Технология VLAN: разделяй и объединяй

На различных форумах люди иногда задают вопросы типа: «У меня какие-то проблемы с сетью (например, комп «не видит» локальную сеть, не работает Интернет, и т.п.), помогите разобраться!» На что им обычно в таких случаях отвечают: «Откройте настройки сетевого адаптера и попробуйте поменять значение такого-то параметра на вот такое значение». Причём из дальнейшего диалога выясняется, что ни спрашивающий, ни отвечающий в общем-то толком даже не представляют себе, что все эти параметры означают. Я решил основательно разобраться в этой проблеме, но, к сожалению, в Интернете нашлось довольно мало конкретной информации по этой теме, так что, пришлось, что называется, собирать по крупицам, 🙂 но, тем не менее… Вся приводимая ниже информация, в первую очередь, разумеется, будет относиться к имеющемуся у меня сетевому адаптеру (за неимением других), однако, в основном, все сетевые адаптеры имеют схожие настройки (кроме параметров, специфичных для конкретного производителя/модели), различающиеся, разве что, названиями; поэтому вы с большим успехом можете отнести всё нижеизложенное и к своему адаптеру. А теперь немного о подопытном. Это сетевой адаптер «Realtek PCIe GBE Family Controller» с чипом «Realtek RTL8111C/D(L) chip (10/100/1000 Mbit)«, интегрированный в материнскую плату «GigaByte GA-G41M-ES2L rev. x.x«{даже диагностические программы выдают именно ревизию «x.x», хотя по цветовой маркировке разъёмов это вылитая «1.0»}. Причём, судя по информации с сайта GigaByte, это довольно распространённый вариант для их материнских плат. Адаптер используется на PC под управлением ОС Windows XP SP2, «отupdateнной» до SP3, а также под управлением Windows 7, на которую был установлен SP1 (использовалась версия для x86, хотя для x64 разницы нет). Параметры, специфичные для конкретной ОС, будут помечены в тексте вот так: «{WinXP}» или «{Win7}».Просмотреть список параметров можно обычным способом, через вкладку «Дополнительно» в свойствах адаптера в «Диспетчере задач«, но там существует проблема «слишком длинных названий», из-за которой эти самые названия параметров не помещаются целиком в отведённое для них узенькое окошко и, в результате, отображаются в урезанном виде без возможности просмотреть их полностью  . Поэтому, что касаемо адаптеров Realtek, я рекомендую для настройки воспользоваться специальной программой «Realtek Ethernet Diagnostic Utility» {доступна на офсайте GigaByte точно, и вроде бы на Realtek тоже}, которая не режет имена параметров и позволяет лицезреть их полностью. Помимо этого, с её помощью можно узнать текущую скорость сетевого соединения, создать виртуальное подключение (VLAN), ну и собственно, выполнить диагностику адаптера. Если же у вас не Realtek‘овский адаптер, то вероятно, у производителя вашего адаптера также имеется похожая утилита для этих целей. Что же касается «Realtek Ethernet Diagnostic Utility«, то её окно выглядит так:А вот, собственно, и сами параметры; они будут иметь двойное название: одно — русский перевод, а другое (в квадратных скобках) — оригинальное английское (на тот случай, если у вас англоязычная версия ОС; кроме того, русский перевод не всегда корректно отражает истинный смысл названия) .После имени параметра следует его краткое описание с возможными дополнениями, а затем — список возможных значений параметра с указанием их предназначения (наименования значений так же дублируются по-английски). Замечу, что для обычной работы достаточно, чтобы все параметры были установлены по умолчанию. Дополнительная информация также содержится в примечаниях после списка значений (если это необходимо).

  • «Автоотключение PCIe» [Auto Disable PCIe] & «Автоотключение PHY» [Auto Disable PHY] {WinXP}

Значения:«Выкл» [Disable] — отключить возможность «Автоотключения …» {по умолчанию};»Вкл, батарея» [Enabled, Battery] — включено: при использовании батареи и при отсоединённом кабеле автоматически отключается PCIe / PHY (экономия заряда батареи);»Вкл, батарея или пер. ток» [Enabled, Battery or AC] — включено: при использовании батареи или питании от сети и при отсоединённом кабеле автоматически отключается PCIe / PHY (общая экономия электроэнергии)

  • «Большой кадр» [Jumbo Frame] | [Jumbo Packet]

Позволяет увеличить размер кадра передаваемых данных (для Ethernet в целом и для TCP/IP в частности), т.е., MTU. В ситуациях, когда большие кадры составляют основную часть трафика, использование больших(Jumbo) кадров позволяет снизить загруженность CPU и повысить эффективность локальной сети. Стандартный размер кадра Ethernet (MTU) — 1500 байт (1518 с учётом всех заголовков + дополнительные байты для VLAN), в то время, как большие кадры могут содежать до 9K байт (это условное обозначение, а реальный размер такого кадра несколько меньше). Все доступные размеры зависят от конкретного адаптера.»Выкл» [Disable] — используется стандартное значение кадра Ethernet {по умолчанию};»xKB MTU» — (где x лежит в диапазоне 2 — 9 ) устанавливает длину большого кадра в x килобайт.Задействовать этот параметр можно только, если все устройства в сети а) поддерживают большие кадры и б) сконфигурированы на использование кадров ОДНОГО размера;Имейте в виду, что различные адаптеры и сетевые устройства могут по-разному вычислять размер большого кадра (например, включать или не включать размеры дополнительных заголовков);Наиболее эффективно используют эту технологию сетевые адаптеры, работающие на скоростях 1 Гбит/с и 10 Гбит/с. Известно, что использование больших кадров на скоростях 10/100 Мбит/с на некоторых адаптерах приводит к потере производительности или даже обрыву связи;Не все ОС могут работать с кадрами размером больше 4K, т.к. это может приводить к перегрузке сети при больших объёмах трафика;////////WIN7///////Уменьшение числа буферов приёма/передачи менее 256 приводит к обрыву связи при использовании больших кадров.

  • «Включение по локальной сети после отключения» [Shutdown Wake-On-Lan] | [Wake-On-Lan after Shutdown]

Разрешает или запрещает опцию включения по сети (WOL) компьютера после его выключения.»Вкл» [Enable] — разрешает WOL;»Выкл» [Disable] — запрещает WOL {по умолчанию}

  • «Зелёный Ethernet» [Green Ethernet]

Управляет общей функцией энергосбережения. Для Realtek состояние этой функции можно узнать с помощью «Realtek Ethernet Diagnostic Utility» (см. рис.)»Вкл» [Enable] — разрешает «зелёную» функцию;»Выкл» [Disable] — запрещает её {по умолчанию}

  • «Контрольная сумма разгрузки» [Checksum Offload] {WinXP} / «Контрольная сумма разгрузки IPv4» [IPv4 Checksum Offload] {Win7}

Позволяет адаптеру проверять контрольную сумму для принимаемых пакетов (Rx) и вычислять контрольную сумму для отправляемых пакетов (Tx). Включение этой опции может повысить производительность сети и снизить загрузку CPU. Если опция отключена, расчёт и проверку контрольной суммы выполняет ОС.»Выкл» [Disable] — все контрольные суммы обрабатываются ОС;»Контрольная сумма Rx» [Rx Checksum] — Rx проверяется адаптером, Tx вычисляется ОС;»Контрольная сумма Tx» [Tx Checksum] — Tx проверяется адаптером, Rx вычисляется ОС;»Контрольная сумма Tx/Rx» [Tx/Rx Checksum] — все контрольные суммы обрабатываются адаптером {по умолчанию}

  • «Разгрузка при большой отправке» [Large Send Offload] | [Offload TCP Largesend] {WinXP} / «Разгрузка при большой отправке (IPv4)» [Large Send Offload] {Win7}

Позволяет адаптеру выполнять задачу фрагментирования пакетов TCP на допустимые кадры Ethernet. Поскольку контроллер адаптера может выполнять фрагментирование гораздо быстрее, чем программное обеспечение ОС, то эта опция может повысить производительность передачи данных. Кроме того, адаптер использует меньше ресурсов CPU.»Вкл» [Enable] — разрешает аппаратное фрагментирование пакетов TCP {по умолчанию};»Выкл» [Disable] — фрагментирование осуществляетсясредствами ОС

  • «Сетевой адрес» [Network Address] | [Locally Administered Address]

Замещает виртуальный, назначенный пользователем MAC-адрес адаптера. Эта настройка не замещает реальный физический (аппаратный) MAC-адрес адаптера.»Значение» [Value] — введите в это поле 12-значный шестнадцатиричный MAC-адрес (т.е., значение вида «FE123456789A» без каких-либо дефисов). Доступны значения MAC в диапазоне 000000000001 — FFFFFFFFFFFD, за исключением мультикастовых адресов (LSB старшего байта = 1), и адресов 000000000000 и FFFFFFFFFFFF;»Отсутствует» [Not Present] — при установленном в это значение переключателе, восстанавливается исходный MAC-адрес адаптера {по умолчанию}Если вы оставите поле «Значение» пустым (при установленном в это значение переключателе), также будет использован исходный MAC-адрес адаптера.

  • «Скорость и дуплекс» [Speed & Duplex] | [Link Speed/Duplex Mode]

Позволяет выставить нужное значение скорости соединения и режим параллельного приёма/передачи данных — дуплекс.»Автосогласование» [Auto Negotiation] — автосогласование поддерживаемой скорости соединения и режима дуплекс с соединённым сетевым устройством {по умолчанию};»10/100 Мбит/с полудуплекс/дуплех» [10/100Mbps / Half/Full Duplex] и «1 Гбит/с дуплекс» [1000Mbps/Full Duplex] — устанавливает скорость соединения и режим дуплекс в соответствии с выбранными из выпадающего списка значениямиСамый распространённый вариант, предлагаемый провайдерами при подключении к Интернету по FTTB — PPPoE, это «100 Мбит/с дуплекс«. Именно такое значение обычно и выставляется при выборе «Автосогласования«. Однако новые сетевые драйвера Realtek для Windows XP, которые я недавно скачал с сайта GigaByte, при выборе «Автосогласования» автоматически устанавливают скорость соединения не 100 Мбит/с, а 1 Гбит/с — мелочь, а приятно :)При попытке вручную выставить значение скорости 10 Мбит/с сетевое соединение не удаётся установить, если провайдер по умолчанию поддерживает 100 Мбит/с (по крайней мере у меня так)

  • «Скорость при включении по локальной сети после отключения» [WOL & Shutdown Link Speed]

Определяет начальную скорость соединения после WOL (далее, видимо устанавливается значение из параметра «Скорость и дуплекс«).»Сначала 10 Мбит/с» [10Mbps First] — устанавливает начальную скорость 10 Мбит/с {по умолчанию};»Сначала 100 Мбит/с» [100Mbps First] — устанавливает вначале 100 Мбит/с;»Не использовать автопонижение скорости» [Not Speed Down] — используется значение из параметра «Скорость и дуплекс» {Win7}Если сеть не поддерживает скорость 10 Мбит/с, то необходимо выставить «Сначала 100 Мбит/с» — это позволит избежать ненужных задержек.

  • «Тегирование 802.1Q/1p VLAN» [802.1Q/1p VLAN Tagging] {WinXP}

Добавляет дополнительные 4 байта к Ethernet-фрейму (кадру), содержащие информацию о приоритете пакета и идентификаторе VLAN, которой этот пакет принадлежит. Т.е. данная опция разрешает аппаратное тегирование VLAN средствами адаптера.Значения:«Вкл» [Enable] — разрешает аппаратное тегирование VLAN;»Выкл» [Disable] — запрещает аппаратное тегирование VLAN {по умолчанию}Разумеется, эта опция имеет смысл только при установленной VLAN.

  • «Управление потоком» [Flow Control]

Разрешает адаптеру генерировать или отвечать на специальные кадры управления потоком, которые помогают регулировать сетевой трафик.Сеть может оказаться перегруженной, если входящие пакеты приходят быстрее, чем устройство их может обработать, и в результате происходит потеря пакетов до тех пор, пока условия, способствующие  перегрузке не будут устранены. Механизм управления потоком позволяет обойти эту проблему и исключает риск потери пакетов.Если происходит ситуация, потенциально способствующая перегрузке сети, адаптер генерирует кадр управления потоком, который заставляет устройство на другом конце линии немедленно приостановить передачу и подождать в течение небольшого случайного отрезка времени перед попыткой возобновления передачи.»Вкл» [Enable] — разрешает управление потоком {по умолчанию};»Выкл» [Disable] — запрещает управление потоком.Некоторые адаптеры позволяют настраивать управление потоком либо только для приёма, либо только для передачи.Для получения преимущества от управления потоком, оба адаптера должны поддерживать это свойство.

  • «Функции включения по сети» [Wake-On-Lan Capabilities] {WinXP}

Определяет доступные возможности WOL.»Нет» [None] — возможности WOL запрещены;»Соответствие шаблону» [Pattern Match] — WOL осуществляется с помощью пакета, содержащего специальный шаблон в зависимости от типа пробуждения (после спящего режима, ждущего режима, и т.д.);»Соответствие шаблону И Специальный пакет» [Pattern Match & Magic Packet] — комбинация этих двух возможностей {по умолчанию};»Специальный пакет» [Magic Packet] — WOL осуществляется с помощью специального пакета, соответствующего типу пробуждения

  • ‘Wake on Magic Packet’ & «Wake on pattern match» {Win7}

Описание:По смыслу эти параметры представляют тот же самый функционал, что и параметр «Функции включения по сети«; просто здесь WOL настраивается для «Pattern Match» и «Magic Packet» по отдельности.»Вкл» [Enable] — опция разрешена {по умолчанию для обеих};»Выкл» [Disable] — опция запрещена

  • «Автоотключение гигабитной скорости» [Auto Disable Gigabit] {Win7}

Для обеспечения целей энергосбережения, драйвер может автоматически отключить гигабитную скорость, когда сетевой кабель переподключён.»Выкл» [Disable] — отключить возможность «Автоотключения …» {по умолчанию};»Переподключение, батарея» [Re-Link, Battery] — при использовании батареи, автоматически отключается гигабитная скорость при переподключении (небольшая экономия заряда батареи);»Переподключение, батарея или пер. ток» [Re-Link, Battery or AC] — независимо от источника питания, автоматически отключается гигабитная скорость при переподключении кабеля (экономия электроэнергии). 

  • «Буферы передачи» [Transmit Buffers] {Win7}

Задаёт количество буферов памяти, используемых адаптером при отправке данных. Увеличивая это значение, можно повысить производительность адаптера; правда, при этом также возрастает расход системной памяти. Поэтому, если производительность не является критическим параметром, используйте значение по умолчанию.Допустимые значения для моего «Realtek PCIe GBE Family Controller«: 1 — 128 (128 по умолчанию, так что расти некуда 🙁 ); разумеется, для вашего адаптера они могут быть другими. 

  • «Буферы приема» [Receive Buffers] {Win7}

Допустимые значения для моего «Realtek PCIe GBE Family Controller«: 1 — 512 (512 , и это потолок 🙁 ); для вашей модели адаптера они могут быть и иными.

  • «Контрольная сумма разгрузки TCP/UDP (IPv4/IPv6)» [TCP/UDP Checksum Offload (IPv4/IPv6)] {Win7}

По смыслу эта группа параметров аналогична «Контрольной сумме разгрузки…«; здесь обработка контрольных сумм настраивается отдельно для TCP и UDP протокола IP обеих версий.Все значения и умолчание — те же, что и для «Контрольной суммы разгрузки…«

  • «Модерация прерывания» [Interrupt Moderation] {Win7}

Чтобы драйвер мог обработать приходящий пакет, адаптер генерирует сответствующее прерывание. С увеличением скоростей передачи данных количество таких прерываний также увеличивается, что, в свой черёд, увеличивает нагрузку на CPU. В результате этого снижается производительность системы.При включённой модерации прерываний, адаптер может генерировать всего одно прерывание вместо нескольких. Тогда их интенсивность снизится, а производительность — увеличится.»Вкл» [Enable] — модерация разрешена {по умолчанию};»Выкл» [Disable] — модерация не производится.

  • «Получение бокового масштабирования» [Receive Side Scaling] | [RSS] {Win7}

Это механизм балансировки нагрузки, при котором обработка принимаемых пакетов (TCP — траффик) может производиться на нескольких CPU, или нескольких ядрах одного CPU (назначение логических процессоров производится динамически).»Вкл» [Enable] — разрешает RSS {по умолчанию};»Выкл» [Disable] — запрещает эту возможность.

  • «Приоритет & VLAN» [Priority & VLAN] {Win7}

По смыслу это параметр «Тегирование 802.1Q/1p VLAN» с более гибкими возможностями настройки.»Приоритет & VLAN вкл» [Priority & VLAN Enabled] — разрешает аппаратный приоритет и тегирование приоритета VLAN {по умолчанию};»Приоритет & VLAN выкл» [Priority & VLAN Disabled] — отключает аппаратное тегирование;»Приоритет вкл» [Priority Enabled] — разрешает аппаратный приоритет;»VLAN вкл» [VLAN Enabled] — разрешает аппаратное тегирование VLAN

  • «Разгрузка при большой отправке v2 (IPv4/IPv6)» [Large Send Offload v2 (IPv4/IPv6)] {Win7}

Оба параметра — аналоги «Разгрузка при большой отправке…«, но в отличие от первой версии они используются для пакетов размером более 64Kb.Все значения те же, что и в «Разгрузка при большой отправке…«, однако для параметра для IPv6 значение по умолчанию — «Выкл«, а не «Вкл«.На некоторых сетевых и/или системных конфигурациях при включенных параметрах группы «Разгрузка при большой отправке…» наблюдается существенная деградация производительности. В этом случае значения всех параметров «Разгрузка при большой отправке…» необходимо отключить (обычно это помогает решить проблему).

Друзья, тогда предлагаю вам принять посильное участие в улучшении моего журнала. Что можете сделать именно Вы? Для начала, оставьте хотя бы комментарий! Это покажет, что Вы не равнодушны к моему «творчеству». А мне будет приятно, в свою очередь, осознать, что, то что я делаю, нужно не только мне, но и кому-то ещё, например, друзья, Вам! И это будет неплохим стимулом для написания новых статей, определении новых тем и т.д. Далее, Вы можете подписаться на мой блог и статьмоими постоянными читателями! Это стало бы дополнительной моральной поддержкой для меня в плане моего творчества.

VLAN – это аббревиатура, означающая Virtual Local Area Network (виртаульная локальная сеть). На одном физическом порту может совместно существовать несколько VLAN-сетей, которые настраиваются программными средствами Linux, а не конфигурацией физических интерфейсов (но настройка самих интерфейсов тоже требуется). С помощью VLAN можно разделить сетевые ресурсы для использования различных сервисов.

Преимущества VLAN следующие:

  • Производительность
  • Простота управления
  • Безопасность
  • Магистральные cоединения (trunk)
  • Возможность разделения внутри локальной сети из соображений безопасности
  • Отсутствие необходимости настройки аппаратных средств при физическом переносе сервера в другое место.

Содержание

Требования к сетевому оборудованию

Чтобы использовать VLAN, вам потребуется:

  1. Коммутатор с поддержкой стандарта IEEE 802.1q в сети Ethernet.
  2. Сетевая карта, которая работает с Linux и поддерживает стандарт 802.1q .

Возможные проблемы

Наиболее распространенные при настройке VLAN в Linux проблемы следующие:

  • Не все сетевые драйверы поддерживают VLAN. Может потребоваться обновление драйвера.
  • Возможны проблемы с MTU. Работа VLAN основана на присвоении каждому кадру тега длиной 4 байта, то есть заголовок фактически расширяется с 14 до 18 байт. Тег VLAN содержит идентификатор (VLAN ID) и приоритет.
  • Лучше не использовать VLAN ID, равный 1, так как он может быть зарезервирован для административных целей.

Сначала убедитесь, что драйвер (модуль) ядра Linux под названием 8021 загружен:

# lsmod | grep 8021q

vlan1.jpg

Если он не загружен, загрузите его командой modprobe:

# modprobe 8021q

Настройка VLAN в CentOS/RHEL/Fedora Linux

Допустим, нам нужно создать VLAN интерфейс с тегом 100 который будет работать на физическом интерфейсе eth0. Для этого создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0.100. Узнать название сетевых интерфейсов в системе можно с помощью команды ifconfig.

# ifconfig

vlan2.jpg

Создаем новый файл например с помощью редактора vim

# vim /etc/sysconfig/network-scripts/ifcfg-eth0.100

Добавьте в него следующий код

# Конфигурация VLAN с ID – 100 для интерфейса eth0 #DEVICE=eth0.100  BOOTPROTO=none  ONBOOT=yes  IPADDR=192.168.1.5  NETMASK=255.255.255.0  USERCTL=no  NETWORK=192.168.1.0  VLAN=yes

Жирным шрифтом выделены строки которые относятся к настройкам VLAN. Остальные настройки аналогичны настройкам на физическом интерфейсе.

Если вам нужна еще одна виртуальная сеть, то создайте новый файл сетевых настроек с нужным тегом VLAN. Что бы изменения вступили в силу, перезапустите сетевую службу

# systemctl restart network

Теперь можно проверить созданные интерфейсы командой ifconfig. Мы должны увидеть наш VLAN интерфейс

vlan3.jpg

Конфигурация VLAN в Debian и Ubuntu

Откройте файл /etc/network/interfaces любым текстовым редактором, например nano

$ sudo nano /etc/network/interfaces

Добавьте в файл следующие строки:

##vlan с ID-100 для интерфейса eth0 with ID - 100 в Debian/Ubuntu Linux##  auto eth0.100  iface eth0.100 inet static  address 192.168.1.200  netmask 255.255.255.0  vlan-raw-device eth0

auto eth0.100 — «поднимать» интерфейс при запуске сетевой службыiface eth0.100 — название интерфейсаvlan-raw-device— указывает на каком физическом интерфейсе создавать VLAN.

Сохраните и закройте файл. После чего перезапустите сеть.

systemctl restart network

Важно! Если у вас используется Ubuntu версии 17.10 и выше, то необходимо установить пакет ifupdown или настраивать VLAN интерфейсы через netplan

Использование команды vconfig

Также существует команда vconfig. Она позволяет вам создавать и удалять устройства VLAN в ядре с поддержкой VLAN. Устройства VLAN – это виртуальные Ethernet-устройства, которые представляют виртуальные локальные сети в физической. Это еще один метод настройки VLAN. Чтобы добавить VLAN с ID 5 для интерфейса eth0 выполните следующую команду:

# vconfig add eth0 5

Команда vconfig add создает на интерфейсе eth0 VLAN-устройство, в результате чего появляется интерфейс eth0.5. Теперь с помощью ifconfig настроим ip адрес

# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up

Для получения подробной информации об интерфейсе выполните:

# cat /proc/net/vlan/eth0.5

vlan4.jpg

Учтите, что после перезагрузки системы этот интерфейс будет удален.

Для удаления интерфейса вручную выполните следующие действия:

# ifconfig eth0.5 down  # vconfig rem eth0.5

Создание устройства VLAN командой ip

Для интерфейса eth0 и VLAN ID 10 выполните следующие команды:

# ip link add link eth0 name eth0.10 type vlan id 10  # ip -d link show eth0.10

vlan5.jpg

Устройство нужно активировать и присвоить ему IP-адрес:

# ip addr add 192.168.1.200/24 brd 192.168.1.255 dev eth0.10  # ip link set dev eth0.10 up
# ip link set dev eth0.10 down  # ip link delete eth0.10

Этот интерфейс также будет удален после перезагрузки системы

Заключение

Настроить VLAN относительно несложно, но в конфигурации и используемых командах есть огромное количество различных тонкостей, которые при необходимости можно выяснить, обратившись к man-страницам соответствующих команд.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Виртуальные локальные сети (VLAN) позволяют сегментировать сеть, увеличить производительность и обеспечить дополнительную безопасность сети.

В качестве примера создадим две виртуальных сети с доступом друг к другу и в интернет.

Создание интерфейсов

Графический интерфейс

Для создания нового интерфейса:

  1. Перейдите на вкладку Network → Interfaces.
  2. Задайте имя новому интерфейсу.
  3. Для параметра Type выберите значение VLAN.
  4. Задайте идентификатор сети в поле VLAN ID.
  5. Выберите для параметра Role значение LAN.
  6. В поле IP/Netmask задайте адрес и маску сети. fvlan.interface1.6uz0xy.png
  7. Добавьте адреса для созданных VLAN. Для этого перейдите в раздел Policy & Objects → Addresses. fvlan.interface2.Gehar9.png
  8. Создайте новый адрес и укажите его имя и IP-адрес. В последних версиях прошивки FortiOS данные адреса создаются автоматически при создании VLAN-интерфейсов. fvlan.interface2.UMxH47.png

Консольный интерфейс

Для создания нового интерфейса через CLI введите:

config system interface     edit “VLAN 101”         set vdom root         set ip 192.168.101.1 255.255.255.0         set allowaccess ping https ssh http         set role lan         set interface lan         set vlanid 101     next     edit “VLAN 102”         set vdom root         set ip 192.168.102.1 255.255.255.0         set allowaccess ping https ssh http         set role lan         set interface lan         set vlanid 102 end

Добавьте адреса для созданных VLAN:

config firewall address     edit VLAN 101 address         set type ipmask         set subnet  <mas next="" edit="" vlan="" address="" set="" type="" ipmask="" subnet=""> ede></mas>

Настройка политики безопасности

Графический интерфейс

Создайте две политики для доступа подсетей VLAN друг другу. Для добавления правил:

  1. Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
  2. В качестве Incoming Interface выберите интерфейс первого VLAN, а в качестве Outgoing Interface — интерфейс второго VLAN.
  3. В качестве Source выберите адрес первого VLAN, в качестве Destination — адрес второго VLAN.
  4. В данной политике NAT не нужен, поэтому убедитесь, что он выключен. fvlan.policy1.HVcMQZ.png
  5. Создайте вторую политику, но поменяйте местами VLAN. fvlan.policy2.pmWtrB.png
  6. Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими, но в качестве Outgoing Interface выберите внешний интерфейс.

В данных политиках убедитесь, что NAT включен.

Консольный интерфейс

Для создания новой политики через CLI введите:

config firewall policy     edit 3         set name "VLAN 101 to VLAN 102"         set srcintf "VLAN 101"         set dstintf "VLAN 102"         set srcaddr "VLAN 101 address"         set dstaddr "VLAN 102 address"         set action accept         set schedule "always"         set service "ALL"         set nat disable      next edit 4         set name "VLAN 102 to VLAN 101"         set srcintf "VLAN 102"         set dstintf "VLAN 101"         set srcaddr "VLAN 102 address"         set dstaddr "VLAN 101 address"         set action accept         set schedule "always"         set service "ALL"          set nat disable     next end

Создайте две политики для каждой подсети VLAN для доступа в интернет по аналогии с предыдущими:

config firewall system          edit 5         set name "VLAN 101 to Internet"         set srcintf "VLAN 101"         set dstintf "wan1"         set srcaddr "VLAN 101 address"         set dstaddr "all"         set action accept         set schedule "always"         set service "ALL"     next     edit 6         set name "VLAN 102 to Internet"         set srcintf "VLAN 102"         set dstintf "wan1"         set srcaddr "VLAN 102 address"         set dstaddr "all"         set action accept         set schedule "always"         set service "ALL"     next end

Используемые источники:

  • https://alex-emilsson.livejournal.com/1778.html
  • https://itproffi.ru/nastrojka-vlan-interfejsov-v-linux/
  • https://kb.selectel.ru/docs/networks-services/firewalls/basic-setup/vlan/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации