Как повесить iptv на один vlan
Перейти к содержимому

Как повесить iptv на один vlan

  • автор:

Как объединить два источника (2 vlan) IPTV в один vlan, для трансляции абонентам, используя Cisco Catalyst 2960?

Существует небольшая сеть по которой в vlan вещается iptv абонентам. Появилась необходимость принять некоторое количество каналов от другого источника и направить этот поток в существующий vlan.
В сети в основном используются коммутаторы D-Link des 1228me. Также в распоряжении имеем cisco catalyst 2960 который можем при необходимости заменить на cisco catalyst 3560.

upd: Также появилась возможность использовать для этих целей Cisco 10000.

По возможности, опишите решение максимально подробно. Заранее спасибо!

c25081dcedeb4ed189b54e21cb022c52.JPG

Приблизительная топология сети приведена ниже:

  • Вопрос задан более трёх лет назад
  • 4962 просмотра

1 комментарий

Оценить 1 комментарий

vvpoloskin

Валентин @vvpoloskin Куратор тега Сетевое администрирование

Для твоих целей пофиг, что 10000, что 3750. Главное, чтоб мультикаст маршрутизировать умели (pim). А так. уже все описали, в каком направлении делать.

Решения вопроса 0
Ответы на вопрос 3
Почитайте про MVR.
На 3560 с лицензией IP Base нет PIM.
Ответ написан более трёх лет назад
Комментировать
Нравится 2 Комментировать

karabanov

Системный администратор

«Нужон» мультикат роутер который умеет PIM (cisco catalyst 3560 похоже умеет) он будет получать мультикаст с двух (трёх, четырех и т.д.) источников и отправлять в сеть.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать

vvpoloskin

Валентин @vvpoloskin Куратор тега Сетевое администрирование
Инженер связи

Я могу навскидку предложить несколько решений, но они потребуют наличия как минимум одного L3 свича. Он нужен как минимум для смешивания трафика (маршрутов) с разных вланов
1) самый правильный — все вланы с мультикастом проходят через L3 свич, на нем вы запрещаете (acl, igmp filter) определенные группы с нужного влана
2) самый масштабируемый — на L3-свиче заходят все вланы и поднимается PIM, явно указываются маршруты для групп (ip mroute static)
3) самый сказочный — клиенты используют igmp v3 с явным указанием источника
4) самый дебильный, но не требующий никакого другого оборудования — все каналы в одном влане, а на клиентских портах висят acl на нужные src-dst адреса. Впрочем, такие же acl можно повесить на порты, к которым подключены источники мультикаста

Настройка IPTV от Ростелеком на роутерах MikroTik

В свое время когда я купил роутер MikroTik, передо мной кроме базовой настройки инета встала задача обеспечить работу IPTV, до того момента у меня был установленный Ростелекомом D-link. Сама базовая настройка инета на микротике заняла у меня примерно 10 минут, а вот с IPTV пришлось повозиться. Все мануалы прочитанные мной тогда не учитывали многих моментов, до которых я дошел расковыряв настройки многострадального D-link-а и без которых работать в данной схеме ТВ нормально не будет. В этой статье я хочу обозначить полученную мной универсальную инструкцию в данной ситуации.

В первую очередь обновим прошивку до последней. Подключаемся к нашему роутеру через Winbox, идем в [System]->[Packages] -> [Check for updates]. Если вышла более новая версия Routeros чем установлена у вас на девайсе, жмем Download & Install после чего новая версия будет скачана и маршрутизатор уйдет в перезагрузку.

image

После выполнения данных действий идем сюда и выбираем пакеты которые нужно загрузить для вашего устройства, в моем случае это haP series и выбираю я extra packages для текущей версии (6.43.4 на момент написания статьи).

image

Будет скачан архив из которого нужно будет распаковать файл multicast, открыть в winbox пункт files и перетащить распакованный нами файл прямо туда. После чего необходимо перезагрузить наш маршрутизатор ( идем в [System]->[Reboot]).

image

После перезагрузки в разделе Routing должен появиться пункт IGMP Proxy, если этого не произошло проверяем прошлые шаги — нужный ли пакет мы ставили ( для того ли девайса скачали, версии прошивки). В случае успеха идем дальше.

image

В IGMP Proxy на первой вкладке щелкаем знак [+] для создания так называемого Upstream. В пункте interface выбираем порт куда у нас вставлен шнур от провайдера, даже в случае если вы у вас используется PPPoE соединение выбираем именно физический порт, это очень важный момент. Помечаем галочку Upstream и в Alternative Subnets выставляем 0.0.0.0/0 и жмем Ок. Создаем второе правило для Downstream. В interface выбираем All, галочку upstream не ставим, больше никаких действий тут не требуется, просто жмем ок и все.

Следующим шагом будет настройка файрвола. Идем в [IP]->[Firewall] и [+], cоздаем новое правило Chain->forward, protocol->udp, In interface-> ether1 (порт, в который подключен кабель провайдера). Action->accept.

image

Создаем второе правило для IGMP. Цепочка также остается forward, protocol-> igmp, In interface-> ether1, Action->accept. Перетаскиваем созданные правила выше запрещающих.

Далее нужно блокировать прохождение мультикаст — траффика в беспроводную сеть. Идем в [Bridge] ->вкладка Filters -> [+]. Выбираем цепочку Output, out. Interface -> wlan1 то есть нашу нужную беспроводную сеть. На вкладке Advanced в packet type выбираем multicast а на вкладке Action назначаем действие drop, то есть запрет. Не забываем нажать ок чтобы сохранить настройки.

image

image

image

И тут пожалуй настает самый важный момент, если у вас интернет подключение идет через PPPoE, то необходимо на физический интерфейс куда подключен кабель от провайдера добавить айпишник 1.0.0.1 с маской 30 бит. В этом кстати, и заключалась проблема когда я первый раз настраивал микротик, без этого айпишника ничего не работало, а то что именно его нужно вбить я выяснил открыв настройки D-link-а. Идем в [IP]->[Adresses] и [+] и добавляем следующие настройки. В случае если используется прямое подключение без поднятия каких-либо тоннелей ( называют — IPoE), то предыдущих действий будет достаточно и данный пункт пропускаем.

image

Обращаю внимание на очень важный момент, после всех проделанных действий необходимо перезагрузить приставку если она была у вас включена и уже потом проверять результат настроек. В случае возникновения проблем в первую очередь советую проверить правила в файрволе.

У оператора может также быть задействована схема с использованием VLAN, в таком случае нужно на порту в который у вас подключен шнур от провайдера создать саб-интерфейс с vlan-ом передающим iptv, выяснить его номер можно попробовать через техподдержку. Идем в [interfaces]->[VLAN] и нажимаем [+] для создания нового, указываем его имя, оно не принципиально и нужно нам для удобства администрирования, VLAN ID же нужно указывать тот который дает провайдер, к примеру возьмем 234 и в interface порт в который подключен кабель провайдера. Жмем ОК.

image

Затем создаем новый бридж и добавляем туда созданный VLAN и порт в который подключена ваша приставка, предварительно этот порт нужно удалить из другого бриджа если он в каком либо задействован.

image

image

В свойствах самого бриджа рекомендую выставить STP в none при возникновении проблем.

В принципе я описал достаточно подробную инструкцию по данной теме. На этом все. Если есть какие либо вопросы и замечания пишите в комменты, готов ответить.

  • iptv
  • mikrotik
  • компьютерные сети
  • системное администрирование

Как повесить iptv на один vlan

Atheros AR9132-BC1E 400 МГц, контроллер Ethernet RTL8366RB, контроллер WLAN Atheros AR9103.

Самое простое решение это сделать зеркало WAN порта на LAN порт к которому подключена STB приставка, это элемнтарно на базе Ralink, но у вас оборудование на Atheros с ним немного по другому или вообще никак. Смотрите раздел Atheros http://www.dd-wrt.com/phpBB2/viewtopic.php?t=87524 или http://www.dd-wrt.com/phpBB2/viewtopic.php?t=149611
По второй ссылке имеется ввиду TP-Link WR1043ND V 1.8 и желательно на последнем ПО, там всего две команды

swconfig dev rtl8366rb vlan 1 set ports «0 1 2 3 5t»
swconfig dev rtl8366rb vlan 2 set ports «4 5t»

только можно попробовать например LAN включить в vlan2 где есть WAN

hardimpulse wrote:
Ап темы.
Всё это время,конечно, не сидел сложа руки.
Пробовал отключить бридж в настройках вафли( я так понимаю, мост с WAN на br0) И отключить мультикаст траффик. Не помогает, отваливается инет. Неужели никто помочь не может?
Может хотя бы кто напишет команды для того чтобы интерфейсы в разные вланы загнать?

Atheros AR9132-BC1E 400 МГц, контроллер Ethernet RTL8366RB, контроллер WLAN Atheros AR9103.

Самое простое решение это сделать зеркало WAN порта на LAN порт к которому подключена STB приставка, это элемнтарно на базе Ralink, но у вас оборудование на Atheros с ним немного по другому или вообще никак. Смотрите раздел Atheros http://www.dd-wrt.com/phpBB2/viewtopic.php?t=87524 или http://www.dd-wrt.com/phpBB2/viewtopic.php?t=149611
По второй ссылке имеется ввиду TP-Link WR1043ND V 1.8 и желательно на последнем ПО, там всего две команды

swconfig dev rtl8366rb vlan 1 set ports «0 1 2 3 5t»
swconfig dev rtl8366rb vlan 2 set ports «4 5t»

только можно попробовать например LAN включить в vlan2 где есть WAN

Posted: Fri Aug 09, 2013 16:03 Post subject:
hardimpulse
Что пробовали, зеркальный порт из LAN?

vasek00 wrote:
hardimpulse
Что пробовали, зеркальный порт из LAN?

Попробовал загнать в разные вланы порты.Вот этой командой:

Code:
swconfig dev rtl8366rb vlan 1 set ports «0 1 2 3 5t»
swconfig dev rtl8366rb vlan 2 set ports «4 5t»
hardimpulse wrote:
Попробовал загнать в разные вланы порты.Вот этой командой:
Code:
swconfig dev rtl8366rb vlan 1 set ports «0 1 2 3 5t»
swconfig dev rtl8366rb vlan 2 set ports «4 5t»

Первое посмотрите как у вас по умолчанию после загрузки:

Code:
swconfig dev rtl8366rb show

Там смотрите надпись port и соответствие ему pvid (pvid1 -vlan1, pvid2 -vlan2)

Потом читать ссылки не хотим, а там вообще то по умолчанию в nvram по default:

Code:
vlan0ports=1 2 3 4 5*
vlan1ports=0 5

Где 1,2,3,4 — нумерация портов LAN, а 0 нумерация WAN
Что лечили не знаю, для прошивки надо было 1 порт загнать к WAN в vlan2, получите схему по портам:
vlan2 — 0,1 (WAN и LAN1)
vlan1 — 2,3,4 (LAN2-LAN4)
должно быть:

Code:
swconfig dev rtl8366rb vlan 1 set ports «2 3 4 5t»
swconfig dev rtl8366rb vlan 2 set ports «0 1 5t»
vasek00 wrote:
Первое посмотрите как у вас по умолчанию после загрузки:
Code:
swconfig dev rtl8366rb show

Там смотрите надпись port и соответствие ему pvid (pvid1 -vlan1, pvid2 -vlan2)

Потом читать ссылки не хотим, а там вообще то по умолчанию в nvram по default:

Code:
vlan0ports=1 2 3 4 5*
vlan1ports=0 5

Где 1,2,3,4 — нумерация портов LAN, а 0 нумерация WAN
Что лечили не знаю, для прошивки надо было 1 порт загнать к WAN в vlan2, получите схему по портам:
vlan2 — 0,1 (WAN и LAN1)
vlan1 — 2,3,4 (LAN2-LAN4)
должно быть:

Code:
swconfig dev rtl8366rb vlan 1 set ports «2 3 4 5t»
swconfig dev rtl8366rb vlan 2 set ports «0 1 5t»
hardimpulse wrote:
По умолчанию стандарт, т.е.
vlan 1 — 1 2 3 4 5t
vlan 2 — 0 5t
Если теперь сажаю стбшный порт с WANом в отдельный влан,влан2, стб не получает айпишник.Пробовал прописывать туда вручную айпи из подсети роутера,не помогает, не коннектица к серверу.При дефолтных настройках влана стб работает норм.

1.Покажите после перевода команду

Code:
swconfig dev rtl8366rb show

2.Для мультикаста IP по барабану, хоть если назначите 1.1.1.1, по DHCP если приставка не получила IP от DHCP сервера она автоматом присвоит ему IP из сетки 169.254.x.x, даже этого должно было хватить.
Если у вас IPTV это не под паролем, и не привязано на MAC или еще как то, то все что имеете на WAN порту от провайдера это все должно быть и на LAN1
3.IP из под сети роутера не как не может быть, там могут быть IP только провайдера или для мультикаста любой другой, если IPTV без заморочек от провайдера.
4.При деф.настройках приставка у вас получила IP от роутера, а так как в новой настройки его нет вывод — не работает конфигурация портов. Вывод проблема с командами для вырезания LAN1 и включение его в WAN порт, проверьте нумерацию попробуйте подключить кабель в порт с номером LAN4.
5.Возможно придется сменить параметры в nvram для конфигурации портов это параметры:

Code:
nvram set vlan0ports=»2 3 4 5t»
nvram set vlan1ports=»0 1 5″
nvram set port1vlans=»1″

у port0vlans=1
6.Подключите для проверки приставку к кабелю от провайдера, что получилось?

hardimpulse wrote:
Мультикаст в файрволле выключил. Пробовал включить, не помогло, все-равно СТБ айпи не хочет получать.

файрволл оказывает влияние например мультикаста только на проход с WAN порта в LAN порты, но из варианта выше LAN1 уже нет он имеет наименование второго WAN и включение отключение файрволл на мультикаст не имеет значения.
Даже кабель от провайдера можно переключить для проверки в LAN1, если не получается то проблема см. выше как раз с вырезанием порта.

hardimpulse wrote:
P.S. Если у WLAN отдельный интерфейс, можно ли его загнать в тот же влан что и порты 1 2 3 4 в дефолте? Просто отключить бридж режим в WEB интерфейсе(я так понимаю, он как раз и создает свой влан,куда включает WAN и WLAN интерфейсы) и запилить интерфейс WLAN в тот же влан 1, в котором находятся все порты, отключив предварительно мультикаст вещание в настройках WLAN в WEB? Может решить проблему?
vasek00 wrote:
Что вы имеете в виду под WLAN?
hardimpulse wrote:
Под WLAN я имею ввиду именно интерфейс ath0, через который летают пакеты по вафле.
Как реализована в DD-WRT связь ath0 и WAN? отдельный vlan, в который заведены ath0 и 5t?
В таком случае, не будет ли решением проблемы просто заведение ath0 в влан с портами 1 2 3 4 ?
Просто если по портам 1 2 3 доступ есть при работающем STB, и по вафле будет доступ?
Или всё-же тут проблема именно с некорректным взаимодействием UDP пакетов и технологии WiFi?
Остальные ваши рекомендации попробую, как буду дома, просто поставлю PuTTY и скопирую данные оттуда, чтоб вам легче было

В dd-wrt — wi-fi интерфейс (как и во многих роутерах) находится в мосту с LAN портами и имеет название br0, т.е. в настройках имеем :
br0 = ath0 + vlan1, имеет IP присвоенный как 192.168.1.1.
ath0 — сетевой интерфейс wi-fi, не имеет IP.
vlan1 — сетевой интерфейс LAN1-LAN4 (порты 0-3), не имеет IP.
vlan2 — сетевой интерфейс WAN порта, настраивается через WEB.
Из постов выше получаем:
vlan 1 set ports «0 1 2 3 5t»
vlan 2 set ports «4 5t»

Основные интерфейсы (br0 и vlan2, интернет ppp) взаимодействуют между собой через правила описанные iptables.

Мультикаст трафик (udp пакеты) с WAN порта (сетевой интерфейс ppp или vlan2) может фильтроваться — настройки через WEB.

Вам предлагалось сделать пере конфигурацию vlan2 добавив в него порт LAN1, тогда получается:
br0 = ath0 + vlan1, имеет IP.
ath0 — сетевой интерфейс wi-fi, не имеет IP.
vlan1 — сетевой интерфейс LAN2-LAN4 (порты 1-3), не имеет IP.
vlan2 — сетевой интерфейс WAN порта + порт LAN1, т.е. два порта с функцией WAN, все что есть на порту WAN должно быть на порту LAN1, транзитом.

Второе.
Для про броски пакетов мультикаста udp в wi-fi порт используется программа udpxy переводя пакеты udp в пакеты http. Самое главное тут это то что br0 = ath0+vlan1, команда запуска:

Code:
udpxy -p 82 -M 30 -B 1Mb -a 192.168.х.х
Posted: Mon Sep 02, 2013 7:38 Post subject:
В общем, посоветовался с админом нашей сетки по своему вопросу. ИПТВ у нас,оказывается, с авторизацией. Т.е. зеркальный порт с WAN не получится. Собсна, получил такой совет от админа: в файрволле запретить кидать пакеты мульткаста на WiFi интерфейс. Где можно найти гайд по управлению файрволлом через телнет(или через веб интерфейс, в командах)? И спросить хотел у вас, поможет ли это?
hardimpulse wrote:
В общем, посоветовался с админом нашей сетки по своему вопросу. ИПТВ у нас,оказывается, с авторизацией. Т.е. зеркальный порт с WAN не получится. Собсна, получил такой совет от админа: в файрволле запретить кидать пакеты мульткаста на WiFi интерфейс. Где можно найти гайд по управлению файрволлом через телнет(или через веб интерфейс, в командах)? И спросить хотел у вас, поможет ли это?

На wi-fi трафик и так не пойдет, если только не использовать команду:

Code:
udpxy -p 82 -M 30 -B 1Mb -a 192.168.х.х
Posted: Thu Sep 05, 2013 12:59 Post subject:
К вопросу настройки IPTV, на днях буду стучать в бубен при попытках настроить свой роутер с прошивкой WRT.
По результатам отпишусь. Кстати нашел тут кое-что интересное по этому вопросу, может кому поможет:
http://justpc.ru/manuals/nastrojka-dd-wrt.html
Posted: Sun Nov 09, 2014 19:25 Post subject:
Помогите настроить 4-й порт роутера для просмотра IPTV при помощи STB приставки.
сейчас настроийки такие
Code:
nvram show | grep vlan.*ports
vlan2ports=0 8u
vlan1ports=1 2 3 4 8*

поменял на

Code:
nvram set vlan2ports=»0 4 8u»
nvram set vlan1ports=»1 2 3 8*»
nvram commit
reboot

Как я понимаю, то поменял только настройки портов, а еще требуется поменять конфигурацию свича командой swconfig. Однако такая команда не найдена,

Code:
rotax@RT-AC66U:/# swconfig
-sh: swconfig: not found

я правильно понимаю, что необходимо установить какой то пакет? если да, то из какого репозитария?
И еще вопрос как посмотреть к какому девайсу ее применять?

Code:
swconfig dev xxxxxxxx vlan 2 set ports «0 4 8u»
DD-WRT Forum Index -> Использование и установка DD-WRT All times are GMT

VLAN для чайников

VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То есть, VLAN можно настроить на коммутаторе второго уровня. Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны виланы?

  • Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
  • Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
  • Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
  • Возможность применять политики на группу устройств, которые находятся в одном вилане.
  • Возможность использовать виртуальные интерфейсы для маршрутизации.

Примеры использования VLAN

  • Объединение в единую сеть компьютеров, подключенных к разным коммутаторам. Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

  • Разделение в разные подсети компьютеров, подключенных к одному коммутатору. На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.

  • Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия. На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.

Достоинства использования VLAN

  • Гибкое разделение устройств на группы
  • Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
  • Уменьшение широковещательного трафика в сети
  • Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
  • Увеличение безопасности и управляемости сети
  • В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
  • Уменьшение количества оборудования и сетевого кабеля
  • Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

Тэгированные и нетэгированные порты

Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).

Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve) мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов – тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).

Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

Межвлановская маршрутизация

Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что:

  • Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном VLAN, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том VLAN, котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
  • Мы можем поместить в VLAN несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены VLAN, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего VLAN он должен маршрутизировать.
  • Очень удобно между первым и третьим уровнями использовать второй уровень в виде VLAN. Удобно подсети помечать как VLAN с определенными интерфейсами. Удобно настроить один VLANн и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть VLAN.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *