Настройка VLAN

О технологии IEEE 802.1Q VLAN

Traffic Inspector поддерживает технологию VLAN по стандарту IEEE 802.1Q.

IEEE 802.1Q - наиболее популярный и распространенный стандарт технологии VLAN, который предполагает, среди прочего, маркировку Ethernet-кадров с помощью специальных 32-битных тегов.

VLAN (Virtual LAN, виртуальная ЛВС) - обособленная LAN-сеть, логически выделенная в рамках физической LAN-сети. Каждый VLAN обладает всеми характеристиками обычной LAN-сети, в частности, является обособленным широковещательным Ethernet-доменом.

Устройства могут быть подключены к некоторой VLAN-сети независимо от своего местоположения в исходной физической LAN-сети. Для того, чтобы обеспечить присутствие устройств в одной VLAN-сети не придется перемещать устройства / коммутаторы, приобретать дополнительные коммутаторы, изменять характер сетевых связей устройств / коммутаторов. Необходимая сетевая топология достигается всего лишь за счет настройки коммутаторов, поддерживающих стандарт IEEE 802.1Q. Таким образом, технологическое обоснование существования подобного рода технологий - перенос вопросов управления сетевой топологией из физической плоскости в логическую.

Использование технологии VLAN уместно в тех же случаях, и дает те же преимущества, что и использование нескольких отдельных LAN-сетей вместо единой LAN-сети. Однако, технология VLAN позволяет добиться функционально схожих результатов без необходимости физически управлять топологией.

Например, организация сети предприятия в виде нескольких LAN-сетей, вместо одной единой LAN-сети, приводит к локализации и изоляции широковещательного трафика, что может быть полезно как само по себе, так и в контексе локализации ущерба от возможных атак типа ARP-spoofing. Аналогичного результата можно добиться и при реорганизации единой исходной физической LAN-сети в виде нескольких VLAN-сетей.

Устройства, размещенные в разных LAN-сетях, либо не смогут взаимодействовать вообще (если данные LAN-сети не соединены при помощи маршрутизатора), либо смогут взаимодействовать только на третьем сетевом уровне, через маршрутизатор. Группировка машин по разным LAN-сетям может быть полезна по соображениям безопасности, т.е. для создания групп безопасности, к которым будет позволен доступ только от определенных других групп, и которые сами смогут обращаться только к определенным группам. С помощью VLAN-сетей можно оформить те же группы безопасности, но без единого изменения в физической топологии.

Стоит отметить, что при всех достоинствах 802.1Q VLAN имеет и недостатки. Выше по тексту, неспроста говорится о «функционально схожих результатах» при использованни VLAN по сравнению с LAN. Инфраструктура, обеспечивающая существование нескольких VLAN (802.1Q-коммутаторы и транковые порты, соединяющие их) будет передавать трафик разных VLAN. Иными словами, трафик разных VLAN будет соперничать за право передачи через одно и то же коммуникационное оборудование и среду. Таким образом, происходит разделение пропускной способности общей коммуникационной среды, чего не произошло бы в случае использования отдельных LAN-сетей.

Технология VLAN позволяет обеспечить функциональный эквивалент нескольких LAN-сетей без использования нескольких наборов коммутаторов / кабелей / интерфейсов, которые понадобились бы для их реализации в физическом виде. Виртуализация, применительно к VLAN, понимается как обеспечение функционального аналога физической LAN-сети без использования физического оборудования. Таким образом, виртуализируются коммутаторы / кабели / интерфейсы - все те компоненты, которые и можно считать образующими LAN-сеть. Отсюда термин Virtual LAN.

Настройки IEEE 802.1Q VLAN осуществляются на коммутаторах и в операционных системах (нас интересует в первую очередь ОС FreeBSD, как используемая на устройствах TING).

Большая часть настроек выполянется на коммутаторах и сводится к созданию VLAN-сетей и определению портов, приписанных к VLAN-сетям.

Настройка VLAN в операционной системе FreeBSD нужна только в том случае, если данная машина будет использоваться как межвиланный маршрутизатор (маршрутизатор, обеспечивающий сетевое взаимодействие машин в разных VLAN-сетях) или как разделяемый ресурс (сервер, доступный из разных VLAN-сетей).

Настройка VLAN в операционной системе FreeBSD сводится к созданию VLAN-интерфейсов - по одному на каждый VLAN, к которому должна быть подключена FreeBSD-машина. VLAN-интерфейс (иногда их называют субинтерфейсами) - виртуальный интерфес, который функционирует через некоторый физический Ethernet-интерфейс (его называют родительским интерфейсом). Субинтерфейсам назначаются TCP/IP-настройки (адрес, маска и т.п.). Если FreeBSD-машина будет служить межвиланным маршрутизатором, то на ней включается маршрутизация IP-дейтаграмм.

Родительский интерфейс подключен в транковый порт (также называют тегирующим портом) коммутатора.

Порт коммутатора, по которому находится межвиланный маршрутизатор / разделяемый между VLAN-сетями ресурс, должен быть настроен как транковый порт. Использование транкового порта в IEEE 802.1Q этим не ограничевается. Например, если две или более VLAN-сети «распространяются» более чем на один коммутатор (т.е. разные коммутаторы имеют порты, приписанные к одной и той же VLAN-сети), то такие коммутаторы будут соединяться через транковые порты. Трафик, высылаемый / принимаемый с/на транковый порт, всегда образован тегированными кадрами.

Если нужно сделать FreeBSD-машину членом некоторой VLAN-сети (при этом машина не будет использоваться как межвиланный маршрутизатор или разделяемый между VLAN-сетями ресурс), то достаточно разместить эту машину со стороны access порта (также называют нетегирующим портом) коммутатора. Трафик между сетевым адаптером такой машины и нетегирующим портом будет образован нетегированными кадрами. Несложно заметить, что даже FreeBSD-машина, имеющая сетевой адаптер, ничего не знающий о стандарте 802.1Q, сможет быть подключена к VLAN-сети. Даже если машина имеет адаптер, поддерживающий стандарт 802.1Q, то для обычного подключения к VLAN-сети (т.е. не в роли разделяемого ресурса или межвиланного маршрутизатора), эту машину / адаптер никак не нужно настраивать явно.

Рассмотрим настройку VLAN на следующем упрощенном примере.


_images/vlan_scheme.png

Настройка коммутатора

Подключитесь к коммутатору c помощью терминальной программы putty по протоколу telnet или SSH.

Сделайте листинг существующих на данный момени VLAN-сетей:

show vlan
Command: show vlan

VID             : 1          VLAN Name       : default
VLAN Type       : static
Member ports    : 1-16
Static ports    : 1-16
Tagged ports    :
Untagged ports  : 1-16

Как видно, по умолчанию существует VLAN c именем default и VID 1. Все порты коммутатора по умолчанию являются его членами и настроены в режиме untagged.

Создайте две VLAN-сети - VLAN-сеть vlan2 c VID 2 и VLAN-сеть vlan6 c VID 6:

create vlan vlan2 tag 2
create vlan vlan6 tag 6

Перед тем как добавлять порты в новые VLAN-сети, их нужно удалить из дефолтной VLAN-сети:

config vlan default delete 2
config vlan default delete 6

Добавляем порт 2 в VLAN-сеть vlan2 в режиме untagged и порт 6 в VLAN-сеть vlan6 в режиме untagged:

config vlan vlan2 add untagged 2
config vlan vlan6 add untagged 6

Настраиваем порт транковый порт - добавляем порт 16 в режиме untagged в обе VLAN-сети:

config vlan vlan2 add tagged 16
config vlan vlan6 add tagged 16

Удостоверимся, что менеджмент-интерфейс System приписан к VLAN-сети default:

config ipif System vlan default

Настройка устройства TING

Транковый порт коммутатора (порт 16) подключен кабелем в интерфейс LAN устройства TING.

Интерфейс LAN будет выступать в качестве родительского интерфейса для VLAN-интерфейсов.

Создание VLAN-интерфейсов

Пройдите в раздел Интерфейсы -> Другие типы -> VLAN.

Для добавления VLAN-интерфейса для VLAN-сети vlan2, нажмите Добавить и укажите следующие настройки:

_images/vlan2_iface.png

Нажмите Сохранить.

Для добавления VLAN-интерфейса для VLAN-сети vlan6, нажмите Добавить и укажите следующие настройки:

_images/vlan6_iface.png

Нажмите Сохранить.


Добавление VLAN-интерфейсов в веб-интерфейс

В разделе Интерфейсы -> Назначения портов в поле Новый интерфейс выбираем строку виртуальная локальная сеть 2 на igb0 (Субинтерфейс для VLAN 2) и нажимаем на +.

_images/vlan2_interface_assignment.png

Нажмите Сохранить.

В разделе Интерфейсы -> Назначения портов в поле Новый интерфейс выбираем строку виртуальная локальная сеть 6 на igb0 (Субинтерфейс для VLAN 6) и нажимаем на +.

_images/vlan6_interface_assignment.png

Нажмите Сохранить.


Определение TCP/IP-настроек VLAN-интерфейсов

В разделе Интерфейсы -> [OPT2] задайте следующие настройки:

В VLAN-сети vlan2 будет использоваться IP-сеть 192.168.2.0/24. Задайте соответствующие настройки для VLAN-интерфейса, например:

   
Включен Флаг установлен
Описание VLAN2
Блокировать частные сети Флаг снят
Блокировать bogon сети Флаг снят
Тип конфигурации IPv4 Статический IPv4
IPv4 адрес 192.168.2.1/24

Нажмите Сохранить.

В VLAN-сети vlan6 будет использоваться IP-сеть 192.168.6.0/24. Задайте соответствующие настройки для VLAN-интерфейса, например:

В разделе Интерфейсы -> [OPT3] задайте следующие настройки:

   
Включен Флаг установлен
Описание VLAN6
Блокировать частные сети Флаг снят
Блокировать bogon сети Флаг снят
Тип конфигурации IPv4 Статический IPv4
IPv4 адрес 192.168.6.1/24

Нажмите Сохранить.