Tajemne życie sieci wirtualnych

Ostatnia zmiana: 2022-07-05 20:08

VLAN (Virtual Local Area Network / Wirtualna sieć lokalna) - to wydzielony logicznie obszar sieci komputerowej. W routerach wykorzystuje się VLANy do podziału portów przełącznika (switcha) na oddzielne sekcje, można także wykorzystać je do odseparowania kilku sieci od siebie. W pierwszym przypadku mówimy zwykle o VLANach typu port based, w drugim o typie 802.1q.
Przedstawione konfiguracje przetestowano na LEDE 17.01 oraz OpenWrt 19.07.

Obsługa VLANów

Dla pierwszego typu VLANów (port based) wymagany jest odpowiedni chip (w SOC lub oddzielny układ) który potrafi takie VLANy obsłużyć. Aby sprawdzić czy router w ogóle posiada switch z obsługą VLANów można wykonać polecenie:

Powinna pojawić się informacja że został znaleziony przełącznik widoczny pod ogólną nazwą switch0. Jeżeli polecenie nie zwróciło nic - system nie wspiera lub nie ma switcha. Ilość VLANów można znaleźć poleceniem:

W zależności od zastosowanego routera maksymalna ilość obsługiwanych VLANów ma różną, określoną wartość. Dla prymitywnych układów zwykle jest obsługiwane do 8 lub 16 VLANów, dla bardziej zaawansowanych - do 128 lub 4096. VLANy numerowane są od zera do 4096 (maksymalna liczba bitów w ramce ethernetowej), zwykłe nie można wykorzystywać numerów 0 oraz 4096, niektóre urządzenia wykorzystują także numer 1 jako VLAN domyślny. Dla niektórych routerów można specjalne włączyć obsługę większej ilości VLANów dodając opcję option enable_vlan4k 1 w sekcji config switch w pliku /etc/config/network.
Poniższe opisy dotyczą generalnie modyfikacji pliku /etc/config/network.

Grupowanie portów

W routerze VLANy mogą służyć do logicznego grupowania (lub inaczej - odseparowania) fizycznych portów ethernetowych. Dla przypomnienia - routery najczęściej mają jeden fizyczny port oznaczony WAN oraz do czterech portów oznaczonych jako LAN ale nie oznacza to że router dysponuje pięcioma interfejsami sieciowymi. W zależności producenta/modelu/wersji sprzętu i zastosowanego układu SOC najczęściej spotyka się konstrukcje zbudowane logicznie na następujących zasadach:

• jeden port sieciowy do którego dołączony jest przełącznik (switch) z pięcioma fizycznymi portami ethernet (tak zbudowane są np. modele TP-LINK TL-WR1043ND v1 czy TL-WDR3600)

• dwa porty sieciowe, do jednego dołączony fizyczny port ethernet który działa jako wan, a do drugiego switch z czterema portami fizycznymi (tak zbudowane są Linksys WRT160NL czy Ubiquiti Airrouter)

• całkowity brak switcha - wszystkie porty mają swoje fizyczne odpowiedniki

O ile w dwóch ostatnich przypadkach WAN jest sprzętowo wydzielony, o tyle w pierwszym przypadku trzeba odpowiednio skonfigurować przełącznik żeby podzielić pięcioportowy switch na jeden port i cztery pozostałe - i właśnie to robi się za pomocą VLANów.

Jako przykład zostanie omówiony TP-LINK TL-WR1043ND v1. Należy on do pierwszej grupy: zawiera jeden port sieciowy (zapewniający połączenie pomiędzy CPU a switchem) oraz wspomniane pięć fizycznych portów ethernet. Domyślna konfiguracja switcha w OpenWrt/LEDE w tym TP-LINKu wygląda następująco (pominięto tu niektóre sekcje i ustawienia):

W obrazach wydanych po 29 maja 2021r zmienił się sposób definiowania bridge - opcja ifname zmieniła się w device oraz definicja bridge została przeniesiona do nowej sekcji device - oddzielono tworzenie bridga od definicji sieci. Dla w/w przykładu nowa składnia pliku wygląda następująco:

Przełącznik składa się z pięciu portów numerowanych 0, 1, 2, 3, 4 które odpowiadają odpowiednio fizycznemu portowi WAN, LAN1, LAN2, LAN3 oraz LAN4. Nie zawsze fizyczne oznaczenie portów jest zgodnie z ich logiczną numeracją. Przed zabawą z VLANami należy sprawdzić przypisanie - można podłączyć kabel pod jeden z portów LAN a następnie uruchomić polecenie swconfig z odpowiednimi parametrami:

W tym przypadku kabel był podłączony do portu oznaczonego LAN1 i taki port pokazało polecenie (port:1 link:up). Można zauważyć także uruchomiony port o numerze 5 - jest to wewnętrzny port CPU będący połączeniem pomiędzy SOC a fizycznym switchem który zawsze jest w stanie up (uruchomiony). Aby dowiedzieć się którym portem jest podłączony SOC należy wydać polecenie:

Fizycznym układem odpowiedzialnym za switch jest Realtek RTL8366RB, a port CPU jest oznaczony jest numerem 5 (cpu @ 5). W innych modelach routerów może zdarzyć się, że port CPU ma inny numer - np. 0.

Powyższa konfiguracja grupuje porty 1, 2, 3, 4 (czyli wszystkie oznaczone LAN) i port 5 (CPU) w VLAN o numerze 1 oraz port 0 (port fizyczny WAN) wraz z portem CPU w VLAN o numerze 2. Aby była możliwość komunikacji pomiędzy portami ethernet a układem procesora, w tym modelu port CPU musi on być dołączony do wszystkich VLANów oraz musi mieć tzw. znakowane ramki ethernetowe - czyli musi być tagowany, stąd też literka "t" przy oznaczeniu portu CPU.
Utworzenie VLANu w systemie powoduje automatycznie pojawienie się nowego interfejsu oznaczonego nazwą interfejsu sieciowego i numerem VLANu, np. eth0.1 (VLAN 1 na porcie eth0). W omawianym modelu TP-WR1043ND v1 jest jeden port ethernetowy oznaczony eth0, w systemie tworzony jest VLAN o numerze 1, a powstały interfejs (eth0.1) wykorzystywany jest do lanu. Tworzony VLAN 2 (interfejs eth0.2) wykorzystywany jest jako wan.

OpenWrt/LEDE zwykle przyjmuje VLAN 1 jako LAN i VLAN 2 jako WAN dla urządzeń które posiadają obsługę chipa z vlanami.

WAN na określonym VLANie

Ma to miejsce np. dla połączeń Orange, gdzie wymagany jest VLAN 35. Zmieniamy więc numer VLANu:

Zamiana portu

Czas wykorzystać zdobytą wiedzę. Załóżmy że z powodu burzy spalił się port WAN. Można zrezygnować z używania fizycznego portu WAN, a jeden z portów LAN (powiedzmy - LAN1) wykorzystać jako nowy port WAN. Należy zmienić konfigurację switcha z w/w na taką:

Z definicji czteroportowego lanu z VLAN 1 został usunięty port o numerze 1 (zostały tylko porty 2, 3, 4 oraz CPU), który został podmieniony w definicji VLANu 2. Tym prostym sposobem stary port WAN nie jest wykorzystywany, trochę został uszczuplony LAN, ale mamy sprawny router innym portem WAN.

Wydzielenie portu

Kolejny przykład - używamy dwóch połączeń kablowych od dostawców internetu, chcemy zrobić failover z wykorzystaniem mwan3 i potrzebujemy wydzielić kolejny port WAN ze switcha żeby móc podłączyć drugi kabel. Sytuacja podobna do pierwszego przypadku - z istniejącego LANu wydzielamy port LAN1 i przerabiamy go na kolejny interfejs, jednakże nie usuwany definicji istniejącego portu WAN:

Wyciągnięty z LAN port 1 został wykorzystany w nowej sekcji switch_vlan która definiuje VLAN o numerze 3 (wraz niezbędnym portem tagowanym CPU). Dzięki temu powstanie kolejny interfejs eth0.3, którego umieszczamy w nowo utworzonej sekcji interfejsów o nazwie WAN2.

Rezygnacja z WAN

Nie potrzebujemy interfejsu wan bo wykorzystujemy urządzenie jako zwykły punkt dostępowy AP lub naszym wanem jest modem komórkowy na USB, ale za to potrzebujemy wykorzystać port WAN jako część LANu. Można to wykonać dokładając port WAN (numer 0 w przypadku TP-LINKa TL-WR1043ND v1) do listy portów w VLAN 1:

Sekcję WAN (o ile jej nie używamy) oraz definicję VLAN2 należy całkowicie usunąć.
Można to wykonać też w sposób całkowicie niezwiązany z VLANami - po prostu dodajemy do bridge LAN interfejs od WANu czyli:
(dla nowszych wydań OpenWrt)

(dla starszych wydań OpenWrt)

Zostawiając definicję VLAN1, VLAN2 a usuwając tylko sekcję WAN.

Wieloportowy WAN

Przypadek ekstremalny - z konfiguracji sieci wynika że potrzebujemy czteroportowy switch na WANie i tylko jeden port LAN. Można to wykonać wpisując odpowiednie numery portów do odpowiednich VLANów:

W tym przypadku porty WAN, LAN1, LAN2 i LAN3 będą pełniły rolę switcha WAN, a port LAN4 - lanu.
Możliwe jest wykonanie tej konfiguracji w prostszy sposób (i nie związany z VLANami) - po prostu wystarczy zamienić interfejsy sieciowe:
(dla nowszych wydań OpenWrt)

(dla starszych wydań OpenWrt)

VLAN 1 składający się fizycznych portów 1, 2, 3, 4 został oznaczony jako WAN, a VLAN 2 z portu 0 (WAN) jako LAN.

Wydzielenie portów ethernetowych dla innej sieci

W osobnym artykule została omówiona konfiguracja sieci gościnnej która tworzyła oddzielny interfejs radiowy dla gości. A co gdybyśmy chcieli wykorzystać także dwa porty ethernet do tego celu? WAN zostaje po staremu, czteroportowy przełącznik dzielimy na dwie części - dwa pierwsze porty (LAN1 i LAN2) zostaną siecią lokalną, a dwa ostatnie (LAN3 i LAN4) zamieniamy na siecią gościnną:

(adresacja i nazewnictwo zgodnie z artykułem o sieci gościnnej)
Ważna jest tutaj opcja type bridge w interfejsie gdyż pozwoli to na połączenie Wi-Fi sieci gościnnej z dwoma portami w jeden interfejs na którym będzie działać sieć gościnna.

Odseparowanie sieci

Separację sieci przy pomocy VLANów często można spotkać przy podziale ruchu który ma iść tymi samymi połączeniami fizycznymi. Urządzenie końcowe musi wtedy albo umieć obsługiwać VLANy albo musimy przepuścić ruch przez switch zarządzalny który będzie umiał obsłużyć VLANy.

WAN i LAN na jednym kablu

Często także pada pytanie: czy da się uruchomić jednocześnie LAN i WAN na jednym interfejsie? Da się wykorzystując VLANy i tagowanie ramek.

Jako przykład wykorzystamy TP-LINKa TL-MR3020. Jest to prosty router z jednym fizycznym portem ethernet (RJ45). Budowa pliku network tego urządzenia jest dość prosta:

Należy zauważyć że nie ma tu definicji switcha, vlanów, a w sekcji LAN występuje tylko bezpośrednie odwołanie do portu eth0 - jedynego interfejsu przewodowego. Jak utworzyć VLAN? Po prostu definiujemy interfejs o określonej nazwie (nazwa i po kropce numer vlan) a odpowiedni VLAN zrobi się "sam":

Fizycznie mamy nadal tylko jeden interfejs, natomiast "po kablu" płyną zwykłe ramki ethernetowe które niosą informację z LANu oraz inne specjalnie oznaczone (tagowane znacznikiem "6") które są informacjami z WANu.

Trochę inaczej wygląda ten scenariusz jeżeli mamy router wyposażony we własny switch. Zakładamy że chcemy LAN i WAN dostarczyć na jednym kablu który podpięty jest do fizycznego portu LAN1. W tym przykładnie wykorzystano TP-LINKa TL-WDR4300 dla którego portem CPU jest 0, fizyczny port WAN to 1 a lany mają odpowiednio numery 2, 3, 4 i 5. Podłączamy kabel do portu LAN1 czyli 2 wg oznaczenia swconfig:

Konfiguracja sieci:

Konfigurację można przetłumaczyć jako "tagowanie portu 2 VLANem o numerze 6".

Aby działał taki interfejs WAN potrzebujemy dostarczyć "internet w kablu" który będzie tagowany VLANem 6. Można do tego wykorzystać zarządzalny switch.

Wykorzystanie zarządzalnego switcha

Przykładową konfigurację switcha pokazano na przykładzie 5-portowego Ubiquiti TOUGHSwitch. Zakładamy że:

• mamy TP-LINKa TL-MR3020 podłączonego kablem do switcha do portu 5

• do portu 1 doprowadzony jest kabel z internetem

• do pozostałych portów można podłączyć się kablami żeby mieć LAN.

W takim przykładzie należy ustawić port 5 jako tagowany (tag) z VLAN o numerze 6, port 1 jako nietagowany (untag) i należy go wykluczyć z domyślnego VLANu (VLAN o numerze 1 Ubiquiti wykorzystuje jako VLAN domyślny - zarządzający).

Sieć Wi-Fi i gościnna na jednym kablu

Kolejne często zadawane pytanie - czy można zrobić sieć Wi-Fi i gościnną na urządzeniu które ma jeden interfejs sieciowy? Można, tworząc odpowiednie VLANy, choć znów będziemy potrzebowali czegoś co taką konfigurację będzie umiało przetłumaczyć na normalne dwie sieci.
Do testów wykorzystane zostało Ubiquiti NanoStation loco M2, posiadające tylko jeden port ethernet. Ma rozgłaszać dwie sieci Wi-Fi - naszą domową oraz sieć gościnną. Jak zrobić AP to wiemy, w praktyce wystarczy tylko włączyć obsługę sieci. Natomiast dla sieci gościnnej robimy nowy bridge który będzie łączył dodatkowy interfejs radiowy oraz tagowanego VLANa o przykładowym numerze 7. Urządzenie to nie robi maskarady/nat jak w poprzednim scenariuszu, jest zwykłym "głupim AP".

Konfiguracja /etc/config/network:

Konfiguracja /etc/config/wireless:

Konfiguracja /etc/config/dhcp:

Konfiguracja /etc/config/firewall:

Parę słów wyjaśnienia. Mamy urządzenie które które domyślnie rozgłasza naszą domową sieć bezprzewodową (tutaj o nazwie "LEDE"). Został zmieniony adres na LAN żeby nie kolidował z głównym routerem, został wyłączony serwer DHCP na lanie więc zrobiliśmy tzw. "głupiego AP". Podłączamy urządzenie kablem pod nasz domowy router (zakładamy że ma on adres 192.168.1.1). Klienci powinni zobaczyć sieć domową o nazwie "LEDE", powinni móc podłączyć się i dostać adres z puli przydzielanej przez główny serwer oraz powinni mieć dostęp do internetu.
Ponieważ chcemy rozgłaszać też drugą sieć gościnną tworzymy nową sekcję (nazwaną "wifi2") w network opartą o VLAN 7 (taki VLAN utworzy się automatycznie ponieważ urządzenie jest bez switcha) oraz nadaliśmy jej adres z puli nadawanej przez sieć gościnną. W wireless tworzymy nowy VAP który jest skojarzony z siecią "wifi2". W pliku dhcp wyłączyliśmy serwer dhcp dla obu sieci - normalnej i gościnnej, w pliku firewall została zrobiona nowa sekcja skojarzona z siecią "wifi2".
Mamy więc jedno urządzenie które rozgłasza dwie sieci bezprzewodowe, jedną skojarzoną ze zwykłym LANem, drugą skojarzoną z tagowanym VLANem 7 który "leci" po tym samym kablu co sieć główna.

Aby dostarczyć "internet" do tak skonfigurowanych sieci potrzebujemy znów albo inteligentnego switcha albo odpowiedni router.

Wykorzystanie zarządzalnego switcha

Jeżeli wykorzystamy utworzony wcześniej router który ma skonfigurowane dwie sieci, jedną udostępnioną na dwóch pierwszych portach LAN (LAN1 i LAN2) oraz drugą sieć na pozostałych portach LAN (LAN3 i LAN4) to potrzebujemy znów zarządzalny switch który będzie w stanie zamienić tagowanego VLANa 7 na zwykły ethernet. Znów został użyty wspomniany switch Ubiquiti. Konfigurujemy go w następujący sposób:

• do portu 1 podłączamy kabel do głównego routera do portu LAN1 na którym będzie sieć główna. Port ten jest w domyślnym VLANie switcha, jest nietagowany wraz z portami 2, 3 i 4. Pomiędzy portem 1 a portem 4 ma przejść główna sieć którą będzie rozgłaszał NanoStation

• do portu 4 podłączamy kabel z naszego NanoStation

• do portu 5 podłączamy kabel z naszego routera do portu LAN 4 na którym będzie sieć gościnna

• tworzymy nowy VLAN o numerze 7, wyłączamy porty 1, 2 oraz 3, port 4 zaznaczamy jako tagowany (na nim "płynie" VLAN 7), a port 5 robimy nietagowny (zadaniem switcha jest przetworzenie tagowanych ramek z portu 4 na czyste ramki ethernetowe dostępne na porcie 5).

Poniżej odpowiedni rysunek konfiguracji switcha:



No dobrze, ale to wprowadza dodatkowe urządzenie jakim jest sprzętowy switch zarządzalny. Jeżeli nasz główny router jest na tyle zaawansowany żeby obsłużyć VLANy (a jest - bo zrobiliśmy na nim podział przełącznika na dwie różne sieci) to można pokusić się o wyrzucenie switcha zarządzalnego i skonfigurowanie obu sieci na głównym routerze.

Wykorzystanie routera

Wyrzucamy więc switch zarządzalny, kabel od NanoStation łączony z głównym routerem do jednego z portów LAN np. LAN3. Zostaje tylko skonfigurowanie głównego routera żeby na lanie 3 udostępniał i główną sieć i sieć gościnną tagowaną VLANem 7.

Jako główny router znów wykorzystujemy TP-LINK TL-WDR4300 w którym, dla przypomnienia - port CPU to 0, port WAN to 1, porty LAN1, LAN2, LAN3 i LAN4 odpowiadają numeracji swconfig odpowiednio 2, 3, 4 i 5. Konfigurujemy sieć gościnną wprowadzając małe zmiany.

Konfiguracja sieci:

(adresacja i nazewnictwo zgodnie z artykułem o sieci gościnnej)
LAN i WAN został w domyślnej konfiguracji, został dodany nowy interfejs do sekcji sieci gościnnej oraz nowy VLAN który jest tagowany na jednym z interfejsów. Dzięki temu sieć główna dostępna jest na każdym porcie LAN, a sieć gościnna tylko na porcie LAN3 (numer 4 wg swconfig) i jest tagowana VLANem o numerze 7.

IPTV

Tematy były wielokrotnie omawiane na forum witryny. Poniżej kilka linków z gotowymi konfiguracjami.

http://eko.one.pl/forum/viewtopic.php?pid=77116#p77116
http://eko.one.pl/forum/viewtopic.php?pid=40481#p40481
http://eko.one.pl/forum/viewtopic.php?pid=178125#p178125