UMGUM.COM (лучше) 

Базовая конфигурация D-Link DES-1228 ( Базовая конфигурация D-Link DES-1228. )

8 октября 2010  (обновлено 31 января 2015)

Hard: switch D-Link DES-1228, DES-1210-28.

Доступ к указанным выше коммутаторам D-Link возможен только с "web"-интерфейса; весьма раздражающего, надо заметить, своей медленной работой и отказами загружать часть содержимого на медленных каналах. Мало того, что интерфейс м-м-м... не очень хорош, так он ещё и забавляет отказом в доступе в течении десяти-пятнадцати секунд после того, как измениться состояние какого либо из физических портов. Так что, если в процессе работы "web"-интерфейс вдруг перестанет отвечать на запросы, велика вероятность того, что в сети кто-то просто перезагружает свой компьютер.
В общем, поделка та ещё, но приходится с "этим" работать.

Базовая конфигурация любого коммутатора поддержки VLAN достаточно проста:

Определение места расположения устройства в управляемой сетевой инфраструктуре;
Определение способа доступа к устройству для обслуживания его во время рабочего процесса;
Регистрация на коммутаторе идентификаторов VLAN, которые он будет обслуживать на клиентских портах или пропускать транзитом;
Привязывание физических портов коммутатора к идентификаторам VLAN;
Определение типа обслуживания портом VLAN, таких как пропуск "тегируемого" (Tagged) или "освобождаемого от тегирования" (Untagged) трафика;
Группирование ("агрегирование") портов в "транки", достигая большей пропускной способности и надёжности направления.

И так, для начала устанавливаем параметры подключения устройства с помощью протокола TCP/IP. Всё просто: IP, маска, шлюз. Понятно, что адрес устройства и адреса клиентов, обслуживаемых таковым - две большие разницы. Устройство может и должно иметь адрес в выделенной зоне, доступной только администраторам сети, но никак не пользователям. Нужно это для того, чтобы пользователи сети своими шалостями не смогли повлиять на работу коммуникационного оборудования, хотя бы даже и путём занятия IP адресов устройств и попытками взлома системы аутентификации таковых. В общем - коммутатор должен располагаться в под сети с адресацией, отличной от обслуживаемой:


размер: 320 400 640 800 1024 1280
Параметры подключения TCP/IP для D-Link 1228.
1017x525  • Параметры подключения TCP/IP для D-Link 1228.

Далее задаём пароль. Упомянуто лишь потому, что очевидные вещи - самые забываемые:

Задание пароля для D-Link 1228.
1016x526  • Задание пароля для D-Link 1228.

Теперь о разделении сети на сегменты с помощью тегирования трафика на портах устройств (VLAN). Теорию здесь читать считаю излишним. Однако, обозначить опорные точки понятий и нюансы практической работы с D-Link считаю необходимым.

Интерфейс коммутаторов D-Link в описании режима работы портов оперирует двумя состояниями (не считая выключения из работы, разумеется):

"Не тегируемый" - означает то, что при выходе из порта устройства по направлению к клиенту сетевой пакет освобождается от назначенного ему ранее тега (идентификатора) VLAN. При входе в порт от клиента пакету прикрепляется тот тег (идентификатор), что назначен физическому порту;
"Тегируемый" - означает то, что весь проходящий через порт коммутатора трафик должен быть явно помечен тегом (идентификатором) зарегистрированным на данном устройстве.

Можно представить для себя следующее:

"Не тегируемый" порт может и будет принимать любой трафик, считая, что он чист от каких либо идентификаторов; мало того, если я верно понял, он будет ещё и освобождать его от тегов, буде таковые имеются, замещая его своим собственным идентификатором при передачи на обработку внутреннему процессору;
"Тегируемый" порт оперирует только с трафиком, ранее уже помеченным идентификаторами; мало того, он отвергнет любой пакет, идентификатор которого не входит в перечень зарегистрированных на данном коммутирующем устройстве для данного физического или виртуального порта.

По общим понятиям - всё.

Теперь подумаем о том, каким образом нам получить доступ к активно работающему коммутатору, все порты которого заняты клиентскими подключениями а само устройство находится в паре сотен километров от нас.

Традиционно, в управлении разного рода устройствами управления VLAN, для доступа к таковым используется трафик с идентификатором VLAN "1". В устройствах Cisco Systems, конфигурируя произвольный порт, можно указать считать весь трафик произвольного VLAN - внутренним. Это означает то, что пакеты с идентификатором "1" будут уходить не только на порты с соответствующим тегированием, но и на внутренний интерфейс устройства, позволяя получить к нему доступ для управления. Что-то в этом роде есть и у D-Link:

Определение Management VLAN для D-Link 1228.
1017x524  • Определение Management VLAN для D-Link 1228.

Если я правильно понял, предполагается то, что указывая произвольный VLAN в качестве "Management VLAN" мы предоставляем ему доступ к устройству. Это хорошо. Только оно не работает. Ясное дело, что оно работает, иначе зачем бы оно тут было. Только вот у меня оно не заработало. Вот не заработало и всё.

Так или иначе, а доступ к оборудованию нужно как-то обеспечивать, и сделать это мне пришлось следующим образом:

Точка входа VLAN 1 для D-Link 1228.
1017x525  • Точка входа VLAN 1 для D-Link 1228.

На самом первом коммутаторе в каскаде (или "пуле", если так больше нравится) выделяем один порт для VLAN "1" (порт 25). Таким образом мы, через этот порт, входим в среду передачи тегированного трафика на общих основаниях. Учитывая то, что ранее мы договорились выносить IP оборудования в зоны отличные от клиентской адресации и то, что в "Spanning Tree" мы пока не нуждаемся - это вполне себе ход. Далее, указанный VLAN пропускаем уже в виде тегированного трафика по всей управляемой среде (порты 26 и 28). На следующем в "пуле" коммутаторе VLAN "1" мы принмаем уже на других произвольных "тегируемых" портах (например: 25 и 27):

Передача тегируемого VLAN 1 коммутаторам каскада для D-Link 1228.
1015x522  • Передача тегируемого VLAN 1 коммутаторам каскада для D-Link 1228.

Конфигурация VLAN "1" транзитного коммутатора будет выглядеть следующим образом (здесь при приняли трафик "тегированный" VLAN "1" на портах 25 и 27, а отдали следующему коммутатору на портах 26 и 28, например):

Транзитная передача тегируемого VLAN 1 между коммутаторам каскада для D-Link 1228.
1017x525  • Транзитная передача тегируемого VLAN 1 между коммутаторам каскада для D-Link 1228.

Грязно - согласен, но другого способа справится с этими дешёвенькими и слабосильненькими коммутаторчиками я не нашёл.

С управлением устройством разобрались. Собственно, после понимания сути механизма доступа к устройству, способ распределения портов по VLAN должен быть уже совершенно ясен. Просто добавляем идентификатор VLAN, привязываем свободные физические порты к этому идентификатору и указываем, через какие порты пойдёт "тегированный" трафик:

Распределение VLAN коммутаторов каскада для D-Link 1228.
1015x527  • Распределение VLAN коммутаторов каскада для D-Link 1228.

Если коммутатор для каких то VLAN является транзитным, то для таковых указываются только порты "тегированного" трафика:

Конфигурация транзитного VLAN коммутаторов каскада для D-Link 1228.
1015x526  • Конфигурация транзитного VLAN коммутаторов каскада для D-Link 1228.

Теперь об "агрегировании каналов". В интерфейсе D-Link это называется как "Trunking". Для увеличения пропускной способности и надёжности условной магистрали между коммутаторами каскада ("пула") следует применять объединение ряда портов в единое передающее пространство. Есть несколько методов обработки трафика при "агрегировании", но у D-Link пока поддерживается только "статический", применяемый по умолчанию - стало быть и выбирать тут нечего. Просто сводим в именованную группу (на примере: 01) ряд "тегированных" интерфейсов, которые будут использоваться в дальнейшем как один виртуальный порт:

Агрегирование каналов коммутаторов для D-Link 1228.
1018x526  • Агрегирование каналов коммутаторов для D-Link 1228.

На следующем коммутаторе так же создаём именованные группы "агрегированных каналов" для приёма "тегированного" трафика:

Агрегирование каналов коммутаторов каскада для D-Link 1228.
1016x525  • Агрегирование каналов коммутаторов каскада для D-Link 1228.

Насколько я заметил, именование "агрегированных каналов" - условность, и на работе никак не сказывается, достаточно просто верно группировать физические порты. Естественно, группирование следует производить "снизу-вверх", начиная от самых последних коммутаторов в цепочке каскада. Понятно, что после того, как несколько физических интерфейсов объединены в один виртуальный, есть вероятность, что часть трафика пойдёт по тем физическим интерфейсам, что ещё не готовы к приёму на других устройствах и будет потеряно.


Заметки и комментарии к публикации:


Оставьте свой комментарий ( выразите мнение относительно публикации, поделитесь дополнительными сведениями или укажите на ошибку )