ISO-certified  
Москва
+7 (495) 950-58-95
Россия
8-800-200-58-95
wa-.png
+7 (926) 044-07-70
  1. Главная
  2. FAQ
  3. 4G Роутеры TELEOFIS серии LT7x
  4. Особенности работы
  5. Работа с VLAN в роутере LT7x
Работа с VLAN в роутере LT7x

Работа с VLAN в роутере LT7x

Оглавление

Введение

В условиях роста числа сетевых устройств и повышения требований к безопасности и производительности возникает необходимость разделения единой локальной сети на несколько логических сегментов — даже при использовании одной и той же физической инфраструктуры. Без такого разделения все устройства находятся в одном широковещательном домене, что ведёт к перегрузке трафиком, снижению производительности и рискам несанкционированного доступа.

Данную проблему можно решить путём разделения сегментов локальной сети на VLAN, что позволяет:

  • Ограничить широковещательный трафик и повысить производительность сети;
  • Обеспечить изоляцию между пользователями и отделами, усилив безопасность;
  • Упростить управление сетевой инфраструктурой без необходимости прокладки дополнительных кабелей или приобретения нового оборудования;
  • Гибко настраивать логическую топологию независимо от физического расположения устройств.

В данной статье будет описана настройка VLAN в роутере LT70.

Теоретическая часть

Виртуальная локальная сеть (VLAN) — это логически выделенный сегмент сети, объединяющий устройства в единый широковещательный домен, независимо от их физического расположения. Такой домен может включать узлы из разных физических сегментов локальной сети.

Каждому порту коммутатора можно назначить определённую VLAN, группируя устройства по функциональному назначению, принадлежности к отделу или другим критериям. Устройства, подключённые к портам одной VLAN, могут обмениваться широковещательным трафиком между собой, тогда как обмен broadcast-пакетами между разными VLAN невозможен.

Таким образом, VLAN обеспечивает логическое разделение сети и используется в первую очередь для:

  1. Повышения уровня безопасности за счёт изоляции рабочих групп;
  2. Улучшения производительности сети за счёт снижения объёма широковещательного трафика и общей нагрузки на сегменты.
Безопасность рабочих групп и сети.
Сегментация сети на отдельные VLAN позволяет повысить уровень безопасности, так как каждая VLAN представляет собой изолированный широковещательный домен. Это ограничивает несанкционированный доступ между группами пользователей и снижает риски внутренних угроз.

Повышение производительности и управление трафиком
VLAN дают возможность логически объединять порты коммутатора в группы, внутри которых и циркулирует сетевой трафик. В результате одноадресная, многоадресная и широковещательная («лавинная») рассылка распространяется только на устройства, входящие в одну VLAN. Такой подход минимизирует избыточный трафик в других сегментах сети, что способствует более эффективному использованию пропускной способности и повышает общую производительность.


Типы VLAN
  • VLAN на основе портов (Port-based VLAN) — каждый порт коммутатора явно назначается в определённую VLAN. Любое устройство, подключённое к такому порту, автоматически становится частью соответствующей виртуальной сети. Это наиболее распространённый и простой в настройке тип VLAN.
  • VLAN на основе MAC-адресов (MAC-based VLAN) — членство в VLAN определяется по MAC-адресу устройства. Для работы такой схемы на коммутаторе должна быть настроена таблица соответствий «MAC-адрес → VLAN». Данный подход обеспечивает мобильность устройств, но требует тщательного администрирования и редко используется в небольших сетях.
  • VLAN на основе протокола (Protocol-based VLAN, IEEE 802.1v) — принадлежность к VLAN определяется по типу сетевого протокола (например, IPv4, IPv6, IPX).
  • VLAN с использованием стандарта IEEE 802.1Q — не тип членства в VLAN, а механизм передачи трафика нескольких VLAN по одному физическому каналу. Согласно стандарту IEEE 802.1Q, в Ethernet-кадр между MAC-адресом источника и полем EtherType вставляется 4-байтовый тег, содержащий идентификатор VLAN (VID).
В OpenWrt (особенно на устройствах с поддержкой VLAN на уровне коммутатора — например, на маршрутизаторах с чипами MediaTek, Atheros или DSA-совместимых) реализована поддержка только одного типа VLAN по способу назначения — port-based VLAN. Однако OpenWrt полностью поддерживает работу с тегированными кадрами по стандарту IEEE 802.1Q, что позволяет передавать трафик нескольких VLAN через один физический интерфейс (например, между коммутатором и CPU маршрутизатора или при подключении к вышестоящему оборудованию).

VLAN с использованием стандарта IEEE 802.1Q

Стандарт IEEE 802.1Q вводит изменения в структуру Ethernet-кадра, позволяя передавать по сети информацию о принадлежности к VLAN. Для этого в кадр вставляется 4-байтовый маркер (тег), содержащий идентификатор VLAN (VID), который может принимать значения от 1 до 4094. Номера 0 и 4095 зарезервированы для специальных целей.

Кадр, содержащий такой тег, называется тегированным (или маркированным, tagged).

Тег состоит из следующих полей:
  • TPID (Tag Protocol Identifier) — 2 байта, значение 0x8100, указывающее, что кадр соответствует стандарту IEEE 802.1Q;
  • PCP (Priority Code Point, ранее известное как 802.1p) — 3 бита, задающие приоритет кадра для механизма QoS;
  • CFI (Canonical Format Indicator) — 1 бит, используемый при взаимодействии с другими типами сетей (в Ethernet обычно равен 0);
  • VID (VLAN Identifier) — 12 бит, непосредственно определяющие номер VLAN.
  • При добавлении тега исходное поле EtherType смещается вправо, а на его место помещается значение TPID, тем самым сигнализируя о новом формате кадра.

Кадры, содержащие такой тег, называются тегированными (tagged) и используются, как правило, на магистральных (trunk) соединениях между коммутаторами, маршрутизаторами или серверами, поддерживающими VLAN. В OpenWrt тегированные интерфейсы создаются в виде виртуальных устройств (например, eth0.10 или br-lan.10 для VLAN 10), что позволяет гибко управлять сетевой сегментацией даже на потребительском оборудовании.


Тегированные и нетегированные кадры. Типы устройств VLAN-сетях

В сетях, использующих стандарт IEEE 802.1Q, Ethernet-кадры делятся на следующие типы:
  • Untagged frame (нетегированный кадр) — обычный Ethernet-кадр без тега 802.1Q. Такой кадр не содержит информации о VLAN и воспринимается как принадлежащий к одной плоской сети.
  • VLAN-tagged frame (тегированный кадр) — кадр, в который вставлен 4-байтовый тег IEEE 802.1Q с VID ≠ 0. Такой кадр явно указывает, к какой VLAN он относится, и используется для передачи трафика нескольких VLAN по одному физическому каналу (например, между коммутаторами).
  • Priority-tagged frame — кадр с тегом, в котором VID = 0. Он не принадлежит ни к одной VLAN, но содержит поле приоритета (PCP) для механизма QoS. Используется редко, в основном для маркировки приоритета трафика от устройств, не поддерживающих полноценные VLAN.
В зависимости от поддержки стандарта IEEE 802.1Q все сетевые устройства делятся на два типа:
  • VLAN-aware (осведомлённые о VLAN) — устройства, которые понимают и обрабатывают теги 802.1Q (например, управляемые коммутаторы, маршрутизаторы, серверы с настроенными VLAN-интерфейсами). Они могут принимать и передавать тегированные кадры, а также участвовать в работе с несколькими VLAN.
  • VLAN-unaware (неосведомлённые о VLAN) — конечные устройства, не поддерживающие теги 802.1Q (обычные ПК, ноутбуки, принтеры, IP-камеры и т.п.). Такие устройства работают только с нетегированными кадрами и могут быть подключены только к одной VLAN. Однако, некоторые оконечные устройства такие как компьютеры, видеокамеры и другие могут иметь в своих настройках возможность указать VLAN ID, в таких случаях устройства становятся VLAN-aware, несмотря на то что формально является конечным.
Таким образом, технология VLAN позволяет эффективно сегментировать локальную сеть на логические домены, повышая безопасность, снижая нагрузку от широковещательного трафика и упрощая управление сетевой инфраструктурой. В современных маршрутизаторах на базе OpenWrt, включая модель LT70, реализована поддержка port-based VLAN и стандарта IEEE 802.1Q, что даёт возможность гибко настраивать как изолированные сегменты для конечных устройств, так и магистральные соединения с тегированным трафиком.
В следующей части рассмотрим практическую реализацию этих концепций — пошаговую настройку VLAN на роутере LT70 под управлением OpenWrt.

Настройка VLAN на LT70

Рассмотрим следующую схему:

Структура сети:

1. Untagged VLAN 10 (жёлтый блок)

  • Назначение: сегмент для основных пользовательских устройств (ПК).
  • Подключение: устройства подключены напрямую к портам LAN1, LAN2, LAN3 роутера LT70.
  • Тип VLAN: нетегированный (untagged).
  • IP-адресация:
    • IP-адрес роутера в VLAN 10: 192.168.88.1/24
    • Устройства получают адреса в диапазоне:
      192.168.88.2/24, 192.168.88.3/24, 192.168.88.4/24
  • Особенность: каждый порт (LAN1–LAN3) настроен как access-порт в VLAN 10 — трафик передаётся без тега.

2. Untagged VLAN 20 (розовый блок)

  • Назначение: сегмент для рабочих станций или сервисов, требующих изоляции от VLAN 10 и 30.
  • Подключение: устройство (ноутбук) и маршрутизатор RTU1068 подключены через неуправляемый L2-коммутатор к порту LAN4 роутера LT70.
  • Тип VLAN: нетегированный (untagged).
  • IP-адресация:
    • IP-адрес роутера в VLAN 20: 192.168.89.1/24
    • Устройства: 192.168.89.2/24, 192.168.89.3/24
  • Особенность: порт LAN4 настроен как access-порт для VLAN 20 — все пакеты, приходящие с этого порта, автоматически относятся к VLAN 20, а исходящий трафик отправляется без тега.

3. Tagged VLAN 30 (зелёный блок)

  • Назначение: сегмент для устройств, работающих с тегированным трафиком.
  • Подключение: устройство (ПК) и маршрутизатор RTU1068 подключены через неуправляемый L2-коммутатор к тому же порту LAN4 роутера LT70.
  • Тип VLAN: тегированный (tagged).
  • IP-адресация:
    • IP-адрес роутера в VLAN 30: 192.168.0.1/24
    • Устройства: 192.168.0.2/24, 192.168.0.3/24
  • Особенность: порт LAN4 настроен как trunk-порт, поддерживающий несколько VLAN — VLAN 20 (untagged) и VLAN 30 (tagged). Это позволяет передавать трафик обоих сегментов через один физический порт.
Для настройки данной схемы необходимо включить фильтрацию VLAN на мосту br-lan, сделать это можно следующим образом:

  • Переходим в пункт "Сеть" - "Интерфейсы - "Устройства"


  • Далее настраиваем мост br-lan:


  • Переходим в пункт "Фильтрация VLAN моста" и ставим галочку возле параметра "Включить фильтрацию моста", после добавляем наши три VLAN 10, 20, 30. 
    В соответствии со схемой представленной ранее порты LAN1, LAN2, LAN3 должны быть в VLAN10, порт LAN4 должен быть сразу в двух VLAN, в тегированном 30 и в нетегированном 20:


  • Обратите внимание, что при выборе нетегированного VLAN, он должен быть помечен как основной VLAN - это необходимо для того, чтобы встроенный в роутер коммутатор понимал, в какой VLAN необходимо отправлять нетегированные пакеты от устройств, которые не могут работать с тегами VLAN.


    • Функция "Локальный" отвечает за создание сетевого интерфейса с номером VLAN, например br-lan.10. Если данная опция выключена, то VLAN всё равно будет создан, но на него нельзя будет назначить IP-адрес, то есть VLAN будет работать исключительно на канальном уровне.

    Также на одном порту не может быть более одного нетегированного VLAN, соответственно, если в VLAN 20 добавить ещё порты LAN1-3, то это будет грубая ошибка.

    После настройки сохраняем изменения.

    Важно! После включения фильтрации VLAN не нажимайте кнопку "Сохранить и применить". В противном случае доступ к роутеру будет потерян на 90 секунд. Это происходит потому, что фильтрацию мы включили, а IP-адреса для VLAN интерфейсов ещё не назначили - поэтому нажимаем кнопку "Сохранить" и возвращаемся в пункт "Сеть" - "Интерфейсы", где необходимо отредактировать интерфейс LAN и изменить тип устройства на один из наших VLAN:


  • Выбираем в пункте "Устройство" - Программное обеспечение VLAN: "br-lan.10"



  • Создаём интерфейсы для остальных VLAN:


  • Присваиваем IP-адрес интерфейсу, в данном случае 192.168.89.1/24:


  • Также добавляем интерфейс в зону межсетевого экрана.

    • Если необходимо, чтобы на сетевом уровне было разрешено перенаправление между VLAN, то можно поместить их в одну зону LAN или создать для каждого VLAN отдельную зону, если трафик между VLAN не должен перенаправляться.


  • На каждом интерфейсе VLAN можно настроить DHCP-сервер, если это необходимо:


  • Повторяем настройку для VLAN 30.

    • После создания всех интерфейсов можно "Сохранить и применить" изменения
    В результате настройки мы получаем следующее:



    На этом настройка VLAN для указанной ранее схемы завершена.

    Проверка соединения

    При подключении любого устройства к портам, работающим с нетегированным VLAN, оно будет получать IP-адреса так, будто VLAN на роутере не используется — ведь каждое устройство работает в своём собственном широковещательном домене. Для проверки соединения будет использован роутер RTU1068, работающий под управлением OpenWrt и поддерживающий работу с тегированными VLAN.
  • Мы подключим его по очереди ко всем портам (LAN1–LAN3 для VLAN 10, LAN4 для VLAN 20 и VLAN 30) и убедимся, что он получает IP-адрес из соответствующей подсети во всех трёх случаях.
  • Далее подключим RTU1068 к порту, настроенном на VLAN 20, и выполним команду ping 192.168.89.100

    • Поскольку адрес не существует, устройство начнёт отправлять широковещательные ARP-запросы, пытаясь определить MAC-адрес целевого хоста.

  • На роутере LT70 запустим tcpdump на интерфейсе, соответствующем VLAN 10. Поскольку VLAN 10 и VLAN 20 находятся в разных широковещательных доменах, мы не должны увидеть ни одного ARP-запроса, исходящего из VLAN 20. Это подтвердит, что коммутатор корректно изолирует сегменты на уровне канального слоя (L2).

  • Проверка получения IP-адреса роутером, при подключении к VLAN10

    • При подключении RTU1068 к любому порту LAN1-3, роутер получает IP-адрес из подсети 192.168.88.0/24 VLAN10


  • Проверка получения IP-адреса роутером, при подключении к VLAN20

    • Так как роутер в данный момент не настроен на работу с тегированным VLAN, IP-адрес роутеру был присвоен из нетегированного VLAN20:


    Выполним проверку изоляции VLAN 10 и 20 на канальном уровне.
    Запустим пинг на роутере RTU адреса 192.168.89.100, чтобы он генерировал ARP-запросы
    На LT70 подадим две команды "tcpdump -i br-lan.10 arp" и "tcpdump -i br-lan.20 arp", в выводе второй команды мы должны увидеть ARP-запросы, а в выводе первой команды - тишину:


    ARP-запросы отсутствуют в VLAN10, значит созданные VLAN изолированы друг от друга

  • Проверка получения IP-адреса роутером, при подключении к VLAN30

    • VLAN30 является тегированным, поэтому роутер RTU1068 должен быть сначала настроен на работу в VLAN30.
    Настройка данного роутера на работу в VLAN производится таким же образом как на LT70:


    Теперь при подключении роутера RTU1068 к порту LAN4 LT70, RTU1068 получил IP-адрес из VLAN30:


    Также проверим изоляцию VLAN 20 и VLAN30:


    Широковещательный трафик не ходит между VLAN30 и VLAN20

    Заключение

    Настройка VLAN на роутере LT70 под OpenWrt позволяет легко разделить сеть на изолированные сегменты — как для обычных устройств (нетегированные VLAN), так и для оборудования, поддерживающего тегирование (тегированный VLAN). Как показала проверка, трафик корректно разделяется, устройства получают адреса из нужных подсетей, а широковещательный трафик не выходит за пределы своей VLAN. Это делает VLAN простым и эффективным инструментом для повышения безопасности и организации сети даже на бюджетном оборудовании.

    Вернуться назад