных пакетов, отправляемых устройствами, приводит к снижению производительности сети, поскольку вместо полезных операций коммутаторы заняты обработкой данных, адресованных сразу всем.
Чтобы снизить влияние широковещательных рассылок на производительность, сеть разделяют на изолированные сегменты. При этом каждый широковещательный пакет будет распространяться только в пределах сегмента, к которому подключен компьютер-отправитель.
Добиться такого результата можно, подключив разные сегменты к разным физическим коммутаторам, не соединённым между собой, либо соединить их через маршрутизаторы, которые не пропускают широковещательные рассылки.
На рисунке имеется четыре изолированных сегмента сети, каждый из которых подключён к отдельному физическому коммутатору. Взаимодействие между сегментами происходит через маршрутизаторы.
VLANы позволяют изолировать сегменты сети с помощью одного физического коммутатора. При этом функционально всё будет выглядеть полностью аналогично, но для каждого офиса используется один коммутатор с поддержкой VLAN.
В основе технологии VLAN лежит стандарт IEEE 802.1Q. Он позволяет добавлять в Ethernet-трафик информацию о принадлежности передаваемых данных к той или иной виртуальной сети — теги VLAN. С их помощью коммутаторы и маршрутизаторы могут выделить из общего потока передаваемых по сети кадров те, что относятся к конкретному сегменту.
Технология VLAN даёт возможность организовать функциональный эквивалент нескольких LAN-сетей без использования набора из коммутаторов и кабелей, которые понадобились бы для их реализации в физическом виде. Физическое сетевое оборудование заменяется виртуальным. Отсюда термин Virtual LAN.
Возможности VLAN
Используя виртуальные локальные сети, можно создавать конфигурации для решения различных задач:
Объединить в единую сеть группы компьютеров, подключённых к разным коммутаторам:
Компьютеры в VLAN 1 будут взаимодействовать между собой, хотя подключены к разным физическим коммутаторам, при этом сети VLAN 1 и VLAN 2 будут невидимы друг для друга.
Разделить на разные сети компьютеры, подключённые к одному коммутатору
При этом устройства в VLAN 1 и VLAN 2 не смогут взаимодействовать между собой.
Разделить гостевую и корпоративную беспроводную сеть компании:
Гости смогут подключаться к интернету, но не получат доступа к сети компании.
Обеспечить взаимодействие территориально распределённых отделов компании как единого целого:
Преимущества VLAN
- Сокращение числа широковещательных запросов, которые снижают пропускную способность сети.
- Повышение безопасности каждой виртуальной сети. Работники одного отдела офиса не смогут отслеживать трафик отделов, не входящих в их VLAN, и не получат доступ к их ресурсам.
- Возможность разделять или объединять отделы или пользователей, территориально удаленных друг от друга. Это позволяет привлекать к рабочему процессу специалистов, не находящихся в здании офиса.
- Создать новую виртуальную сеть можно без прокладки кабеля и покупки коммутатора.
- Позволяет объединить в одну сеть компьютеры, подключенные к разным коммутаторам.
- Упрощение сетевого администрирования. При переезде пользователя VLAN в другое помещение или здание сетевому администратору нет необходимости перекоммутировать кабели, достаточно со своего рабочего места перенастроить сетевое оборудование. А в случае использования динамических VLAN регистрация пользователя в «своём» VLAN на новом месте выполнится автоматически.
VLAN с Traffic Inspector Next Generation
Технология VLAN позволяет одному устройству Traffic Inspector Next Generation контролировать доступ в интернет для нескольких подразделений, причём для каждого сегмента можно установить свои правила взаимодействия с глобальной сетью.
На рисунке изображена сеть компании, подключенная к интернет через сервер Traffic Inspector Next Generation. Сеть организована на базе одного коммутатора, на котором создано два виртуальных сегмента — VLAN 2 и VLAN 6. В первом сегменте находятся компьютеры пользователей, во втором — серверы. Устройство Traffic Inspector Next Generation подключено к транковому порту коммутатора — специальному порту, который «слышит» пакеты от всех виртуальных сетей. Трафик, передаваемый или принимаемый на транковый порт, всегда образован тегированными кадрами.
Чтобы управлять работой двух виртуальных сетей на одном устройстве Traffic Inspector Next Generation, достаточно в настройках выполнить следующие операции:
1. Создать VLAN-интерфейсы (Интерфейсы → Другие типы → VLAN)
2. Добавить VLAN-интерфейсы в веб-интерфейс (Интерфейсы → Назначения портов, указать VLAN в поле «Новый интерфейс»)
3. Задать параметры TCP/IP для VLAN-интерфейсов (в разделе «Интерфейсы»)
4. Сохранить изменения.
Заключение
Использование VLAN не только упрощает жизнь системным администраторам, позволяя быстро вносить изменения в структуру сети, но и даёт организациям возможность экономить на сетевом оборудовании.
Администратор Роман, о котором шла речь в начале статьи, обошёлся без покупки дополнительного оборудования, настроив на коммутаторах VLAN для каждого отдела. Это позволило высвободить из старого офиса два коммутатора и использовать их для построения сети в новом офисе. Кроме того, благодаря VLAN решилась проблема с маршрутизацией трафика по WAN-каналу.
Протестировать Traffic Inspector Next Generation в своей сети. Бесплатно в течение 30 дней
Попробовать бесплатно
Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку
За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».
Email*
Подписаться
All LAN — Разделение локальной сети с помощью VLAN
Содержание:
Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.
В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.
Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.
Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:
- роутер MikroTik RB750;
- Wi-Fi точка доступа EnGenius EAP150.
Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.
Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.
1. Настройка MikroTik VLAN
Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.
1.1 Сброс настроек роутера
Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:
- Откройте в меню New Terminal;
- Введите команду system reset;
- Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.
После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.
1.2 Настройка WAN порта
Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:
- Откройте меню IP — DHCP Client;
- В появившемся окне нажмите красный плюсик;
- В новом окне в списке Interface: выбираем WAN интерфейс ether1;
- Нажимаем кнопку OK для сохранения настроек.
После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.
Проверяем наличие соединения с интернетом:
- Откройте New Terminal;
- Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.
Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.
Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.
1.3 Объединение LAN портов в Bridge
Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.
Добавляем интерфейс Bridge:
- Откройте меню Bridge;
- Нажмите «красный плюсик»;
- В поле Name укажите название интерфейса bridge_main;
- Нажмите кнопку ОК.
Добавляем LAN порты в Bridge:
- Перейдите на вкладку Ports;
- Нажмите «красный плюсик»;
- В списке Interface выберите второй порт роутера ether2;
- В списке Bridge выберите интерфейс bridge_main;
- Нажмите кнопку ОК.
Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.
1.4 Добавление VLAN интерфейса
Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.
- Откройте меню Interfaces;
- Перейдите на вкладку VLAN;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name указываем название интерфейса vlan2;
- В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
- В списке Interface выбираем интерфейс bridge_main;
- Нажимаем кнопку OK для создания VLAN интерфейса.
Назначение IP адресов локальным сетям
Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.
Настройка IP адреса сети предприятия:
- Откройте меню IP — Addresses;
- Нажмите «красный плюсик»;
- В поле Address введите 192.168.88.1/24;
- В списке Interface выберите интерфейс bridge_main;
- Нажимаем кнопку OK.
Настройка IP адреса гостевой сети:
- Откройте меню IP — Addresses;
- Нажмите «красный плюсик»;
- В поле Address введите 192.168.10.1/24;
- В списке Interface выберите виртуальный интерфейс vlan2;
- Нажимаем кнопку OK.
1.5 Настройка пула адресов
Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.
Добавляем диапазон IP адресов предприятия:
- Откройте меню IP — Pool;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_pool_main;
- В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
- Нажмите кнопку OK для сохранения пула адресов.
Добавляем диапазон IP адресов гостевой сети аналогичным образом:
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
- В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
- Нажимаем кнопку OK для сохранения пула адресов.
1.6 Настройка DHCP серверов
Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
Настраиваем DHCP сервер внутренней сети предприятия:
- Откройте меню IP — DHCP server;
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_main;
- В списке Interface выберите интерфейс офисной сети bridge_main;
- В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
- Нажмите кнопку OK.
Настраиваем DHCP сервер гостевой сети аналогичным образом:
- Нажмите «красный плюсик»;
- В появившемся окне в поле Name укажите название dhcp_server_vlan2;
- В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
- В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
- Нажмите кнопку OK.
Теперь переходим на вкладку Networks и добавляем наши сети:
Добавляем сеть предприятия:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.88.0/24;
- В поле Gateway укажите адрес шлюза 192.168.88.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
- Нажмите кнопку OK.
Добавляем гостевую сеть:
- Нажмите «красный плюсик»;
- В поле Address укажите сеть предприятия 192.168.10.0/24;
- В поле Gateway укажите адрес шлюза 192.168.10.1;
- В поле Netmask укажите маску 24;
- В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
- Нажмите кнопку OK.
1.7 Настройка DNS сервера
- Откройте меню IP — DNS и нажмите кнопку Settings;
- Поставьте галочку Allow Remote Request;
- Нажмите кнопку OK.
1.8 Включение NAT
Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.
Настройка NAT для внутренней сети предприятия:
- Откройте меню IP — Firewall;
- Перейдите на вкладку NAT;
- Нажмите «красный плюсик»;
- В списке Chain выберите srcnat;
- В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
- В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
- Перейдите на вкладку Action;
- В списке Action выберите masquerade;
- Нажмите кнопку OK.
Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:
- Нажмите «красный плюсик»;
- В списке Chain выберите srcnat;
- В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
- В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
- Перейдите на вкладку Action;
- В списке Action выберите masquerade;
- Нажмите кнопку OK.
1.9 Изоляция подсетей
Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.
- Откройте меню IP — Routes;
- Перейдите на вкладку Rules;
- Нажмите «красный плюсик»;
- В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
- В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
- В списке Action выберите unreachable;
- Нажмите кнопку OK.
Добавляем второе правило аналогичным образом, только меняем местами подсети.
- Нажмите «красный плюсик»;
- В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
- В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
- В списке Action выберите unreachable;
- Нажмите кнопку OK.
Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.
2 Настройка EnGenius VLAN
Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.
Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.
2.1 Создание двух виртуальных Wi-Fi точек
Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.
Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.
- В списке Enabled SSID выберите цифру 2, чтобы можно было ввести два названия точки доступа;
- В поле ESSID1 вводим название Wi-Fi точки Office — это будет беспроводная сеть предприятия;
- В поле ESSID2 вводим название Wi-Fi точки HotSpot — это беспроводная сеть для подключения гостей;
- AutoChannel оставьте Enable, если хотите чтобы точка сама выбирала Wi-Fi канал, на котором будет работать. У нас на других каналах есть много других Wi-Fi точек, создающих помехи. Поэтому мы выбрали AutoChannel: Disable и в списке Channel вручную указали более свободный канал 11;
- Нажмите кнопку Apply для применения настроек.
2.2 Настройка безопасности
На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.
- Откройте меню Wireless — Security;
- В списке ESSID Selection выберите название точки Office;
- В списке Encryption выберите шифрование WPA pre-shared key;
- В WPA Type выберите тип шифрования WPA2 Mixed;
- В списке Pre-shared Key Type выберите тип ключа Passphrase;
- В поле Pre-shared Key введите пароль для подключения к Wi-Fi точке Office;
- Нажмите кнопку Apply для применения настроек.
Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.
Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.
2.3 Настройка VLAN виртуальной точки HotSpot
Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.
- Откройте меню Wireless — VLAN;
- Выберите Virtual LAN: Enable;
- Напротив SSID 1 Tag: уберите галочку Tag, поскольку первая точка доступа Office не вынесена в отдельный VLAN;
- Напротив SSID 2 Tag: поставьте галочку Tag и укажите идентификатор 2 — это VLAN идентификатор второй точки доступа HotSpot, вынесенной в отдельный VLAN;
- Нажмите кнопку Apply для применения настроек.
2.4 Настройка LAN
Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.
- Откройте меню Network — LAN;
- Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
- IP Address вводим 192.168.88.100;
- IP Subnet Mask указываем маску подсети 255.255.255.0;
- Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
- First DNS Address указываем первичный DNS сервер 192.168.88.1;
- Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
- Применяем настройки кнопкой Apply.
Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.
Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.
Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.
Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.
Настройка VLAN | База знаний Selectel
Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.
В качестве примера создадим две виртуальных сети с доступом друг к другу и в интернет.
Создание интерфейсов
Графический интерфейс
Для создания нового интерфейса:
- Перейдите на вкладку Network → Interfaces.
- Задайте имя новому интерфейсу.
- Для параметра Type выберите значение VLAN.
- Задайте идентификатор сети в поле VLAN ID.
- Выберите для параметра Role значение LAN.
- В поле IP/Netmask задайте адрес и маску сети.
- Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects → Addresses.
- Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов.
Консольный интерфейс
Для создания нового интерфейса через CLI введите:
config system interface
edit “VLAN 101”
set vdom root
set ip 192.168.101.1 255.255.255.0
set allowaccess ping https ssh http
set role lan
set interface lan
set vlanid 101
next
edit “VLAN 102”
set vdom root
set ip 192.168.102.1 255.255.255.0
set allowaccess ping https ssh http
set role lan
set interface lan
set vlanid 102
end
Добавьте адреса для созданных VLAN:
config firewall address
edit VLAN 101 address
set type ipmask
set subnet <IP> <MASK>
next
edit VLAN 102 address
set type ipmask
set subnet <IP> <MASK>
end
Настройка политики безопасности
Графический интерфейс
Создайте две политики для доступа подсетей VLAN друг другу. Для добавления правил:
- Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
- В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
- В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
- В данной политике NAT не нужен, поэтому убедитесь, что он выключен.
- Создайте вторую политику, но поменяйте местами VLAN.
- Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.
В данных политиках убедитесь, что NAT включен.
Консольный интерфейс
Для создания новой политики через CLI введите:
config firewall policy
edit 3
set name "VLAN 101 to VLAN 102"
set srcintf "VLAN 101"
set dstintf "VLAN 102"
set srcaddr "VLAN 101 address"
set dstaddr "VLAN 102 address"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
edit 4
set name "VLAN 102 to VLAN 101"
set srcintf "VLAN 102"
set dstintf "VLAN 101"
set srcaddr "VLAN 102 address"
set dstaddr "VLAN 101 address"
set action accept
set schedule "always"
set service "ALL"
set nat disable
next
end
Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:
config firewall system
edit 5
set name "VLAN 101 to Internet"
set srcintf "VLAN 101"
set dstintf "wan1"
set srcaddr "VLAN 101 address"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 6
set name "VLAN 102 to Internet"
set srcintf "VLAN 102"
set dstintf "wan1"
set srcaddr "VLAN 102 address"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
end
VLAN в домашних сетях — настройка и использование
На заре создания сетей для разделения сети на сегменты требовался маршрутизатор.
VLANS или Virtual LANS — это технология, которая позволяет разделить домашнюю сеть на сегменты с помощью недорогих коммутаторов.
Обычно коммутатор отправляет широковещательный трафик на все подключенные порты и позволяет устройствам, подключенным к любому порту, связываться с любым другим устройством.
VLANS были созданы, чтобы уменьшить объем широковещательного трафика в сети.
Однако в домашних сетях они используются в основном для повышения безопасности сети.
Если мы рассмотрим коммутатор с 8 портами, как показано на схеме ниже.
Широковещательная рассылка, отправленная с устройства, подключенного к любому порту, будет отправлена на все порты.
Кроме того, любое устройство, подключенное к любому порту, может взаимодействовать с любым другим устройством, подключенным к любому порту.
Это становится проблематичным, если у вас есть ненадежные устройства с доступом к вашей сети или, как в случае домашней автоматизации, у вас есть устройства IOT, которые могут быть уязвимы для атак.
Однако с помощью коммутатора с поддержкой VLAN можно ограничивать широковещательные передачи и контролировать, какие устройства могут взаимодействовать друг с другом.
Это позволяет создать более безопасную домашнюю сеть.
Теперь возьмем 8-портовый коммутатор и разделим его на две сети VLAN, которые мы назовем VLAN1 и VLAN2 , как показано ниже.
В этой конфигурации мы фактически создали две независимые сети. Устройства, подключенные к VLAN1 , не могут обмениваться данными с устройствами, подключенными к VLAN2 и наоборот
Использование VLAN в домашней сети
В основном используется для обеспечения безопасности, когда вы хотите изолировать определенные машины от основной сети.Вот два примера использования, которые должны прояснить ситуацию.
Примеры простого дизайна
Пример 1
У вас есть постояльцы или гостевой дом, и вы хотите изолировать гостевые машины от вашей основной сети, но предоставить им доступ в Интернет.
Пример 2
У вас есть устройства IOT, и вы хотите изолировать их от основной сети, но должны быть доступны из Интернета.
Реализация примеров 1 и 2
Для реализации обоих примеров 1 и 2 нам потребуется коммутатор с поддержкой VLAN, который мы разделили на 2 VLANS.
1 VLAN будет для наших домашних устройств VLAN1, а другой — для наших устройств IOT или для гостевого доступа (VLAN2).
Один порт коммутатора будет общим для обеих сетей VLAN и подключается к нашему маршрутизатору. Это показано на схеме ниже.
На приведенном выше рисунке порт 1 является общим для VLAN1 и VLAN2 и подключен к маршрутизатору, чтобы предоставить обеим виртуальным локальным сетям доступ к Интернету.
Устройства, подключенные к портам 2,3,4,5 , могут напрямую связываться с другими i.е вы можете пинговать их.
Они также могут получить доступ к Интернету, но не могут подключаться к устройствам, подключенным к портам 6,7,8.
Устройства, подключенные к портам 6,7,8 , могут напрямую связываться с другими, т. Е. Вы можете пинговать их.
Они также могут получить доступ к Интернету, но не могут подключаться к устройствам, подключенным к портам 2,3,4,5.
Конфигурация маршрутизатора TP-Link
Мой маршрутизатор TPlink также поддерживает VLANS, поэтому я подключаю свою гостевую сеть, которая находится в подвале, к LAN1 (порт 1) и назначаю ее собственной VLAN.
Нет возможности назначить Wan-интерфейс, поскольку он разрешен автоматически.
Это схема моей домашней сети, использующей маршрутизатор TP-link.
Примечания:
- Маршрутизатор Wi-Fi находится в VLAN основной сети.
- Маршрутизатор назначает другую подсеть второй VLAN. Основная сеть использует 192.168.1.0, а базовая VLAN использует 192.168.2.0
.
Коммутаторы с поддержкой VLAN
Обычно, если коммутатор помечен как интеллектуальный коммутатор или управляемый коммутатор , он будет поддерживать VLAN, но вы должны прочитать описание, чтобы быть уверенным.
Ниже приведен снимок экрана с Amazon коммутатора TP-link (30 фунтов стерлингов), который поддерживает сети VLAN.
Сводка
Сети
VLAN обеспечивают отличный и недорогой метод значительного повышения безопасности вашей домашней сети, и их следует учитывать, если вы делитесь своей сетью с гостями или имеете устройства IOT, подключенные к вашей сети.
Связанные руководства и ресурсы
Дайте мне знать, если вы нашли его полезным
[Всего: 9 Среднее: 4,3]
Маршрутизация между VLAN работает, но VLAN не могут получить доступ к Интернету
На самом деле для доступа в Интернет из VLAN вам необходимо настроить NAT, но только некоторые коммутаторы Cisco уровня 3 (т.е.e 6500,6000 и 5500) поддерживает NAT. Вот почему для коммутаторов уровня 3 Cisco, которые не поддерживают NAT, в этом случае мы можем применить протокол динамической маршрутизации (EIGRP) как в коммутаторе уровня 3 Cisco, так и в маршрутизаторе для доступа в Интернет. Общая проблема заключается в том, что VLAN 1 может получить доступ к Интернету, но другие VLAN не могут получить доступ к Интернету, в этом случае, если вы примените маршрутизацию EIGRP как в маршрутизаторе Cisco, так и в коммутаторе уровня 3 Cisco, тогда маршрутизатор и другие VLAN будут обращаться друг к другу посредством динамического обнаружения IP-адрес интерфейса VLAN 1.
Весь процесс точно описан в следующем видео на YouTube:
Настроить VLAN | Разрешить сетям VLAN доступ в Интернет
https://www.youtube.com/channel/UCmZZ2BNGXQh2HPS3uIVnr7A?sub_confirmation=1
Конфигурация маршрутизатора Cisco:
настроить терминал
интерфейс гигабитный Ethernet 0/0
нет выключения
IP-адрес DHCP
выход
интерфейс гигабитный Ethernet 0/1
IP-адрес 192.168.2.1 255.255.255.0
нет выключения
выход
ip dhcp pool mainuser
сеть 192.168.2.0 / 24
по умолчанию-маршрутизатор 192.168.2.1
dns-сервер 8.8.8.8
выход
IP-маршрут 0.0.0.0 0.0.0.0 192.168.1.1
интерфейс гигабитный Ethernet 0/0
ip nat снаружи
выход
интерфейс гигабитный Ethernet 0/1
ip nat внутри
выход
IP-список доступа стандартный 1
разрешить любой
выход
ip nat внутри списка источников 1 интерфейс гигабит Ethernet 0/0 перегрузка
выход
Применение динамической маршрутизации EIGRP в маршрутизаторе Cisco:
роутер eigrp 10
сеть 192.168.2.0 255.255.255.0
выход
Конфигурация в части переключателя:
включить
настроить терминал
vlan 10
имя hr
выход
vlan 20
назови это
выход
диапазон интерфейса fastEthernet 0 / 13-18
доступ в режиме switchport
коммутатор доступа vlan 10
нет выключения
выход
диапазон интерфейса fastEthernet 0 / 19-24
доступ в режиме switchport
коммутатор доступа vlan 20
выход
интерфейс vlan 10
IP-адрес 192.168.3.1 255.255.255.0
выход
интерфейс vlan 20
IP-адрес 192.168.4.1 255.255.255.0
выход
Применение маршрутизации между VLAN в коммутаторе Cisco:
настроить терминал
IP-маршрутизация
выход
Применение статической маршрутизации в коммутаторе Cisco к маршрутизатору Cisco по умолчанию:
IP-маршрут 0.0.0.0 0.0.0.0 192.168.2.1
выход
Применение динамической маршрутизации EIGRP в маршрутизаторе Cisco:
настроить терминал
роутер eigrp 10
сеть 192.168.3.0 255.255.255.0
сеть 192.168.4.0 255.255.255.0
сеть 192.168.2.0 255.255.255.0
выход
Маршрутизация из VLAN в Интернет на Cisco 3750G
У меня есть порт WAN (межсетевой экран, 192.168.70.1/24), подключенный к порту 24 Cisco 3750G.
интерфейс GigabitEthernet1 / 0/24
нет коммутатора
IP-адрес 192.168.70.2 255.255.255.0
Мой маршрут по умолчанию выходит из этого порта.
IP-маршрут 0.0.0.0 0.0.0.0 192.168.70.1
Я могу выйти в интернет с коммутатора.
У меня есть компьютер (192.168.71.201/24 GW .1), подключенный к порту 1, vlan 71:
интерфейс GigabitEthernet1 / 0/1
коммутатор доступа vlan 71
доступ в режиме switchport
интерфейс Vlan71
IP-адрес 192.168.71.1 255.255.255.0
Компьютер может пинговать шлюз 71.1
, но не может получить доступ к Интернету через 70.1
.
Как мне это устранить?
Полная конфигурация коммутатора:
версия 12.2
нет сервисной панели
сервисные отметки времени отладки datetime мсек
отметки времени службы журнал datetime мсек
нет сервисного шифрования паролей
!
имя хоста pac-inet-cs1
!
маркер начала загрузки
маркер сапога
!
включить секрет 5 xxx
включить пароль xxx
!
!
!
нет ааа новая модель
переключатель 1 положения ws-c3750g-24t
система маршрутизации mtu 1500
разрешение на Mac-перемещение аутентификации
IP подсеть-ноль
IP-маршрутизация
ip-сервер имен 8.8.8.8
ip-сервер имен 4.4.4.4
!
точка доверия crypto pki TP-самоподписанный-231101568
зачисление самоподписанное
имя-субъекта cn = Самоподписанный сертификат IOS-231101568
отзыв-проверка нет
rsakeypair TP-самоподписанный-231101568
!
!
Цепочка сертификатов crypto pki TP-самоподписанная-231101568
сертификат самоподписанный 01
ххх
!
!
!
режим связующего дерева pvst
неправильная конфигурация защиты связующего дерева etherchannel
связующее дерево расширить идентификатор системы
!
политика внутреннего распределения vlan по возрастанию
!
!
!
!
интерфейс GigabitEthernet1 / 0/1
коммутатор доступа vlan 71
доступ в режиме switchport
!
интерфейс GigabitEthernet1 / 0/2
коммутатор доступа vlan 71
доступ в режиме switchport
!
интерфейс GigabitEthernet1 / 0/3
!
интерфейс GigabitEthernet1 / 0/4
!
интерфейс GigabitEthernet1 / 0/5
!
интерфейс GigabitEthernet1 / 0/6
!
интерфейс GigabitEthernet1 / 0/7
!
интерфейс GigabitEthernet1 / 0/8
!
интерфейс GigabitEthernet1 / 0/9
!
интерфейс GigabitEthernet1 / 0/10
!
интерфейс GigabitEthernet1 / 0/11
!
интерфейс GigabitEthernet1 / 0/12
!
интерфейс GigabitEthernet1 / 0/13
!
интерфейс GigabitEthernet1 / 0/14
!
интерфейс GigabitEthernet1 / 0/15
!
интерфейс GigabitEthernet1 / 0/16
!
интерфейс GigabitEthernet1 / 0/17
!
интерфейс GigabitEthernet1 / 0/18
!
интерфейс GigabitEthernet1 / 0/19
!
интерфейс GigabitEthernet1 / 0/20
!
интерфейс GigabitEthernet1 / 0/21
!
интерфейс GigabitEthernet1 / 0/22
!
интерфейс GigabitEthernet1 / 0/23
!
интерфейс GigabitEthernet1 / 0/24
нет коммутатора
IP-адрес 192.168.70.2 255.255.255.0
!
интерфейс Vlan1
нет IP-адреса
неисправность
!
интерфейс Vlan71
описание Spectrum Public
IP-адрес 192.168.71.1 255.255.255.0
!
ip бесклассовый
IP-маршрут 0.0.0.0 0.0.0.0 192.168.70.1
ip http сервер
IP http безопасный сервер
!
!
ip sla включить оповещения о реакции
!
!
!
линия con 0
линия vty 0 4
пароль xxx
авторизоваться
линия vty 5 15
пароль xxx
авторизоваться
!
конец
Решено: Как разрешить Интернет на ПК VLAN
Ну, я не хочу подключать Интернет-порт, идущий от коммутатора уровня 2 к коммутатору уровня 3.Предположим, я подготовил отдельный сервер TMG с двумя сетевыми адаптерами, из которых я настрою в соответствии с заданным IP-адресом и установлю для него шлюз по умолчанию, который они нам предоставили … хорошо? Нет проблем Я уже подготовлен и все работает) Теперь на серверной точке у меня есть Интернет? и я сделал это …. хорошо, теперь на втором сетевом адаптере я настраиваю его как нашу схему IP LAN, которая 192.168.0.xx 255.255.255.0, хорошо? предположим, я установил IP-адрес сетевой карты 2 сервера TMG 192.168.0.1 255.255.255.0, хорошо? Теперь, чтобы получить доступ к Интернету в нашей локальной сети, что мне нужно делать? очевидно, что я должен установить этот ШЛЮЗ (192.168.0.1) на все компьютеры, на которых я хочу выходить в Интернет? хорошо … Теперь вот проблема, потому что я установил ШЛЮЗ по умолчанию для этого компьютера, IP, который является портом коммутатора уровня 3, в моем случае это 192.168.0.100, когда я устанавливаю этот способ шлюза, я могу общаться со всеми ПК VLANS, которые установите соответствующие IP-адреса интерфейсов как GATEWAY. но я не могу пользоваться интернетом. вы сказали мне другое, что, я надеюсь, сработает, но было бы очень хорошо, если бы вы набрали полную команду, которую мне нужно поставить на ПК. Спасибо вам
вот и моя текущая работа….
Конфигурация здания …
Текущая конфигурация: 3077 байт
!
версия 12.1
без сервисной панели
сервисные отметки времени безотказной работы отладки
сервисные временные метки время безотказной работы журнала
нет сервисного шифрования пароля
!
имя хоста ASG
!
!
IP-адрес нулевой подсети
IP-маршрутизация
!
!
связующее дерево расширяет идентификатор системы
!
!
!
интерфейс FastEthernet0 / 1
switchport access vlan 40
switchport trunk инкапсуляция dot1q
доступ в режиме switchport
без IP-адреса
!
интерфейс FastEthernet0 / 2
switchport access vlan 10
switchport mode access
no ip address
!
интерфейс FastEthernet0 / 3
switchport access vlan 30
switchport mode access
no ip address
!
интерфейс FastEthernet0 / 4
switchport access vlan 20
switchport mode access
no ip address
!
интерфейс FastEthernet0 / 5
без коммутатора
без IP-адреса
!
интерфейс FastEthernet0 / 6
без IP-адреса
!
интерфейс FastEthernet0 / 7
без IP-адреса
!
интерфейс FastEthernet0 / 8
без IP-адреса
!
интерфейс FastEthernet0 / 9
без IP-адреса
!
интерфейс FastEthernet0 / 10
без IP-адреса
!
интерфейс FastEthernet0 / 11
без IP-адреса
!
интерфейс FastEthernet0 / 12
без IP-адреса
!
интерфейс FastEthernet0 / 13
без IP-адреса
!
интерфейс FastEthernet0 / 14
без IP-адреса
!
интерфейс FastEthernet0 / 15
без IP-адреса
!
интерфейс FastEthernet0 / 16
без IP-адреса
!
интерфейс FastEthernet0 / 17
без IP-адреса
!
интерфейс FastEthernet0 / 18
без IP-адреса
!
интерфейс FastEthernet0 / 19
нет IP-адреса
!
интерфейс FastEthernet0 / 20
без IP-адреса
!
интерфейс FastEthernet0 / 21
без IP-адреса
!
интерфейс FastEthernet0 / 22
без IP-адреса
!
интерфейс FastEthernet0 / 23
без IP-адреса
!
интерфейс FastEthernet0 / 24
без IP-адреса
!
интерфейс FastEthernet0 / 25
без IP-адреса
!
интерфейс FastEthernet0 / 26
без IP-адреса
!
интерфейс FastEthernet0 / 27
без IP-адреса
!
интерфейс FastEthernet0 / 28
без IP-адреса
!
интерфейс FastEthernet0 / 29
без IP-адреса
!
интерфейс FastEthernet0 / 30
без IP-адреса
!
интерфейс FastEthernet0 / 31
нет IP-адреса
!
интерфейс FastEthernet0 / 32
без IP-адреса
!
интерфейс FastEthernet0 / 33
без IP-адреса
!
интерфейс FastEthernet0 / 34
без IP-адреса
!
интерфейс FastEthernet0 / 35
без IP-адреса
!
интерфейс FastEthernet0 / 36
без IP-адреса
!
интерфейс FastEthernet0 / 37
без IP-адреса
!
интерфейс FastEthernet0 / 38
без IP-адреса
!
интерфейс FastEthernet0 / 39
без IP-адреса
!
интерфейс FastEthernet0 / 40
без IP-адреса
!
интерфейс FastEthernet0 / 41
без IP-адреса
!
интерфейс FastEthernet0 / 42
без IP-адреса
!
интерфейс FastEthernet0 / 43
без IP-адреса
!
интерфейс FastEthernet0 / 44
без IP-адреса
!
интерфейс FastEthernet0 / 45
без IP-адреса
!
интерфейс FastEthernet0 / 46
без IP-адреса
!
интерфейс FastEthernet0 / 47
без IP-адреса
!
интерфейс FastEthernet0 / 48
без IP-адреса
!
интерфейс GigabitEthernet0 / 1
без IP-адреса
!
интерфейс GigabitEthernet0 / 2
без IP-адреса
!
интерфейс Vlan1
нет IP-адреса
выключение
!
интерфейс Vlan10
ip-адрес 192.168.10.100 255.255.255.0
!
интерфейс Vlan20
ip-адрес 192.168.20.100 255.255.255.0
!
интерфейс Vlan30
ip-адрес 192.168.30.100 255.255.255.0
!
интерфейс Vlan40
ip-адрес 192.168.0.100 255.255.255.0
!
ip classless
ip http server
!
!
!
!
линия con 0
линия vty 0 4
логин
линия vty 5 15
логин
!
конец
VLAN, нет доступа в Интернет.- Сообщество TechExams
Итак, я играю с маршрутизацией между vlan. У меня есть 3750, подключенный к моему домашнему маршрутизатору (ER-X), который подключается к модему моего интернет-провайдера. Итак, я включил IP-маршрутизацию на моем 3750, настроил соответствующие VLANS и соответствующие им SVI. Затем настроил порт, который соединяет 3750 с моим маршрутизатором без порта коммутатора, и для получения IP-адреса через DHCP. Затем я настроил маршрут по умолчанию: 0.0.0.0 0.0.0.0 192.168.1.1, который указывает на мой домашний маршрутизатор. Теперь маршрутизация между vlan отлично работает, все хосты в других подсетях могут общаться со всеми хостами в других сетях.Теперь сам коммутатор может пинговать google, facebook и т. Д. Таким образом, у него нет проблем с доступом в Интернет через мой домашний маршрутизатор. Проблема в том, что ни один из хостов настроенных виртуальных локальных сетей не имеет доступа к Интернету. Они могут разговаривать с машинами во всех других сетях, которые я настроил на коммутаторе, но ни с чем больше. Что мне не хватает?
Вот мой рабочий конфиг:
!
версия 12.2
нет сервисной панели
сервисные временные метки отладочная дата и время мсек
сервисные временные метки журнал datetime мсек
сервисное шифрование пароля
!
имя хоста L3SW1
!
маркер начала отсека
маркер конца отсека
!
включить секрет
!
имя пользователя eazy secret 5
no aaa new-model
switch 1 provision ws-c3750g-24ts-1u
system mtu routing 1500
ip subnet-zero
ip routing
ip domain-name eazy.com
!
!
!
Spanning-Tree Mode Rapid-pvst
Spanning-Tree extension ID-системы
!
Внутренняя политика распределения vlan по возрастанию
!
ip ssh версия 2
!
!
! Интерфейс
GigabitEthernet1 / 0/1
no switchport
ip-адрес dhcp
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/2
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/3
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/4
switchport access vlan 10
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/17
switchport access vlan 20
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/18
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/19
switchport mode access
switchport nonegotiate
spanning-tree portfast
! Интерфейс
GigabitEthernet1 / 0/20
switchport mode access
switchport nonegotiate
spanning-tree portfast
!
интерфейс Vlan1
нет IP-адреса
выключение
! Интерфейс
Vlan10
ip-адрес 192.168.10.1 255.255.255.0
! Интерфейс
Vlan20
ip-адрес 192.168.20.1 255.255.255.0
! Интерфейс
Vlan99
ip-адрес 10.0.1.6 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 0.0.0.0 0.0.0.0 192.168.1.1 254
ip http server
ip http secure-server
!
!
!
! Плоскость управления
!
!
line con 0
password 7 032E52111C0A2D1C1F5D4B44
logging synchronous
login
line vty 0 4
exec-timeout 0 0
logging synchronous
login local
transport input ssh
line vty 5 15
exec-timeout 0 0
logging synchronous
login местный
транспорт ввод ssh
!
конец
Подключение VLAN к Интернету — Сеть
Мое оборудование:
GS724T — Коммутатор Netgear
RT-N66U — Asus Router (открыт для других вариантов)
AC-Pro — беспроводная точка доступа Ubiquiti
Базовый модем Motorola с одним портом
В настоящее время все мои устройства, включая серверы, NAS, ПК, Интернет вещей, plex, камеры видеонаблюдения, а также записи на сервере, а также устройства Chromecast, подключены к моей домашней сети.Я провел небольшое исследование и хочу убедиться, что моя сеть безопасна. Я особенно хочу убедиться, что мои камеры видеонаблюдения недоступны для внешнего мира, кроме как через компьютер / программное обеспечение, с которого я их просматриваю. Каждая из камер имеет свой собственный индивидуальный вход в систему, но я хотел бы отключить их от Интернета, сохранив при этом их объединение в сеть для доступа через сервер, который я использую для их записи / управления.
Кроме того, я хотел бы полностью отключить интернет-устройства вещей (Alexa, термостат и различные другие устройства) от моей сети, но разрешить им подключаться к Интернету самостоятельно через маршрутизатор / брандмауэр.
Я бы хотел, чтобы все эти устройства по-прежнему были подключены к DHCP. (Камеры для этого не нужны, поскольку они статичны, но я все же хотел бы, чтобы такая возможность).
Для этого я попытался настроить группы VLAN. Я использовал VLAN10 для безопасности и VLAN 20 для IOT (Интернет вещей). VLAN 1 остается по умолчанию.
Я не сразу увлекся. Я хотел протестировать это решение на одном компьютере, чтобы убедиться, что оно не может подключаться к другим устройствам, но также имеет подключение к Интернету.Поэтому я использовал порт 24 на коммутаторе Netgear для прямого подключения ноутбука (отключив Wi-Fi, чтобы обеспечить надежный тест).
Я пробовал всевозможные комбинации, но мне это не удалось, но я хотел получить отзывы о том, что я считаю правильной конфигурацией, а затем, надеюсь, кто-нибудь сможет рассказать мне, что мне не хватает.
Сначала я перешел к VLAN1 (по умолчанию) и удалил порт 24 (портативный компьютер) из этой VLAn. Оттуда я «пометил» порт 14, на котором есть мой маршрутизатор / подключение к Интернету.Я создал VLAN 10 (безопасность), порт 14 с тегами (маршрутизатор / Интернет) и порт 24 без тегов (ноутбук). Остальные порты удалены. Отсюда я проверил подключение к Интернету. У меня не было ни соединения, ни IP, назначенного через DHCP. Так что я еще немного повозился.
С той же конфигурацией, описанной выше, я вошел в «Конфигурацию PVID порта» и в разделе «Порт 24 (портативный компьютер)» изменил «Настроенный PVID» на «10». Я провел те же тесты и получил те же результаты.
Я использовал ту же конфигурацию и просто изменил «Допустимые типы кадров» на «Только VLAN».»Я получил такие же результаты.
По сути, единственный способ получить назначение IP-адреса DHCP и подключение к Интернету — это следующие настройки:
В VLAN1 (по умолчанию) я «немаркирован или помечен» порт 24 (портативный компьютер), а все остальные порты «немаркированы». В VLAN10 (безопасность) я «немаркировал» порт 24 (портативный компьютер) и тегированный порт 14 (маршрутизатор / Интернет). Я изменил конфигурацию PVID порта на значения по умолчанию (Порт 24 (портативный компьютер) «Настроенный PVID» на «1» и «Принять все кадры»).
Проблема: у меня все еще есть устройство в VLAN1 (по умолчанию) со всеми моими другими устройствами.Я предполагаю, что у меня проблема либо на уровне коммутатора, где мне что-то не хватает (у меня есть вкладка маршрутизации VLAN, которую я не настроил), либо мне что-то не хватает на уровне маршрутизатора (либо совместимость , или другой вопрос).
Любая помощь будет оценена по достоинству.
Спасибо,
Эрик
Сеть
— Как я могу предоставить VLAN доступ в Интернет?
В этом ответе предполагается, что вы используете брандмауэр
iptables
на своем «маршрутизаторе», а не что-то «более простое», напримерufw
, и , которое вы правильно настроили на маршрутизаторе для обработки VLAN на данном интерфейсе.
То, что вы ищете, называется «NAT». Это делается по умолчанию на многих маршрутизаторах, однако по умолчанию не выполняется в системах Linux.
Вам необходимо также включить переадресацию IPv4 в системе, чтобы она работала. Добавьте это в конец файла /etc/sysctl.conf
:
net.ipv4.ip_forward = 1
Вы можете применить это, выполнив затем sudo sysctl -p
. Это дает возможность пересылать трафик.
Поскольку ваш Интернет-маршрут по умолчанию выходит в общедоступный Интернет, но вы хотите настроить NAT, чтобы другие машины VLAN могли выходить в Интернет через вашу систему, вам необходимо настроить что-то вроде этого в iptables
:
iptables -t nat -A ПОСТРОУТИРОВАНИЕ -s ip.add.re.ss / 24! -d ip.add.re.ss / 24 -m comment --comment «Разрешить vlanXX выходить в Интернет, маскироваться под общедоступный IP-адрес». -j МАСКАРАД
Это правило в таблице NAT для маршрутизации трафика после его поступления в систему. Вам понадобятся три из этих правил, по одному для каждой подсети каждой VLAN. Настройте ip.add.re.ss
и vlanXX
соответственно, чтобы информация соответствовала конкретно вашей сети.
Вам также необходимо иметь правило ACCEPT
в таблице filter
из iptables
для FORWARD
, и вы обычно делаете это через интерфейс, например, обновляя элементы XX
на номер vlan:
iptables -t фильтр -A ВПЕРЕД -o ens1f1.XX -m комментарий --comment "NAT для vlanXX" -j ПРИНЯТЬ
iptables -t filter -A FORWARD -i ens1f1.XX -m comment --comment "NAT для vlanXX" -j ACCEPT
После того, как вы это сделаете, убедитесь, что вы сохранили правила iptables
. В идеале вы бы сделали это, если бы вы не установили его сначала, и сказали бы ему «Да», когда он попросит сохранить ваши правила:
sudo apt-get install iptables-persistent
.