Теория свитчей и VLAN на примере простого управляемого свитча netgear gs108E
- Цена: 15 euro
- Перейти в магазин
Это обзор управляемого 8 портового свитча и теория свитчей, как оно там все соединено и работает. С вероятностью 95% свитч вам не нужен, а теорию будет полезно почитать. В рунете не существует нормального материала по работе свитчей и виланов. Обычно все заканчивается на абстгактных примерах, притянутых за уши. Мы же будем рассматривать реальные проекты и железо.
Однако опыт показал, что при заказе ремонта квартиры или офиса многие не учитывают слаботочку и не в курсе современных возможностей железа.
Поэтому я решил немного написать теории тут в частности по свитчам, как это работает на практике и как это использовать на практике. Что надо учесть при проектировании электрики силовой и слаботочной.
После этого вы самостоятельно сможете спроектировать сеть в вашем доме на базе ubiquti unifi, обзор на которую пишется mysku.club/blog/ebay/71124.html
Многие слышали про управляемые свитчи, но мало представляю себе, что это такое и какой профит с него можно поиметь. Есть образ некоей железки, куда можно зайти как в обычный роутер и что-то там настроить. Или что это свитчи с пое. Хотя пое свитч может быть и неуправляемым.
В чем же разница?
А на самом деле никакой разницы нет. В обоих стоит одна и та же мелкасхема, которая отвечает за функции свитча.
Кстати у некоторых еще сформировался ложный образ свитча как некоего подобия квм переключателя, где некий электронный переключатель соединяет 2 порта между собой и компутеры обмениваются данными.
На самом деле сетевой свитч ничего общего не имеет с электронными переключателями и он не работает с электрическими сигналами. В мощных многопортовых свитчах есть несколько мелкасхем для преобразования сигналов с витой пары в сигналы внутренней шины, которые уже поступают на мелкасхему свитча, где и обрабатываются внутренним подобием процессора, причем аппаратно.
Образец преобразователя ethernet в шину spi для подключения к контроллеру. Так же эта мс способна обрабатывать фреймы, что уже говорит о зачатках мозгов для работы на 2м уровне OSI модели.
Тут тогда возникает вопрос: а кто тогда отвечает за вебморду?
Для этого служит отдельный процессор, пзу, озу. Или же все это делает специальная система на кристалле.
Например для 8 портового свитча там все влазит в один корпус.
Тогда как в больших свитчах все сделано по отдельности.
Как я уже сказал — мелкасхема свитча управляемого и неуправляемого может быть одна и та же. Только на управляемом она подключена к какому-то процессору, а неуправляемый имеет небольшую пзу или вообще импользует настройки по умолчанию. В домашних дсл модемах и роутерах свитч может быть отдельной мс и точно такая же мс может стоять в дешевом неуправляемом свитче.
Разница в том, что управляемый в любой момент времени может записывать через шину управления в регистры разные значения и тем самым управлять режимами коммутации кадров.
Основной смысл управляемости заключается в физическом разделении сетей. Это как если бы вы взяли 2 разных свитча и повтыкали бы провода в них, один подключили бы к одному роутеру, а другой — к другому роутеру.
Управляемый свитч позволяет это делать внутри своего процессора. Эта функция называется VLAN.
С одной стороны дома с этого никакого профита и нет. Особенно при 8 портах. С другой стороны это позволяет организовать раздельные wifi сети (безотносительно свитча), где будут разные ssid. Но просто назвать 2 сети по-разному это не значит, что они будут разделены. Они могут быть одной сетью на уровне маршрутизатора, т.к. получать адреса с одного диапазона. А еще лучше, когда они разделены физически и никакое прослушивание трафика не поможет.
Другой пример.
У вас есть роутер с 4 портами лан, где один порт обозначен как тв и провайдер там гонит отдельный трафик. А у вас 3 телика. Что делать? Можно купить еще один свитч неуправляемый. Но если у вас есть управляемый на 8 портов, то вы легко отрежете 4 порта и сделаете vlan для тв.
Вот так выглядит блок схема роутера на 4 лан и 1 ван порт.
Что такое 8212 и 8211? Это как раз те самые отдельные микросхемы phy, которые преобразуют сигнал из витых пар в некую специальную шину rgmii, как на картинке выше, где был модуль для ардуины, только там шина была spi.
Вот что внутри микросхемы свитча Realtek RTL8366.
Как можно заметить, там есть шина i2c, куда подключается пзу. У микросхемы свитча есть конфигурационные выводы, которые позволяют при подаче питания работать ей автономно и загружать конфиг из этой пзу. А в ней как раз хранятся значения, которые потом будут скопированы в регистры конфигурации vlan.
Вот мы и добрались до vlan. Как можно видеть из картинки — виланы это такие виртуальные ланы или группы портов физического свитча, которые как бы отделены друг от друга, как если бы это были разные физические свитчи.
Тут я попытался нарисовать отличие неуправляемого свитча от управляемого.
У неуправляемого свитча все порты нетегированы и внутри нет виланов. Раньше (а может и сейчас еще) выпускались микросхемы без возможности виланов, чтобы упростить схему и стоимость. Это были дубовые свитчи. Но вроде последнее время выпускают только управляемые.
Внутри они выглядят так.
Там уже по умолчанию есть один вилан, он всегда обозначается 1. А что такое untagged?
От английского tag — метка. Присвоение меток портам или трафику называется тегирование.
Можно заметить, что в первый порт заходит стрелка, а из других выходит. Это условное обозначение трафика, т.к. в реале трафик там ходит в обе стороны. В данном случает данные, приходящие в порт называются ingress traffic, а исходящие egress. Эти термины используются для пометки типа трафика при настройке qos (ограничение скорости на портах).
В управляемом свитче весь трафик заходит на порты и помечается тегом, а когда выходит с портов, то тег убирается.
Как выглядит тег?
После зеленого поля source mac у фрейма без тега идет фиолетовое поле типа кадра, а с тегом поле бирюзового цвета. Там нам надо знать только vid. Это 12 бит, которые дают 4094 сетей, что довольно много, однако в современных сетях и этого мало оказалось. Поэтому придумали костыль и сделали еще столько же бит во втором теге этого же фрейма.
А технология вилан имеет обозначение IEEE 802.1Q. Еще в этом общем бирюзовом поле содержатся биты класса трафика, которые используются для qos.
Теперь перейдем к тегам.
Значит сам вилан внутри свитча является виртуальным интерфейсом. Когда вы будете конфигурировать свитчи, то первым делом создается сам вилан интерфейс.
Этот интерфейс может иметь IP адрес. Нужен он для доступа к вебморде свитча из этого вилана. Есть еще такие гибриды свитча с роутером, т.н. свитчи 3го уровня, которые могут быстро маршрутизировать пакеты 3го уровня, а не фреймы. Такие маршрутизаторы дороже. Служат для разбиения бродкаст доменов на меньшие, чтобы этот бродкаст трафик не забивал каналы почем зря. Обычно используют в больших конторах, но маршрутизация свитчем не имеет особого смысла, т.к. там нет фаревола, который бы разрешал ходить только определенному типу трафика между сетями
Итак, после создания одного или более вилан интерфейсов, мы можем приступить к настройке портов.
На предыдущем рисунке видно, что порт 2 вообще серый и никуда не подключен. Можно «физически» отключить порт от всех виланов, тем самым исключив возможность проникновения в вашу сеть путем втыкания в свободный порт. В одной тюрьме США так заключенные подключили кабель в свитч под потолком в коридоре и собрали компутер в камере. Впрочем их все равно вычислили.
Как видно из этой картинки — порты 2 и 4, 3 и 5 подключены к пк в разных виланах. Порт 6 тоже подключен в стандартный вилан 1.
А вот порт 1 транковый. Это такой специальный режим порта, когда в него заходят и выходят указанные трафики. Это как бы труба, в которой есть еще трубы потоньше и по всем ним текут разного рода жидкости не смешиваясь.
Где можно применить такое? Обычно транковыми портами соединяют 2 свитча или же свитч с роутером.
В этом случае физический порт роутера имеет интерфейс сетевой и еще на нем можно сконфигурировать подинтерфейс vlan. В разных роутерах это делается по-разному.
Посмотрим случай, когда нас может спасти управляемый свитч.
Вот тут представлен конфиг, когда у нас в конторе в щитке заходил 1 кабель провайдера и через муфту соединялся с кабелем до серверной. И вот потребовалось сделать так, чтобы инторнет работал без перебоев, если один провайдер отвалится.
Второй провайдер завел кабель до щитка и все. Теперь нам надо покупать новый роутер с функцией dual wan. Но мы можем обойтись более дешевым свитчем и воткнуть 2 провайдера в один свитч. Если бы это был неуправляемый свитч, то так делать нельзя, т.к. приведет к глюкам в сетях провайдеров.
В нашем же случае свитч по одному физическому транковому кабелю будет гнать 2 типа трафика на роутер, который стоит у нас в серверной. Там уже роутер разберет трафик на виланы и направит на свои интерфейсы, а роутер уже будет отслеживать соединение на основном провайдере и в случае пропажи — переключит основной шлюз на другой ип адрес второго провайдера.
Круто? Круто. За пару десятков евров мы избавились от неоходимости прокладывать еще один кабель. Точно так же вы можете сократить прокладку кабеля для видеокамер и подключить их к свитчу с пое, а видеотрафик пустить по вилану отдельно. Есть даже свитчи, которые могут запитываться сами через пое и питать камеры или точки доступа.
Теперь посмотрим конфиг свитча, к которому подключены точки доступа с разными сетями.
Тут сразу бросаются в глаза 2 типа порта — гибридный и транковый.
Гибридный — это когда на порту присутствует трафик с метками и без меток. Зачем это нужно?
Например точки доступа по умолчанию не настроены на виланы и отбрасывают пакеты с метками. Поэтому нам надо как минимум дефолтный вилан 1, в который входит так же сам контроллер точек доступа и роутер. По этой сети точки будут получать конфиги и эта же сеть может быть основной.
Далее настраиваем вилан 10 и создаем беспроводную сеть ssid guest. Назначаем этой сети вилан10 в контроллере точек доступа. Теперь настройки точки пройдут через вилан1 и на ней поднимется уже 2 сети. И теперь роутер, что висит на транковом порту, будет выдавать адреса по dhcp из своего отдельного пула и маршрутизировать их так, чтобы пакеты не лезли в основную сеть, а только в инторнет.
Так достигается полная изоляция беспроводных сетей.
Если у вас нет контроллера точек доступа, то некоторые модели тп линк и других производителей имеют настройку вилан и вы можете так же организовать гостевую сеть на дешевом оборудовании. Просто возни больше.
Зачем еще нужен гибридный тип порта? Конечно же для ип телефонии. Вы наверное видели телефоны с парой сетевых портов и там даже подписано, куда включать компутер, а куда сеть.
Дело в том, что обычно воип трафик в локальных сетях (да и в провайдерских дсл или кабельных) идет в отдельных виланах. У провайдеров сам модем разбирает трафик и направляет на нужные интерфейсы, будь то телефон или телик.
В локальных же для сокращения кабельного хозяйства мы можем использовать 1 кабель для телефона и пк.
Т.к. пк это дубовый сетевой девайс и он понимает только нетегированый трафик, то все порты свитча маркируются как access. А гибридный тип будет гнать и тупой трафик, и с тегом и этот тег поймет телефон и захапает его себе, а без тега внутренний свитч телефона направит фрейм на порт с маркировкой пк.
Справедливости ради надо заметить, что карты интел и риалтек могут понимать виланы на уровне драйвера сетевой карты. Драйвер только от производителя и надо эти настройки включить. Я еще сделаю небольшой обзор 4х портовой карты риалтек и там покажу эти плюшки.
Вот и вся теория по виланам. Но пока что это просто абстгактная инфа, которую никуда не применить.
А я покажу, как при помощи управляемого свитча решить некоторые вопросы и зачем был куплен обозреваемый свитч.
Сначала перейдем к свитчу и посмотрим, что он из себя представляет.
NETGEAR ProSAFE Plus серия гигабитных свитчей для дома и мелких контор. Любой управляемый свитч имеет как минимум виланы. Так там есть поддержка приоритетов трафика или qos, которая позволяет разными способами выделять трафик и пропускать более значимый — например голосовой.
Еще одна плюшка IGMP Snooping — позволяет гнать видеопотоки только на те физические порты, где есть потребители мультикаст трафика и не забивать остальные порты. Что это такое — я там ниже скажу.
Так же есть возможность проверки целостности кабельного соединения и конечно же мониторинг портов и трафика на них. Правда в этой модели все делается через индусский софт.
Как можно узреть — в простом роутере ничего интересного нет. Кстати озу тоже нет, видать хватает встроеной в сок.
Для первичной настройки свитча ему надо задать адрес или узнать дефолтный. Для этого есть специальный софт. Заодно и прошивка там же. С момента последнего апдейта где-то в феврале-марте вышла уже новая версия.
www.netgear.com/support/product/GS108Ev3
Есть еще другой индусский софт в виде утилиты поиска.
Она написана на electron. Кто не знает — это такая модная приблуда, которая позволяет писать десктопные кроссплатформенные приложения при помощи вебтехнологий. Это серверная версия яваскрипта nodejs и клиентская версия того же яваскрипта в виде движка хромиума. В нагрузку к ним еще идут adobe air, .net framework 4.6, winpcap. Последний — это драйвер сетевого уровня для перехвата пакетов на сетевых интерфейсах, чтобы работать с сетью на низком уровне.
Чтобы просто найти и показать все свитчи — нужна прога, папка которой весит 140мб.
Теперь переходим к другой проге, которая позволяет настраивать свитчи по своему протоколу.
Т.к. вебморда ничем не отличается от софта, то дальше я буду делать все в вебморде.
Одна прикольная фишка управляемых свитчей — зеркалирование трафика с портов на порт «отладки». На этом порту может висеть админский компутер с wireshark. Вам не придется устанавливать анализатор пакетов на какой-то машине, а можно просто порт этой машины перенаправить на свой отладочный.
Свитчи в отличии от хабов не посылают весь трафик на все порты, где он может быть легко перехвачен. А эта фишка как раз позволяет обходить это ограничение.
В данном случае мой отладочный порт 1, а трафик будет идти с 6 и 7.
А вот та плюшка с тестированием кабеля. Оно даже пытается определить длину, но на коротких дистанциях там +- лапоть. В моем случае кабель 3 метра.
Вот эта плюшка с мулитькаст трафиком. Только тут она совсем урезаная. Если у вас на транк порт заходят виланы с мультикастом, то на все порты одного вилана можно направить этот трафик.
Либо заблокировать трафик на этих портах. Вобщем в таком варианте реализации я даже и не знаю как ее применить.
А вот пошли виланы. Как я уже выше писал — есть 2 типа виланов: основанные на портах и на стандарте 802.1q.
Если вам тупо нужны как бы 2 раздельных свитча, то выбираете портовые виланы и делите на группы.
По сути это тот же 802.1q, только все настройки скрыты.
А теперь посмотрим настройки поближе.
Тут тоже довольно просто, только теперь можно указать номера виланов.
Зачем нужно? Например в один из портов воткнут кабель, который идет со свитча и на нем тегированый трафик или вообще транк. Свитч будет только брать трафик с нужным номером и пускать на порты, которые в этом вилане.
Теперь перейдем в самый сложный режим, где можно все настраивать самому.
Добавим в поле vlan id цифру 10 и нажмем apply. Так создается новый вилан интерфейс.
Интерфейс в данном случае это абстгактный. Зато в продвинутых свитчах на него можно навесить dhcp client и ваш свитч будет иметь как бы 2 ип адреса, что позволит обращаться к нему из разных сетей. Так же в продвинутых свитчах можно делать dhcp server.
Пока что в нашем 10м вилане нет портов.
И тут вылазит еще одна штука, о которой я не говорил раньше — это pvid оно же port vlan id.
Это цифра из уже созданных виланов.
Она на первых порах создает путанницу, т.к. вроде бы мы уже выше определили, какой порт в каком вилане будет находиться.
Например порт 2 находится в вилане 2, но пвид по дефолту 1. Так хоть и допускает конфиг свитча, но компутер на этом порту ничего не сможет принять. Почему так происходит?
Дело в том, что трафик делится на входящий и исходящий. Как я уже писал выше — любой современный свитч является управляемым и по дефолту в нем есть интерфейс вилан1. Любой входящий в свитч трафик маркируется тегом в виде бирюзового цвета.
Там он бегает по кругу, попадает на порты и тег стирается. Чтобы тег стирался — надо на портах выставить букву U (untagged).
Буква Т это tagged. Такой трафик может проходить спокойно через неуправляемые свитчи с пое и обрабатываться например точкой доступа.
Но входящий нетегированный трафик можно тегировать только в один вилан. Это как есть общий вход в уборную, но один человек может пойти либо в женский, либо в мужской сортир. Одновременно в два он физически не может зайти.
Так и трафик от тупого пк без тега должен же куда-то заходить. По дефолту он попадает в 1й вилан. А у нас порт 2 засунут в вилан 2. Трафик разрывается пополам и компутер уже не в состоянии понять, откуда ждать пакеты.
У портов можно убрать буквы и он останется как бы вне виланов (not member). В данном свитче такое нельзя сделать. Выйдет сообщение, что сначала надо изменить pvid и только потом можно исключить порт из одного вилана, чтобы он не был транковым и засунуть в другой вилан.
Но если вы выберете вилан 10 и поставите U на каком-то порту, все сработает, но pvid не изменится. Поэтому надо руками его тоже на 10 поменять.
Как я уже говорил — трафик может быть входящим и исходящим.
В этом разделе можно легко ограничить скорость на порту. Так легко без нагрузки на роутер можно ограничивать скорость инторнета в общагах или офисах.
Кто изучал программирование, то 95% из них испытывали трудности с тем, что вроде бы как бы знания есть, как бы вроде бы все понятно, но когда доходит до делать, то непонятно, как и с чего вообще начать.
Как я недавно выяснил — никто не преподает методику познания материала. Подразумевается, что вот ты получил знания и внезапно стал работать, как будто бы уже имел опыт в 20 лет.
Недавно я нашел человека, кто объяснил, как правильно преподавать программирование. Методика так же применима и к другим областям.
У одного клиента есть 4 здания, где есть 2 сети — инторнет и видео. Видео было смонтировано позже.
Причем конфиг хитрый и для понимания сети надо нарисовать схему, потому что без схемы даже в такой простой сети не разобраться, т.к. ее надо держать в голове.
Так же и при программировании — человек держит кучу кода в голове и думает, как бы реализовать все и сразу, а в результате ничего не получается и он думает, что это он такой тупой.
Поэтому там задача делится на 2 типа. Сама задача, которая отвечает на вопрос ЧТО и решение задачи, которое отвечает на вопрос КАК.
Например есть машина и задача у нее ехать. КАК ездит машина? При помощи двигателя. При помощи буксира. При помощи конной тяги.
Вот у нас есть исходная сеть.
Инторнет заходит в старое здание с роутера на свитч. Свитч соединен оптикой со свитчем в новом здании.
Когда строили новое здание, то проложили под землей оптику и до проходной.
А до этого еще в дом к охраннику прокинули витую пару от свитча из старого здания и засунули в точку доступа влан. (отметил как обычный компутер)
В том доме еще стоят 2 компутера для видео и проложены 2 кабеля до свитча (нарисовал один).
Делали все низкоквалифицированные работяги.
В новом здании в одном кабинете стоит 3 компутера — 2 рабочие станции и один для камер с нового здания.
Все камеры заходят на 2 регистратора на проходной.
На проходной стоит 1 видеосервер с виндовсом и специальным софтом, который пишет потоки с аналоговых камер через специальные карты.
В этой же проходной стоит компутер, который соединен с видеосервером по сети, а регистратор hikvision соединен хдми кабелем с монитором.
Казалось бы все норм и должно работать и оно работало как-то до недавнего времени. Потом начались глюки и отвалы видеосерверов из-за одинаковых ип.
Глюк выражался в том, что в будке охраны клиент цмс отваливался от видеосервера и это было замечено только когда будка соединена с новым зданием по оптике через медиконвертеры.
В новом здании в полу 2 розетки всего. Одна раскидана на аналоговые телефоны, а вторая была раскидана на 2 рабочих пк. Работяги просто в этот свитч втыкают 3й компутер, ставят туда цмс клиент и все работает. Точнее работало и внезапно заглючило.
Рабочая сеть 192.168.135.128/25 (это из центра так сделали, я тут не при чем и оно маршрутизируется с впн других филиалов) Есть dhcp.
Видео сеть 192.168.0.1/24 без dhcp.
Работяги уехали из командировки и забили. И тут прихожу я.
Ставим еще один управляемый свитч на проходной. Ставим микротик 941й в дом охране. Ставим обозреваемый свитч в кабинет в новом здании (первый свитч там уже в серверной стоит).
Настраиваем транки между всеми свитчами.
Тепеть у нас все здания связаны обоими сетями, в любом месте можно теперь подключить сетевую камеру и завести ее на регистраторы или же можно подключить клиент видеонаблюдения. При этом сети никак друг друга не видят.
Микротик настроен как мост lan-wlan и сам он не раздает ип адреса, все это делает стандартный маршрутизатор в основной сети. Если настройки изменятся (у меня нет к нему доступа), то инторнет у охранника не пропадет. Так же это не приведет к пропаданию картинки с камер у охранника в доме.
Так же появилась возможность на проходной запилить инторнет, а то охранники там от безделья целый день маются и сидят через телефоны в ютубе, а трафик не безлимитный.
В качестве альтернативного решения в кабинете нового здания можно было бы оставить старый неуправляемый свитч, а на компутере для видео сделать вилан интерфейс при помощи драйвера сетевой карты. Тогда появится новый сетевой адаптер и ему назначить адрес из сети видео.
Чем плохо такое решение? Тем, что у пользователя есть доступ к кабелю транка, где бегут разные сети и путем настройки адаптера он может соединяться с ними. Поэтому обычным клиентам делают порты типа access и трафик нетегированный из нужного вилана, а так же присваивают pvid этого же вилана.
Для усиления стойкости сети к разрушению — можно сделать петлю из дома охраны в старое здание. При этом образуется кольцо, что приведет к нарушению работы сети. Против таких колец свитчи имеют защиту.
Там уже работяги умудрились лопатой перебить кабеля к камерам. Кабель коаксиальный соединили, а камера все равно не показывает. Пришлось уже мне искать причину.
Еще один плюс такого преобразования сети (и использования управляемых свитчей в данной ситуации) — в одном кабинете нового здания установлена дсл линия и стоит отдельный модем на один компутер, так предписывает техника безопасности данной конторы. Однако в другом здании есть еще один кабинет и там тоже есть дсл линия и тоже стоит модем. Можно предложить им прокинуть сторонний инторнет в оба кабинета разных зданий. Так уже за один год они окупят затраты на такое переоборудование, а со второго года будут иметь чистый плюс порядка 350 евров.
А у более продвинутых свитчей есть авторизация на портах. При подключении в порт — компутер получает сначала базовые настройки ограниченной сети, из которой доступен сервер авторизации radius. Далее на компутере запускается софт для авторизации и клиент получает уже новые настройки сети от свитча.
Примерно похожая авторизация есть в сетях docsis. Например у меня есть кабельные модемы от моего провайдера, но я пользуюсь покупным модемом другого производителя и зарегил его у провайдера через сайт. Так вот этот сайт доступен только в сети, куда попадают неавторизованные по мак адресу модемы. Там еще и скорость всего 1мбит.
В следущем обзоре комплекта оборудования я попробую показать такую настройку свитча и wlan сети.
Однако опыт показал, что при заказе ремонта квартиры или офиса многие не учитывают слаботочку и не в курсе современных возможностей железа.
Поэтому я решил немного написать теории тут в частности по свитчам, как это работает на практике и как это использовать на практике. Что надо учесть при проектировании электрики силовой и слаботочной.
После этого вы самостоятельно сможете спроектировать сеть в вашем доме на базе ubiquti unifi, обзор на которую пишется mysku.club/blog/ebay/71124.html
Многие слышали про управляемые свитчи, но мало представляю себе, что это такое и какой профит с него можно поиметь. Есть образ некоей железки, куда можно зайти как в обычный роутер и что-то там настроить. Или что это свитчи с пое. Хотя пое свитч может быть и неуправляемым.
В чем же разница?
А на самом деле никакой разницы нет. В обоих стоит одна и та же мелкасхема, которая отвечает за функции свитча.
Кстати у некоторых еще сформировался ложный образ свитча как некоего подобия квм переключателя, где некий электронный переключатель соединяет 2 порта между собой и компутеры обмениваются данными.
На самом деле сетевой свитч ничего общего не имеет с электронными переключателями и он не работает с электрическими сигналами. В мощных многопортовых свитчах есть несколько мелкасхем для преобразования сигналов с витой пары в сигналы внутренней шины, которые уже поступают на мелкасхему свитча, где и обрабатываются внутренним подобием процессора, причем аппаратно.
Образец преобразователя ethernet в шину spi для подключения к контроллеру. Так же эта мс способна обрабатывать фреймы, что уже говорит о зачатках мозгов для работы на 2м уровне OSI модели.
Тут тогда возникает вопрос: а кто тогда отвечает за вебморду?
Для этого служит отдельный процессор, пзу, озу. Или же все это делает специальная система на кристалле.
Например для 8 портового свитча там все влазит в один корпус.
Тогда как в больших свитчах все сделано по отдельности.
Как я уже сказал — мелкасхема свитча управляемого и неуправляемого может быть одна и та же. Только на управляемом она подключена к какому-то процессору, а неуправляемый имеет небольшую пзу или вообще импользует настройки по умолчанию. В домашних дсл модемах и роутерах свитч может быть отдельной мс и точно такая же мс может стоять в дешевом неуправляемом свитче.
Разница в том, что управляемый в любой момент времени может записывать через шину управления в регистры разные значения и тем самым управлять режимами коммутации кадров.
Основной смысл управляемости заключается в физическом разделении сетей. Это как если бы вы взяли 2 разных свитча и повтыкали бы провода в них, один подключили бы к одному роутеру, а другой — к другому роутеру.
Управляемый свитч позволяет это делать внутри своего процессора. Эта функция называется VLAN.
С одной стороны дома с этого никакого профита и нет. Особенно при 8 портах. С другой стороны это позволяет организовать раздельные wifi сети (безотносительно свитча), где будут разные ssid. Но просто назвать 2 сети по-разному это не значит, что они будут разделены. Они могут быть одной сетью на уровне маршрутизатора, т.к. получать адреса с одного диапазона. А еще лучше, когда они разделены физически и никакое прослушивание трафика не поможет.
Другой пример.
У вас есть роутер с 4 портами лан, где один порт обозначен как тв и провайдер там гонит отдельный трафик. А у вас 3 телика. Что делать? Можно купить еще один свитч неуправляемый. Но если у вас есть управляемый на 8 портов, то вы легко отрежете 4 порта и сделаете vlan для тв.
Вот так выглядит блок схема роутера на 4 лан и 1 ван порт.
Что такое 8212 и 8211? Это как раз те самые отдельные микросхемы phy, которые преобразуют сигнал из витых пар в некую специальную шину rgmii, как на картинке выше, где был модуль для ардуины, только там шина была spi.
Вот что внутри микросхемы свитча Realtek RTL8366.
Как можно заметить, там есть шина i2c, куда подключается пзу. У микросхемы свитча есть конфигурационные выводы, которые позволяют при подаче питания работать ей автономно и загружать конфиг из этой пзу. А в ней как раз хранятся значения, которые потом будут скопированы в регистры конфигурации vlan.
Вот мы и добрались до vlan. Как можно видеть из картинки — виланы это такие виртуальные ланы или группы портов физического свитча, которые как бы отделены друг от друга, как если бы это были разные физические свитчи.
Тут я попытался нарисовать отличие неуправляемого свитча от управляемого.
У неуправляемого свитча все порты нетегированы и внутри нет виланов. Раньше (а может и сейчас еще) выпускались микросхемы без возможности виланов, чтобы упростить схему и стоимость. Это были дубовые свитчи. Но вроде последнее время выпускают только управляемые.
Внутри они выглядят так.
Там уже по умолчанию есть один вилан, он всегда обозначается 1. А что такое untagged?
От английского tag — метка. Присвоение меток портам или трафику называется тегирование.
Можно заметить, что в первый порт заходит стрелка, а из других выходит. Это условное обозначение трафика, т.к. в реале трафик там ходит в обе стороны. В данном случает данные, приходящие в порт называются ingress traffic, а исходящие egress. Эти термины используются для пометки типа трафика при настройке qos (ограничение скорости на портах).
В управляемом свитче весь трафик заходит на порты и помечается тегом, а когда выходит с портов, то тег убирается.
Как выглядит тег?
После зеленого поля source mac у фрейма без тега идет фиолетовое поле типа кадра, а с тегом поле бирюзового цвета. Там нам надо знать только vid. Это 12 бит, которые дают 4094 сетей, что довольно много, однако в современных сетях и этого мало оказалось. Поэтому придумали костыль и сделали еще столько же бит во втором теге этого же фрейма.
А технология вилан имеет обозначение IEEE 802.1Q. Еще в этом общем бирюзовом поле содержатся биты класса трафика, которые используются для qos.
Теперь перейдем к тегам.
Значит сам вилан внутри свитча является виртуальным интерфейсом. Когда вы будете конфигурировать свитчи, то первым делом создается сам вилан интерфейс.
Этот интерфейс может иметь IP адрес. Нужен он для доступа к вебморде свитча из этого вилана. Есть еще такие гибриды свитча с роутером, т.н. свитчи 3го уровня, которые могут быстро маршрутизировать пакеты 3го уровня, а не фреймы. Такие маршрутизаторы дороже. Служат для разбиения бродкаст доменов на меньшие, чтобы этот бродкаст трафик не забивал каналы почем зря. Обычно используют в больших конторах, но маршрутизация свитчем не имеет особого смысла, т.к. там нет фаревола, который бы разрешал ходить только определенному типу трафика между сетями
Итак, после создания одного или более вилан интерфейсов, мы можем приступить к настройке портов.
На предыдущем рисунке видно, что порт 2 вообще серый и никуда не подключен. Можно «физически» отключить порт от всех виланов, тем самым исключив возможность проникновения в вашу сеть путем втыкания в свободный порт. В одной тюрьме США так заключенные подключили кабель в свитч под потолком в коридоре и собрали компутер в камере. Впрочем их все равно вычислили.
Как видно из этой картинки — порты 2 и 4, 3 и 5 подключены к пк в разных виланах. Порт 6 тоже подключен в стандартный вилан 1.
А вот порт 1 транковый. Это такой специальный режим порта, когда в него заходят и выходят указанные трафики. Это как бы труба, в которой есть еще трубы потоньше и по всем ним текут разного рода жидкости не смешиваясь.
Где можно применить такое? Обычно транковыми портами соединяют 2 свитча или же свитч с роутером.
В этом случае физический порт роутера имеет интерфейс сетевой и еще на нем можно сконфигурировать подинтерфейс vlan. В разных роутерах это делается по-разному.
Посмотрим случай, когда нас может спасти управляемый свитч.
Вот тут представлен конфиг, когда у нас в конторе в щитке заходил 1 кабель провайдера и через муфту соединялся с кабелем до серверной. И вот потребовалось сделать так, чтобы инторнет работал без перебоев, если один провайдер отвалится.
Второй провайдер завел кабель до щитка и все. Теперь нам надо покупать новый роутер с функцией dual wan. Но мы можем обойтись более дешевым свитчем и воткнуть 2 провайдера в один свитч. Если бы это был неуправляемый свитч, то так делать нельзя, т.к. приведет к глюкам в сетях провайдеров.
В нашем же случае свитч по одному физическому транковому кабелю будет гнать 2 типа трафика на роутер, который стоит у нас в серверной. Там уже роутер разберет трафик на виланы и направит на свои интерфейсы, а роутер уже будет отслеживать соединение на основном провайдере и в случае пропажи — переключит основной шлюз на другой ип адрес второго провайдера.
Круто? Круто. За пару десятков евров мы избавились от неоходимости прокладывать еще один кабель. Точно так же вы можете сократить прокладку кабеля для видеокамер и подключить их к свитчу с пое, а видеотрафик пустить по вилану отдельно. Есть даже свитчи, которые могут запитываться сами через пое и питать камеры или точки доступа.
Теперь посмотрим конфиг свитча, к которому подключены точки доступа с разными сетями.
Тут сразу бросаются в глаза 2 типа порта — гибридный и транковый.
Гибридный — это когда на порту присутствует трафик с метками и без меток. Зачем это нужно?
Например точки доступа по умолчанию не настроены на виланы и отбрасывают пакеты с метками. Поэтому нам надо как минимум дефолтный вилан 1, в который входит так же сам контроллер точек доступа и роутер. По этой сети точки будут получать конфиги и эта же сеть может быть основной.
Далее настраиваем вилан 10 и создаем беспроводную сеть ssid guest. Назначаем этой сети вилан10 в контроллере точек доступа. Теперь настройки точки пройдут через вилан1 и на ней поднимется уже 2 сети. И теперь роутер, что висит на транковом порту, будет выдавать адреса по dhcp из своего отдельного пула и маршрутизировать их так, чтобы пакеты не лезли в основную сеть, а только в инторнет.
Так достигается полная изоляция беспроводных сетей.
Если у вас нет контроллера точек доступа, то некоторые модели тп линк и других производителей имеют настройку вилан и вы можете так же организовать гостевую сеть на дешевом оборудовании. Просто возни больше.
Зачем еще нужен гибридный тип порта? Конечно же для ип телефонии. Вы наверное видели телефоны с парой сетевых портов и там даже подписано, куда включать компутер, а куда сеть.
Дело в том, что обычно воип трафик в локальных сетях (да и в провайдерских дсл или кабельных) идет в отдельных виланах. У провайдеров сам модем разбирает трафик и направляет на нужные интерфейсы, будь то телефон или телик.
В локальных же для сокращения кабельного хозяйства мы можем использовать 1 кабель для телефона и пк.
Т.к. пк это дубовый сетевой девайс и он понимает только нетегированый трафик, то все порты свитча маркируются как access. А гибридный тип будет гнать и тупой трафик, и с тегом и этот тег поймет телефон и захапает его себе, а без тега внутренний свитч телефона направит фрейм на порт с маркировкой пк.
Справедливости ради надо заметить, что карты интел и риалтек могут понимать виланы на уровне драйвера сетевой карты. Драйвер только от производителя и надо эти настройки включить. Я еще сделаю небольшой обзор 4х портовой карты риалтек и там покажу эти плюшки.
Вот и вся теория по виланам. Но пока что это просто абстгактная инфа, которую никуда не применить.
А я покажу, как при помощи управляемого свитча решить некоторые вопросы и зачем был куплен обозреваемый свитч.
Сначала перейдем к свитчу и посмотрим, что он из себя представляет.
NETGEAR ProSAFE Plus серия гигабитных свитчей для дома и мелких контор. Любой управляемый свитч имеет как минимум виланы. Так там есть поддержка приоритетов трафика или qos, которая позволяет разными способами выделять трафик и пропускать более значимый — например голосовой.
Еще одна плюшка IGMP Snooping — позволяет гнать видеопотоки только на те физические порты, где есть потребители мультикаст трафика и не забивать остальные порты. Что это такое — я там ниже скажу.
Так же есть возможность проверки целостности кабельного соединения и конечно же мониторинг портов и трафика на них. Правда в этой модели все делается через индусский софт.
Как можно узреть — в простом роутере ничего интересного нет. Кстати озу тоже нет, видать хватает встроеной в сок.
Для первичной настройки свитча ему надо задать адрес или узнать дефолтный. Для этого есть специальный софт. Заодно и прошивка там же. С момента последнего апдейта где-то в феврале-марте вышла уже новая версия.
www.netgear.com/support/product/GS108Ev3
Есть еще другой индусский софт в виде утилиты поиска.
Она написана на electron. Кто не знает — это такая модная приблуда, которая позволяет писать десктопные кроссплатформенные приложения при помощи вебтехнологий. Это серверная версия яваскрипта nodejs и клиентская версия того же яваскрипта в виде движка хромиума. В нагрузку к ним еще идут adobe air, .net framework 4.6, winpcap. Последний — это драйвер сетевого уровня для перехвата пакетов на сетевых интерфейсах, чтобы работать с сетью на низком уровне.
Чтобы просто найти и показать все свитчи — нужна прога, папка которой весит 140мб.
Теперь переходим к другой проге, которая позволяет настраивать свитчи по своему протоколу.
Т.к. вебморда ничем не отличается от софта, то дальше я буду делать все в вебморде.
Одна прикольная фишка управляемых свитчей — зеркалирование трафика с портов на порт «отладки». На этом порту может висеть админский компутер с wireshark. Вам не придется устанавливать анализатор пакетов на какой-то машине, а можно просто порт этой машины перенаправить на свой отладочный.
Свитчи в отличии от хабов не посылают весь трафик на все порты, где он может быть легко перехвачен. А эта фишка как раз позволяет обходить это ограничение.
В данном случае мой отладочный порт 1, а трафик будет идти с 6 и 7.
А вот та плюшка с тестированием кабеля. Оно даже пытается определить длину, но на коротких дистанциях там +- лапоть. В моем случае кабель 3 метра.
Вот эта плюшка с мулитькаст трафиком. Только тут она совсем урезаная. Если у вас на транк порт заходят виланы с мультикастом, то на все порты одного вилана можно направить этот трафик.
Либо заблокировать трафик на этих портах. Вобщем в таком варианте реализации я даже и не знаю как ее применить.
А вот пошли виланы. Как я уже выше писал — есть 2 типа виланов: основанные на портах и на стандарте 802.1q.
Если вам тупо нужны как бы 2 раздельных свитча, то выбираете портовые виланы и делите на группы.
По сути это тот же 802.1q, только все настройки скрыты.
А теперь посмотрим настройки поближе.
Тут тоже довольно просто, только теперь можно указать номера виланов.
Зачем нужно? Например в один из портов воткнут кабель, который идет со свитча и на нем тегированый трафик или вообще транк. Свитч будет только брать трафик с нужным номером и пускать на порты, которые в этом вилане.
Теперь перейдем в самый сложный режим, где можно все настраивать самому.
Добавим в поле vlan id цифру 10 и нажмем apply. Так создается новый вилан интерфейс.
Интерфейс в данном случае это абстгактный. Зато в продвинутых свитчах на него можно навесить dhcp client и ваш свитч будет иметь как бы 2 ип адреса, что позволит обращаться к нему из разных сетей. Так же в продвинутых свитчах можно делать dhcp server.
Пока что в нашем 10м вилане нет портов.
И тут вылазит еще одна штука, о которой я не говорил раньше — это pvid оно же port vlan id.
Это цифра из уже созданных виланов.
Она на первых порах создает путанницу, т.к. вроде бы мы уже выше определили, какой порт в каком вилане будет находиться.
Например порт 2 находится в вилане 2, но пвид по дефолту 1. Так хоть и допускает конфиг свитча, но компутер на этом порту ничего не сможет принять. Почему так происходит?
Дело в том, что трафик делится на входящий и исходящий. Как я уже писал выше — любой современный свитч является управляемым и по дефолту в нем есть интерфейс вилан1. Любой входящий в свитч трафик маркируется тегом в виде бирюзового цвета.
Там он бегает по кругу, попадает на порты и тег стирается. Чтобы тег стирался — надо на портах выставить букву U (untagged).
Буква Т это tagged. Такой трафик может проходить спокойно через неуправляемые свитчи с пое и обрабатываться например точкой доступа.
Важно запомнить.
Порт может выдавать много исходящих виланов и гнать их дальше на свитчи.Но входящий нетегированный трафик можно тегировать только в один вилан. Это как есть общий вход в уборную, но один человек может пойти либо в женский, либо в мужской сортир. Одновременно в два он физически не может зайти.
Так и трафик от тупого пк без тега должен же куда-то заходить. По дефолту он попадает в 1й вилан. А у нас порт 2 засунут в вилан 2. Трафик разрывается пополам и компутер уже не в состоянии понять, откуда ждать пакеты.
У портов можно убрать буквы и он останется как бы вне виланов (not member). В данном свитче такое нельзя сделать. Выйдет сообщение, что сначала надо изменить pvid и только потом можно исключить порт из одного вилана, чтобы он не был транковым и засунуть в другой вилан.
Но если вы выберете вилан 10 и поставите U на каком-то порту, все сработает, но pvid не изменится. Поэтому надо руками его тоже на 10 поменять.
Как я уже говорил — трафик может быть входящим и исходящим.
В этом разделе можно легко ограничить скорость на порту. Так легко без нагрузки на роутер можно ограничивать скорость инторнета в общагах или офисах.
Практика
Дочитав до сюда, кто-то вспомнит, что я купил этот роутер для клиента. А после всех этих виланов и пвид голова идет кругом и непонятно, что куда писать и зачем.Кто изучал программирование, то 95% из них испытывали трудности с тем, что вроде бы как бы знания есть, как бы вроде бы все понятно, но когда доходит до делать, то непонятно, как и с чего вообще начать.
Как я недавно выяснил — никто не преподает методику познания материала. Подразумевается, что вот ты получил знания и внезапно стал работать, как будто бы уже имел опыт в 20 лет.
Недавно я нашел человека, кто объяснил, как правильно преподавать программирование. Методика так же применима и к другим областям.
У одного клиента есть 4 здания, где есть 2 сети — инторнет и видео. Видео было смонтировано позже.
Причем конфиг хитрый и для понимания сети надо нарисовать схему, потому что без схемы даже в такой простой сети не разобраться, т.к. ее надо держать в голове.
Так же и при программировании — человек держит кучу кода в голове и думает, как бы реализовать все и сразу, а в результате ничего не получается и он думает, что это он такой тупой.
Поэтому там задача делится на 2 типа. Сама задача, которая отвечает на вопрос ЧТО и решение задачи, которое отвечает на вопрос КАК.
Например есть машина и задача у нее ехать. КАК ездит машина? При помощи двигателя. При помощи буксира. При помощи конной тяги.
Вот у нас есть исходная сеть.
Инторнет заходит в старое здание с роутера на свитч. Свитч соединен оптикой со свитчем в новом здании.
Когда строили новое здание, то проложили под землей оптику и до проходной.
А до этого еще в дом к охраннику прокинули витую пару от свитча из старого здания и засунули в точку доступа влан. (отметил как обычный компутер)
В том доме еще стоят 2 компутера для видео и проложены 2 кабеля до свитча (нарисовал один).
Делали все низкоквалифицированные работяги.
В новом здании в одном кабинете стоит 3 компутера — 2 рабочие станции и один для камер с нового здания.
Все камеры заходят на 2 регистратора на проходной.
На проходной стоит 1 видеосервер с виндовсом и специальным софтом, который пишет потоки с аналоговых камер через специальные карты.
В этой же проходной стоит компутер, который соединен с видеосервером по сети, а регистратор hikvision соединен хдми кабелем с монитором.
Казалось бы все норм и должно работать и оно работало как-то до недавнего времени. Потом начались глюки и отвалы видеосерверов из-за одинаковых ип.
Глюк выражался в том, что в будке охраны клиент цмс отваливался от видеосервера и это было замечено только когда будка соединена с новым зданием по оптике через медиконвертеры.
В новом здании в полу 2 розетки всего. Одна раскидана на аналоговые телефоны, а вторая была раскидана на 2 рабочих пк. Работяги просто в этот свитч втыкают 3й компутер, ставят туда цмс клиент и все работает. Точнее работало и внезапно заглючило.
Рабочая сеть 192.168.135.128/25 (это из центра так сделали, я тут не при чем и оно маршрутизируется с впн других филиалов) Есть dhcp.
Видео сеть 192.168.0.1/24 без dhcp.
Работяги уехали из командировки и забили. И тут прихожу я.
Ставим еще один управляемый свитч на проходной. Ставим микротик 941й в дом охране. Ставим обозреваемый свитч в кабинет в новом здании (первый свитч там уже в серверной стоит).
Настраиваем транки между всеми свитчами.
Тепеть у нас все здания связаны обоими сетями, в любом месте можно теперь подключить сетевую камеру и завести ее на регистраторы или же можно подключить клиент видеонаблюдения. При этом сети никак друг друга не видят.
Микротик настроен как мост lan-wlan и сам он не раздает ип адреса, все это делает стандартный маршрутизатор в основной сети. Если настройки изменятся (у меня нет к нему доступа), то инторнет у охранника не пропадет. Так же это не приведет к пропаданию картинки с камер у охранника в доме.
Так же появилась возможность на проходной запилить инторнет, а то охранники там от безделья целый день маются и сидят через телефоны в ютубе, а трафик не безлимитный.
В качестве альтернативного решения в кабинете нового здания можно было бы оставить старый неуправляемый свитч, а на компутере для видео сделать вилан интерфейс при помощи драйвера сетевой карты. Тогда появится новый сетевой адаптер и ему назначить адрес из сети видео.
Чем плохо такое решение? Тем, что у пользователя есть доступ к кабелю транка, где бегут разные сети и путем настройки адаптера он может соединяться с ними. Поэтому обычным клиентам делают порты типа access и трафик нетегированный из нужного вилана, а так же присваивают pvid этого же вилана.
Для усиления стойкости сети к разрушению — можно сделать петлю из дома охраны в старое здание. При этом образуется кольцо, что приведет к нарушению работы сети. Против таких колец свитчи имеют защиту.
Там уже работяги умудрились лопатой перебить кабеля к камерам. Кабель коаксиальный соединили, а камера все равно не показывает. Пришлось уже мне искать причину.
Еще один плюс такого преобразования сети (и использования управляемых свитчей в данной ситуации) — в одном кабинете нового здания установлена дсл линия и стоит отдельный модем на один компутер, так предписывает техника безопасности данной конторы. Однако в другом здании есть еще один кабинет и там тоже есть дсл линия и тоже стоит модем. Можно предложить им прокинуть сторонний инторнет в оба кабинета разных зданий. Так уже за один год они окупят затраты на такое переоборудование, а со второго года будут иметь чистый плюс порядка 350 евров.
А у более продвинутых свитчей есть авторизация на портах. При подключении в порт — компутер получает сначала базовые настройки ограниченной сети, из которой доступен сервер авторизации radius. Далее на компутере запускается софт для авторизации и клиент получает уже новые настройки сети от свитча.
Примерно похожая авторизация есть в сетях docsis. Например у меня есть кабельные модемы от моего провайдера, но я пользуюсь покупным модемом другого производителя и зарегил его у провайдера через сайт. Так вот этот сайт доступен только в сети, куда попадают неавторизованные по мак адресу модемы. Там еще и скорость всего 1мбит.
В следущем обзоре комплекта оборудования я попробую показать такую настройку свитча и wlan сети.
Самые обсуждаемые обзоры
+72 |
3423
140
|
+51 |
3619
66
|
+31 |
2589
50
|
+38 |
2985
41
|
+55 |
2065
37
|
Как vlan на втором уровне связан и ip на третьем и зачем ему ip
Это не IP vlan это IP свича и свич будет отзываться по этому IP даже если у него есть единственный default нетегированный.
А по тому как автор написал вообще вытекает что можно каждому VLAN назначит свои собственный IP, оно то конечно можно но только на свече 3-го уровня и даже там это будет не IP vlan, а IP интерфейса.
А вот в свичах 2-го уровня я не встречал возможности создавать интерфейсы и назначить им разные IP. Там обычно можно задать только ip для доступа к свичу и задать vlan из которого можно этот доступ получить, но это никак не значит что это IP конкретного vlan.
interface vlan 1337
ip address 192.168.168.1 255.255.255.0
ip address 192.168.169.1 255.255.255.0 secondary
show ip interface brief
Flags: S — Secondary IP address
Probe: U — Up, D — Down, U/O — Up & Own IP, N/A — Not Applicable
Interface IP Address / IP Netmask Admin Protocol Probe Flags
vlan 1 10.1.1.10 / 255.255.255.0 Up Up N/A
vlan 11 unassigned / unassigned Up Down N/A
vlan 1337 192.168.168.1 / 255.255.255.0 Up Up N/A
vlan 1337 192.168.169.1 / 255.255.255.0 Up Up N/A S
L2 свичи, так сказать, попроще в этом смысле.
в каждом влане можно назначить свой ип для доступа к свитчу
и это не в каждом свитче, в этом нельзя
а как может быть ип у вилана?
вот даже мануал на хп в1910 говорит
иначе бы я не стал столько писать и тем более рисовать картинки и разбираться с визио, как там рисовать такие красивые многоцветные соединения
Жду вторую часть про unifi
Цена качество — первый аргумент
Кароч некогда объяснять ;)
Простой поиск «VLAN для чайников » выдаёт > 12000 ссылок. Вот реально не существует?
Нет ни Xgu.ru, ни серии статей на habr'е, ни nag.ru, ни kb.zyxel.ru, ни тысяч других?!
Даже не знаю что это: ограниченность кругозора или гордыня.
И ошибок куча. «инторнет», «абстгактных» и «абстгактный», «мелкасхема», «путанницу»,
А уж туалетные ассоциации…
В общем, дилетант решил, что он созрел учить других. Впрочем, он и сам себя выдаёт: «Вроде бы как бы что-то» узнал, «вроде бы как бы что-то » написал, но — ни о чём, одна вода.
И точно ничего полезного для обучения.
Зато с умным видом писать полубред про мелкасхемы это пожалуйста.
это я как учившийся по этой программе говорю — в голове только абстгактное пгеставление о
я же описал с нуля, что даст возможность понять полностью не только лиш всем
кстати нашел даже ошибку в материалах ццна в квестах
было это больше 10 лет назад, так что может с тех пор поменялось все
Ну а кто читает книжки — те дебилы, с его слов. Вот и понимаем плоды обучения по ютубчику, где ''смешались кони, люди''
Сейчас всё чаще сталкиваюсь с уже работающими, которые при любом устном объяснении берут листик и пытаются чертить, потому что «в уме» уже не умеют.
А нас наша математичка (спасибо ей за это!) на геометрии заставляла смотреть на задачу, вставать спиной к доске и решать «в уме».
Мне как бы статья вполне себе зашла. Грубо говоря и нового ни чего не узнал (да и не нужно это тут лишнее, за что и спасибо), но прочитать было вполне себе.
Есть люди, которые «в уме» умножают стозначные числа… беда тольк что в остальном они — идиоты. Многие также прекрасно научились видеть деревья, но не умеют видеть леса. Вот тут совковок образование, увы, фейл допускала. Приучая копаться в мелочах, работы ради процесса, а не на результат и так далее.
Вторая проблема — это способность рассказчика просто и доходчиво донести материал.
Помню, у нас был преподаватель основ электроники в техникуме. Так он буквально на пальцах объяснял работу p-n перехода, а дальше полупроводниковых приборов так, что даже девчонки с гуманитарным складом ума понимали и могли объяснить самостоятельно.
В контексте как педагог я вам вот что еще скажу — целевая аудитория. исходя из этого в обучении и строится учебная программа и способы ее донесения. Но опять же как не крути равенства в понимании, знании и скорости восприятия даже при условии двух слушателей не будет. Кто-то понял, кто-то не понял. Но тут опять же мы не на уроке в вашем техникуме, да и человек вполне себе на пальцах объяснил основу. Как бы для общего понимания более чем достаточно.
Больше пары абзацев текста к осмыслению сложны.
Да и зачем забивать голову, если интернет у них под рукой всегда.
Моск перестает запоминать какую-либо информацию кроме простейших действий.
Это как в штатах, для малограмотных комиксы.
Сейчас в школах и учебники такие же. 70% объема материала — картинки.
пока что я вижу только умничающих школьников, которых обсуждают, как правильно говорить vlan
другие школьники не могут отличить уровень электрических сигналов от уровня логических
пока что еще ни один не процитировал мои слова и сказал, что вот тут написана херня, надо было написать вот так вот и потому-то
например?
вот я сейчас на практике и проверю
Ок, ну перейдем
С чего это? На коммутаторах влан это еще один столбец (грубо говоря) в таблице коммутации, наряду с портом и MAC-адресом
Ну исходя из предыдущего — вообще не так
А может и не иметь, мы же про коммутаторы сейчас, да?
Ну ок, в частном случае, именно для этого. Но не у всех коммутаторов с vlan есть веб-интерфейс (вот это новости, ДА?)
А могут и не быстро. А могут и не маршрутизировать. В общем случае, функционал L3 в коммутаторах нужен для QOS и для функций, требующих просмотра пакета (часто для предотвращения атак)
Причем тут маршрутизаторы? Вроде ж об l3-комутаторах речь
Для чего служат L3-коммутаторы описал выше
Маршрутизация имеет смысл и без файерволла (видимо опять для Вас открытие). Но да, смысла мало в маршрутизации коммутатором, учитывая что мощности на работу с пакетами нужны совсем другие, нежели с фреймами
Итого, Вы насмотрелись видосиков про Микротик (о как я угадал) и рассуждаете о vlan с точки зрения одной конторы, которая известна в первую очередь дешевыми и функциональными маршрутизаторами (и внутри которых обычный Линукс, который тоже далек от ОС коммутаторов).
Притом что реализация влан именно у микротиков кривовастая, и в т.ч. из-за этого они чуть ли не через одну прошивку вносят изменения в настройку Vlan. И теперь пытаетесь, разбираясь в вопросе чуть больше чем «как настроить домашний роутер», объяснять теорию людям. Не надо так…
ну поэтому собственно я и не пишу статьи)))
ну я сейчас сгоняю за ссд и напишу ответ, дам еще пару роликов для понимания, если у тебя хватит ресурсов переварить их
Я б такой некомпетентный контент, на месте админов/модераторов,
сразу перемещал в /dev/null
Вот транскрипция:
V v ви [vi:] [v] в
инфа 146%
лАн или лЭн отличается в американском и британском произношении, а звук "æ" это смесь русских «а» и «э», для разных стран с упором на разные звуки. Тот же кофе мы привыкли говорить через «е», а правильно «кофи» -Один кофИ пожалуйста. Докапывайтесь.
www.lingvolive.com/ru-ru/translate/en-ru/koffee
Как мне помнится из русской классики: в 19 веке приглашали не «попить кофе» — а «пить кофий» :-)
а кофий в деревне говорили, просторечие
У Толстого в ВиМ — кофей :-)
Впрочем в жизни не всегда всё грамотно и правильно получается :)))
Хотя… Если как в рекламе: «Нашел работу на хэхэ.ру», тогда да, дэхацэпэ.
На вике произношение не указано, быстрый гуглёжь роликов на ютюбе показывает что носители английского произносят это как «вилэн».
Как по вашему надо?
Так что да, правильнее будет вИлЭн.
«Список терминов: 1 это 6. 7 это 0. 2 это 9. 4 это 5.
А теперь давайте умножим 241 на 711…
Никто заглядывать на первую страницу не будет. В электронном документе ещё можно сделать замену на оригинал, а если нельзя — в топку такой документ. К счастью у авторов действительно стоящих док хватает ума не играть в патриотизм, а называть вещи своими именами
« Отпуститэ податэлю сэго курьэру т.Паниковскому для Чэрноморского отдэлэния на 150 рублэй (сто пятьдэсят) канцпринадлежностэй в крэдит за счэт Правлэния в городэ Арбатовэ.
Приложэниэ: бэз приложэний».
— Вот послал бог дурака уполномоченного по копытам! — сердился Остап. — Ничего поручить нельзя. Купил машинку с турецким акцентом! Значит, я начальник отдэлэния? Свинья вы, Шура, после этого!
©
А правильно будет — «виртуальная сеть» )))
Ну или можно сократить до «висеть» ))))))))))))))))))
Другой вопрос кто, что и, главное где будет висеть?
А мелкасхема — это китайская копия мелкосхемы.
— Я слива лиловая, спелая, садовая!
— А я абрикос, на юге рос!
— А я томат! Вместе мы фруктовый сад!
Вбегает девочка:
— Фруктов нету ни х@я, пейте сок «моя семья»
Режиссер:
— Девочка, сколько можно повторять? «А я фейхуя, пейте сок „моя семья“
Девочка вбегает снова:
— А я фея без х@я, пейте сок „моя семья“
Режиссер:
— Девочка, не без х@я, а просто — фейхуя!
Вбегает еще раз:
— А я просто без х@я, пейте сок „моя семья“!
в отличии от убиковского
а твой греется что ли?
"
гудитгреется, значит работает" :)у меня лежит свитч, который тоже греется, но не работает
потому что прозвонка цепи питания процессора 1.2в показывает 0 ом
я его купил дохлым, думал банки перепаяю и норм, а оно вон как вышло
может под нагрузкой на все порты в 100% он и начнет греться, но эти свитчи десктопные
А вот если не греется, то точно не работает :)
— Ай, она таки даже живая!
— И что? Моя Циля тоже живая, но она уже далеко не свэжая.
Netgear довольно дорогой, а вот dlink
dgs-1008dDGS-1100-08 я брал горсть по 800р за штуку. Как по мне, лучшего варианта гигабитного свича с вланами за такие деньги нет.Еще он питается от 5 вольт и его удобно запитывать прямо от usb порта роутера, например.
и сделаны похоже на одной базе, только прошивки разные
Сейчас посмотрел цену, они тоже подорожали и теперь не так интересны.
Поставил мелкий неуправляемый HPE, и все стало ок.
А то 35 бачей у меня примерно выходит. куда дешевле 15 евро. Да и вроде ниже уже написали что он по итогу не управляемый.
Правильный dgs-1100-08 — управляемый.
Я брал на авито, какая-то контора распродавала остатки после монтажа. Новые, в коробках, по 800р за штуку. Взял десяток, осталось в запасе две штуки, остальные уже пригодились. Но netgear за 15$ тоже надо поискать и только б/ушный будет, новых их таких нет.
В таком контексте не надо.
Да и опять же лично у меня нет таких цен. от 2 тысяч + доставка.
А так и автор взял за 15 евро, это 1000 рублей. так что очень даже не дорого.
Я брал бу dlink по 12$, автор брал бу netgear по 15€.
В магазине, я скриншоты привел, dlink 1400р, netgear 4080р.
Я не знаю, где вы живете и какие магазины там есть, но покажите скришот, если там есть оба коммутатора и netgear дешевле, потому что я такого никогда не видел.
А то вы сравниваете частный случай автора с бу за 15€ и свой магазин с новым dlink за 2к, и делаете вывод, что я не прав. Это странно. бу надо сравнивать с бу, а новый с новым.
так он 35 евров стоит
я мог бы и новый взять, но взял по приколу, заодно пешком прогулялся в центре города
так все равно клиент платит и они там кота протянули долго, так что я сам купил уже
Свич принимает на порт только те vlan которые есть на порту плюсом может идти антег который потом протегируется в какой-то один vlan.
Если на порту нет нужного тега, то свич проигнорирует этот трафик.
С магазина чаще всего у свича есть только 1 дефаултный vlan и он антаг на всех портах.
Дальше создаёте vlanы и назначаете им id теги и имена. Потом на любом порту говорите что он тег в таких-то vlan и антег ещё в каком-то или только тегированный или только антег и все. Понятие входной, выходной порт это только у Вас в конфиге.
Логически входной порт есть у шлюзов/роутеров там есть один портик подписанный как wan его принято считать входящим.
Фильтровать ничего не нужно, фильтр это более глубокое понятие.
На vlan и портах все проще.
Есть на порту vlan который указан как антег значит весь антег трафик который прийдёт на порт уйдет в этот vlan, если антег на порту нет то трафик отбросится.
более того, даже вкурил что сейчас косячно сеть построена, в том тупом свиче без игмп снупинга получается.
т.е. сраное тв будет срать мультикастом зазря на всех портах того тупого свитча.
а был бы умный свич — то сразу бы приоритеты поставил и ок, а тв в отдельный вилон заодно, пусть там сидит.
Вот товарище майо видение мультикаст мульки. Если мутить вилон для пристаки телевизионной, на входе инторнэта в хаус, то телиг получит свой мультикаст, но аппликухи типа ютупчега на приставне работать не будут. Шобы пофиксить данную мазу лучше взять микровтык, установить IGMP проксяк, оторвать один клиентский порт от бриджа и назначить туда отдельную подсеть. Также построить ДХЦП пул для отдельной сети и замутить в её сторону маскарадинг. IGMP тоже направляется в отдельный интерфейс и вуаля. На одном порту гуляет мультикаст и есть инторнет для ютупчега, хохохо
Запитые лучше закусь проталкивают.
ждем следующую статью — «как я с ебея притащил по дешевке джунипер и развернул mpls между филиалами в разных городах» O_o
получить по п18джунипер.«Или что это свитчи с пое. Хотя пое свитч может быть и неуправляемым.» Пое то тут нафига приплели?
Если у вас шлюз не умеет работать с двумя провами как ему в этом поможет свич перед ним?
Сколько роутеров пострадало в данной афере, а то их слишком много в тексте.
Как роутер может переключить шлюз на другого провайдера?
И вообще как вы видите работу схемы описанной у Вас в тексте?
Как на счёт двух таблиц маршрутизации, правил распределения трафика по маркерам, портам и протоколам, или просто правил переключения маршрутов?
Или роутер умный для того что бы сделать это все, но тупой для того что бы настроить два порта как входящие?
Или речь просто о том что у роутера всего два порта, один wan второй lan?
Я о том что если шлюз не умеет работать с несколькими провайдерами то хоть ты 10 свичей ему поставь он и не научится, а если он это умеет изначально, то свич может помоч только загнать трафик нескольких провода в один кабель и все, вещь полезная только если на роутере нет лишнего порта или если вы примете траф по оптике, а нужно сменить среду на медь скажем.
Что Вам с тех таблиц маршрутизации? Можно тупо одного провайдера держать в резерве, и переключать их в ручном режиме… А можно второй вход — задействовать только под входящий трафик. Это всё почти без маршрутизации.
То есть запросы на входящий будут идти одному прову, а ответы вы будете получать от другого, и это все без маршрутизации?
Или всё-таки должны быть несколько маршрутов и правила как принимать трафик, по какому интерфейсу давать ответы на входчщий, по какому отправлять новый ;)
Хорошо, что я ею не заболел, хотя тоже эмигрант.
А вот эта тема мне понравилась:
и
Роутер почтой из другого города отправить не?
за ROS-решение — хвалю.
так что заказчик сам поехал и сделал на железке с вебмордой, где основная функция этого роутера упрощена и не тербует глубоких знаний сетей и всего такого
роутер делает одну функцию и делает ее на 100%
это будет в следущем обзоре
Без обид, это я и про себя.
_________
1: Вот скажи, в чем разница между свитчем и хабом?
2: Вот смотри. Представим сеть как обычный чат.
2: В чате есть один Вася (то есть ты, он же отправитель)
2: и четыре Лены (то есть другие юзеры)
2: Свитч — это когда ты одной Лене своей любимой в приват посылаешь «я тебя люблю», она отвечает смайликом и все хорошо.
2: А хаб — это общак этого чата. Ты пишешь «Лена, я тебя люблю!!!», а в ответ тебе три ответа «Ы», не несущих никакой смысловой нагрузки и один ответ «Ты кого там любишь сука???!!!»
© Баш
Вот пример для D-Link:
VLAN 10 — VLAN для ненастроенных устройств. Новые устройства доступны по управлению без тега, поэтому все порты по-умолчанию настроены как untagged (access в терминах cisco), и у них PVID (Port VLAN ID, Native VLAN у Cisco) равен 10. Это значит, что все пакеты без тегов (от ненастроенного устройства) на этом порту попадут в VLAN 10, а исходящие из VLAN 10 будут переданы без тега.
Таким образом, как я написал, можно, в моём примере, настроить новое устройство на сети, доступное по «заводскому адресу» без тега.
Но после настройки интерфейс управления у меня (в этом примере) будет в VLAN 20 (разумеется, с тегом), поэтому этот VLAN добавлен тегированным на порт. Ну, и 2013 условно — некая услуга, разумеется, с тегом, ибо PVID может быть только один, значит, весь трафик других VLAN должен быть тегированным.
Как-то так, если просто. Но это реально используется повсеместно.
этот же порт в вилан2 тегированный
называется гибридный порт
для телефонов например или как в моем случае — прокинуть одну тегированную сеть до свитча в кабинете и раздать нетегированный трафик конечным компутерам
итого — невнимательность чтения
P.S. Поглядел юзернейм автора… решил, что зря это писал. )))))
Такие статьи ценны прежде всего комментариями, в них подскажут где и что почитать/посмотреть
Давным давно на хабре есть серия статей Сети для самых маленьких
Просто почитайте его комментарии.
поэтому создал свое, новое
После начавшихся в очередной раз глюков волевым решением снес нафиг, пару дней написания конфигов iptables и скриптов и вот уже пять лет все живет на Linux, бонусом пошел fail2ban, vpn и возможность настройки конкретного трафика и определенных клиентов на определенного провайдера и оперативная перенастройка этого всего в случае падения связи с провайдером. А больше всего порадовал port knocking реальная защита от товарищей постоянно пытающихся подбирать пароль к ssh
Тут покупками хвастаются, а не теорией построения сети. ИМХО
если включить с 1 по 3 то на комп ничего не грузится, хотя светодиод на сетевухе горит. Хотелось бы подключить ноут сына проводами, а то по вайфаю скорость не совсем стабильно, очень много соседних сетей. Роутер выдал провайдер уже настроенным. В инете лазил, вроде написано, что все 4-ре выхода должны работать.
Тут надо разбираться.
Для начала убедиться что сетевка на ноуте включена и вообще рабочая, так как горящая лампочка на порту свича или сетевой карты это просто наличие физического соединения которое определил свич и это не значит что у вас есть линк. Потом проверить что сетевка ноута логически включенная в ОС, опять такие некоторые свичи могу включить лампу на порту даже на логически отключенную сетевку.
Если с ноутом все ОК тогда нужно начать проверять связку роутер комп.
Первым делом я бы попробовал переключить комп из 4-го порта скажем в третий да и вообще во все кроме wan что бы понят будет он работать там или нет.
Вторым пунктом попробовать подключить ноут вместо компа в четвертый порт.
А дальше возможно варианты.
Если компьютер заработает в других портах то с вероятностью 90% у вас кто-то что-то намутил с настройками.
Если ноут не заработает в четвертом порту то опять таки это скорее всего настройки.
Ну и если ноут заработает на четвертом, а комп не заработает на других то скорее всего всего у вас просто частично паленый роутер (хотя опять такие остается вариант с настройками но с меньшей вероятностью), такое часто бывает из за грозы иногда (или часто зависит от того как пров кабеля затянул) выгорает один или несколько портов при этом роутер остается рабочим, вот такой роутер вам и мог презентовать пров.
конечно я шучу ну представьте что на любом собеседовании на сис инженера сис админа всегда задают этот проклятый вопрос
труд монументальный
дякую
представляю сколько народа ничего не поняло
а за камент хоть свой сможеш ответить?
Правильно, дети, программным образом, по находящейся в нем программе… «Аппаратно» могут действовать реле, операционники и прочая безмозглая бинарная логика без зашитой программы… например FPGA.
Ну, меня так учили. Просто твой текст изобилует всякими подобными ляпами, которые могут у некоторых перфекционистов вызвать попаболь....))) Я не из тех, кто борется за чистоту терминологии, даже допускаю, что в статье много любопытной и незнакомой мне информации, но чтобы не вносить в свой и без того больной моск разброд и шатания, отложил чтение до лучших времен… Сорри.
Хорошо что основная масса пользователей не понимает что тут написано. Да и не сможет понять, если даже захочет.
на ali стоимость неумного, а так же «полумного» свича равна стоимости покупки такового в местном магазине федеральной сети, причем там выбор таких довольно большой
такой «полумный» свитч имеет зачатки для работы с VLAN в виде тумблера «выкл»
гигабитный на 8 портов длинк dgs 1008 за 20 баксов где-то полностью тупой
цена и так минимальная
просто ваши мозги не привыкли к такому потоку сжатой инфы, поэтому такой фейл
вот смотри
я 10 лет не бухаю
не ем гавно
не дрочу
не имею баб
занимаюсь своими делами
не работаю на дядю
т.е. не сливаю свою энергию жизни, поэтому мозги работают быстро и могут переваривать большой поток инфы
например я могу слушать ролик один, а смотреть другой
или смотреть и слушать один, а слушать еще другой
могу слушать ролик один и читать текст на русском, немецком и английском
соответственно мышление такое же и чтобы воспринять столько инфы — надо иметь надроченые мозги
а ты ведь еще наверное 5 лет в быдловузе проторчал и мозги совсем засохли
да и по моему 20 лет снг подвергалась какому-то глобальному зомбированию
Я — бухаю, но с друзьями и супругой (это те, которых по жизни у Вас нет и не будет т.к. ни к чему).
Есть гавно, Ваши гастрономические предпочтения меня пугают. Едим что сами вырастили и купили.
Дрочить? Ну супруга справляется.
Иметь баб. Гетеросексуал, женщин люблю и обожаю.
Все занимаются своими делами.
Работаю на 3х дядек и одну тетечку.
Мне такая жизнь полной энергии, в Вашем ритме, не интересна. Убогая ИМХО.
Строю дом, воспитываю детей и живу полной жизнью.
ВЭЛАН Вам в помощь. Успехов в написании дальнейших постов.
кстати дети от тебя хоть? тест днк делал?
где критика? тут вон некоторые свои слова подтвердить не могут, а половина каментов вообще про то, как там vlan правильно произносить
вот ты что конкретно критикуеш?
Почему не имеет? L3 свичи разгружают корневые маршрутизаторы, а для фильтрации внешнего трафика есть фортигейты и пр. Они могут сами раздавать айпишники в локальной подсети и т. д. Возможностей для управления на L2 и L3 всяко больше, чем только на L2.
вроде как с нуля прошелся, не вдаваясь в ненужные подробности, но чтобы в голове был образ, а не набор знаний
ну да, потому что так работает мозг человека, а не биоробота
сначала там, потом тут, потом снова там, но уже со знаниями из другой части и теперь первая часть становится понятней
так мыслит человек
именно такъ
все затронутые темы упомянул
для илитного 5% понимания же
попробуй загуглить об образном мышлении, как оно работает и как прокачать мозги, чтобы так мыслить и держать разные знания в голове, которые никак не связаны между собой