С целью коммутации устройств InfiLINK XG на основе VLAN доступны следующие настройки конфигурации:
- Настройка VLAN управления
- Native VLAN и изменение режима работы порта
- Настройка "native VLAN"
- Несколько VLAN'ов
- Назначение приоритета по VLAN 802.1p (более подробно описано в разделе Настройка QoS).
Настройка коммутации по умолчанию работает как "прозрачный" мост Layer2. Поэтому, по умолчанию любые кадры с любыми VLAN-тегами (а также нетегированные кадры) будут свободно проходить через беспроводной канал связи.
Настройка VLAN управления 
Возможно добавить настройку VLAN управления и сохранить рабочим "прозрачный" мост Layer2. Для подавляющего числа случаев это самая простая конфигурация.
- Зайдите на страницу меню "Сетевой доступ" веб-интерфейса. В разделе "Настройки сети" введите IP-адрес и свяжите его с VLAN 100
- Чтобы сохранить изменения нажмите кнопку "Применить".
Теперь, наше устройство InfiLINK XG имеет 2 интерфейса управления: - 10.10.10.10 - для нетегированного кадра
- 10.10.20.1 - для VLAN 100
|
Из соображений безопасности предполагается удалить интерфейс управления для нетегированных (untagged) кадров, оставив действующим только VLAN управление. Между тем, такая простая, но при этом эффективная конфигурация не позволяет ограничить перемещение любой другой VLAN, кроме VLAN управления. Для того, чтобы разрешить коммутацию только выбранных VLAN'ов, пожалуйста, перейдите к следующей главе.
Native VLAN и изменение режима работы порта
Во-первых: Включите коммутацию на основе VLAN.
После этого по умолчанию отобразится настройка коммутации для всех портов, по умолчанию будет установлен параметр "native".
"Default VLAN" (или VLAN 1) это единственная установленная VLAN и она не может быть удалена. Впоследствии, несколько VLAN'ов могут быть добавлены и соответственно настроены для каждого порта. По умолчанию все порты находятся в режиме "trunk", но при этом "native VLAN" позволяет проходить как тегированным, так и нетегированным трафикам. Режим работы порта описан ниже. |
Теперь допускается только трафик, разрешенный в матрице коммутации на основе VLAN.
Во-вторых: Вы можете добавить новую VLAN, нажав на кнопку "Добавить VLAN".
- Нажмите на кнопку "Добавить VLAN" при это по умолчанию будет добавлена VLAN 2
- Измените значение VLAN-тега в соответствии с фактическими требованиями
- Только что добавленная VLAN отключена (off) на всех портах. Для настройки порта доступны следующие опции:
- "вкл." - позволяет VLAN проходить через порт
- "откл." - не позволяет VLAN проходить через порт
- "native" - позволяет проходить VLAN, но при этом нетегированный трафик тоже может проходить через этот порт.
- Назначьте 802.1p приоритет. Пакеты, полученные по проводному интерфейсу могут быть помечены приоритетом в соответствии с 802.1p. "0" - это самый низкий приоритет, "7" - наивысший.
Для настройки VLAN доступны следующие опции:
- "Access mode" (принимается только нетегированный трафик от определенных VLAN'ов)
- "Trunk mode" (принимается только тегированный трафик)
Для настройки режима "access" или "trunk" необходимо установить или снять флажок в поле "Доступ" для каждого порта. В примере ниже порт "ge0" находится в режиме "trunk", порт "ge1" - в режиме "access".
Чтобы разрешить одновременно прием тегированного и нетегированного трафика необходимо настроить опцию "native VLAN", указав VLAN, для которой будет приниматься весь нетегированный трафик (по умолчаниюVLAN1 настроена как "native VLAN" для всех портов).
Подробное описание опции "native VLAN" и конкретных действий приведено в следующем разделе Настройка native VLAN.
Изменение режима работы порта на "access" автоматически отключит все VLAN'ы на этом порту. А именно, состояние "вкл." или "native" у VLAN'ов этого порта будет автоматически изменено на "откл.". |
- "Приоритет" - используйте этот параметр, чтобы установить приоритет определенным VLAN'ам в соответствии с 802.1p, в диапазоне от 0 до 7, с шагом 1
- Настройки портов - позволяет указать, будет ли трафик с тегами VLAN через порт разрешен (вкл.), запрещен (откл.) или будет перенаправляться в единственную VLAN (native). Может быть только один "native VLAN" на порт.
Настройка native VLAN 
Порт с установленным режимом "trunk" позволяет проходить только тегированному трафику. Тем не менее, один из VLAN'ов, которому разрешено проходить через этот порт, может быть настроен как "native VLAN" и это будет единственный VLAN, который пропустит все нетегированные трафики. Таким образом "native VLAN" будет пропускать как тегированный, так и нетегированный трафик.
Может быть только один "native VLAN" для каждого порта. |
"Default VLAN" или VLAN 1 по умолчанию настроена как "native VLAN" для всех портов:
Вы можете настроить конфигурацию "native VLAN" в соответствии с определенными требованиями. Например, могут быть порты, которые пропускают только тегированный трафик и порты, которые пропускают как тегированный, так и нетегированный трафик.
Например,
Порты "ge0" и "ge1" пропускают только VLAN 10 и 20. Дополнительно, порт "ge1" пропускает нетегированный трафик.
В этом случае "native VLAN" не должен быть настроен на порт "ge0", порт "ge1" должен иметь VLAN 10 или 20, настроенный как "native VLAN". У "Default VLAN" должно быть выбрано состояние "откл." на обоих портах, в противном случае VLAN 1 будет разрешено проходить.
Изменение "native VLAN" автоматически отключит "Default VLAN", установив его в состояние "откл." на определенном порту. |
Когда любой другой VLAN, кроме "Default VLAN", установлен как "native", опция "native" становится недоступной для других VLAN'ов. В данном случае, чтобы изменить "native VLAN" необходимо сначала удалить текущий "native VLAN", изменив состояние на "вкл." или "откл.". После этого опция "native" снова доступна для всех остальных VLAN'ов. |
Несколько VLAN'ов
Этот раздел шаг за шагом описывает инструкцию настройки отдельных VLAN'ов для управления и для трафика данных:
- VLAN 100 используется для управления устройством
- VLAN 200 используется для трафика данных
Для того, чтобы настроить VLAN управления доступом, необходимо связать IP-адрес интерфейса управления с VLAN 100 управлением. Если вы начнете с включения коммутации на основе VLAN и удаления "native VLAN", вы потеряете контакт с устройством. В этом случае должна быть использована ERConsole для восстановления. |
- Зайдите на страницу меню "Сетевой доступ" веб-интерфейса. В разделе "Настройки сети" добавьте IP-адрес и свяжите его с VLAN 100
- Для сохранения изменений нажмите кнопку "Применить"
Только что сконфигурированный IP-адрес не может быть использован для управления устройством, потому что VLAN 100 ещё не добавлен. Доступ к устройству будет осуществляться через первоначальный IP-адрес, в данном случае 10.10.10.10. |
- Перейдите в раздел "Коммутатор" и установите флажок в поле "Коммутация на основе VLAN включена"
- Добавьте VLAN 100 и разрешите ему проходить через порты "ge0", "mgmt" и "radio". Таким образом, управление будет разрешено как локально, так и по воздуху с помощью VLAN 100
- "Default VLAN" не может быть удален, необходимо установить его в состояние "откл." на всех портах, чтобы исключить доступ нетегированному и тегированному трафику с VLAN 1
- Добавьте VLAN 200 для трафика данных и разрешите ему проходить через порты "ge0" и "radio". Так как управление не допускается на VLAN 200, состояние порта "mgmt" должно быть выбрано как "откл."
- Для сохранения изменений нажмите кнопку "Применить".
В данном случае доступ к устройству разрешен только с помощью VLAN 100 и вновь назначенного IP-адреса. Трафик с меткой VLAN 200 будет коммутировать только между портами "ge0" и "radio". Нетегированный или тегированный трафик с другими VLAN'ами, помимо 100 или 200, не допускается!
Пример соединения Trunk и Trunk VLAN
Подключение, при котором тегированные кадры VLAN перемещаются в обоих направлениях через беспроводную линию связи InfiLINK XG, не требует какой-либо определенной конфигурации. Для безопасности рекомендуется настроить VLAN управление. В большинстве случаев все остальные настройки не нужны, за исключением необходимости запретить определенные VLAN'ы. Используйте настройки из раздела Настройка VLAN управления.
Пример соединения Access и Trunk VLAN
Следующий пример очень распространенный для Интернет Провайдеров. Одно устройство InfiLINK XG получает тегированные кадры VLAN с порта коммутации "trunk" (порт сконфигурирован для переноса кадров с различными VLAN-тегами), другое устройство InfiLINK XG соединяется с локальной сетью конечного потребителя с требованием выпускать нетегированные кадры только из определенных VLAN'ов (см. диаграмму ниже).
Краткая настройка XG1:
- Создайте VLAN 100 управление
- Включите "Коммутация на основе VLAN включена"
- Добавьте VLAN 100, 200.
Краткая настройка XG2:
- Создайте VLAN 100 управление
- Включите "Коммутация на основе VLAN включена"
- Добавьте VLAN 100, 200
- Установите настройки порта "access" для VLAN 200.
Настройка XG1
- Зайдите в раздел "Сетевой доступ" веб-интерфейса. В разделе "Настройки сети" добавьте IP-адрес и свяжите его с VLAN 100
- Для сохранения изменений нажмите кнопку "Применить"
- Перейдите в раздел "Коммутатор" и установите флажок в поле "Коммутация на основе VLAN включена"
- Добавьте VLAN 100 и разрешите ему проходить через порты "ge0", "mgmt" и "radio". Таким образом, управление будет разрешено как локально, так и по воздуху с помощью VLAN 100
- "Default VLAN" не может быть удален, необходимо установить его в состояние "откл." на всех портах, чтобы исключить доступ нетегированному и тегированному трафику с VLAN 1
- Добавьте VLAN 200 для трафика данных и разрешите ему проходить через порты "ge0" и "radio". Так как управление не допускается на VLAN 200, состояние порта "mgmt" должно быть выбрано как "откл."
- Для сохранения изменений нажмите кнопку "Применить".
Настройка XG2
- Для сохранения изменений нажмите кнопку "Применить"
- Перейдите в раздел "Коммутатор" и установите флажок в поле "Коммутация на основе VLAN включена"
- Добавьте VLAN 100 и разрешите ему проходить через порты "mgmt" и "radio". Таким образом, управление будет разрешено по воздуху с помощью VLAN 100
- "Default VLAN" не может быть удален, необходимо установить его в состояние "откл." на всех портах, чтобы исключить доступ нетегированному и тегированному трафику с VLAN 1
- Добавьте VLAN 200 для трафика данных и разрешите ему проходить через порты "ge0" и "radio". Так как управление не допускается на VLAN 200, состояние порта "mgmt" должно быть выбрано как "откл."
- Установите флажок в поле "Доступ" для порта "ge0" для исключения тегированного трафика в локальной сети заказчика
- Для сохранения изменений нажмите кнопку "Применить".
В данном случае доступ к устройству разрешен только с помощью VLAN 100 и вновь назначенного IP-адреса. Трафик с меткой VLAN 200 будет приниматься портом "radio" и коммутировать нетегированным для локальной сети Заказчика через порт "ge0".
