Добрый день! В отчаянии. Два дня бьюсь с настройкой VLAN. Имеется шлюз на базе ClearOs 5.2 (CentOs).

Знаю что чайник, но в задачу впился зубами и хочу ее выполнить.

На системнике висит 2 сетевухи с двумя интерфейсами:

eth0 external со статическим ip от провайдера.

eth1 - выход на локальную сеть.

Ситуация такая - есть удаленный объект с видеорегистратором. Провайдер настроил свою сеть и дал ID влана 1726.

На базе физического устройства eth0 которое смотрит на провайдера создаю VLAN интерфейс с настройками в etc/sysconfig/networking-scripts/ifcfg-eth0.1726:

DEVICE=eth0.1726
TYPE="VLAN"
ONBOOT="yes"
BOOTPROTO="static"
IPADDR="10.18.16.12"
NETMASK="255.255.255.0"
VLAN="yes"

Поднимаю интерфейс:

ifup eth0.1726

ip 10.18.16.12 пингуется.

ifconfig говорит что все нормально, интерфейс поднят:

eth0 Link encap:Ethernet HWaddr 00:11:95:F4:ADB
inet addr:172.16.7.206 Bcast:172.16.7.255 Mask:255.255.255.0
inet6 addr: fe80::211:95ff:fef4:addb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2278776 errors:0 dropped:0 overruns:0 frame:0
TX packets:1468014 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2428856847 (2.2 GiB) TX bytes:180862879 (172.4 MiB)
Interrupt:185 Base address:0x6000

eth0.1726 Link encap:Ethernet HWaddr 00:11:95:F4:ADB
inet addr:10.18.16.12 Bcast:10.18.16.255 Mask:255.255.255.0
inet6 addr: fe80::211:95ff:fef4:addb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5162 errors:0 dropped:0 overruns:0 frame:0
TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:276220 (269.7 KiB) TX bytes:2217 (2.1 KiB)

eth1 Link encap:Ethernet HWaddr 00:21:91:8E71
inet addr:192.168.0.5 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::221:91ff:fe8e:d7d1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1471502 errors:0 dropped:0 overruns:0 frame:0
TX packets:1910607 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:188508914 (179.7 MiB) TX bytes:2198595405 (2.0 GiB)
Interrupt:193 Base address:0x8000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:181422 errors:0 dropped:0 overruns:0 frame:0
TX packets:181422 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:80800436 (77.0 MiB) TX bytes:80800436 (77.0 MiB)

Провайдер от себя доступ настроил и сказал пробовать пинговать 10.18.16.14 (wi-fi антенна на здании где установлена система видеонаблюдения), однако пинг не идет. Провайдер тоже меня не видит. Прочитал про похожий случай и что в настройках модуля 802.1q желательно отключить rp фильтр, поставил значение 0.

Так же читал что нужно прописывать правила маршрутизации в ip tables для интерфейса. Прописывать пробовал, все безрезультатно.

iptables -A INPUT -i eth0.1726 -s 10.18.16.12/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -o eth0.1726 -d 10.18.16.12/24 -p icmp --icmp-type echo-request -j ACCEPT

Не получалось.

Потом пробовал

iptables -A FORWARD -i eth0.1726 -j ACCEPT iptables -A FORWARD -o eth0.1726 -j ACCEPT

10.18.16.14 не пингуется.

Возможно правила прописал криво. Так же возникли сомнения что они начинают действовать после перезагрузки firewall.

Перезагружал firewall

/etc/init.d/firewall restart

Но настройки от этого только сбрасываются на прежние. iptable-save помогает только тем - чтобы сохранить настройки в файл.

Текущие правила: # iptables -L -n -v

Chain INPUT (policy DROP 273 packets, 88330 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset
10 8566 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 DROP all -- eth0 * 127.0.0.0/8 0.0.0.0/0
0 0 DROP all -- eth0 * 169.254.0.0/16 0.0.0.0/0
4287 1647K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
3345 322K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
3 87 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 172.16.7.206 tcp dpt:1875
259 31442 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED
1353 1153K ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
102K 87M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4803 313K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 5 packets, 559 bytes)
pkts bytes target prot opt in out source destination
4297 1655K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * pptp+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0
3511 1544K ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
22 638 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67
0 0 ACCEPT tcp -- * eth0 172.16.7.206 0.0.0.0/0 tcp spt:1875
1727 206K ACCEPT all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain drop-lan (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Перерыл уже не только русскоязычные, но и англоязычные форумы. У всех все взлетает с первых, или почти первых попыток судя по всему. А тут беда прям...

Может кто-то что-то подскажет? Пусть даже глупою ошибку допустил, но буду безмерно благодарен.

Все тот же товарищ, что интересовался резервированием на микротиках, не пользы ради, но любопытства для - интересовался, увидев, зачем я "цепляю" интерфейс vlan за другой интерфейс vlan?! По-моему, хорошая идея для написания краткой статьи на эту тему. Материалы, конечно, есть в Сети и на вики от Микротик, но видимо, этого недостаточно.

Я просто приведу несколько возможных конфигураций, поясню их и расскажу для чего можно применять. Думаю этого будет достаточно, для понимания вопроса, который я озвучил выше.

Если сделать так:

/interface bridge add name=bridge1 protocol-mode=none

/interface bridge port add bridge=bridge1 interface=ether2

/interface bridge port add bridge=bridge1 interface=ether3

То весь трафик будет прозрачно пропускаться между ether2 и ether3, "как просто провод". Область применения этого думаю и так понятно.

А если так:

/interface bridge add name=bridge1 protocol-mode=none

/interface bridge port add bridge=bridge1 interface=ether2

/interface bridge port add bridge=bridge1 interface=vlan1

То при направлении  vlan1 -> ether2 метки (tag) снимаются, в обратную сторону трафик помечается. Условно, можно сказать, используя терминологию cisco - ether2 в режиме access.

При такой конфигурации vlan1 обязательно должен быть "прицеплен" за какой либо ether, например ether1:

/interface vlan add name=vlan1 vlan-id=10 interface=ether1

Таким образом, входящий трафик в ether2 тэгируется (vlan id 10) и уходит через ether1. Иными словами - ether 1 в режиме trunk.

Применение этого тоже просто и распространено, например на каком-то участке сети, вам необходимо завернуть некий трафик в vlan или наоборот - достать его оттуда. Пропускаете транк через микротик, попутно "разворачивая" один из vlan.

Приведу для такой схемы пример конфигурации:

/interface bridge add name=bridge-trunk protocol-mode=none

/interface bridge port add bridge=bridge-trunk interface=ether2

/interface bridge port add bridge=bridge-trunk interface=ether3

/interface vlan add name=vlan201 vlan-id=201 interface=ether2

/interface bridge add name=bridge-access protocol-mode=none

/interface bridge port add bridge=bridge-access interface=ether4

/interface bridge port add bridge=bridge-access interface=vlan201

В этом примере,

ether2  - uplink(trunk), например перед ним cisco catalyst:

!

interface FastEthernet0/10

description -- to-ether2-mikrotik

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 201-210

switchport mode trunk

spanning-tree portfast

no cdp enable

!

ether4 - туда отдается трафик абоненту, под которого используется 201 vlan id

ether3 - дальше в сеть.

Если потребуется выудить, скажем, 203 vlan id, далаем все тоже самое, но в другой, свободный ether или, кстати, в eoip туннель - так тоже можно.

Еще можно сделать такую конфигурацию:

/interface bridge add name=bridge-map protocol-mode=none

/interface bridge port add bridge=bridge-map interface=vlan201

/interface bridge port add bridge=bridge-map interface=vlan401

Я не стал писать в этом примере "создание" vlan201 и vlan401, предполагаю, что это и так понятно.

Это vlan mapping, когда нужно сменить vlan-id. Менять его может потребоваться на границе двух сегментов сети, когда приходящий vlan id уже используется в другом сегменте сети.

Но mapping лучше использовать не часто, это усложняет диагностику проблем, например.  Лучше для таких случаев, как я привел в пример выше, использовать Q-n-Q:

/interface eoip add name=eoip_transport local-address=1.1.1.1 remote-address=2.2.2.2 tunnel-id=3333

Представим, что у нас есть какая-то среда, в которой проблематично вланы протягивать, но нам очень-очень нужно.

/interface vlan add name=v3333 vlan-id=3333 interface=eoip_transport

а теперь представим, что у нас в разных сегментах сети (между которыми eoip туннель) есть пересекающиеся vlan id и нам надо через сторону 2.2.2.2, куда-то там еще...

/interface vlan add name=v201 vlan-id=201 interface=v3333

/interface bridge add name=bridge1  protocol-mode=none

/interface bridge port add bridge=bridge1 interface=v201

/interface bridge port add bridge=bridge1 interface=ether2

Должен отметить, что начиная с версии 6.41 RouterOS есть изменения по конфигурированию всего этого дела, но они еще не осели в моей памяти, а пишу я примеры по памяти, поэтому они слегка устаревшие, но рабочие.

И простите за такую схему =) (мне схемы рисовать не приходится, это делают за меня, но если подскажет кто хороший инструмент под linux для создания схем  - буду рад использовать в следующих статьях).

Таким образом, vlan id 201 из зеленой ветки и синей не пересекаются, а во внутрь красного vlan id 3333 можно еще сколько угодно затолкать, куда нибудь ответвить и так далее.

Первая часть

Вторая часть

VLAN — Virtual Local Area Network

Сегодня мы поговорим про эту полезную вещь. Очень многие о ней слышали, но не все из них представляют, что это такое зачем оно нужно.

Основные термины:

Сетевая топология — способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

Физическая топология — описывает реальное расположение и связи между узлами сети.

Логическая топология — описывает хождение сигнала в рамках физической топологии.

Общая идеология:

VLAN переводится как «виртуальные локальные сети». Эта штука работает на канальном уровне модели OSI. Она позволяет делать

1) Локальную сеть, физически состоящую из нескольких железок (aka коммутаторов), но которая видится как сеть, в которой одна многопортовая железка.

2) И наоборот, на одной железке можно уместить несколько сетей так, что они не будут видеть друг-друга. Как будто мы попилили коммутатор на несколько маленьких свитчиков.

3) Комбинацию из 1 и 2:

То есть, мы можем создавать логическую топологию сети не зависимо от физической топологии.

Тут надо отступить чуть в сторону. Никто не запрещает вам создать несколько локальных сетей без всяких VLAN и компы из одной сети будут видеть друг-друга (см. картинку ниже)

На картинке выше комп с адресом 172.16.1.1 вполне увидит комп 172.16.1.2 без всяких дополнительных настроек. Также как и все компы с адресами из сетки 192.168.1.0/24 увидят друг друга. Но все эти компы из обеих сетей будут находится в одном широковещательном домене (в изначальном смысле этого термина – второй уровень модели OSI). То есть, все широковещательные запросы (например, DHCP), направленные на MAC-адрес FF:FF:FF:FF:FF:FF попадут на все порты. А вот если вы разделите сеть на VLAN’ы, то у вас будет свой широковещательный домен на каждый VLAN.

Когда и зачем это нужно:

1) Когда вы создаёте 50 локальных сетей на 47 коммутаторах, то есть когда ваша сеть начинает загибаться под массой широковещательных запросов. Например, как говорят учебники, сеть общежития. Советую прочитать про broadcast storm

2) Когда вы параноик хотите защититься от arp-spoofing атак

3) Когда вы сталкиваетесь с IP-телефонией и моделью подключения комп-телефон-свич (то есть, 2 устройства на одном порту и нужно разделать их трафик). Телефонию в принципе принято выносить в отдельный VLAN не зависимо от типа подключения телефонов. В общем случае, когда на порт приходит по некоторым признакам разный трафик, который не должен смешиваться. Например, интернет, телефония и некоторый прямой канал с дружественной фирмой от провайдера.

4) Когда вы хотите развести всех этих людей по подсетям. Бухи налево, юристы прямо, маркетологи направо. Может, им не стоит видеть друг друга в целях безопасности, кто знает?

Как всё происходит: на устройстве создается VLAN, в него добавляются порты, которые в этот VLAN входят. Порты бывают тегированные и нетегированные. Тег – это некоторая метка (число), которая идентифицирует принадлежность трафика к VLAN. Помечать трафик нужно, когда в одном проводе передается трафик нескольких VLAN’ов (см. картинку).

Здесь :

VLAN1 — зеленый, в него входят порты 1, 7, 12, 14, 16 на switch1 и порты 1, 3, 4, 7, 8, 9, 11, 15 на switch2.

VLAN2 — синий, в него входят порты 3, 4, 6, 8, 9, 11, 13, 15, 16 на switch1 и порты 2, 5, 8, 13, 14, 16 на switch2.

VLAN3 — красный, в него входят порты 2, 5, 10, 16 на switch1 и порты 6, 8, 10, 12 на switch2.

Можно было бы соединить свитчи тремя патч-кордами (пунктирные линии) по одному на каждый VLAN, но не всегда это возможно и здорово (например, когда ваши свитчи расположены на разных этажах или когда VLAN’ов много, а свободных портов мало).

Сейчас свитчи соединены патч-кордом, который воткнут в 16 порт на первом свитче и в 8 порт на втором. Чтобы по нему могли ходить пакеты всех трёх VLAN'ов и не перемешиваться, патч-корд должен быть воткнут в тегированные порты. Порты 16 на первом и 8 на втором свитче — тегированные, каждый из них принадлежит всем трём VLAN'ам (также говорят и наоборот – три VLAN есть в этих портах). На входе в эти порты метка ставится (если нету), но на выходе не снимается.

Порты, помеченные одним цветом — нетегированные, в них нет меток, так как метки внутри одной сети не нужны. То есть, метка на входе в порт снимается (если есть) и на выходе не ставится.

Обычные пользовательские компьютеры воткнуты в одноцветные порты и знать не знают про всю эту муть - всем управляет коммутатор (заботливо ставит метки, если трафик надо запихнуть в трехцветный провод и снимает метки, если надо отдать данные компу - чтоб бедняга не мучился). Linux умеет понимать VLAN'ы (при вашем желании), некоторые сетевухи с правильными дровами под виндой тоже. Но по умолчанию всё отдается коммутатору.

И вот у вас несколько VLAN’ов, все счастливы, но друг друга сети совсем не видят. А надо. Чтобы настроить между ними маршрутизацию, нужен (тссс!) маршрутизатор. Ну или хотя бы L3-switch.

Пара ссылок с красивыми картинками от cisco: раз и два.

По просьбам трудящихся подписчиков несколько команд:

VLAN на компе с Debian:

Можно настраивать с помощью vconfig или с помощью ip link.

Создать VLAN на интерфейсе eth0. Имя VLAN'a – eth0.80, оно по-хорошему должно быть именно в таком формате: интерфейс.тег, ну и тег тут 80, уже понятно:

# ip link add link eth0 name eth0.80 type vlan id 80

# ifconfig eth0.80 up

Добавить IP:

# ip a a 172.16.1.1/24 dev eth0.80

VLAN на D-Link:

Создать VLAN с названием 45 и тегом 45:

# create vlan 45 tag 45

Добавить нетегированные порты с 8 по 11:

# config vlan 45 add untagged 8-11

Добавить тегированный порт 14:

# config vlan 45 add tagged 14

Удалить 10 порт из VLAN:

# config vlan 45 delete 10

Посмотреть информацию о VLAN:

# show vlan

VLAN на Cisco

У Cisco тегированные порты называются транковыми (trunk), а нетегированные native. Предупреждение: vlan 1 занят под native vlan. Также на коммутаторах cisco есть interface vlan1, который является интерфейсом управления – на него назначаете IP, чтобы заходить на свичи по сети

создать VLAN:

# vlan 2

# name vlan2

Добавить тегированные порты:

# config vlan2 add tagged 2,25

# exit

Изменить что-то с VLAN'ом:

# interface vlan2

добавить IP:

# ip address 10.1.2.1 255.255.255.0

Чтоб перевести порт в тегированный режим:

$ conf t

# interface fa0/24

# switchport trunk encapsulation dot1q

# swichport mode trunk

Разрешить VLAN'ы 1 и 2:

# switchport trunk allowed vlan 1,2

Включение нетегированного VLAN'а:

# switchport trunk native vlan 1

Режим по умолчанию, в этом порту не может быть тегированных пакетов:

# interface fa0/1

# switcport access vlan 1

В рамках cisco еще полезно ознакомиться с протоколом VTP.

Ну и напоследок: не стоит наслушавшись цискокурсов или начитавшись статей пилить свою сеть на VLAN’ы, если вы не понимаете, зачем вам это надо. Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться (это моё личное мнение).

Предисловие:
Продолжаю тему пассивных сетей поднятую в этом посте.
В этом посте поговорим о типах cервисах, понятии VLAN и о том как можно доставить сервисы до абонента.

Рассмотрим принцип организации доступа абонентов к услугам.

Помимо классического разделения услуг  на голос, видео и данные, сервисы условно можно также разделить на два транспортных класса: Unicast-сервисы и Multicast-сервисы.

Под Unicast-сервисами понимается набор различных односторонних (unicast) потоков:

1) Internet-трафик (HSI – High Speed Internet);

2) IP-телефония (VoIP);

3) VoD-сервисы (VoD);

4)служебные транзакции между Middleware и STB;

5) рассылка ключей шифрования системы условного доступа (CAS).

К Multicast-сервисам (сервисы групповых потоков) относятся:

1) широковещательное телевидение (BTV);

2) музыкальные каналы и др.

Предполагается, что транспортировкой всех перечисленных сервисов будут заниматься два основных сетевых сегмента: магистральная сеть и сеть доступа.

Магистральная сеть – это участок городской опорной сети.

В качестве сети доступа и агрегации может выступать участок районной оптической сети доступа.

На сегодняшний день существуют две основные модели доступа к услугам на "последней миле":

1) модель Multiple Service VLANs (VLAN per service);

2)модель Single Public VLAN (VLAN per subscriber).

Первая модель предполагает передачу трафика каждого из сервисов в отдельном виртуальном канале (VLAN), вторая – выделение под все сервисы, к которым имеет доступ абонент, одного абонентского VLAN.

VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.

Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети.

Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, метка может нумероваться от 0 до 4095.

Первый и последний номера зарезервированы, их использовать нельзя.

На портах коммутаторов указывается в каком VLAN эти поры находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN.

Любой трафик на котором имеется данная метка называется тагированным. Таким образом каждый порт имеет PVID (port vlan identifier).

Тагированный трафик может в  проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Существует два типа портов:

1. Access port — порт доступа — к нему подключаются, как правило, конечные узлы. Трафик между этим портом и устройством нетегированный. За каждым access-портом закреплён определённый VLAN, иногда этот параметр называют PVID. Весь трафик, приходящий на этот порт от конечного устройства, получает метку этого влана, а исходящий уходит без метки.

2. Trunk port. У этого порта два основных применения — линия между двумя коммутаторами или от коммутатора к маршрутизатору. Внутри такой линии, называемой в народе, что логично, транком, передаётся трафик нескольких вланов. Разумеется, тут трафик уже идёт с тегами, чтобы принимающая сторона могла отличить кадр.За транковым портом закрепляется целый диапазон вланов.

Организация модели доставки сервисов VLAN per service

На рисунке ниже показан вариант, в основе которого лежит модель, при которой для каждого из сервисов выделяется свой собственный виртуальный канал.

Очевидно, что для организации такой архитектуры необходимо обеспечить разделение сервисов непосредственно на уровне абонентского оборудования, а именно: на Residential Gateway (RG).

RG коммутирует трафик от каждого подсоединенного устройства (приставка, IP-телефон, компьютер) в квартире абонента в соответствующий сервисный VLAN и подключается к оборудованию оператора - коммутатору доступа.

В свою очередь, коммутатор доступа должен обеспечивать первую линию безопасности: на нем реализованы основные функции по защите трафика от перехвата, от подмены IP-адресов, от broadcast-штормов и пр. Помимо этого данное устройство осуществляет маркировку пакетов согласно политикам QoS и обрабатывает Multi-cast-трафик.

Для снижения количества VLAN, используемых в сети доступа, можно обеспечить трансляцию всех сервисов одного типа от разных абонентов в одном VLAN на коммутаторе доступа.

К примеру, 50 каналов телевидения будут занимать полосу в 200 Мбит/с, таким образом, трансляция TV-каналов в пяти VoD-VLAN для пяти абонентов может заполнить гигабитный канал. Технология MVR (Multicast VLAN Registration) решает проблему неэффективного использования каналов передачи, но для этого мультикастовые сервисы должны быть выведены в отдельный VLAN – так называемый Multicast VLAN .

При осуществлении подписки абонента на телевизионный канал коммутатор доступа, получив контрольное сообщение IGMP (протокол управления групповой (multicast) передачей), обеспечивает перетекание муль-тикастового трафика в VoD-VLAN, к которому подключен STB.

В связи с тем что модель VLAN per Service обеспечивает полное разделение сервисного трафика на сети доступа, существенно облегчаются задачи ввода/вывода и транспортировки трафика.

Транспортировка Internet-трафика в данной модели доставки сервисов несколько отличается от транспортировки голоса и видео. Для обеспечения централизованного контроля над абонентскими сессиями предлагается с помощью туннелей терминировать Internet-трафик на BRAS (Broadband Remote Access Server), причем современные BRAS могут работать как с PPPoE-сессиями, так и с IPoE-сессиями. Такой подход позволяет обеспечивать единую точку контроля над Internet-трафиком всей сети, а учитывая, что таких районных сетей доступа может быть несколько, нет необходимости устанавливать свой BRAS в каждую сеть доступа.

Организация модели доставки сервисов VLAN per subscriber

При данной модели сервисы передаются в одном абонентском VLAN. Основное преимущество данной модели в том, что в качестве RG может выступать обычный недорогой коммутатор, к которому не предъявляются требования по поддержке стандарта 802.1Q.

Организация сети доступа отличается более простым дизайном. Количество используемых VLAN равно m плюс один Multicast VLAN. К коммутаторам доступа выдвигаются те же требования по контролю над абонентским трафиком и работе с мультикастом.

Задачей разделения сервисов должен заниматься узел агрегации. Он может совмещать в себе функции BRAS. Данный узел обеспечивает селективное распределение трафика разных сервисов в различные контексты VRF при движении трафика от абонента и осуществляет обратную задачу для встречного трафика (существуют варианты дизайна, в которых обратная пересылка трафика – к абоненту -может не использовать сервисный VPN).

VRF – технология, позволяющая реализовывать на базе одного физического маршрутизатора иметь несколько виртуальных – каждого со своей независимой таблицей маршрутизации.

Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными маршрутизаторами, так и между виртуальным и реальным.

Трафик Internet терминируется непосредственно на границе сети доступа. Все остальные сервисы транспортируются через сеть схожим с предыдущим вариантом способом.

Возможен подход, при котором в одной точке сети обеспечивается контроль над трафиком всех сервисов: устанавливается единый BRAS (как в первом варианте), а Unicast-сервисы с помощью туннелей транспортируются через магистраль и терминируются на BRAS. В небольших сетях такой подход может быть оправдан, но в случае крупных сетей, с большим объемом "тяжелого" трафика, встает вопрос масштабируемости и отказоустойчивости такого решения.