Можно про VLAN «на пальцах»?

Приступаю к переводу обычной плоской сети на VLAN
Цель - ну, например, чтобы юзеры не расшаривали свои папки. Да много чего, в основном по секьюрности.

Имеется:
1. подопытный свитч HP 2610, умеет ажно до 256 vlan`ов.
2. парочка ПК, с которыми можно экспериментировать
3. ну и рабочая сетка

В перспективе:
а. IP-телефоны (которые соответственно должны будут быть подвязаны на выделенный для телефонии vlan)
б. офис по соседству с примерно такой же сеткой (сейчас объединены через VPN)

Честно прочитано много руководств как общих по Vlan, так и по ProCurve в частности. Всякие мануалы и впечатления тех, кто внедрял...

Но в голове - каша.

Можете подсказать материал или пояснять на пальцах?
1. Vlan бывают транковые и нет. В чём разница, зачем? Может, ещё какие бывают?
2. Железка на пакеты вешает ярлык vlan`а, верно? Там айдишник и всё такое. Другая железка берёт этот айдишник и сравнивает со своими, верно? Значит, vlan`ы на двух железках должны иметь одинаковые айдишники?
3. Иногда вижу, что надо настраивать дополнительно и сами ПК. Зачем? Вроде всё железки делать должны.

Ну и вот такой пример.
Есть ПК 1,2,3. 1 - это админ. Есть файловая помойка 4.
Берём и делаем vlan`ы с портами:
vlan1 - 1,2,3,4 - это чтобы админ мог админить
vlan2 - 2,4 - это комп 2 чтобы пользовался файлопомойкой
...но в таком случае тот же 3 будет видеть всё? Он же входит в vlan1.

В общем... каша.
  • Вопрос задан
  • 8589 просмотров
Решения вопроса 1
@dredd_krd
1. Vlan бывают транковые и нет. В чём разница, зачем? Может, ещё какие бывают?
Транковый вилан (точнее, транковый порт) добавляет к каждому исходящему и читает из входящего тэг, который состоит из 2 байт, максимальное количество виланов там - 4096. По этому тэгу оборудование определяет принадлежность пакета к той или иной виртуальной сети. Так же порт может быть настроен так, что в него "выходят" пакеты, принадлежащие определённому вилану, но выходят они уже БЕЗ тэга, а коммутатор просто знает, что пакеты этого порта будут принадлежать такому-то вилану. Это называется "без тэга, но в вилане". :)

2. Железка на пакеты вешает ярлык vlan`а, верно? Там айдишник и всё такое. Другая железка берёт этот айдишник и сравнивает со своими, верно? Значит, vlan`ы на двух железках должны иметь одинаковые айдишники?
Другая ситуация - есть линк между коммутаторами, и нужно чтобы один и тот же вилан был видим на обоих коммутаторах - тогда вешаем на пакеты тэг и отправляем их туда. По тэгам, опять же, будет определена принадлежность трафика, и он будет правильно разделен. Конечно, в этом случае ID одного и того же вилана должен быть одинаков на обоих коммутаторах, иначе пакеты просто потеряются (не вдаваясь в подробности). Ну и таким образом через один линк можно передавать любое количество виланов, в пределах 4096 и мощности оборудования.

3. Иногда вижу, что надо настраивать дополнительно и сами ПК. Зачем? Вроде всё железки делать должны.
Всё верно. Если настроено, что "порт принадлежит 3-му вилану без тэга" - ПК увидит этот пакет без тэгов и даже ничего не заподозрит, без всяких костылей и танцев с бубном, но внутри коммутатора он будет явно выделен в вилан. Если же необходимо послать на ПК, например, несколько виланов на одну сетевую карту (мало ли, ограничения какие-нибудь), то можно один вилан послать без тэга (хоть и не обязательно), а остальные - в тэге. В этом случае нужны дрова на сетевую карту, которые поддерживают виланы, и с их помощью будут созданы виртуальные интерфейсы по одному на каждый тэгированный вилан. Их количество определяется Вашей настройкой (добавляется вилан -> появляется интерфейс).

Чтобы народ, находящийся в разных виланах, видел друг друга, необходимо, чтобы в обоих виланах висело по одному интерфейсу роутера (в простейшем случае - одного и того же роутера) в качестве шлюза, и роутер уже будет переправлять трафик между виланами и подсетями. Ну а дальше на роутере можно и безопасность накрутить, т.к. единственная точка "перехода" трафика между виланами - будет этот роутер. Без этого роутера ПК в разных виланах друг друга не увидят.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
edinorog
@edinorog
Троллей не кормить!
Ответ написан
Комментировать
vvpoloskin
@vvpoloskin Куратор тега Сетевое администрирование
Инженер связи
Ответ написан
Комментировать
Initiator_dot
@Initiator_dot
Рекомендую посмотреть видеоурок про виланы, вбиваете в ютюбе курс молодого бойца, (не смотрите что там на оборудовании циско, все разсматриваеться на общих примерах) выбираете урок по виланам там само доходчиво и очень интересно рассказываеться про виланы, и не только про виланы есть много уроков про сети в целом.
Ответ написан
Комментировать
Disen
@Disen
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы