Коммутаторы локальных сетей D-Link
Рисунок 59 Маркированный пакет, выходящий через маркированный и немаркированный порты
Фильтрация входящего трафика
Порт коммутатора, на который поступают кадры из сети и который должен принять решение о принадлежности кадра конкретной VLAN, называется ingress port (входным портом). При включении на порту функции фильтрации входящего трафика коммутатор проверяет кадр на наличие информации о VLAN и на ее основании принимает решение о продвижении кадра.
Если кадр содержит информацию о VLAN, коммутатор сначала определяет, является ли входной порт членом данной VLAN. Если нет, то кадр отбрасывается. Если да, то определяется, является ли порт назначения членом данной VLAN. Если нет, то кадр отбрасывается. Если же порт назначения входит в данную VLAN, то он передает кадр в подключенный к нему сегмент сети.
Если кадр не содержит в заголовке информацию о VLAN, то входной порт добавляет в заголовок кадра тег с идентификатором VID, равным собственному PVID (если порт является маркированным - tagged). Затем коммутатор определяет, принадлежат ли входной порт и порт назначения одной VLAN (имеют одинаковые VID). Если нет, кадр отбрасывается. В противном случае порт назначения передает кадр в подключенный к нему сегмент сети.
Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания на стадии приема кадров, не входящих в ту же VLAN, что и входной порт.
61
Коммутаторы локальных сетей D-Link
Создание VLAN с помощью команд CLI
Изначально коммутатор настраивает одну VLAN с VID = 1, называемую DEFAULT_VLAN. Заводские установки по умолчанию назначают все порты коммутатора в DEFAULT_VLAN. Перед созданием новой VLAN удалите из
любых других уже созданных VLAN (в том числе DEFAULT_VLAN) все порты, которые требуется сделать членами новой VLAN.
Ниже приведены команды CLI и их синтаксис, используемые при создании, удалении и управлении виртуальными локальными сетями (см.
Таблица 1).
Таблица 1 Команды для настройки VLAN
Команда |
Параметры |
|
create vlan |
<vlan_name 32> |
|
|
tag <vlanid 1-4094> |
|
|
advertisement |
|
delete vlan |
<vlan_name 32> |
|
config vlan |
<vlan_name 32> |
|
|
add [tagged|untagged|forbidden] |
|
|
advertisement [enable|disable] |
|
config vlan |
<vlan_name 32> |
|
|
delete <portlist> |
|
config gvrp |
<portlist> | all |
|
|
state [enable | disable] |
ingress_checking |
|
[enable | disable] |
acceptable_frame |
|
[tagged_only | admit_all] |
|
|
pvid <vlanid 1-4094>} |
|
enable gvrp |
|
|
disable gvrp |
|
|
show vlan |
<vlan_name 32> |
|
|
|
|
show gvrp |
<portlist> |
|
enable |
|
|
double_vlan |
|
|
disable |
|
|
double_vlan |
|
|
create |
<vlan_name 32> |
|
double_vlan |
spvid <vlanid 1-4094> |
|
|
tpid <hex 0x0-0xffff> |
|
config |
<vlan_name> |
|
double_vlan |
add [uplink | access] |
|
|
delete <portlist> |
|
|
tpid <hex 0x0-0xffff> |
|
show |
<vlan_name> |
|
double_vlan |
|
|
delete |
<vlan_name> |
|
double_vlan |
|
|
Описание Создать VLAN
Удалить VLAN
Настроить параметры VLAN
Исключить заданные порты из VLAN
Настроить параметры GVRP
Активизировать GVRP Отключить GVRP
Показать созданные VLAN и их настройки
Показать настройки GVRP Активизировать QinQ VLAN
Отключить QinQ VLAN
Создать QinQ VLAN
Настроить QinQ VLAN
Показать созданные QinQ VLAN и их настройки Удалить QinQ VLAN
Шаг 1. Удаление портов 1-5 из DEFAULT_VLAN командой “config vlan default delete 1-5”
Рисунок 60 Удаление портов из VLAN
62
Коммутаторы локальных сетей D-Link
Шаг 2.Создание новой VLAN на коммутаторе.
Создать VLAN с именем v1 на коммутаторе и идентификатором VID
равным 2 командой “create vlan v1 tag 2”
Рисунок 61 Создание VLAN
Шаг 3. Добавить дополнительные порты в ранее сконфигурированную VLAN. Добавить порты коммутатора с 1 по 5 в VLAN v1 сделать порты
маркированными командой “config vlan v1 add tagged 1-5”
Рисунок 62 Добавление портов в VLAN
Шаг 4. Проверка правильности настройки VLAN на коммутаторе.
Рисунок 63 Просмотр информации о VLAN
Следует обратить внимание, что порты 1-5 являются членами созданной виртуальной сети, что видно по полю «Member ports», при этом они являются маркированными, поскольку указаны в списке «Current Tagged ports».
63
Коммутаторы локальных сетей D-Link
Асимметричные VLAN
С целью более эффективного использования разделяемых ресурсов, таких как серверы или Интернет-шлюзы, в программном обеспечении некоторых коммутаторов D-Link 2-го уровня реализована поддержка Asymmetric VLAN. Асимметричные виртуальные локальные сети позволяют клиентам, принадлежащих разным VLAN и не поддерживающим тегирование 802.1Q взаимодействовать с сервером (или нескольким серверам) с через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции «Асимметричные VLAN» на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции останутся полностью изолированными друг от друга. Например, асимметричные VLAN могут быть настроены таким образом, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам (см.Рисунок 64). Клиенты смогут отправлять и получать данные через порт коммутатора, подключенный к почтовому серверу, но прием и передача данных через остальные порты будет для них запрещена.
Рисунок 64 Пример использования асимметричных VLAN
Основное различие между базовым стандартом IEEE 802.1Q VLAN(или симметричными VLAN) и асимметричными VLAN заключается в том, как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако, использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении. В примере, рассмотренном выше, VLAN, созданная для порта, подключенного к почтовому серверу, имела в своем распоряжении полную таблицу адресов, таким образом, любой адрес мог быть отображен на ее порт (PVID).
64
Коммутаторы локальных сетей D-Link
При использование асимметричных VLAN существует ограничение - протокол IGMP Snooping не поддерживается.
При активизации асимметричных VLAN, уникальный PVID назначается всем портам, создавая отдельную VLAN для каждого порта. Каждый порт при этом, может получать кадры от VLAN по умолчанию. Асимметричные VLAN по умолчанию отключены.
Ниже приведены команды для конфигурирования асимметричных VLAN на коммутаторе с помощью CLI (см. Таблица 2).
|
|
Таблица 2 Команды для настройки Asymmetric VLAN |
|
|
|
|
|
Команда |
Параметры |
Описание |
|
enable asymmetric_vlan |
|
Глобально активизировать асимметричные |
|
|
|
VLAN. Уникальный PVID назначается всем |
|
|
|
портам, создавая отдельную VLAN для |
|
|
|
каждого порта. |
|
disable asymmetric_vlan |
|
Глобально отключить асимметричные VLAN. |
|
|
|
Asymmetric VLAN отключены по умолчанию |
|
show asymmetric_vlan |
|
Просмотр статуса Asymmetric VLAN |
|
65
Коммутаторы локальных сетей D-Link
Пример 1. Конфигурирование асимметричных VLAN в пределах одного коммутатора
Рисунок 65 Асимметричные VLAN в пределах одного коммутатора
VLAN V1: порты 1-8, untagged
Разделяемые серверы или Интернет-шлюз
VLAN V2: порты 9-16, untagged
Пользователи VLAN2 (рабочие станции или коммутатор)
VLAN V3: порты 17-24, untagged
Пользователи VLAN3 (рабочие станции или коммутатор)
Требуется реализовать следующую схему:
1.Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу в VLAN V1;
2.Пользователи VLAN V2 и V3 могут иметь доступ к Интернет-шлюзу для доступа к Интернет;
3.Виртуальные локальные сети V2 и V3 изолированы друг от друга.
Шаг 1. Активизировать асимметричные VLAN на коммутаторе командой
“enable asymmetric_vlan”
Рисунок 66 Включение Asymmetric VLAN
66
Коммутаторы локальных сетей D-Link
Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе командой
“show asymmetric_vlan”
Рисунок 67 Просмотр статуса Asymmetric VLAN
Шаг 3. Создание новых VLAN V2 и V3 на коммутаторе командой “create vlan”
Рисунок 68 Создание VLAN
Шаг 4. Добавить порты в созданные VLAN.
Добавить порты коммутатора с 1 по 16 в VLAN V2, добавить порты с 1-8 и 1724 в VLAN V3. Сделать порты немаркированными командой “config vlan”
Рисунок 69 Добавление портов в созданные VLAN
Шаг 5. Настроить протокол GVRP (Group VLAN Registration Protocol) на коммутаторе и включить входную фильтрацию на портах каждой VLAN
командой “config gvrp”
67
Коммутаторы локальных сетей D-Link
Рисунок 70 Конфигурирование GVRP
68
Коммутаторы локальных сетей D-Link
Пример 2. Конфигурирование асимметричных VLAN на двух автономных коммутаторах
Рисунок 71 Асимметричные VLAN в пределах двух коммутаторов
VLAN V1: коммутатор 1 порты 1-4, коммутатор 2 порты 1-4, untagged Разделяемые серверы или Интернет-шлюз
Коммутатор 1 порты 5-8, коммутатор 2 порты 5-8, tagged
Порты используются в качестве восходящих и нисходящих каналов связи с другими коммутаторами
VLAN V2: коммутатор 1 порты 9-16, коммутатор 2 порты 9-16, untagged Пользователи VLAN2 (рабочие станции или коммутатор)
VLAN V3: коммутатор 1 порты 17-24, коммутатор 2 порты 17-24, untagged
Пользователи VLAN3 (рабочие станции или коммутатор)
Требуется реализовать следующую схему:
1.Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу или Интернет-шлюзу в VLAN V1;
2.Виртуальные локальные сети V2 и V3 изолированы друг от друга.
69
Коммутаторы локальных сетей D-Link
Настройки для коммутаторов (поскольку наша схема симметрична,настройки будут идентичны на обоих коммутаторах).
Шаг 1. Активизировать асимметричные VLAN на коммутаторе командой
“enable asymmetric_vlan”
Рисунок 72 Включение Asymmetric VLAN
Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе командой
“show asymmetric_vlan”
Рисунок 73 Просмотр статуса Asymmetric VLAN
Шаг 3. Создание новых VLAN V2 и V3 на коммутаторе командой “create vlan”
Рисунок 74 Создание VLAN
Шаг 4. Сделать порты 5-8 маркированными во всех трех VLAN.
Рисунок 75 Добавление маркированных портов в VLAN
70