VLAN D-Link DES-2108

Asymmetric VLAN

1) Моя версия прошивки - DES-2108_B1_5_00_18.hex. Её можно скачать с сайта dlink.ru, с их ftp-сервера. Я полгода мучал мозги думая, можно ли так сделать с этими коммутаторами и только сегодня эту прошивку обнаружил :) В ранней версии этой возможности не было и возможность появилась сравнительно недавно.

2) Перепрошиваем D-Link, если версия прошивки ниже 5.00.18.

3) Заходим c помощью WEB-конфигуратора: Configuration=>802.1Q VLAN

4) Включаем Asymmetric VLAN (ставим радиокнопку в положение Enable). Коммутатор делает нам предупреждение, но мы соглашаемся, что у нас всё станет по дефолту и продолжаем. Поэтому, если у вас были настроены другие VLAN, статичные, то сначала подумайте о том, что делаете.

5). Думаем, что у нас будет в основном VLANе, оборудование в которое будет доступно пользователям, сидящим в других VLAN. Однако, пользователи друг друга видеть не будут.

6). Создаём VLAN для общих ресурсов. Назовём его pppoe. У меня в качестве ресурса, который должен быть общедоступен для всех пользователей - терминирующая PPPoE пакеты железка, которая с помощью ADSL модема, в режиме бриджа, передаёт PPPoE пакеты в сеть. То есть любой пользователь, с помощью виндовой утилиты может создать высокоскоростное PPPoE-соединение для выхода в сеть Интернет. При этом пользователи, которые находятся на разных портах коммутатора и не видят друг для друга (по крайней мере такая задумка) . Не будут ни пинговать, ни иметь возможность заходить на машину, которая находится на другом порту коммутатора. Сделано это в целях безопасности. Но это в моём случае. В вашем случае, это может быть файловый сервер или какой-нибудь игровой сервер... В общем, у разных людей, разные задачи :)

  • Нажимаем кнопку AddVID
  • PVID: 02
  • VLAN name: pppoe

7) Вносим в этот VLAN все порты. Если в решении планируется ещё коммутаторы, то один из портов должен быть в режиме tag. Остальные untag. То есть, если представить в голове, как это будет работать, то можно подумать о том, что мы получаем несколько VLAN с общим портом или портами. При этом порт пользователя отсутствует во VLAN другого пользователя, тем самым достигается невидимость друг для друга этих самых пользователей, но они будут видеть один или несколько общих ресурсов, которые для этой цели выделены в общем VLAN. VLAN default пока не трогаем :)

8) Внизу есть кнопка: PVID settings, которая распределяет портам PVID.

9) Нажимаем кнопку PVID settings и определяем, что 1 порт находится в PVID равным 2, так как мы указали, что у VLAN с именем pppoe имеет VID 02. Для подтверждения изменений нажимаем Apply!

10). Создаём VLAN для первого пользователя. Нажимаем кнопку AddVID и даём следующие параметры:

  • VID: 03
  • VLAN name: user1

11) Помещаем порт 2 и 1 во VLAN с именем user1

12) Нажимаем кнопку PVID setting и говорим, что порт 2 будет с PVID равным 3.

13) Создаём VLANы для всех остальных портов, которые будут использоваться пользователями, соответственно: user2, user3, user4, user5, user6.

14) В PVID settings указываем каждому пользователю разные PVID, заданные при создании VLANов.

15) Ввиду того, что я буду использовать несколько коммутаторов, то один из портов делаем тэгированным и ставим ему в свойствах режим tag. Я выбрал, что 8 порт, у меня будет соединяться с портом другого коммутатора, тоже имеющим VLANы. Для того, чтобы тэгированные пакеты с одного коммутатора передались на другой, порты на обоих коммутаторах должны быть в режиме tag. VID я обозвал uplink, как когда-то такой порт назывался на хабе :)

То есть получаем:

  • 1 порт: VLAN pppoe:PVID=02: untag - 1, 2, 3, 4, 5, 6, 7: tag - 8
  • 2 порт: VLAN user1:PVID=03: untag - 1, 2
  • 3 порт: VLAN user2:PVID=04: untag - 1, 3
  • 4 порт: VLAN user3:PVID=05: untag - 1, 4
  • 5 порт: VLAN user4:PVID=06: untag - 1, 5
  • 6 порт: VLAN user5:PVID=07: untag - 1, 6
  • 7 порт: VLAN user6:PVID=08: untag - 1, 7
  • 8 порт: VLAN uplink:PVID=09: tag - 8

16) После того, как в PVID settings портам присвоен PVID, удаляем из VLAN default (если там ничего не требуется...по крайней мере в нашем случае он будет не нужен) все порты, в нём задействованные по умолчанию с завода.

17) На этом, настройка одного коммутатора закончена :) Но мы хотим, чтобы у нас было два. Я думаю, что после всех настроек, целесообразно будет перезапустить его...то есть обесточить, и заново включить. После этого можно приступать к настройке второго. То есть, мы хотим, чтобы с другого коммутатора второго уровня, также DES-2108, хотя в принципе, это неважно, какой коммутатор, главное, чтобы уровень был не ниже, пробросить такие VLAN, чтобы пользователи, находящиеся на портах этого свитча, имели возможность доступа только к выделенным ресурсам и не имели возможность общаться между собой.

18) Итак, приступаем к настройке.

19) Первым делом создаём VLANы. Их PVID должен отличаться от тех, которые мы завели на первом коммутаторе. Однако, первоначально мы должны создать такой VLAN, который у нас есть на первом коммутаторе и предназначен для общих ресурсов с одним отличием, что один порт в этом VLAN - тэгированный (чтобы коммутаторы могли соединиться и передавать тэгированные пакеты). Он у нас называется pppoe. Итак, настраиваем:

  • 1 порт: VLAN pppoe:PVID=02: untag - 2, 3, 4, 5, 6, 7, 8: tag - 1

То есть, мы говорим свитчу, что во VLAN pppoe будут передаваться пакеты с портов 1, 2, 3, 4, 5, 6, 7 и 8. Один мы оставляем под передачу тэгированных пакетов - это порт 1. Я бы хотел взять в расчёт ещё один тэгированный порт, так как подразумеваю, что будет ещё один коммутатор, но пока не буду этого делать, так как на столе лежат два коммутатора :)

20) Я продолжил по порядку и у меня получилось следующее (полный список). Составляются они аналогично тому, как мы делали на первом коммутаторе:

  • 1 порт: VLAN pppoe:PVID=02: untag - 2, 3, 4, 5, 6, 7, 8 : tag - 1
  • 2 порт: VLAN user7:PVID=10: untag - 2 : tag -1
  • 3 порт: VLAN user8:PVID=11: untag - 3 : tag -1
  • 4 порт: VLAN user9:PVID=12: untag - 4 : tag - 1
  • 5 порт: VLAN user10:PVID=13: untag - 5 : tag - 1
  • 6 порт: VLAN user11:PVID=14: untag - 6 : tag - 1
  • 7 порт: VLAN user12:PVID=15: untag - 7 : tag - 1
  • 8 порт: VLAN user13:PVID=16: untag - 8 : tag - 1

21) После того, как мы всё настроили на втором коммутаторе, возвращаемся к первому. Зачем это нужно? А нужно это для того, чтобы на первом коммутаторе настроить VLAN, которые есть на втором. Он у нас будет, чем-то похожим на транзитный мост, между вторым коммутатором и портом, куда выведены общие ресурсы. Сам смысл передачи тэгированных пакетов заключается в том, что к кадру добавляется заголовок, где находится информация об имени VLAN. То есть на втором свитче кадры инкапсулируются и им добавляется заголовок.

Собственно, если подключиться к порту, которому присвоен режим tag, то простым свитчём ничего прослушать будет нельзя, равно как и работать по сети. На другом коммутаторе, также должен быть порт, в режиме tag, чтобы он мог деинкапсулировать эти пакеты, то есть расшифровывать и раздать по портам, которые указаны в теле кадра, кому он предназначен. В общем, в этом весь и смысл...по крайней мере я так понимаю. Хотя, конечно может я неправильно что-то представляю в своей голове, но у меня работает :)

22) Итак, настраиваем первый коммутатор. У нас получаются такие настройки, с учётом того, что на втором коммутаторе я настроил всех пользователей по порядку:

  • 1 порт: VLAN pppoe : PVID=02 : untag -1, 2, 3, 4, 5, 6, 7 : tag - 8
  • 2 порт: VLAN user1 : PVID=03 : untag - 1, 2
  • 3 порт: VLAN user2 : PVID=04 : untag - 1, 3
  • 4 порт: VLAN user3 : PVID=05 : untag -1, 4
  • 5 порт: VLAN user4 : PVID=06 : untag - 1, 5
  • 6 порт: VLAN user5 : PVID=07 : untag - 1, 6
  • 7 порт: VLAN user6 : PVID=08 : untag - 1, 7
  • 8 порт: VLAN uplink : PVID=09 : tag - 8
  • нет порта: VLAN user7 : PVID=10 : untag - 1, tag 8
  • нет порта: VLAN user8 : PVID=11 : untag - 1, tag 8
  • нет порта: VLAN user9 : PVID=12 : untag - 1, tag 8
  • нет порта: VLAN user10 : PVID=13 : untag - 1, tag 8
  • нет порта: VLAN user11 : PVID=14 : untag - 1, tag 8
  • нет порта: VLAN user12 : PVID=15 : untag - 1, tag 8
  • нет порта: VLAN user13 : PVID=16 : untag - 1, tag 8

23) VLAN default можно опустошить от портов :) Удалить это VLAN не получиться, но ообходится без него, вполне по силам.

24) Согласно техническим характеристикам, с помощью коммутаторов D-Link DES-2108 можно пробросить до 64 VLAN (указано в описании на прошивку). На этом их ресурс ограничевается. Плохо или это хорошо, решать не мне, но если нужно больше VLAN, то требуется использовать железку по мощней.

25) Собственно говоря, на этом всё. Можно ещё оставить создать VLAN для себя и сделать себе сеть, чтобы иметь возможность только вам контролировать эти свитчи. Это достигается с помощью пункта 802.1Q Management VLAN. То есть службеный VLAN, для управления коммутаторами. Настраивается всё в точности также, как и было описано, только его придётся прогнать дальше и железяка на первом порту должна тоже быть во VLAN. Либо можно использовать какой-то из портом коммутаторов, которые мы настраивали - не суть важно. Собственно, на этом всё.

Успехов в настройке :)




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика