VLAN

• Различия между VLAN и VPN

VLAN (Virtual Local Area Network, виртуальная локальная вычислительная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей.

VLAN является частью большего LAN. Простейший механизм изоляции различных подсетей на Что такое Ethernet, wi-fi интерфейсах. Для того, чтобы организовывать VLAN, сетевой коммутатор (Как выбрать сетевой коммутатор (свитч, свич, англ. switch)) должен поддерживать технологию VLAN и протокол 802.1q.

Преимущества VLAN:

• увеличивает число широковещательных доменов, но уменьшает размер каждого широковещательного домена, которые в свою очередь уменьшают сетевой трафик и увеличивают безопасность сети (оба следствия связаны вместе из-за единого большого широковещательного домена);
• уменьшает усилия администраторов на создание подсетей;
• уменьшает количество оборудования, так как сети могут быть разделены логически, а не физически;
• улучшает управление различными типами трафика.

• Что такое Native VLAN - это понятие в стандарте 802.1Q, которое обозначает VLAN на коммутаторе, где все кадры идут без тэга, т.е. трафик передается нетегированным. По умолчанию это VLAN 1. В некоторых моделях коммутаторов, например, cisco, это можно изменить, указав другой VLAN как native.
• Термин untagged: только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3Com, Planet, Zyxel - untagged, в терминологии Cisco - native VLAN). Свитч будет добавлять метки данной VLAN ко всем принятым кадрам не имеющих никаких меток.
• Транк VLAN — это физический канал, по которому передается несколько VLAN каналов, которые различаются тегами (метками, добавляемыми в пакеты). Транки обычно создаются между «тегированными портами» VLAN-устройств: свитч-свитч или свитч-маршрутизатор. (В документах Cisco термином «транк» также называют объединение нескольких физических каналов в один логический: Link Aggregation, Port Trunking). Маршрутизатор (свитч третьего уровня) выступает в роли магистрального ядра сети (backbone) для сетевого трафика разных VLAN.
• Сказать проще, vlan – это логический канал внутри физического канала (кабеля), а trunk это множество логических каналов (vlan`ов) внутри одного физического канала (кабеля).

Сети VLAN могут быть определены по:

• Порту (наиболее частое использование). VLAN, базирующиеся на номере порта позволяют определить конкретный порт в VLAN. Порты могут быть определены индивидуально, по группам, по целым рядам и даже в разных коммутаторах через транковый протокол. Это наиболее простой и часто используемый метод определения VLAN. Это наиболее частое применение внедрения VLAN, построенной на портах, когда рабочие станции используют протокол Динамической Настройки TCP/IP (DHCP). Ниже рисунок VLAN на основе портов:

• MAC -адрес- адресу (очень редко). VLAN, базирующиеся на MAC адресах позволяет пользователям находиться в той же VLAN, даже если пользователь перемещается с одного места на другое. Этот метод требует, чтобы администратор определил MAC адрес каждой рабочей станции и затем внес эту информацию в коммутатор. Этот метод может вызвать большие трудности при поиске неисправностей, если пользователь изменил MAC адрес. Любые изменения в конфигурации должны быть согласованы с сетевым администратором, что может вызывать административные задержки.
• Идентификатору пользователя User ID (очень редко)
• Сетевому адресу (редко в связи с ростом использования Настройка DHCP сервера Linux, FreeBSD)

• Настраиваемый коммутатор D-Link D-Link DGS-1100-08P

Настройка DGS-1100-08P. Подключимся к нему в первый порт. Присвоим ему IP 10.90.91.2. Создадим 3 VLAN: vlan1 (порт 1 (tagged)) для служебного использования, то есть только для настройки коммутатора, vlan22(порт 1 (tagged); порты 2,3,4 (untagged)), vlan35(порт 1 (tagged); порты 5,6 (untagged)). Порты 7,8 не используются и выключены через меню Port Settings(Speed: Disabled). Укажем, что в дальнейшем управлять D-Link DGS-1100-08P (IP 10.90.91.2) можно управлять только через vlan1, то есть в нашем случае системный администратор должен подключиться в первый порт DGS-1100-08P(При подключении в иной порт - коммутатор не разрешит доступ к 10.90.91.2).

• Для создания VLAN в Операционная система Debian нужно установить его поддержку

  aptitude install vlan

• Создать VLAN с именем vlan22 привязанный к порту сетевой карты eth4. Присвоим ему IP:192.168.122.254.

  ip link add link eth4 name vlan22 type vlan id 22
  ip addr add 192.168.122.254/24 dev vlan22
  ifconfig vlan22 up

  Служебный vlan только для настройки коммутатора:

  ip link add link eth4 name vlan44 type vlan id 1
  ip addr add 10.90.91.254/24 dev vlan44
  ifconfig vlan44 up

  vlan35:

  ip link add link eth4 name vlan35 type vlan id 35
  ip addr add 192.168.35.254/24 dev vlan34
  ifconfig vlan35 up

• Параметры созданных vlan смотрим в файлах

  ls -l /proc/net/vlan/
  итого 0
  -rw------- 1 root root 0 Авг 17 15:06 config
  -rw------- 1 root root 0 Авг 17 15:06 vlan1
  -rw------- 1 root root 0 Авг 17 15:06 vlan22

• Создание vlan через vconfig и автоматическая загрузка через /etc/network/interfaces не заработала, потому создаем запускной файлик и прописываем в атозагрузку сервера.

  vlan_create.sh

  #!/bin/sh -e
   
  ip link add link eth4 name vlan22 type vlan id 22
  ip addr add 192.168.122.254/24 dev vlan22
  ifconfig vlan22 up