VLANs - это виртуальные сети, которые существуют на втором уровне модели OSI . То есть, VLAN можно настроить на второго уровня. Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN - это просто метка в кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или VID), - на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier ).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны виланы?

• Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
• Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
• Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
• Возможность применять политики на группу устройств, которые находятся в одном вилане.
• Возможность использовать виртуальные интерфейсы для маршрутизации.

Примеры использования VLAN

• Объединение в единую сеть компьютеров, подключенных к разным коммутаторам . Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1 , а другие — в сеть VLAN 2 . Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

• Разделение в разные подсети компьютеров, подключенных к одному коммутатору. На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2 . Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.

• Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия. На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office . К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1 , а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2 . Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1 .

Достоинства использования VLAN

• Гибкое разделение устройств на группы
• Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
• Уменьшение широковещательного трафика в сети
• Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
• Увеличение безопасности и управляемости сети
• В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
• Уменьшение количества оборудования и сетевого кабеля
• Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

Тэгированные и нетэгированные порты

Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).

Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется - с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve ) мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов - тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems . На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access ) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk ).

Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk ).

Межвлановская маршрутизация

Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address - 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что:

• Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном VLAN, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том VLAN, котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
• Мы можем поместить в VLAN несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены VLAN, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего VLAN он должен маршрутизировать.
• Очень удобно между первым и третьим уровнями использовать второй уровень в виде VLAN. Удобно подсети помечать как VLAN с определенными интерфейсами. Удобно настроить один VLANн и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть VLAN.

Если вам требуется или вы решили самостоятельно подключить роутер/модем от компании «Ростелеком» , если вам нужно подключить IPTV или услуги цифровой телефонии, то вы должны знать, что такое VLAN ID и как его найти.

VLAN ID - это идентификационный 12-битный набор цифр, благодаря которому можно создавать многоуровневые виртуальные сети , обходя любые физические препятствия, как, например, географическое положение, передавать определённую информацию на нужные девайсы. Технология «ВиЛан» присутствует в устройствах, которые и обеспечивают создание одной общей сети. Если говорить простым языком, «ВиЛан» ID - это адрес, на который специальные устройства, распознающие его (коммутаторы), отправляют пакеты данных.

Технология довольно удобная, имеет свои как преимущества, так и недостатки, используется компанией «Ростелеком» для передачи данных: например, для цифрового телевидения (IPTV). То есть, если вы самостоятельно решили подключиться или настроить IPTV, то вам необходимо знать идентификатор. Как можно догадаться, российская компания использует эти специальные наборы цифр для того, чтобы люди по общему «адресу» могли использовать свои модемы/роутеры для просмотра IPTV. То есть, этот «маяк» позволяет получать одинаковую информацию разным людям.

Делается это не только для удобства и обхода физических границ. Идентификатор позволяет обезопасить доступ к различным виртуальным сетям. К примеру, отделить гостевые соединения от подключений предприятия или в случае с IPTV предоставить доступ только определённым пользователям.

Тегирующий трафик

Существуют тегированные и нетегированные порты. Это значит, что есть порты использующие теги, а есть не использующие. Нетегированный порт может передавать только личный VLAN, тегированный - может принимать и отдавать трафик из различных «маяков».

Теги «прикрепляются» к трафику для того, чтобы сетевые коммутаторы могли опознавать его и принимать. Теги применяются и компанией «Ростелеком» .

Самое интересное, что позволяют теги - компьютеры могут быть подключены к одному коммутатору (свитчу), получать сигнал Wi-Fi с одной точки. Но при этом они не будут видеть друг друга и получать не одинаковые данные, если принадлежат к разным «маячкам». Это благодаря тому, что для одного «ВиЛан» используются определённые теги, а другой может быть, вообще, нетегирующим и не пропускать этот трафик.

Включить эту функцию

Включить этот идентификатор нужно для того, чтобы устройства, принимающие информацию, могли её видеть. В противном случае вся зашифрованная информация не будет видна.

Таким образом, стоит активировать VLAN для каждой конкретной услуги. Если он уже активирован, и делали это не вы, всё равно стоит знать свой «адрес».

Настройка телевидения от Ростелеком не может похвастаться единым стандартом, характерным для его конкурентов — Дом.RU и Билайн, что вызывает немало проблем у клиентов данного оператора. Чаще всего, в большинстве регионов России настройка IPTV Ростелеком на TP-Link ограничивается тем, что нужно просто выделить один LAN-порт из общей группы и объединить его в одну группу с портом WAN. В то же время, в некоторых областях, чтобы настроить интерактивное ТВ, необходимо ещё и прописать VLANID в параметрах порта роутера ТП-Линк. Ниже мы рассмотрим оба варианта.

Как настроить телевидение Ростелеком на TP-Link

Перед тем, как начинать что-либо делать, необходимо позвонить по номеру технической поддержки Ростелеком и у оператора уточнить настройки , которые на роутере необходимо выполнить. В частности — нужно ли указывать номер VLAN в Вашем городе для работы услуги и, если это нужно, то выяснить этот номер. Обычно он индивидуален для каждого дома, а иногда и для каждого подъезда.

Вторая особенность настройки телевидения на TP-Link — это разные возможности моделей . Несмотря на то, что внешне интерфейс веб-интерфейса похож, по возможностям аппараты неслабо различаются, что вводит владельцев в замешательство. Тут вся фишка в том, что более старые модели вроде tl-wr740n, tl-wr741nd, tl-wr841n, tl-wr940n и им подобные не все умеют отделять порт под ТВ-приставку. А те, что умеют, не всегда позволяют привязать к нему VLAN ID. Поэтому, если у Вашего роутера TP-LINK нет настроек IPTV — настоятельно советую сходить на сайт производителя, скачать последнюю прошивку и установить её на маршрутизатор. А вот если и на последней версии нужный раздел параметров не появится — тогда только менять роутер. На моделях Archer C2, C5, C7, C20, C50 и т.д., эта проблема к счастью отсутствует.

Как настроить порт IPTV для приставки на ТП-Линк

Самый простой способ, которым выполняется настройка IPTV Ростелеком на TP-Link во многих областях — это выделение одного порта из общей группы, в который будет подключаться ТВ-приставка, без VLAN ID. У специалистов это называется настроить порт в режим прозрачного моста . Для этого заходим на роутер через его IP — или , либо по URL tplinkwifi.net . Логин для доступа — admin , пароль — admin . Если зайти не удаётся или пароль не подходит, читаем вот .

В меню роутера TP-Link открываем раздел Сеть >>> IPTV.

Изначально режим «IGMP Proxy» включен — так и оставляем. В графе «Режим» поставьте значение «Мост», а ниже выберите порт для IPTV — пусть это будет LAN4 . Кликните на кнопку «Сохранить», чтобы роутер запомнил настройки.

На роутерах TP-Link Archer C2, C5, C7, C20, C50, C1200 настройка телевидения находится в разделе Дополнительные настройки >>> Сеть >>> IPTV/VLAN :

А по остальным параметрам всё почти похоже. Поставьте галочку «Включить IPTV». Режим работы — «Мост» и в строчке «LAN4» ставим значение «IPTV». Кликаем на «Сохранить».

Теперь надо подключить ТВ-приставку Ростелеком в четвертый порт роутера и проверить работу интерактивного телевидения.

Настройка IPTV через VLAN на TP-Link

Если же в Вашем случае для работы IPTV надо на роутере указывать VLAN ID, тогда настройка будет выглядеть несколько сложнее. Сначала в строке «Режим» надо поставить значение — 802.1Q Tag VLAN :

Обычно Интернет при этом идёт без маркировки трафика, потому ставим галочку Отключить Vlan TAG для Интернет . Дальше находим строчку «Идентификатор VLAN для услуги IPTV» и вписываем в неё VLAN ID, который предварительны Вы разузнали в техподдержке. В строке «Приоритет VLAN для услуги IPTV» обязательно поставьте цифру «4», иначе изображение будет рассыпаться при закачках через торренты. Остаётся только в строке «Режим работы порта LAN4» поставить значение «IPTV» и сохранить настройки.

На роутерах ТП-Линк семейства Archer настройка телевидения через VLAN выглядит так:

Режим выставляем «Указать вручную». Прописываем идентификатор VLAN для IPTV и приоритет 4. Ниже, в строчке LAN4 ставим значение — IPTV . Сохраняем настройки, подключаем приставку и проверяем работу интерактивного ТВ Ростелеком.

Но имеющих такие же свойства и функционал (иными словами, создать отдельные широковещательные домены).

Идентификация VLAN по vlan id

Для идентификации каждого такого домена сетевое оборудование нуждается в определенных числовых метках – vlan id. Каждый vlan id соответствует определенному vlan, то есть определенной подсети конкретного отдела или подразделения. В отличие от собственных стандартов конфигурации VLAN, таких как ISL для Cisco, международный стандарт 802.1Q очень широко используется практически на любом сетевом оборудовании и оперирует понятием vlan id, тегируя им фреймы данных для определения принадлежности к конкретному vlan.

Согласно стандарту, vlan id может принимать значения в диапазоне от 0 до 4095, резервируя vlan id 1 как vlan по умолчанию. Также зарезервированы такие значения vlan id, как 1002 и 1004 для FDDI-сетей, 1003 и 1005 – для сетей Token Ring, но ввиду малой востребованности данного типа сетей, практически не используются.

Типы портов на коммутаторах и тегирование

Различают два типа портов на коммутаторах – access и trunk. Первый тип используется при подключении конечных хостов, таких как ПК, ip-телефоны, сервера и т.д., указывая в каком vlan данный хост будет работать.

Второй предназначен в основном для подключений между коммутаторами, передавая несколько vlan’ов.

Другими словами, если вы имеете более одного vlan на транковом порту, вам необходимо указать сетевому устройству, какой из пакетов данных к какому vlan принадлежит на другом конце соединения. Для этого и используется механизм тегирования пакетов данных с помощью vlan тегов. Vlan тег просто вставляется в оригинальный Ethernet-кадр, добавляя необходимую информацию.

802.1Q определяет, что тег содержит такую информацию, как vlan id и некоторые другие данные, указанные данным стандартом. Таким образом, тегированные пакеты данных содержат информацию о принадлежности к vlan, в то время как нетегированные – нет. Типичный пример использования тегирования - это подключение между маршрутизатором и коммутатором, за которым находится несколько подключенных к нему пользователей из разных vlan.

Транкинг и маршрутизация между vlan

Термин “маршрутизатор на палочке” часто используется для описания подключения маршрутизатора и коммутатора, соединенных Ethernet линком, настроенным как транк по стандарту 802.1Q. В данном случае коммутатор настроен на использование нескольких vlan, а маршрутизатор выполняет все функции по маршрутизации между различными подсетями/vlan.

Для некоторых пользователей данный термин звучит немного странно, но он является очень популярным и повсеместно используется в сетях, в которых нет коммутаторов с функциями 3-го уровня сетевой модели OSI. Хорошим примером конфигурации «маршрутизатор на палочке» может быть установка Cisco CCME, что подразумевает необходимость отделить VoIP сеть, состоящую из ваших ip-телефонов, от общей сети, где находятся рабочие станции и сервера.

Тегирование vlan

В целом, для понимания процесса тегирования, нужно разделять пакеты данных на входящие (входящие «с сетевого провода») и исходящие (исходящие «в провод»).

Входящие нетегированные пакеты, поступающие на порт, помещаются в так называемый «родной» vlan. Если коммутатор настроен на использование нескольких vlan, вам необходимо указать, к какому именно vlan принадлежит входящий нетегированный пакет.

Входящие тегированные пакеты, поступающие на порт, будут тегированы, и больше ничего вы не сможете с ними сделать. Если коммутатор не умеет работать с тегированием и не знает точной информации о vlan, он будет отбрасывать такие пакеты. Также можно принудительно указать коммутатору принимать только тегированные или же нетегированные пакеты.

Для исходящих нетегированных пакетов вы можете выбрать один vlan на каждом порту, где пакеты тегироваться не будут, т.к. хосты обычно не поддерживают тегирование и не смогут расшифровать такой пакет. Примером такого хоста является ПК, принтер и т.п.

Для исходящих нетегированных пакетов процесс происходит так: вам нужно указать коммутатору, какие из vlan-ов нужно сделать доступными на порту, и если их более одного, то все, за исключением одного, будут тегироваться в любом случае.