Nebula Switch VLAN 設定教學
Zyxel Employee
前言
如果您熟悉 802.1q 的 VLAN,您可能已經熟悉“PVID”、“untagged 成員”、“tagged 成員”和 VLAN Tag 等術語。
然而,越來越多的網路設備在其 VLAN 設置中加入諸如“Trunk”、“Trunking”、“Access”等術語,這引起了人們對 VLAN 設定的極大混淆,造成難以正確的完成 VLAN 配置。
特別是 Nebula 中的交換機端口設置使用了 "Trunk"、"存取" 等術語,這與我們之前學習本地管理設置 VLAN 的方式有很大不同。
因此在這篇文章中,我們想解決使用者 VLAN 配置的困惑,並希望對如何在 Nebula 中設置 VLAN 提供一些指引。
懶人包
Nebula Switch 與 "終端設備" 串接,VLAN 類型請選擇 "存取" ,PVID 依照該 Port 所屬的 VLAN 設定。
Nebula Switch 與 "中繼設備" 串接,VLAN 類型請保持預設值 Trunk , PVID 1。
備註 : 中繼設備表示該設備後方還會繼續串接其他設備,例如 : Firewall、AP、Switch 等。
根據 802.1Q 回顧 VLAN
回顧 VLAN 是如何定義的,我們必須首先弄清楚一些非常基本的參數 - 根據 802.1q 標準,屬於 VLAN 的幀根據標頭的大小、添加某些字節進行區分,如果是 VLAN 成員,則將某些內容寫入其中。
我們稱其為 VLAN Tag,透過 VLAN Tag 即可將封包區分不同群組。
下圖提供您參考:
如果交換器端口收到一個已經帶有 VLAN Tag 的封包,且交換器也有設定該 VLAN 群組,交換器即可將封包送到正確的 VLAN 成員端口。
如果交換器端口收到一個尚未帶有 VLAN Tag 的封包,這意味著該端口後方的設備不需要收到任何類型的 VLAN Tag 封包。而 Switch 可以決定要往其他 Port 傳送時,是否要將該封包新增 VLAN Tag ,這時候即是透過 PVID 達成。
我們可以把他想像成 Switch 的端口上設定了一個標籤機,只要尚未帶有 VLAN Tag 的封包送進來,Switch 就會主動幫她貼一個標籤,用來辨別屬於哪個 VLAN 群組 :
現在我們已經簡單了解了 VLAN 如何根據 IEEE 標準運作,接下來讓我們透過 Trunk & Access Mode 完成正確的 VLAN 設定。
更輕鬆地設定 VLAN - Trunk & Access Mode
VLAN 的概念較難理解,但是一旦你真正掌握了它們的工作原理,它們就會變得“像餡餅一樣簡單”。像 Cisco 這樣的競爭對手已經改變了 VLAN 配置方式,對於不熟練的工程師來說更為直觀,並且現在已經確立為沿著 VLAN 的 802.1q 定義運行的標準,使用 Trunk Mode 和 Access Mode 來定義 VLAN 成員。在我們的 Nebula 解決方案中,為了迎合 VLAN 功能不斷增長的需求,我們也採取了分配 VLAN 成員的相同概念。
讓我們先看一下中繼模式的菜單是什麼樣子,然後從 802.1q 標準的角度來看——可以通過以下方式找到菜單
交換器 > 設定 > 交換器埠
勾選要編輯 VLAN 的端口(可一次勾選多個),然後點擊“編輯”按鈕,系統將彈出端口編輯頁面 :
VLAN 設定主要由 "類型、PVID 和允許的 VLANs " 組成 :
Type - 選擇該 Port 屬於 Trunk 或 存取 模式
PVID - Switch 將尚未攜帶 VLAN Tag 的封包加入 VALN Tag
允許的 VLANs (只在 Trunk Mode 出現) - 允許哪些 VLAN Tag 封包通過該 Port (預設值允許任何 VLAN Tag)
VLAN 類型 (只在 Access Mode 出現) - 允許您分配某些動態 VLAN 機制,例如語音 VLAN 等。
現在我們已經知道在哪裡可以找到 VLAN 設置以及有哪些參數,接下來為各位帶來 "Trunk" 與 "存取" 類型詳細說明,轉換為我們前面提到的 802.1q 知識。
Trunk
當 Switch Port 對端串接支援 VLAN 的設備時,基本上都是選擇 Trunk VLAN 類型。當封包從 Trunk 模式的 Port 離開,仍會攜帶原本的 VLAN Tag,下一台中繼設備收到才會知道該封包屬於哪個 VLAN ,區隔不同 VLAN Tag 的封包。
PVID 用於將尚未攜帶 VLAN Tag 的封包加入 VALN Tag,因此每個端口的 PVID 為獨立的數值。所有的網路設備預設值一般都不會主動攜帶 VLAN Tag,如同網管型 Switch 預設值管理介面也是 vlan 1,因此強烈建置將 PVID 設置為 = 1 ,則 Switch 管理網段即可保持在 vlan 1。
預設值的 "允許的VLANs" 為 "所有",表示 Switch 允許所有帶有 VLAN Tag 的封包進入,送出也會保持原有的 VLAN Tag。由於 PVID ID 設定為 1 ,因此當 VLAN1 的封包離開 Port ,將會轉變為 未攜帶 VLAN Tag 的封包。
如果我們想要設定的比較嚴格,例如只允許帶有 VLAN10、20、30 的封包通過,其他 VLAN Tag 封包一律封鎖,且預設值未帶 VLAN Tag 的封包保持為 1 ,設定範例如下:
備註 : 數字之間使用 ","分隔
存取
設定存取模式的 Port 用於與終端設備連接,例如 : IP CAM 、 電腦、印表機。終端設備一般不會主動發送帶有 VLAN Tag 的封包,因此設定為存取模式的 Port 只要收到帶有 VLAN Tag 的封包會直接丟棄。
存取模式下只需要調整 PVID ,及代表當 Switch Port 收到終端設備發出來尚未攜帶 VLAN Tag 的封包時,Switch 會透過 PVID 分類該設備所屬的 VLAN。
當封包送回給終端設備時,Switch 也會將從上層收到帶有 VLAN Tag 的封包,把其中的 VLAN Tag 刪除,給終端設備時就會是乾淨的封包,因為一般的終端裝置無法辨識帶有 VLAN Tag 的封包。
VLAN 類型用於 Voice VLAN 或 Vendor ID Based VLAN ,當 Switch Port 收到特定 MAC 位址的封包,可以 VLAN Tag 改為 PVID 以外的標籤。屬於特殊情況使用,若無此需求,請保持預設值 "無" 的設定。
VLAN 存取類型設定範例如下 :
VLAN 類型用於 Voice VLAN 或 Vendor ID Based VLAN ,當 Switch Port 收到特定 MAC 位址的封包,可以將 VLAN Tag 改為 PVID 以外的數值。屬於特殊情況使用,若無此需求,請保持預設值 "無" 的設定。
VLAN 設定範例教學
透過前面的介紹,想必現在我們已經可以完成正確的 VLAN 設定了,以下提供 VLAN 設定範例給各位參考。
此架構圖中的防火牆已設定正確 VLAN 介面 :
Switch P1~P10 用於連接 PC ,取得 VLAN 10 網段,由於 PC 屬於終端裝置,後方並無串接其他設備,因此 VLAN 類型設定為 "存取",PVID 10 。
一次可選取多個 Port 套用相同 VLAN 設定
Switch P11~P14 用於連接網路監視器 ,取得 VLAN 20 網段,由於網路監視器屬於終端裝置,因此 VLAN 類型設定為 "存取",PVID 20 。
Switch P15~P24 用於與 AP 串接使用 ,由於 AP 屬於 "中繼設備" ,AP 後端仍會有無線裝置連接,也會廣播員工與訪客'兩個不同 VLAN 網段的 WIFI,因此 VLAN 類型維持預設值 "Trunk"、且允許所有 VLAN 通過即可。
AP管理網段為 VLAN 1 ,因此 PVID 設定 1 。
Switch P28 用於與防火牆連接 ,防火牆為 "中繼設備" ,需要知道收到的封包屬於哪個 VLAN TAG,因此 VLAN 類型維持預設值 "Trunk"、且允許所有 VLAN 通過即可。
Switch 管理網段為 VLAN 1 ,PVID 設定 1 即可取得防火牆 lan1 網段 IP 位址。
Nebula Switch 透過調整 VLAN 類型 Trunk、存取,即可完成設定,相對於落地管理簡易許多,但還是要注意類型的調整,若應該為 "Trunk" 的 Port 變成 "存取",將會造成其他 VLAN 無法正常傳送到上層設備。
最後再跟各位複習一下懶人包 :
Nebula Switch 與 "終端設備" 串接,VLAN 類型請選擇 "存取" ,PVID 依照該 Port 所屬的 VLAN 設定。
Nebula Switch 與 "中繼設備" 串接,VLAN 類型請保持預設值 Trunk , PVID 1。
備註 : 中繼設備表示該設備後方還會繼續串接其他設備,例如 : Firewall、AP、Switch 等。
