Содержание
VLAN – это аббревиатура, означающая Virtual Local Area Network (виртаульная локальная сеть). На одном физическом порту может совместно существовать несколько VLAN-сетей, которые настраиваются программными средствами Linux, а не конфигурацией физических интерфейсов (но настройка самих интерфейсов тоже требуется). С помощью VLAN можно разделить сетевые ресурсы для использования различных сервисов.
Преимущества VLAN следующие:
- Производительность
- Простота управления
- Безопасность
- Магистральные cоединения (trunk)
- Возможность разделения внутри локальной сети из соображений безопасности
- Отсутствие необходимости настройки аппаратных средств при физическом переносе сервера в другое место.
Содержание
Требования к сетевому оборудованию
Чтобы использовать VLAN, вам потребуется:
- Коммутатор с поддержкой стандарта IEEE 802.1q в сети Ethernet.
- Сетевая карта, которая работает с Linux и поддерживает стандарт 802.1q .
Возможные проблемы
Наиболее распространенные при настройке VLAN в Linux проблемы следующие:
- Не все сетевые драйверы поддерживают VLAN. Может потребоваться обновление драйвера.
- Возможны проблемы с MTU. Работа VLAN основана на присвоении каждому кадру тега длиной 4 байта, то есть заголовок фактически расширяется с 14 до 18 байт. Тег VLAN содержит идентификатор (VLAN ID) и приоритет.
- Лучше не использовать VLAN ID, равный 1, так как он может быть зарезервирован для административных целей.
Сначала убедитесь, что драйвер (модуль) ядра Linux под названием 8021 загружен:
# lsmod | grep 8021q
Если он не загружен, загрузите его командой modprobe:
# modprobe 8021q
Настройка VLAN в CentOS/RHEL/Fedora Linux
Допустим, нам нужно создать VLAN интерфейс с тегом 100 который будет работать на физическом интерфейсе eth0. Для этого создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0.100
. Узнать название сетевых интерфейсов в системе можно с помощью команды ifconfig.
# ifconfig
Создаем новый файл например с помощью редактора vim
# vim /etc/sysconfig/network-scripts/ifcfg-eth0.100
Добавьте в него следующий код
# Конфигурация VLAN с ID – 100 для интерфейса eth0 #DEVICE=eth0.100 BOOTPROTO=none ONBOOT=yes IPADDR=192.168.1.5 NETMASK=255.255.255.0 USERCTL=no NETWORK=192.168.1.0 VLAN=yes
Жирным шрифтом выделены строки которые относятся к настройкам VLAN. Остальные настройки аналогичны настройкам на физическом интерфейсе.
Если вам нужна еще одна виртуальная сеть, то создайте новый файл сетевых настроек с нужным тегом VLAN. Что бы изменения вступили в силу, перезапустите сетевую службу
# systemctl restart network
Теперь можно проверить созданные интерфейсы командой ifconfig. Мы должны увидеть наш VLAN интерфейс
Конфигурация VLAN в Debian и Ubuntu
Откройте файл /etc/network/interfaces
любым текстовым редактором, например nano
$ sudo nano /etc/network/interfaces
Добавьте в файл следующие строки:
##vlan с ID-100 для интерфейса eth0 with ID - 100 в Debian/Ubuntu Linux## auto eth0.100 iface eth0.100 inet static address 192.168.1.200 netmask 255.255.255.0 vlan-raw-device eth0
auto eth0.100 — «поднимать» интерфейс при запуске сетевой службыiface eth0.100 — название интерфейсаvlan-raw-device— указывает на каком физическом интерфейсе создавать VLAN.
Сохраните и закройте файл. После чего перезапустите сеть.
systemctl restart network
Важно! Если у вас используется Ubuntu версии 17.10 и выше, то необходимо установить пакет ifupdown или настраивать VLAN интерфейсы через netplan
Использование команды vconfig
Также существует команда vconfig. Она позволяет вам создавать и удалять устройства VLAN в ядре с поддержкой VLAN. Устройства VLAN – это виртуальные Ethernet-устройства, которые представляют виртуальные локальные сети в физической. Это еще один метод настройки VLAN. Чтобы добавить VLAN с ID 5 для интерфейса eth0 выполните следующую команду:
# vconfig add eth0 5
Команда vconfig add создает на интерфейсе eth0 VLAN-устройство, в результате чего появляется интерфейс eth0.5. Теперь с помощью ifconfig настроим ip адрес
# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up
Для получения подробной информации об интерфейсе выполните:
# cat /proc/net/vlan/eth0.5
Учтите, что после перезагрузки системы этот интерфейс будет удален.
Для удаления интерфейса вручную выполните следующие действия:
# ifconfig eth0.5 down # vconfig rem eth0.5
Создание устройства VLAN командой ip
Для интерфейса eth0 и VLAN ID 10 выполните следующие команды:
# ip link add link eth0 name eth0.10 type vlan id 10 # ip -d link show eth0.10
Устройство нужно активировать и присвоить ему IP-адрес:
# ip addr add 192.168.1.200/24 brd 192.168.1.255 dev eth0.10 # ip link set dev eth0.10 up
# ip link set dev eth0.10 down # ip link delete eth0.10
Этот интерфейс также будет удален после перезагрузки системы
Заключение
Настроить VLAN относительно несложно, но в конфигурации и используемых командах есть огромное количество различных тонкостей, которые при необходимости можно выяснить, обратившись к man-страницам соответствующих команд.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).
Виртуальная локальная сеть на базе порта (Port-based VLAN)
Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к менюAdvanced Application > VLAN.
VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N.
C помощью VLAN на базе порта можно настраивать довольно сложные схемы «перекрывающихся» виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.
Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q)
Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged).
Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля.
Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority.
Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.
Типы кадров
Untagged frame — Кадр, в котором не установлен признак 802.1Q.Priority-tagged frame — Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета.VLAN-tagged frame — Кадр с установленным полем 802.1Q и VID больше 0.
Поддержка VLAN в сети
-
- VLAN Aware – устройства поддерживающие признак VLAN в соответствии с 802.1Q и могут принимать пакеты с учетом этого поля.
-
- VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU — 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.
Процессы 802.1Q
Входной процесс: Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.
Процесс пересылки (перенаправления): Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.
Выходной процесс: Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.
Входное правило (VLAN на базе протокола)
VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.
Если кадр тегированный
-
- он без изменений передаётся дальше
Если кадр без тега или кадр с VID=0
Protocol VID:
Входное правило (PVID)
VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.
Если кадр тегированный
-
- он без изменений передаётся дальше
Если кадр нетегированный или это кадр приоритета
-
- он маркируется PVID по умолчанию
-
- после этого кадр передаётся дальше
PVID:
-
- VLAN ID по умолчанию, который назначается на каждый порт.
Настройка VLAN на базе протокола
Port: номер порта на котором будет применяться данное правилоEthernet-type: значение поля type кадра EthernetVID: VLAN ID, которым будет маркироваться кадрPriority: значение поля приоритета, которым будет маркироваться кадр
Таблица VLAN
В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором.
Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:
-
- Fixed – порт является выходным для данного VLAN;
-
- Forbidden – в порт запрещено передавать кадры, принадлежащие VLAN;
-
- Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.
Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта.
С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.
Параметры VLAN 802.1q на портах
У каждого порта имеется набор полей:
-
- PVID (см. выше).
-
- Acceptable Frame Type – типы принимаемых кадров: или любые, или только с тегами.
-
- VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.
-
- Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.
-
- GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.
-
- Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.
VLAN Stacking
Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов.
Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.
У каждого порта коммутатора может быть две роли (Port Role):
-
- Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.
-
- Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).
Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority.
Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).
ES-4124# config – для создания и настройки VLAN необходимо войти в режим configES-4124(config)# vlan 100 – создаем VLAN с номером 100ES-4124(config-vlan)# name vlan100 – имя статической таблицы VLANES-4124(config-vlan)# fixed 5-8 – порты 5-8 включаем в VLAN 100ES-4124(config-vlan)# no untagged 5-8 – указываем, что на портах 5-8 исходящие кадры коммутатор будет отправлять с установленным тегом 802.1QES-4124(config-vlan)# exit – выход из режима config-vlanES-4124(config)# interface port-channel 5-8 – входим в режим config-interface для определения PVID на портах 5-8ES-4124(config-interface)# pvid 100 – устанавливаем PVID = 100 на портах 5-8ES-4124(config-interface)# exit – выход из режима config-interfaceES-4124(config)# exit – выход из режима configES-4124# wr mem – запись выполненных настроек в память коммутатораES-4124# |
Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:
команда устанавливающая название статической таблицы VLAN |
команда определяет порты , которые будут являться выходными для данного VLAN |
команда указывает, что в порты запрещено передавать кадры принадлежащие данному VLAN |
команда указывает порты которые не включены в определенный VLAN, но могут быть включены по протоколу GVRP |
команда указывает отправлять исходящие кадры с портов без тега 801.1Q |
команда указывает отправлять исходящие кадры с портов с тегом 802.1Q |
команда устанавливает настройки портов в статус Normal |
При создании VLAN по умолчанию все порты находятся в режиме NORMAL.
Еще есть вопросы? Отправить запрос
В настоящее время использование «всемирной паутины» выходит далеко за рамки простого серфинга по сети. Пользователи хотят не просто просматривать веб-страницы, а слушать музыку, смотреть любимые телеканалы, качать торренты и многое другое. При выборе маршрутизатора для своей домашней сети «юзеры» обязательно учитывают эти моменты.
Немаловажную роль играет и тот факт, насколько легко настроить устройство настроить для своих потребностей. Далее пойдет речь о том, как сделать настройку IPTV на домашнем роутере TP-Link.
Полноценная поддержка IPTV была реализована только в последних моделях TP-Link. На более старых устройствах, которые еще в изобилии можно встретить в домашних сетях и небольших офисах, она не предусмотрена. Частично проблема решается включением поддержки IGMP, но и данная функция присутствует далеко не во всех устройствах. Поэтому прежде чем приступать к непосредственной настройке цифрового телевидения, необходимо произвести базовые настройки своего TP-Link:
- Внимательно изучить техническую документацию устройства, чтобы убедиться, что подключение интерактивного TV на нем возможно.
- Подключиться к веб-интерфейсу роутера. Для этого в адресной строке браузера достаточно набрать его IP-адрес. Обычно это 192.168.1.1 (иногда 192.168.0.1). Для входа можно также использовать линк tplinklogin.net. Пароль и логин стандартные: admin/admin.
- Проверить актуальность версии микропрограммы устройства и при необходимости скачать и установить обновления прошивки.
- На странице настроек роутера найти раздел интерактивного TV.
Если в веб-интерфейсе маршрутизатора отсутствует раздел настройки IPTV, значит, данная модель TP-Link его не поддерживает и следует подумать о покупке более современного роутера.
Содержание
Конфигурация IPTV
Параметров настройки роутера TP для IPTV совсем немного. Поэтому справиться с этой задачей под силу даже начинающему пользователю.
Некоторые отличия могут быть только в зависимости от того, используется провайдером VLAN ID или нет.
Без VLAN ID
Схема настройки IPTV без использования VLAN ID подойдет для большинства провайдеров. На примере одной из самых распространенных моделей TP-Link TL-WR740N она выглядит так:
- Подключиться к веб-интерфейсу роутера. Если установлена последняя версия прошивки, он будет оформлен в голубых тонах.
- На вкладке «Дополнительные настройки» открыть раздел «Сеть» и выбрать там подраздел IPTV.
- Убедиться в том, что в пунктах IGMP Proxy и IPTV Snooping установлена галочка в чекбоксах «Включить».
- Параметру «Режим» установить значение «Мост» (выбирается из выпадающего списка).
- Задать режим IPTV одному из LAN-портов, список которых находится ниже.
- Сохранить сделанные изменения.
После выполнения вышеуказанных действий подключить в выделенный порт телевизионную приставку и наслаждаться просмотром цифрового телевидения. Активный режим IGMP Proxy позволит делать это и по беспроводной сети.
С VLAN ID
Схема подключения IPTV с использованием VLAN ID встречается намного реже. Обычно она используется в некоторых региональных представительствах «Ростелекома», а также у провайдеров «Таттелеком» и «Аист».
В случае использования провайдером VLAN ID, первое, что необходимо сделать пользователю, узнать его значение в службе поддержки. Затем необходимо выполнить действия:
- Подключиться к веб-интерфейсу своего TP-Link.
- На вкладке «Дополнительные настройки» перейти в раздел «Сеть», подраздел IPTV.
- Отметить галочкой чекбоксы «Включить» напротив параметров IGMP Proxy и IGMP Snooping.
- В пункте «Режим» выбрать «Установить вручную».
- В появившихся строках внести такие параметры:
- Идентификатор VLAN для интернета — значение, полученное у провайдера.
- Приоритет VLAN для интернета — 4.
Затем останется только выбрать LAN-порт, к которому будет подключаться телевизионная приставка, и установить ему режим IPTV. После этого роутер TP-Link готов к трансляции цифрового телевидения.
Заключение
Подводя итоги, можно отметить, что подключение цифрового телевидения на роутерах TP-Link не является сложной задачей. В большинстве случаев она сводится к простому указанию порта, который будет использоваться для этой цели. Схема с использованием VLAN ID несколько сложнее, но тоже не должна вызвать особых затруднений.
Единственной проблемой, возникающей при использовании роутеров TP-Link, является отсутствие или неполная поддержка IPTV в некоторых моделях. Поэтому этот фактор необходимо учитывать при выборе оборудования для своей домашней сети.
Используемые источники:
- https://itproffi.ru/nastrojka-vlan-interfejsov-v-linux/
- https://support.rdb24.com/hc/ru/articles/212468069-%d0%9f%d1%80%d0%b8%d0%bc%d0%b5%d1%80-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b8-vlan-%d0%b2-%d0%ba%d0%be%d0%bc%d0%bc%d1%83%d1%82%d0%b0%d1%82%d0%be%d1%80%d0%b0%d1%85-zyxel
- https://a-apple.ru/wifi/nastroyki-routera/kak-sdelat-nastroyku-iptv-na-routere-tp-link