Довольно сложно описать функционал VLAN без использования транков. Благодаря виланам можно контролировать и сегментировать широковещательные запросы в сети. Транкинг VLAN позволяет передавать маркированный трафик между разными сегментами сети, сконфигурированными с помощью VLAN.

Благодаря транкам обеспечивается связь точка-точка между двумя сетевыми устройствами, к которых подключены устройства из более, чем одного VLAN сегмента. С помощью trunk соединений VLAN вы можете распространить VLAN настройки по всей сети. Большинство коммутаторов поддерживают протокол IEEE 802.1Q.

Настраиваем VLAN – пример 1 – магистральные (trunk) порты и порты доступа (access)

Роутерборды с чипами коммутации Atheros могут быть использованы для 802.1Q Trunking.
В данном примере ether3, ether4 и ether5 интерфейсы портов доступа (access), в то время как ether2 является магистральным портом (trunk). Идентификаторы VLAN для каждого порта доступа: ether3 – 200, ether4 – 300, ether5 – 400.

  • Создадим группу портов коммутации выбрав один мастер-порт и назначая его остальным:
/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2
  • Добавим записи в таблицу VLAN для коммутации кадров с определенными VLAN-идентификаторами между портами:
/interface ethernet switch vlan
add ports=ether2,ether3 switch=switch1 vlan-id=200
add ports=ether2,ether4 switch=switch1 vlan-id=300
add ports=ether2,ether5 switch=switch1 vlan-id=400
  • Назначим “vlan-mode” и “vlan-header” для каждого порта, а также “default-vlan-id” на входе для каждого порта доступа:

Параметр “vlan-mode=secure” обеспечивает точное следование таблице VLAN.
Параметр “vlan-header=always-strip” для портов доступа убирает заголовок VLAN из кадра когда он покидает чип коммутации.
Параметр “vlan-header=add-if-missing” для магистрального порта добавляет заголовок VLAN к немаркированным кадрам.
Параметр “Default-vlan-id” определяет какой VLAN ID добавляется к немаркированному входящему трафику для порта доступа.

/interface ethernet switch port
set ether2 vlan-mode=secure vlan-header=add-if-missing
set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200
set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300
set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400

Настраиваем VLAN – пример 2 – магистральные (trunk) порты и гибридные порты доступа (hybrid)

Гибридные порты VLAN, которые могут пересылать как маркированный, так и немаркированный трафик поддерживаются только некоторыми гигабитными чипами коммутации (QCA8337, AR8327)

MikroTik VLAN

  • Создать группу коммутируемых портов:
/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2
  • Добавим записи в таблицу VLAN для разрешения коммутации между портами кадров с определенными VLAN идентификаторами:
/interface ethernet switch vlan
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=200
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=300
add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=400
  • В меню настройки коммутатора задайте параметр “vlan-mode” на всех портах, для гибридных портов — “default-vlan-id”:

Параметр “Vlan-mode=secure” обеспечит строгое следование таблице VLAN.
Параметр “Default-vlan-id” определит VLAN на порту для немаркированного входящего трафика.
Для гигабитных чипов коммутации использование параметра “vlan-mode=secure” позволяет игнорировать параметр “vlan-header”. Элементы таблицы VLAN  управляют процессом маркирования исходящего трафика и работают на всех портах как “vlan-header=leave-as-is”.
Это означает, что приходящий маркированный трафик уходит также маркированным, только кадры с параметром “default-vlan-id” демаркируются на выходе из порта.

/interface ethernet switch port
set ether2 vlan-mode=secure
set ether3 vlan-mode=secure default-vlan-id=200
set ether4 vlan-mode=secure default-vlan-id=300
set ether5 vlan-mode=secure default-vlan-id=400

Управление IP конфигурацией

В этом примере мы разберем одну из возможных конфигураций управляющего IP-адреса. Управляющий IP будет доступен только через магистральный порт, и он будет иметь отдельный VLAN с идентификатором 99.

  • Добавьте запись в таблицу VLAN для разрешения управляющего трафика через порт процессор-коммутатор (switch-cpu) и магистрального порта (trunk):
/interface ethernet switch vlan
add ports=ether2,switch1-cpu switch=switch1 vlan-id=99
  • Настройте порт, который соединяет коммутатор-чип с CPU, установите параметр “vlan-header=leave-as-is”, потому что трафик управления уже должен быть маркирован.
/interface ethernet switch port
set switch1-cpu vlan-mode=secure vlan-header=leave-as-is
  • Добавьте VLAN 99 и присвойте ему IP-адрес. Так как мастер-порт получает весь трафик, поступающий от switch-cpu порта, VLAN должен быть настроен для мастер-порта, в данном случае “ether2”.
/interface vlan
add name=vlan99 vlan-id=99 interface=ether2
/ip address
add address=192.168.88.1/24 interface=vlan99 network=192.168.88.0

Протокол Spanning Tree

Начиная с RouterOS v6.38 Роутерборды поддерживают протоколы Spanning Tree, на портах сконфигурированных для коммутации с помощью аппаратной коммутации. Чтобы включить эту функцию создайте интерфейс моста и добавьте мастер-порт к нему.

  • Создать группу коммутируемых портов
/interface ethernet
set ether2 master-port=ether1
set ether3 master-port=ether1
set ether4 master-port=ether1
  • Создайте интерфейс моста и добавьте мастер-порт к нему
/interface bridge add name=bridge1 protocol=rstp

/interface bridge port add bridge=bridge1 interface=ether1
  • Ведомые порты динамически добавляются к мосту только для отображения состояния STP. Пересылка через коммутируемые порты все еще обрабатывается с помощью аппаратного коммутатора.
[rimskiy@14bytes.ru_] > /interface bridge port print 
Flags: X - disabled, I - inactive, D - dynamic 
 #    INTERFACE           BRIDGE           PRIORITY  PATH-COST    HORIZON
 0    ether1              bridge1              0x80         10       none
 1 ID ether2              bridge1              0x80         10       none
 2  D ether3              bridge1              0x80         10       none
 3  D ether4              bridge1              0x80         10       none

Читать далее

Mikrotik – настраиваем VLAN (trunk, access и hybrid порты) и STP
Метки:            
Adblock detector