Co je VLAN ?
17.04.2020
Lze představit jako virtuální linky po existujících fyzických linkách (ethernet nebo optické připojení).
Po jedné fyzické lince je možné provozovat až tisíce virtuálních linek.
Druhy VLAN
Netagovaná vlana
- Na každém portu switche může být pouze 1
- Na klientskem zařizení není potřeba provádět žádná nastavení, pokud je připojen do portu s netagovanou vlanou
- Pokud přichozí paket není označen tagem, defaultně spadá vždy do vlany, která je na portu nastavená jako netagovaná
- Netagovana vlan musí být zaroveň zadaná ve switchi v polozce PVID, aby switch vědel, do které vlan má zařadit neoznacené pakety na portu
Tagovaná vlana
- Na každém portu switche může být více tagovaných vlan, dokonce je možné kombinovat s jednou netagovanou vlanou
- Každy paket je označen značkou (tagem), aby switch věděl o jeho přislušnosti ke konkretní vlane
- Každé zařizení, které má pracovat s tagovanou vlanou nejprve musí své pakety označit značkou, do které vlany pakety maji být zařazeny, jinak je switch v závislosti na nastavení portu buď zařadí do netagované vlany, nebo paket zahodí.
Každou VLANu označujeme číslem od 1 do 4092.
Cislo VLAN 1 je výchozí VLAN; defaultně všechny porty; nelze smazat ani menit
Při nastavení VLANy na portu switche rozeznáváme 3 druhy nastavení portu:
nastaveni portu vyznam
ACCESS - Na portu je pouze 1 netagovaná VLAN
- Nelze použivat více vlan, všechny pakety jsou zařazeny do vlany, nastavené na portu
- Použivá se např. na portech k ubiquiti, k zákazníkům apod.
- PVID portu musíme nastavit na čislo netagované vlany
GENERAL (HYBRID) - Na portu je povolena ! 1 netagovana VLAN a libovolny pocet tagovanych VLAN
- Která VLAN je na portu tagovaná a která netagovaná je potrřba specifikovat v dalším nastavení switche
- Použivá se např. na portech, kam je zapojen router - management sít je vetšinou netagovana a ostatní linky pak tagovany
- PVID musíme nastavit na čislo netagovane vlany
- Někdy muže být tato možnost také označena jako HYBRID
TRUNK - Na portu jsou povoleny pouze tagovane vlany
- Pakety, které na port dorazí a nejsou opatřeny správnou značkou jsou zahozeny
- Použivá se např. na propojeni switchu různych síti apod.
- Nastaveni PVID se v tomto připade ignoruje
Poznámka: některé switche toto rozdělení nerespektují a umožnují pouze nastavit, jestli je VLAN tagovaná nebo netagovaná. Pokud chceme na portech akceptovat pouze tagovane vlany - tj. pouzivat TRUNK - je nutné ve switchi hledat volbu odpovídající volbu (napr. untag frame = drop atd.)
Pravidla pro přidělování VLAN
V rámci jednoho routeru/routerů, kam vedou připojené linky musí být číslo vlan unikátní.
Stejné číslo vlan musí být stejné na obou stranách spoje (např. u bezdrátových linek apod.)
Pokud na portu nastavujeme netagovanou vlan, je nutné zaroveň specifikovat i PVID - uvádíme stejné číslo, jako je číslo zamýšlené netagované vlan - PVID říká switchi, že všechny pakety, které na něj přijdou bez značky označí automaticky značkou vlany, uvedené v PVID. Pokud zapomenete nastavit PVID na portu, nebude netagovana vlan na portu fungovat
Defaultně necháváme VLAN 1 jako management vlan a tudíž na některých portech najdete stále defaultní 1 jako netagovanou. Veškerý ostatní provoz je přesunut do jiných VLANu.
Dejte pozor, aby jste sít při nastavení vlan někde špatně nezakruhovali. VLANy se chovaji stejně, jako když zapojujete fyzické kabely, takze pokud s vlanem udělate neco podobneho jako ze propojite dva switche dv2ma fyzickýma kabelama, dojde k zahlcení celé sítě
Pokud vlanu na daném portu ji6 nepotřebujete, např. tím ze se linka zrušila nebo někam přesunula, tak zrušte nastavení na switchi, připadne zrušte celou vlan i na routeru.
Nastavení dokumentujte.
VLAN musíte nastavit na každém switchi po cestě mezi routerem a switchem, kam je zařízení zapojeno. Někde to mohou být i další 2 switche po cestě
Poznámka: V každé vlaně může být libovolný počet portů, na kterých lze kombinovat nastavení (na některých portech může být vlana tagovana, na některých může být netagovana popř. může být na všech portech pouze tagovaná). Některé switche vyžadují minimálně 2 porty ve vlaně.
Debian - Routery
Přidání nové vlany na Debianu je velmi jednoduché. Potřebujeme k tomu akorát zavedený modulu 8021q - na routerech už všude je.Následně editujeme /etc/network/interface
/etc/network/interface
# nova linka
auto vlan1045
iface vlan1045 inet static
address 10.11.30.49
netmask 255.255.255.248
vlan_raw_device eth0
vlan1045 = uvedene číslo vlany, které si zvolíme a které budeme potom nastavovat na switchi. Číslo v debianu uvedeme slovem vlan
vlan_raw_device = zde uvedeme fyzický interface, na kterém bude tento vlan nastaven jako tagovaný
Zapnutí interface ifup vlan1045
Vypnutí interface ifdown vlan1045
V linuxu nastavujeme jen tagované vlany, protože netagované je automaticky všechno co přijde na síťovku bez značek.
Nově připravený interface zapneme následně po uložení konfiguračního souboru pomocí příkazu IFUP
Nikdy nepoužíváme /etc/init.d/networking restart !!!
Switche
Ukážeme nastavení v několika druzích switchůStará verze TP-LINK
1. Nejprve zapneme tagovací protokol (pokud to ještě není)
2. Nastavíme PVID popr. zakážeme netagované pakety na přislušném portu
PVID musí obsahovat čislo vlany, které na portu zamýšlíme používat jako netagovanou
UNTAG FRAME = nastavíme na DROP, pokud chceme ignorovat netagovane pakety a PVID na uvedeném portu
3. Nastavíme zaškrtnutím, které porty mají být členem konkrétní vlany
DROP TAG = na uvedenem portu bude vlan defaultni tj. netagovaná = nesmíme zapomenout nastavit ješte PVID
ADD TAG = na uvedeném portu bude vlan jako tagovaná
JetStream
V nové verzi TP-Linku je nastavení jednodušší
1. Zde nastavujeme port. ACCES ; GENERAL ; TRUNK - viz. tabulka výše. PVID musíme nastavit jen v připadě, ze zvolíme ACCESS nebo GENERAL
2. Zaškrtnutím nastavujeme členstvi portu v jednotlivých vlan. Pokud je port nastaven jako GENERAL, pak je možné vybrat, jestli uvedená vlana bude na portu tagovaná nebo netagovaná.
Mikrotik
V mikrotiku vytváříme tagovaný vlan tak, že založíme nový interface typu VLANklikneme na interface > + > VLAN
name - libovolny název ⇒ doporučuji používat název vlan
VLAN ID - čislo vlanu, které potom musím dodržet na switchi a musí být v ramci switche i routeru unikatní - viz. předchozí pravidla
Interface - zvolím interface, kde se má vlan používat.
Pokud máme na mikrotiku fyzické porty v bridgi, musíme vlan vytvořit az na bridgeujicim interface !!
Stejné nastavení lze provést take pomocí terminálu :
[admin@net4u.cz] > interface vlan add name=vlan1045 vlan-id=1045 interface=bridge1
[admin@net4u.cz] > interface vlan print
Flags: X - disabled, R - running, S - slave
| # NAME | MTU | ARP | VLAN-ID | INTERFACE |
| 0 R vlan995 | 1500 | enabled | 995 | bridge1 |
| 1 R vlan993 | 1500 | enabled | 993 | bridge1 |
| 2 R vlan1011 | 1500 | enabled | 1011 | bridge1 |
| 3 R vlan1045 | 1500 | enabled | 1045 | bridge1 |
GVRP / MVRP
MVRP je novejsi alternativa GVRP, je to prakticky to samy. Lisi se hlavne tim, ze GVRP bezi nad protokolem GARP, zatim co MVRP bezi nad protokolem MRP. Starsi switche asi umi jen GVRP.GMRP/MMRP je neco jako GVRP/MVRP, ale misto vlanu se tim prihlasujou multicastovy skupiny. S VLANama to nesouvisi a zminuju to tu jen pro uplnost.
GVRP je protokol, kterej umoznuje automaticky protahovani vlanu pres switche, ktere to umi a porty na kterych je to povoleny (je to potreba povolit jak globalne, tak na jednotlivejch portech). Pokud mam propojene dva switche pres TRUNK, ktery ma na obou stranach povolene GVRP a na nejaky dalsi port pridam VLAN, tak switch zacne pres GVRP porty anoncovat, ze tam ten VLAN je a ostatni switche mu ho do toho TRUNKu poslou. Na koncovych portech tedy VLANy musi byt pridany staticky, do trunku po ceste se pridaji dynamicky. Nevim jak u ostatnich vyrobcu, ale na TP-Linku se mi nepodarilo zapnout GVRP na portu v rezimu GENERAL. Musi byt TRUNK.
V TP-Linku, Huaweii (a asi i dalsich) muze mit kazdy port se zapnutym GVRP 3 rezimy:
Normal - Vsechny staticke VLANy se propaguji a zaroven se pridavaji a ubiraji dynamicke VLANy
Fixed - Pouze se propaguji staticke VLANy nakonfigurovane na tomto switchi (takze "readonly")
Forbidden - Nic se dynamicky nekonfiguruje ani nepropaguje. S vyjimkou propagace VLAN 1 (defaultniho vlanu)
Pokud mam TRUNK port s povolenym GVRP a pripojim k nemu Linux, tak si muzu na sitovce nahodit VLAN a nasledujicim zpusobem ho zacit anoncovat do switche pres GVRP:
Zdroj : spoje.cz