Настройка VLAN на примере коммутатора D-LINK DGS 1100-06

Введение

Что же такое VLAN? Как говорит википедия, VLAN – это виртуальная локальная сеть, которая представляет собой группу хостов с общим набором требований, взаимодействующих так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным членам группироваться вместе, даже если они не находятся в одной физической сети.

IEEE 802.1Q

IEEE 802.1Q — открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Процедура помещения тега в кадр называется – инъекция.

Размер тега — 4 байта. Он состоит из таких полей:

• Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля — 16 бит. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.
• Priority (приоритет). Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
• Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля — 1 бит. Указывает на формат MAC-адреса. 0 — канонический, 1 — не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring.
• VLAN Identifier (VID, идентификатор VLAN). Размер поля — 12 бит. Указывает какому VLAN принадлежит фрейм. Диапазон возможных значений от 0 до 4095.

Порты могут быть в одном из следующих режимов:

• Tagged port — порт пропускает пакеты, маркированные указанными номерами VLAN, но при этом сам никак не маркирует пакеты
• Untagged port — порт прозрачно пропускает немаркированный трафик для указанных VLAN, если трафик уходит в другие порты коммутатора за пределы указанного VLAN, то там он уже виден как маркированный номером этой VLAN.
• Порт не принадлежит никаким VLAN и не учувствует в работе коммутатора

Voice VLAN

Voice VLAN или голосовой VLAN используется для изоляции голосового трафика от данных по двум причинам:

• Безопасность. Уже существует ПО, такое как Wireshark и Voice Over Misconfigured Internet Telephones (VOMIT), которое позволяет злоумышленникам распознавать и вылавливать голосовые пакеты, а затем обрабатывать и преобразовывать их в аудио-файлы с расширением WAV. Чтобы этого не произошло, необходимо изолировать голосовой трафик от прочего.
• QoS. Используется для облегчения приоритезации голосового трафика среди прочего.

С целью экономии количества используемых портов сети передачи данных компании, в IP телефоне, как правило, имеется встроенный двухпортовый коммутатор, к одному из портов которого подключается пользовательская рабочая станция, а другим портом IP телефон подключается к общей сети предприятия.

Тегирование на телефоне

Телефон поддерживает тегирование (маркировку пакетов) по протоколу 802.1Q, что позволяет ему спокойно отделить голосовой трафик от данных, реализуя своего рода «мини-транк» между собой и коммутатором. Для реализации подобной схемы подключения, на порту коммутатора прописывается номер Data VLAN обычным способом, затем отдельной командой указывается номер Voice VLAN. После чего пакеты с данными от пользовательской рабочей станции остаются немаркированными, т.е. попадают в Data VLAN, а пакеты, генерируемые телефоном, маркируются самим телефоном и, следовательно, попадают в Voice VLAN.

Настройка на коммутаторе D—LINK DGS 1100-06

Добавляем порты коммутатора в нужные VLAN

Затем в разделе Voice VLAN нужно обозначить VLAN “voice” как VOICE VLAN и добавить правило для VOIP телефонов, чтобы они автоматически попадали в VOICE VLAN.

В нашем примере телефон имеет следующий MAK-адрес: 00-1e-58-f7-97-9b.

Подключаем телефон к 1 порту коммутатора, а к LAN порту телефона подключем клиентский ПК. После этого МАК-адреса устройств должны попасть в соответствующие Vlan.