Виртуальные локальные сети в Windows

Использование виртуальных локальных сетей (VLAN) обычно неразрывно связано в нашем сознании с управляемыми коммутаторами и подынтерфейсами маршрутизаторов. Однако это не совсем так. Проброс тегированных кадров непосредственно до серверов может оказаться приемлемым решением в некоторых специфичных ситуациях. Что это за ситуации, а также когда допустим транк до сервера, — читатель, мы уверены, решит для себя сам, — в этой же статье даётся краткое описание того, как этот механизм можно реализовать.

Итак, для реализации задуманного требуется наличие двух вещей: управляемый коммутатор с поддержкой 802.1q и сетевая карта, драйвера которой поддерживают аналогичную технологию. Сразу хотелось бы отметить, что коммутаторы, поддерживающие только ISL, нам не подходят в данном случае, так как рассматриваемый пример работает исключительно с метками 802.1p/802.1q. Конфигурировать сервер будем с операционной системой Microsoft Windows.

Современные драйверы для сетевых плат компании Marvell позволяют обеспечить поддержку VLAN и агрегации. На персональный компьютер была установлена операционная система Windows XP x64 Professional SP2 Eng для демонстрации простоты рассматриваемого решения, на которую были установлены последние доступные на сайте производителя драйверы вместе с утилитой управления (Network Control Utility for Aggregation and VLANs in x86 & x64 XP, Server 2003, Vista, Server 2008) для сетевой карты Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller. Именно этот компьютер мы будем далее называть тестовым сервером.

В настройках сетевого адаптера появляется несколько новых вкладок, из которых нас будет интересовать VLAN. В область Existing VLANs необходимо добавить номера тех виртуальных сетей, работа с которыми планируется. Мы добавили две виртуальных сети (2 и 3).

После такого действия в «Сетевых подключениях» появляются две дополнительных сетевых карты (по штуке на VLAN). В той, что является основной, необходимо оставить лишь один работающий протокол Marvell VLAN Protocol.

В свойствах сетевых адаптеров остальных подключений нужно перейти на вкладку Advanced и лишний раз удостовериться, что им соответствует конкретный номер виртуальной сети.

Теперь осталось раздать IP-адреса обоим виртуальным сетевым картам вручную или же с помощью DHCP (на данном этапе конфигурирования адрес ещё не будет получаться, так как ещё не поднялся транк), а также сконфигурировать остальные сетевые параметры. В нашем случае все настройки были произведены вручную.

Одним из применений такой схемы может являться сервер, доступный напрямую из нескольких VLAN, то есть только через устройства второго уровня модели OSI. Не менее интересным применением рассматриваемой схемы может являться такая настройка сервера, чтобы он занимался маршрутизацией и трансляциями (NAT/PAT). Сконфигурируем тестовый стенд, позволяющий ноутбуку выходить в глобальную сеть через стационарный компьютер с использованием ICS (Internet Connection Sharing). Как конфигурируется ICS на Windows XP можно прочитать здесь. Аналогичная конфигурация была проведена на рассматриваемом сервере.

Теперь требуется произвести некоторые настройки на коммутаторе, к которому подключены все устройства. В нашем распоряжении был Cisco Catalyst WS-C2960G-24TC-L, информация об IOS которого представлена ниже. Некоторая несущественная информация была опущена.

После загрузки коммутатора мы удалили всю имеющуюся конфигурацию и перешли к настройкам с чистого листа. Прежде всего был выбран VTP-режим Transparent, хотя в большой корпоративной сети данный раздел конфигурации может существенно отличаться.

После этого были добавлены новые виртуальные сети, в которые перенесли физические порты коммутатора: для выхода в глобальную сеть служит порт Gi0/20, а для обращений к локальной сети выбран Gi0/19. Описание правил конфигурирования коммутаторов Cisco выходит за рамки данной статьи.

К порту Gi0/1 подключается транком маршрутизирующий сервер. Итоговая конфигурация задействованных портов представлена ниже.

Аналогично конфигурируется и другое L2 оборудование. Пример настройки коммутатора в Linksys RVS4000 представлен ниже.

Вернёмся к нашему тестовому стенду с WS-C2960G-24TC-L и проверим его мостовую таблицу, чтобы убедиться в том, что оба устройства по концам транка понимают сигнализацию друг друга. MAC-адрес 001b.fce1.e2ff виден в обоих VLAN’ах.

Настроим теперь сеть на тестовом ноутбуке ASUS Eee PC 900 так, как показано ниже, а также подключим его прямым патч-кордом к порту Gi0/19 коммутатора.

Теперь осталось убедиться, что есть выход в интернет с самого сервера, а также проверить, чтобы тестовый ноутбук корректно выходил в глобальную сеть через маршрутизирующий сервер. Часть узлов, через которые проходят данные, скрыты умышленно, читателя не должно это смущать.

Видим, что с сервера доступ к сети интернет есть, запустим трассировку с ноутбука.

Полученные результаты показывают, что на пути IP-пакетов от ноутбука в глобальную сеть встречается тестовый сервер на первом шаге, что и требовалось получить. Схема прохождения трафика через тестовый стенд представлена ниже. Теперь желающие могут установить на этот программный маршрутизатор, например, программу для учёта пользовательского трафика и сбора статистики, антивирусное программное обеспечение и так далее.

Необходимо обратить внимание, что через транковое соединение в такой схеме будет передаваться вдвое больше данных, так как один и тот же пакет следует сначала к маршрутизирующему серверу, а затем в обратном направлении по одному и тому же физическому линку.

Продемонстрированный метод даёт возможность довести транк непосредственно до серверов, что позволяет сэкономить на ресурсах аппаратных маршрутизаторов, а также портах коммутатора, которые могли бы потребоваться для подключения такого узла.

Как добавить vlan windows

Администратор

Группа: Главные администраторы
Сообщений: 14349
Регистрация: 12.10.2007
Из: Twilight Zone
Пользователь №: 1

На этой странице рассматривается процедура настройки VLAN в Windows.

В Windows нет встроенной поддержки VLAN. Нельзя создать интерфейс, который бы соответствовал отдельному VLAN’у, за исключением случаев, когда в системе есть специальный драйвер.

В случае использования простых сетевых карт, например, Realtek RTL8139, трафик передаётся в неизменном виде, с тегами, в операционную систему и приложениям. Например, если запустить wireshark и направить его на соответствующий интерфейс, он увидит трафик с тегами.

Существует программа «Realtek Ethernet Diagnostic Utility» для карт Realtek, которая в том числе умеет работать с VLANами.

Более мощные сетевые карты обрабатывают теги 802.1Q. Они могут по-разному поступить с тегами: удалить теги, удалить тегированные фреймы или сделать что-нибудь ещё.

Как правило, в этом случае существуют механизм, позволяющий отключить обработку тегов сетевой картой, сделать её более «тупой» и доставлять трафик вместе с тегами. Обычно, это делается через registry, указанием соответствующего ключа.

Например, для карт Intel в ветке
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\<4d36e972-e325-11ce-bfc1-08002be10318>\00xx

нужно установить ключ
MonitorModeEnabled= 1

Здесь, xx — это номер сетевого адаптера в системе (подробнее [1]).

Ещё существуют специализированные драйверы от Intel, Broadcom, 3Com и SysKonnect, которые добавляют поддержку VLANов (виртуальные интерфейсы), агрегированных каналов, failover’а и многие другие функции. Каким образом настраивать их, нужно смотреть в документации для этих драйверов.

Примеры таких драйверов:

• 3com DynamicAccess
• Broadcom Advanced Server Program (BASP)
• Intel Advanced Networking Suite (iANS)

Настройка VLAN интерфейсов в Windows 10 и Windows Server 2016

В этой статье мы покажем, как настроить тегированный интерфейс VLAN в Windows 10 и Windows Server 2016 (2019/2012R2). Стандарт VLAN (Virtual LAN) описан в 802.1Q и предполагает маркировку трафика с помощью тегов (vlanid), необходимую для отнесения пакета к той или иной виртуальной сети. VLAN используются для разделения и сегментирования сетей, ограничения широковещательных доменов и изоляции сегментов сети для повышения безопасности. В Windows вы можете настроить несколько различных логических сетевых интерфейсов с разными VLAN на одном физическом интерфейсе с помощью различных средств.

Для использования VLAN необходимо соответствующим образом перенастроить порт коммутатора, куда подключен ваш компьютер/сервер. Порт должен быть переведен из режима access в режим транк. По умолчанию на транк порту разрешены все VLAN, но вы можете указать список номеров разрешенных VLAN(от 1до 4094), которые доступны на данном порту коммутатора Ethernet.

Настройка VLAN интерфейсов в Windows 10

В десктопных версиях Windows нет встроенный поддержки VLAN. Только в самых последних версиях Windows 10 можно установить один тег VLAN для сетевого интерфейса. Для этого используется командлет PowerShell для управления сетевыми настройками. Например:

Set-NetAdapter –Name «Ethernet1» -VlanID 50

Однако есть два способа создать отдельный виртуальный сетевой интерфейс с определенным VLAN ID в Windows 10: с помощью специального драйвера и утилиты от производителя вашей сетевой карты и с помощью Hyper-V.

Настройка VLAN в Windows 10 на сетевой карте Realtek

Для сетевых карт Realtek вы можете настроить несколько виртуальных сетевых адаптеров с различными VLAN при помощи специальной утилиты от вендора — Realtek Ethernet Diagnostic Utility. В описании на сайте производителя убедитесь, что ваш сетевой контроллер Realtek поддерживает настройку VLAN.

Скачайте и установите последнюю версию сетевого драйвера для вашего адаптера Realtek и запустите утилиту Ethernet Diagnostic Utility.

Перейдите в раздел VLAN, нажмите кнопку Add и добавьте нужный VLAN ID. После этого в Windows появится новое сетевое подключение.

После создания сетевых интерфейсов для ваших VLAN вы можете задать на них нужный IP из соответствующей подсети.

Настройка VLAN на сетевом адаптере Intel Ethernet

У Intel для настройки VLAN есть собственная утилита Intel Advanced Network (Intel® ANS) VLAN. Ваша модель сетевого адаптера, естественно, должна поддерживать технологию VLAN (например, VLAN не поддерживаются для карт Intel PRO/100 и PRO/1000). При установке драйвера выбейте опции Intel PROSet for Windows Device Manager и Advanced Network Services.

После этого в свойствах физического сетевого адаптера Intel появляется отдельная вкладка VLANs, где можно создать несколько VLAN интерфейсов.

Однако этот способ работает во всех предыдущих версиях Windows (до Windows 10 1809). В последних версиях Windows 10 на вкладке присутствует надпись:

Для последних версий Windows 10 недавно Intel выпустила обновленный драйвера сетевых адаптеров и утилиту Intel PROSet Adapter Configuration Utility. Скачайте и установите последнюю версию драйвера Intel и эту утилиту.

Запустите ее, перейдите на вкладку Teaming/VLANs, нажмите кнопку New и укажите имя сетевого интерфейса и его VLANID.

Кроме того, вы можете добавить/удалить/просмотреть список VLAN с помощью специальных PowerShell командлетов из модуля IntelNetCmdlets:

Несколько VLAN в Windows 10 с помощью Hyper-V

Есть еще один способ создать несколько VLAN в Windows 10 с помощью Hyper-V (доступен только в Pro и Enterprise). Для этого нужно установить компоненты Hyper-V:

Enable-WindowsOptionalFeature -Online -FeatureName:Microsoft-Hyper-V -All

Создайте новый виртуальный коммутатор через Hyper-V Manager или с помощью команд PowerShell (см. пример в статье о настройке Hyper-V Server).

Затем для каждого VLAN, который нужно создать, выполнить команды:

Add-VMNetworkAdapter -ManagementOS -Name VLAN50 -StaticMacAddress “11-22-33-44-55-AA” -SwitchName vSwitch2
Set-VMNetworkAdapterVlan -ManagementOS -VMNetworkAdapterName VLAN50 -Access -VlanId 50

В результате у вас в системе появится сетевой адаптер с нужным VLAN.

Настройка нескольких VLAN в Windows Server 2016

В Windows Server 2016 можно настроить VLAN с помощью встроенных средств, устанавливать специализированные драйвера или утилиты не нужно. Попробуем настроить несколько разных VLAN на одной физической сетевой карте в Windows Server 2016 с помощью NIC Teaming.

Как подключить компьютер к определенному VLAN

Сегодня будет рассмотрена заметка посвященная, как устройству подключенному к D-Link DGS-3120-24TC дать доступ к определенному VLAN который отвечает за разграничение доступа между сервисами компании , в моем случа это:

• Беспроводная сеть облуживаемая Asterisk(FreePBX) и подключенных телефонов Cisco 7925
• Видеонаблюдения
• Интернета
• Локальной сети
• Беспроводная сеть для общего доступа (FreeWifi)

Я буду демонстрировать как дать доступ некому устройству в VLAN локальной сети для доступа к ресурсам компании.

Компьютер подключен в сетевую розетку, на патч-панели (нумерация 11.20) розетка подключена в сетевое оборудование D-Link DGS-3120-24TC, после захожу на его Web-интерфейс администрирования (у меня уже дан доступ посредством VLAN администрирования к сетевому оборудованию со своего рабочего места).

Открываю браузер и в строке адреса набираю: http://192.168.0.9

После обращаю внимание, что данная розетка подключена на D-Link в 11 порт (ниже скриншот демонстрирует что порт горит зеленым цветом)

Перехожу по меню: L2 Features – VLAN – 802.1Q VLAN Settings – здесь обращаю внимание на то какие VLAN сейчас имеются на устройстве

Как видно и по документации по умолчанию кабель подключенный к устройству имеет 1 vlan – адресация внутри него: 192.168.0.*, но мне нужно чтобы компьютер стал виден в сети VLAN: 10 – рабочий вилан где располагаются компьютеры локальной сети, вообщем пользователи и ресурсу локальной сети.

Для этого в строке где указан VID = 10 нажимаю Edit и объявляю, что для порта 11 использовать не тегированный трафик: (Untagged)

На заметку: тегированный трафик на порта выставляет когда соединяем switch и роутеры, ну можно и Linux стаций (но там нужно настраивать утилита vconfig к примеру, как работать с данным видом трафика)

Нетегированный трафик – это преимущественно компьютеры, тонкие клиенты и т.д.

После не забываем нажать Apply для применения настроек , теперь переходит к рабочей стацнии в моем случае это тонкие клиент: HP EliteDesk 800 G1 и в настрайках сетевой карточки (стоит ось Windows 7 x64 Professional SP1) выключаем ее и снова включаем дабы изменения до активации сетевой части применились либо по простому, также через Web-интерфейс управления данным D-Link-3120-24TC посредством следующих действий перезапускаем порт:

System Configuration – Port Configuration – Port Settings – выбираем порт 11 и выставляем:

по состоянию State на Disable, а потом на Enabled и нажимаем Apply

Если обратить внимание чуть ниже то можно увидеть как порт быстро выключился а потом включился:

11

Enabled

Auto

Disabled

Link Down

Auto

Enabled

Disabled

11

Enabled

Auto

Disabled

1000M/Full/None

Auto

Enabled

Disabled

На заметку: Хотя порт можно и не перезагружать достаточно после того, как подали определенный VLAN на порт нажать Apply и изменения применятся, если же такого не произошло то нужно конечно устройство выключить/включить.

Теперь уже переключившись на тонкий клиент его адрес выданный от DHCP сервера в сети должен иметь следующий вид, в моем случае: 10.7.8.193 – что мне и требовалось.

Также можно проверить что данному порту 11 назначен требуемый VLAN:

L2 Features – VLAN – GVRP – GVRP Port Settings

Выше приведенный скриншот наглядно демонстриует визуализацию примененых изменений к порту, на этом я свою мини заметку заканчиваю и прощаюсь с уважением, автор блога – ekzorchik.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще 🙂

Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.