Пример базовой настройки VLAN на Aegis RS200
Что такое VLAN?
Определение VLAN
Довольно трудно дать полное и исчерпывающее определение технологии VLAN (Virtual Local Area Network), так она базируется на нескольких протоколах, таких как GVRP, MSTP и прочих, для более полного понимания следует обратиться к последней версии стандарта IEEE 802.1Q. Если постараться кратко передать саму суть, то VLAN (Virtual Local Area Network) — это виртуальная локальная компьютерная сеть, представляющая собой группу устройств, взаимодействующие между собой на канальном уровне, при подключении к разным сетевым коммутаторам. И наоборот, устройства, находящиеся в разных VLAN-ах изолированы друг-друга на канальном уровне, даже при подключении к одному коммутатору (взаимодействие таких устройств возможно только на сетевом и более высоких уровнях).
Например на рис. 1 одна часть портов выделена в одну VLAN, вторая в другую. С некоторыми допущениями можно считать, что таким образом мы получили три “независимых коммутатора” — два VLAN и все остальные порты.
VLAN обладает следующими положительными качествами:
- гибкое разделение устройств на группы;
- уменьшение количества широковещательного трафика в сети;
- увеличение безопасности и управляемости сети.
Гибкое разделение устройств на группы
Как правило, одной VLAN соответствует одна подсеть, таким образом, устройства, находящиеся в разных VLAN-ах, будут находиться в разных подсетях. Так как VLAN не привязана к физическому местоположению устройств, устройства могут находиться на большом расстоянии друг от друга и быть в одной VLAN, а значит в одной подсети, в одном широковещательном домене и т.д.
Уменьшение количества широковещательного трафика в сети
На обычном коммутаторе все порты находятся в одном широковещательном домене. Каждая VLAN представляет собой отдельный широковещательный домен. При создании VLAN на коммутаторе происходит “разбиение” коммутатора на несколько широковещательных доменов.
Увеличение безопасности и управляемости сети
Благодаря VLAN можно легко перемещать устройства из одной сети в другую. Применять политики безопасности не к отдельным устройствам, а к целым сетям. Иметь большую степень административного контроля над сетями, так как вся маршрутизация между VLAN-ми осуществляется на третьем уровне (сетевом).
Схема распределения физических портов в VLAN
Настроены две сети VLAN (см. рис 1):
Рис. 1. Схема распределения физических портов в VLAN
В сеть VLAN 2001 входят порты 1-12, в сеть VLAN 2002 — порты 13-24. VLAN-ы “невидимы” друг для друга на канальном уровне, связь между ними существует только на сетевом уровне по средствам маршрутизации через виртуальные сетевые интерфейсы 4/1 и 4/2. Данную конфигурацию можно представить как два отдельных коммутатора, соединённые между собой маршрутизатором.
Пример настройки VLAN
Создание VLAN
Пример объединения локальной сети (Local Area Network) и, так называемой, демилитаризованной зоны (DeMilitarized Zone) на сетевом уровне (IP), но изолированных на канальном (Ethernet):
По умолчанию все сетевые интерфейсы на маршрутизаторе находятся в одном VLAN 1:
(AEGIS RS200) #show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/1,0/2,0/3,0/4,0/5,0/6,
0/7,0/8,0/9,0/10,0/11,
0/12,0/13,0/14,0/15,0/16,
0/17,0/18,0/19,0/20,0/21,
0/22,0/23,0/24,0/25,0/26,
0/27,0/28,0/29,0/30,0/31,
0/32,0/33,0/34,0/35,0/36,
0/37,0/38,0/39,0/40,0/41,
0/42,0/43,0/44,0/45,0/46,
0/47,0/48,0/49,0/50,0/51,
0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static VLAN-ы с ID 1002-1005 зарезервированы на данном устройстве.
Для настройки VLAN необходимо войти в режим конфигурации устройства configure:
(AEGIS RS200) #configure (AEGIS RS200) (Config)#
Создание локальных сетей выполняется в режим конфигурации VLAN, который активируется командой vlan database:
(AEGIS RS200) (Config)#vlan database (AEGIS RS200) (Vlan)#
Создание первой виртуальной сети выполняется командой vlan <vlanid> "<newname>", где <vlanid> это идентификатор виртуальной сети, а <newname> — её имя:
(AEGIS RS200) (Vlan)#vlan 2001 "LAN"
VLAN создан и пока что не содержит ни одного интерфейса:
(AEGIS RS200) (Vlan)#do show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/1,0/2,0/3,0/4,0/5,0/6,
0/7,0/8,0/9,0/10,0/11,
0/12,0/13,0/14,0/15,0/16,
0/17,0/18,0/19,0/20,0/21,
0/22,0/23,0/24,0/25,0/26,
0/27,0/28,0/29,0/30,0/31,
0/32,0/33,0/34,0/35,0/36,
0/37,0/38,0/39,0/40,0/41,
0/42,0/43,0/44,0/45,0/46,
0/47,0/48,0/49,0/50,0/51,
0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static
2001 LAN Static И по аналогии создаётся вторая сеть, после чего необходимо выйти из режима конфигурации VLAN:
(AEGIS RS200) (Vlan)#vlan 2002 "DMZ" (AEGIS RS200) (Vlan)#do show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/1,0/2,0/3,0/4,0/5,0/6,
0/7,0/8,0/9,0/10,0/11,
0/12,0/13,0/14,0/15,0/16,
0/17,0/18,0/19,0/20,0/21,
0/22,0/23,0/24,0/25,0/26,
0/27,0/28,0/29,0/30,0/31,
0/32,0/33,0/34,0/35,0/36,
0/37,0/38,0/39,0/40,0/41,
0/42,0/43,0/44,0/45,0/46,
0/47,0/48,0/49,0/50,0/51,
0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static
2001 LAN Static
2002 DMZ Static (AEGIS RS200) (Vlan)#exit (AEGIS RS200) (Config)#
Привязка физических портов к VLAN
В группу портов 1-12 маршрутизатора подключена сеть LAN, к группе портов 13-24 — сеть DMZ. Порту номер 1 соответствует интерфейс 0/1, второму — 0/2 и так далее. Привязки порта к соответствующей VLAN производится из режима конфигурации порта командой interface <slot/port>, где <slot/port> — это соответствующие слот и порт маршрутизатора:
(AEGIS RS200) (Config)#interface 0/1 (AEGIS RS200) (Interface 0/1)#
Добавление интерфейса 0/1 в VLAN 2001:
(AEGIS RS200) (Interface 0/1)#switchport allowed vlan add 2001
Теперь интерфейс 0/1 находится в двух VLAN-ах — к 1 и 2001, в свою очередь VLAN 1 для него является основной:
(AEGIS RS200) (Interface 0/1)#do show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/1,0/2,0/3,0/4,0/5,0/6,
0/7,0/8,0/9,0/10,0/11,
0/12,0/13,0/14,0/15,0/16,
0/17,0/18,0/19,0/20,0/21,
0/22,0/23,0/24,0/25,0/26,
0/27,0/28,0/29,0/30,0/31,
0/32,0/33,0/34,0/35,0/36,
0/37,0/38,0/39,0/40,0/41,
0/42,0/43,0/44,0/45,0/46,
0/47,0/48,0/49,0/50,0/51,
0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static
2001 LAN Static 0/1
2002 DMZ Static VLAN 2001 для интерфейса 0/1 задаётся как основной:
(AEGIS RS200) (Interface 0/1)#switchport native vlan 2001
Интерфейс 0/1 удаляется из VLAN-a 1:
(AEGIS RS200) (Interface 0/1)#switchport allowed vlan remove 1
Устанавливается запрет на добавление интерфейс 0/1 в VLAN 1:
(AEGIS RS200) (Interface 0/1)#switchport forbidden vlan add 1
Активация входных фильтров (Ingress Filtering).
| Note | С точки зрения безопасности эту опцию рекомендуется включать, и не использовать только в том случае, если это действительно необходимо и осознанно. Входная фильтрация запрещает любое прохождение трафика второго уровня, если он не принадлежит VLAN в которую входит порт. При отключённых входных фильтрах в некоторых случаях может происходить перенаправление Ethernet фреймов на другой порт. Описание ситуаций в которых необходимо отключать Ingress Filtering выходить за рамки этого документа |
(AEGIS RS200) (Interface 0/1)switchport ingress-filtering (AEGIS RS200) (Interface 0/1)#exit (AEGIS RS200) (Config)#
Теперь интерфейс 0/1 находится только в VLAN 2001 и он является для него основным:
(AEGIS RS200) (Config)#do show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/2,0/3,0/4,0/5,0/6,0/7,
0/8,0/9,0/10,0/11,0/12,
0/13,0/14,0/15,0/16,0/17,
0/18,0/19,0/20,0/21,0/22,
0/23,0/24,0/25,0/26,0/27,
0/28,0/29,0/30,0/31,0/32,
0/33,0/34,0/35,0/36,0/37,
0/38,0/39,0/40,0/41,0/42,
0/43,0/44,0/45,0/46,0,47,
0/48,0/49,0/50,0/51,0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static
2001 LAN Static 0/1
2002 DMZ Static Аналогичным образом добавляются интерфейсы 0/2-0/12 в VLAN 2001, а интерфейсы 0/13-0/24 в VLAN 2002:
(AEGIS RS200) (Config)#do show vlan
VLAN ID VLAN Name VLAN Type Interface(s) ------- -------------------------------- ---------- -------------------------
1 Default Default 0/25,0/26,0/27,0/28,0/29,
0/30,0/31,0/32,0/33,0/34,
0/35,0/36,0/37,0/38,0/39,
0/40,0/41,0/42,0/43,0/44,
0/45,0/46,0,47,0/48,0/49,
0/50,0/51,0/52
1002 fddi-default Static
1003 token-ring-default Static
1004 fddinet-default Static
1005 trnet-default Static
2001 LAN Static 0/1,0/2,0/3,0/4,0/5,0/6,
0/7,0/8,0/9,0/10,0/11,
0/12
2002 DMZ Static 0/13,0/14,0/15,0/16,0/17,
0/18,0/19,0/20,0/21,0/22,
0/23,0/24 
Рис. 2. Схема сети
Настройка маршрутизации между VLAN-ами
По умолчанию IP маршрутизация на устройстве отключена. Для её активации используется команда ip routing:
(AEGIS RS200) (Config)#ip routing
Информация о маршрутизация VLAN доступна вызовом show ip vlan:
(AEGIS RS200) #show ip vlan
MAC Address used by Routing VLANs: XX:XX:XX:XX:XX:XX
Logical VLAN ID Interface IP Address Subnet Mask ------- -------------- --------------- ---------------
В данный момент таблица пуста, так как ни на одной VLAN маршрутизация не разрешена. Включение маршрутизации для конкретной VLAN необходимо явно разрешить. Это осуществляется командой vlan routing 2001 из режима конфигурации vlan database, при этом происходит создание по одному внутреннему интерфейсу на каждый VLAN:
(AEGIS RS200) (Config)#vlan database (AEGIS RS200) (Vlan)#vlan routing 2001 Interface 4/1 created for vlan routing
(AEGIS RS200) (Vlan)#vlan routing 2002 Interface 4/2 created for vlan routing (AEGIS RS200) (Vlan)#exit
(AEGIS RS200) (Config)#do show ip vlan
MAC Address used by Routing VLANs: XX:XX:XX:XX:XX:XX
Logical VLAN ID Interface IP Address Subnet Mask ------- -------------- --------------- --------------- 2001 4/1 0.0.0.0 0.0.0.0 2002 4/2 0.0.0.0 0.0.0.0
В данном случае были созданы интерфейсы 4/1 и 4/2. Именование этих интерфейсов происходит автоматически. Настройка IPv4-адресов для внутренних интерфейсов VLAN:
(AEGIS RS200) (Config)#interface 4/1 (AEGIS RS200) (Interface 4/1)#ip address 192.168.10.254 255.255.255.0 (AEGIS RS200) (Interface 4/1)#exit
(AEGIS RS200) (Config)#interface 4/2 (AEGIS RS200) (Interface 4/2)#ip address 172.16.2.254 255.255.255.0 (AEGIS RS200) (Interface 4/2)#exit
(AEGIS RS200) (Config)#do show ip vlan
MAC Address used by Routing VLANs: XX:XX:XX:XX:XX:XX
Logical VLAN ID Interface IP Address Subnet Mask ------- -------------- --------------- --------------- 2001 4/1 192.168.10.254 255.255.255.0 2002 4/2 172.16.2.254 255.255.255.0
Включаем маршрутизацию на внутренних интерфейсах:
(AEGIS RS200) (Config)#interface 4/1 (AEGIS RS200) (Interface 4/1)#routing (AEGIS RS200) (Interface 4/1)#exit
(AEGIS RS200) (Config)#interface 4/2 (AEGIS RS200) (Interface 4/2)#routing (AEGIS RS200) (Interface 4/2)#exit
В маршрутизаторе настроены две логические подсети:
- LAN с сетью 192.168.10.0 и
- DMZ с сетью 172.16.2.0.
Таблица маршрутизации выводится командой do show ip route:
(AEGIS RS200) (Config)#do show ip route
Route Codes: R - RIP Derived, O - OSPF Derived, C - Connected, S - Static
RG - RIPng Derived, B - BGP Derived, IA - OSPF Inter Area
E1 - OSPF External Type 1, E2 - OSPF External Type 2
N1 - OSPF NSSA External Type 1, N2 - OSPF NSSA external type 2
C 192.168.10.0/24 [0/0] directly connected, 4/1
C 172.16.2.0/24 [0/0] directly connected, 4/2 Шлюзом каждой подсети является маршрутизатор Aegis RS200 с IPv4-адресом 192.168.10.254 для локальной подсети и 172.16.2.254 для демилитаризованной.
Сейчас обе сети изолированы на втором уровне модели OSI (канальном). Это позволит значительно уменьшить вероятность атак Man-In-The-Middle (“Человек-посередине”) и возможности прослушивания трафика, а также добиться снижения нагрузки от широковещательного трафика и в дальнейшем гибко управлять подключаемыми устройствами.
- Владимир Петухов (инженер-программист отдела исследования и разработки <vladimir.petukhov@etegro.com>)
Отдельное спасибо за помощь в написании статьи:
- Андрею Сапронову (технический директор <andrey.sapronov@etegro.com>)
- Сергею Матвееву (руководитель отдела исследования и разработки <sergey.matveev@etegro.com>)
