Изборник Затворити

TP-Link TL-SG2109WEB, VLAN и Mikrotik

Скраћена веза: https://pedja.supurovic.net/veza/5148

У настојању да мало средим мрежу и шуму каблова одлучио сам да применим VLAN. За ту сврху сам узео управљиви свич TP-Link TL-SG2109WEB. Он има 8 гигабитних портова што је морало да ми буде довољно, с обзиром да су свичеви са већим бројем портова значајно скупљи.

Инсталација коју сам замислио да остварим је следећа:

Имам три интенет линка које све желом да једним каблом спојим на Микротик. Стога ћу направити три ВЛАН-а (VLAN1, VLAN2 i VLAN3) које ћу спојити у један транк (TRUNK). У Микротику ћу направити три ВЛАН интерфејса на физичком WAN интерфејсу и они ће ми служити за подешавање конекција за линкове.

Преостала четири порта на свичу ћу спојити у VLAN9. Они ће служити за локалну мрежу. Накнадно планирам да и њих поделим на ВЛАН-ове да бих сегментирао локалну мрежу, али то остаје за другу прилику. Микротиков LAN интерфејс ћу спојити на порт 8 и тако ће он бити у VLAN9.

Подешавање ВЛАН-ова

Иако овај мој план није ништа посебно захтеван, односно корсити ВЛАН-ове на уобичајени начин, показало се да то ипак није тако једноставно подесити. У ствари, највећи проблем је био у томе што је документација свича TL-SG2109WEB прилично оскудна, а логика која је примењена се разликује од онога што би неко навикнут на скупље уређаје познатијих фирми очекивао. Ја додуше не спадам у закве познаваоце али све што сам од литературе налазио, односило се на CISCO и сличну опрему, што ми је само додатно отежавало. Ипак сам успео некако да се снађем.

Подешавање VLAN9 је најједноставније. TL-SG2109WEB се може користити у режиму када се  ВЛАН-ова и просто доделе портовима (Port VLAN (Port-based VLAN)) и то је све. Свич форсирано додељује ВЛАН ИД сваком пакету који дође на тај порт.

Но, ја то нисам могао тако да урадим, јер ми је било потребно и да решим VLAN1, VLAN2 i VLAN3 са трунк портом. У подешавањима свича постоји опција за подешавање транкова али се испоставило да то уопште нису транкови како се то уобичајено дефинише у ВЛАН терминологији те ми то није помогло. Најзад, сам утврдио да ћу ствар моћи да решим избором режима ВЛАН таговања:

Следећи корак је додела ВЛАН-ова портовима. Изабере се опција Tag VLAN Global Setting и сваком порту се упише ком ВЛАН-у припада:

Портовима 1 и 2 сам доделио VLAN1, порту 3 VLAN2, порту 4 VLAN3, а преосталим портовима VLAN9. Порт 1 ће служити као транк за VLAN1, VLAN2 и  VLAN3, али неће сметати што му је додељен ВЛАН1. Порт SFP нећу користити али сам му ипак доделио VLAN9 пошто неки ВЛАН мора да му буде додељен.

Подешавање се довршава у опцији Tag VLAN Setting којом се коначно одређује како ће пакети бити таговани. Прво сам подесио VLAN9 је то најједноставније подешавање тако да обезбедим да ћу имати функционалне портове на свичу пре него што почнем подешавање транка. То је битно, јер грешка у подешавању лако може довести до тога да свич остане недоступан, те да га морате ресетовати на фабричке вредности и све радити из почетка.

За ВЛАН сам изабрао 9 па је свич показао подешавања таговања за тај ВЛАН. У Пољу VLAN ID треба да стоји 9. Даље, у колони Member треба означити само оне портове којима је заиста додељен VLAN9 и њима у колони Egress Frame треба подесити вредност Drop Tag.

То значи да на ове портове повезујемо само уређаје који не додељују ВЛАН тагове пакетима. Ако их случајно неко и додели, те ознаке ће свич обрисати а уместо њих ће доделити ознаку ВЛАН-а који је том порту додељен у опцији Tag VLAN Global Setting.

Сада прелазим на подешавање ВЛАН1. Он је додељен порту 1  ипорту 2. При том, порт 1 ће служити као транк. Транк порт је специјалан порт који пропушта пакете који већ садрже ВЛАН ознаке. Једино кроз овај порт могу да проћу пакети са различитим ВЛАН ознакама. Кроз обичан порт пролаз есамо пакети који садрже ознаку ВЛАН-а који је порту додељен.На транк порт се повезују уређаји који означавају пакете. То може бити неки други свич или рутер. У мом случају то је Микротик рутер.

Подешавање транка изгледа овако:

Одабрао сам ВЛАН1 за подешавање, и искључио све портове осим портова 1 и 2 који спадају у овај ВЛАН. Порт 2 ће служити да се на њега закачи интернет линк, дакле, ту треба форсирати ознаку ВЛАН-а. За тај порт ћемо подесити опцију Drop Tag. Порт 1 ће служити као транк, дакле он треба да пропушта означене пакете као и да на одговарајући начин означава одлазне пакете, зависно од ВЛАН-а са кога су ти пакети дошли. Зато ћу овом порту подесити опцију Add Tag.

Од сада сваки пакет који дође на порт 1 а садржи ознаку VLAN2 биће прослеђен на порт 2 и обрнуто, сваки пакет који дође на порт 2 биће означен као VLAN2 и прослеђен на порт 1.

Подешавање VLAN2 и VLAN3 је слично. Разлика је само у томе што се за VLAN2 уместо порта 2 користи порт3, а за VLAN3 порт 4, а и овим двама ВЛАН-овима се обавезно додељује порт 1 јер је он транк за њих.

Подешавање можемо на брзину проверити кликом на дугме All VLAN које ће приказати како су ВЛАН-ови додељени:

Подешавање Микротика

Микротик подржава ВЛАН-ове и њихово подешавање је једноставно. Интерфејс WAN је физички, каблом, спојен са свичем на порт 1 који је транк. ВЛАН-ове у Микротику дефинишемо на овом интерфејсу командама:

/interface vlan
add name=vlan1 vlan-id=1 interface=wan
add name=vlan2 vlan-id=2 interface=wan
add name=vlan3 vlan-id=3 interface=wan

Параметар vlan-id одговара ознаци ВЛАН-а коју смо одредили у свичу. Овим командама смо дефинисали три ВЛАН-а са ознакама 1, 2 и 3.

Како све ово са ВЛАН-овима ради?

ВЛАН ИД је четворобајтна ознака која се уписује у заглавље сваког етернет пакета. Она служи да се пакети распознају по припадности ВЛАН-овима и тако усмеравају.

Ако на пример пакет са конекције ИСП2 дође на свича, он ће стићи на порт 3 јер је на њему направена физичка веза. Свич ће примити пакет означити га као VLAN3 и татим га проследити на порт 1 који је транк. На овај порт је физички повезан Микротик, својим WAN интерфејсом. Тако да ће пакет бити прослећен на тај интерфејс. Како су на WAN интерфејс постављени ВЛАН интефејси, Микротик ће утврдити ком интерфејсу одговара примљени пакет. У овом случају то ће бити интерфејс vlan3. Када пакет стигне на њега даље ће бити обрађен као сваки обичан пакет.

Слично ће се десити са пакетима са преостале два интернет конекције. Они ће стићи на одговарајуће ВЛАН интерфејсе у Микротику и даље бити обрађени као и обично.

У супротном смеру, ако у Микротику треба да се пошаље пакет преко неког од ВЛАН интерфејса, њему ће бити уписана ознака ВЛАН-а коме тај интерфејс припада. Тако означен пакет ће преко WAN интерфејса, физичком везом, доћи на порт 1 свича. Ту ће бити препозната ознака ВЛАН-а и пакет ће бити прослеђен на одговарајући порт, а одатле ка интернет конекцији на коју је упућен.

Мени је овакво подешавање омогућило да све три интернет конекције прогурам кроз један УТП кабал и тако значајно смањим сталну гужву са кабловима које имам у стану.


Reklama: ExeShop nudi veliki izbor TP-Link opreme

9 Comments

  1. Sasa

    Svaka čast na članku tj. uputstvu. Imao sam prilike nekoliko puta da se igram sa podešavanjima mikrotika, ali ne ovoliko komplikovano. Jedan net, jedan kabel -> mikrotik -> linux server sa 2 mrežne kartice (proxy, squid, dans guard itd.) -> linux server za podatke u firmi (komplikovana samba) -> nekoliko switcheva -> ~50 računara. To i dan danas sve funkcioniše.

  2. Aleksandar

    Čisto radi razmene ideja postavljam pitanje:
    Nije li fleksibilnije kao Mikrtotuk wired ruter
    koristiti RuterBoard 750(G)koji ima 5x100Mbps
    ili 5x1Gbps portova. Na njegova tri porta vezati:
    ISP1, ISP2 i ISP3? Sa četvrtog porta RouterBoarda
    750(G) se vratiti na switch. Tu vidim daleko fleksibilnije korišćenje veza ka Net-u, a na switchu ostaje više slobodnih portova za PC-je, kamere, NAS-ove. RouterBoard nije skup.

    Ako je osnovna ideja bila da se koristi samo postojeca
    oprema, bez kupovine nove opreme, i da se upotrebe VLAN-ovi
    onda je moje pitanje „promašilo“ temu.

  3. Peđa

    Најпре, да, мрежа је већ била постављена и ово је урађено као унапређење.

    RB 750 ми не одгoвара из више разлога, ево неких:

    – најпре, за рутер према Интернету више волим да ставим PC рачунар, јер има довољно снаге да свари све могућа и немогућа подешавања за контролуинтернет линкова, има могуцност да се повежеће на модем па чак и да се у њега стави ИСДН картица, и врло бвважно због логовања – хард диск.

    – увек за интрнет линкове користим један рутер, који се не бави унутрашњим рутирањем мреже. Тако су сва подешавања знатно једноставнија јер рутер има само један интерфејс према ЛАН-у. У мојој мрежи, на овом управљивом свичу, планирам да пропустим једно 4-5 субнетова. На страну што би такво подешавања на RB у комбинацији са три интернт линка било компликовано, RB 750 то не би могао да поднесе.

    – рутер ми се налази прилично удаљен од места гдес е налазе интенет прикључци, па би развлачење свих тих каблова била прилична мука. Овако сам број каблова свео на два, јер кроз који су пропуштени ВЛАН-ови за интернет линкове и један који је спојен на мој ЛАН.

    • Peđa

      Не, VLAN-ови су послужили томе да кроз један кабал протурим три независна линка тако да их микротик и даље види као три мрежна интерфејса. Са њима може да се ради све што и са физичким мрежним интерфејсима, па и балансирање протока ако је то потребно.

    • Пеђа

      Нисам радио са циско уређајима. По логици, за повезивање на два долазна линка ти треба рутер а не свич.

Оставите одговор на Пеђа Одустани од одговора

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *

Попуните израз тако да буде тачан: *

Ово веб место користи Акисмет како би смањило непожељне. Сазнајте како се ваши коментари обрађују.