modified on 20 lip 2010 at 12:36 ••• 42 105 views

Interfejs/VLAN

Z MikroTik Wiki

Spis treści

Informacje Ogólne

Wstęp

VLAN jest implementacją protokołu 802.1Q VLAN dla MikroTik RouterOS. Pozwala ci mieć kilka wirtualnych sieci LAN na pojedynczym interfejsie ethernetowym lub bezprzewodowym., umożliwiając skuteczne rozdzielanie sieci LAN. Możliwa jest obsługa do 4095 interfejsów VLAN, każdy z unikalnym identyfikatorem VLAN. Można również stosować i modyfikować priorytety VLAN. Wiele routerów, włączając w to Cisco i linuksowe, oraz wiele switchy warstwy 2 używają VLAN aby włączyć obsługę kilku niezależnych sieci na tym samym fizycznym łączu.

VLAN jest logicznym grupowaniem, który pozwala użytkownikom komunikować się tak, jakby byli fizycznie połączeni do pojedynczej sieci LAN, niezależnej od fizycznej konfiguracji sieci. VLAN obsługuje dodawanie nowych wymiarów bezpieczeństwa i oszczędność kosztów, pozwalając na dzielenie fizycznej infrastruktury sieciowej i interfejsów/portów podczas logicznego utrzymywania separacji między nieskorelowanymi użytkownikami.

Specyfikacja

Wymagane pakiety: system

Wymagane licencje: level1 (ograniczenie do 1 vlan), level 3

Poziom Home menu: /interface vlan

Standardy i Technologie: VLAN (IEEE 802.1Q)

Wykorzystanie sprzętowe: nieznaczne

Opis

VLAN jest prostym sposobem grupowania zestawu portów switchy, tak że tworzą one razem sieć logiczną, oddzieloną od innych podobnych grup. Można to także rozumieć jako podział jednego switcha na kilka niezależnych części. W pojedynczym switchu jest to bezpośrednia lokalna konfiguracja. Gdy VLAN rozszerza się o więcej niż jeden switch, połączenia wewnątrz switcha stają się magistralami, w których pakiety są tagowane aby określić, do których sieci VLAN należą.

Możesz skorzystać z MikroTik RouterOS (lub z Cisco IOS, Linux lub innych systemów routingowych) aby oznaczyć te pakiety, a także aby zaakceptować i routować już oznaczone.

Jako że VLAN działa w warstwie drugiej modelu OSI, można go używać jako jakikolwiek inny interfejs sieciowy bez żadnych ograniczeń. VLAN z powodzeniem przechodzi przez zwykłe ethernetowe mostki.

Możesz także transportować sieciami VLAN przez połączenia bezprzewodowe i umieszczać kilka interfejsów VLAN na pojedynczym interfejsie bezprzewodowym. Zauważ, że VLAN nie jest pełnym protokołem tunelowym (np. nie ma dodatkowych pól aby przenosić adresy MAC nadawcy i odbiorcy), te same ograniczenia występują w mostkowaniu przez VLAN jak przy mostkowaniu prostych interfejsów bezprzewodowych.

Obsługiwane obecnie interfejsy ethernetowe

Poniżej znajduje się lista interfejsów sieciowych, na których działał i był testowany VLAN. Zauważ, że może być wiele innych interfejsów, które obsługują VLAN, ale jeszcze nie zostały one sprawdzone. Większość nowych interfejsów ethernetowych obsługuje VLAN.

  • Realtek 8139
  • Intel PRO/100
  • Intel PRO1000 server adapter
  • karty bazujące na National Semiconductor DP83816 (RouterBOARD200 onboard Ethernet, karta RouterBOARD 24)
  • National Semiconductor DP83815 (Soekris onboard Ethernet)
  • karty bazujące na VIA VT6105M (karta RouterBOARD 44)
  • VIA VT6105
  • VIA VT6105 (VIA EPIA onboard Ethernet)

Poniżej znajduje się lista interfejsów sieciowych, na których VLAN działał i był testowany, ale BEZ OBSŁUGI DUŻYCH PAKIETÓW (>1496)

  • 3Com 3c59x PCI
  • DEC 21140 (tulip)

Dodatkowe dokumenty

Ustawienia VLAN

Poziom Home menu: /interface vlan

Opis Własności

arp (disabled | enabled | proxy-arp | reply-only; domyślnie: enabled) - tryb Address Resolution Protocol

  • disabled - interfejs nie skorzysta z protokołu ARP
  • enabled - interfejs całkowicie skorzysta z protokołu ARP
  • proxy-arp - interfejs będzie pełnił funkcję proxy ARP
  • reply-only - interfejs nie będzie odpowiadał na zapytania do jego własnych adresów IP, ale zostaną zebrane adresy MAC sąsiadów

interface (name) - fizyczny interfejs do sieci, gdzie umieszczony jest VLAN

mtu (integer; domyślnie: 1500) - Maximum Transmission Unit (maksymalna jednostka transmisyjna)

name (name) - nazwa interfejsu

vlan-id (integer; domyślnie: 1) - identyfikator VLAN lub tag, używany do rozróżniania sieci. Musi być taki sam dla wszystkich komputerów które należą do tej samej sieci VLAN.

Uwagi

MTU powinno być ustawione na 1500B tak jak w interfejsie ethernetowym. Lecz może to nie działać z niektórymi kartami ethernetowymi, które nie obsługują odbioru/transmisji pełnorozmiarowych pakietów ethernetowych z dodanym nagłówkiem VLAN (1500B danych + 4B nagłówka VLAN + 14B nagłówka Ethernet). W tej sytuacji można użyć MTU 1496, lecz spowoduje to fragmentację jeśli większe pakiety będą musiały być przesłane przez interfejs. W tym samym czasie pamiętaj, że MTU 1496 może powodować problemy jeśli wykrywanie ścieżki MTU nie działa poprawnie między źródłem a odbiorcą.

Przykład

Aby dodać i uruchomić interfejs VLAN o nazwie test z vlan-id=1 na interfejsie ether1:

[admin@MikroTik] interface vlan> add name=test vlan-id=1 interface=ether1
[admin@MikroTik] interface vlan> print
Flags: X - disabled, R - running
  #    NAME                 MTU  ARP       VLAN-ID INTERFACE
  0 X  test                 1500 enabled   1       ether1
[admin@MikroTik] interface vlan> enable 0
[admin@MikroTik] interface vlan> print
Flags: X - disabled, R - running
  #    NAME                 MTU  ARP       VLAN-ID INTERFACE
  0  R test                 1500 enabled   1       ether1
[admin@MikroTik] interface vlan>

Przykład Aplikacji

Przykład sieci VLAN na routerach MikroTik

Przyjmijmy, że mamy dwa lub więcej routery MikroTik RouterOS połączone z hubem. Interfejsy fizycznej sieci, gdzie stworzona zostanie sieć VLAN to ether1 (jest to potrzebne tylko dla uproszczenia przykładu, to NIE jest konieczne).

Aby połączyć komputery przez VLAN, muszą one być połączone fizycznie, oraz powinny mieć przydzielone unikatowe adresy IP tak, żeby mogły się pingować. Następnie trzeba stworzyć na każdym z nich interfejs VLAN:

[admin@MikroTik] interface vlan> add name=test vlan-id=32 interface=ether1
[admin@MikroTik] interface vlan> print
Flags: X - disabled, R - running
  #    NAME                 MTU  ARP       VLAN-ID INTERFACE
  0  R test                 1500 enabled   32      ether1
[admin@MikroTik] interface vlan>

Jeśli interfejsy zostały utworzone, oba będą w stanie running. Jeśli komputery są połączone nieprawidłowo (przez sieć, która nie transmituje pakietów VLAN), jeden lub oba interfejsy nie będą w stanie running.

Gdy interfejs jest w stanie running, do interfejsów VLAN mogą zostać przypisane adresy IP.

W routerze 1:

[admin@MikroTik] ip address> add address=10.10.10.1/24 interface=test
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
  #   ADDRESS            NETWORK         BROADCAST      INTERFACE
  0   10.0.0.204/24      10.0.0.0        10.0.0.255     ether1
  1   10.20.0.1/24       10.20.0.0       10.20.0.255    pc1
  2   10.10.10.1/24      10.10.10.0      10.10.10.255   test
[admin@MikroTik] ip address>

W routerze 2:

[admin@MikroTik] ip address> add address=10.10.10.2/24 interface=test
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
  #   ADDRESS            NETWORK         BROADCAST      INTERFACE
  0   10.0.0.201/24      10.0.0.0        10.0.0.255     ether1
  1   10.10.10.2/24      10.10.10.0      10.10.10.255   test
[admin@MikroTik] ip address>

Jeśli wszystko jest ustawione poprawnie, możliwe jest pingowanie routera 2 z routera 1 i odwrotnie:

[admin@MikroTik] ip address> /ping 10.10.10.1
10.10.10.1 64 byte pong: ttl=255 time=3 ms
10.10.10.1 64 byte pong: ttl=255 time=4 ms
10.10.10.1 64 byte pong: ttl=255 time=10 ms
10.10.10.1 64 byte pong: ttl=255 time=5 ms
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 3/10.5/10 ms
[admin@MikroTik] ip address> /ping 10.10.10.2
10.10.10.2 64 byte pong: ttl=255 time=10 ms
10.10.10.2 64 byte pong: ttl=255 time=11 ms
10.10.10.2 64 byte pong: ttl=255 time=10 ms
10.10.10.2 64 byte pong: ttl=255 time=13 ms
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 10/11/13 ms
[admin@MikroTik] ip address>