Lan
Содержание:
- History
- Отличие WAN от LAN
- ЧЕТЫРЕ! Настраиваем SD-WAN, отказоустойчивый и сбалансированный интернет
- Функциональность
- Профессиональные роутеры и ZyXEL
- ПЯТЬ! Настройка WLAN и IoT
- Устройства ASUS, TP-Link, D-Link
- Устройства WAN
- РАЗ! Устанавливаем TP-Link Omada — программный контроллер в локальной сети
- СЕМЬ! Финальный штрих
- ДВА! Настраиваем VLAN и подсети
- ТРИ! Выставляем базовую защиту сети
- Functionality
- WAN Devices
- История
- Выводы
History
The primary use of a WAN was to form private connections over company branches in remote areas that enabled to carry voice data signals within the company. The X.25 WAN protocol was established in the 1970s and carried on this commercial function. However, leased line WANs became much more popular during the 1990s, as more businesses began to incorporate it as a method to privatize and secure connections within the company. The Frame Relay Protocol was also established during this time. After a decade, Multiprotocol Label Switching (MPLS) was also developed, and T1 or T3 lines were now established to create MPLS connections or to provide internet VPN communication. Currently, leased line WAN connections are a lot more costly and expensive when compared to modern home or corporate connections since they require undersea network cables in order to establish cross-continent communication lines.
Отличие WAN от LAN
- WAN — сеть внешняя, глобальная, LAN — сеть внутренняя, локальная.
- WAN не ограничивается территорией, LAN не может быть очень большой протяженности.
- В роутерах порт WAN предназначен для интернет-соединения, LAN – для локальных устройств пользователя.
- Количество клиентов LAN ограничено.
- Пропускная способность LAN обычно выше, для ее организации используются качественные кабели.
- LAN использует протоколы Ethernet и 802.11, WAN — PPP и другие.
- В LAN канал связи используется одним клиентом, в WAN — несколькими.
Наша сегодняшняя небольшая статья будет посвящена такому элементу роутеров, который называется WAN. Мы попытаемся ответить на вопросы, что это такое и какие функции оно выполняет.Очень вероятно, что однажды вы пытались настроить самостоятельно роутер и обращались за помощью на какой-то форум. И еще более вероятно, что в такой ситуации вам там советовали подключить кабель в WAN-разъем
или же зайти на вкладку WAN и задать там правильные настройки. Как вы уже могли догадаться, на роутере так называемых WAN-ов сразу две штучки. Во-первых, это разъем, который расположен на корпусе маршрутизатора, в который собственно и подключается интернет через кабель
, проложенный интернет-провайдером
. На примере разных производителей задняя панель может выглядеть по разному:
По-другому такой разъем называется еще RJ-45
. Чаще всего WAN-разъем
на роутерах окрашен в синий цвет. С первым WAN-ом уже разобрались.
Под вторым значением слова WAN
скрывается не что иное, как пункт в настройках роутера. Как заходит в панель управления вы уже, наверное, знаете из наших предыдущих публикаций. Кстати, у некоторых моделей роутеров, в частности у TP-LINK
, вкладка WAN
называется просто «Интернет»
.
Настройки, которые в ней находятся собственно и позволяют роутеру осуществлять подключение к интернету. Я бы даже назвал это самым главным пунктом
в настройке маршрутизатора. Поэтому очень внимательно вводите данные, выданные вам провайдером. Довольно часто на этом этапе настройки и допускаются ошибки, а потом возникают вопросы, почему же роутер не функционирует полноценно.
ЧЕТЫРЕ! Настраиваем SD-WAN, отказоустойчивый и сбалансированный интернет
Сегодня ни одна здравомыслящая сетевая компания не обходит стороной технологию SD-WAN, и на страницах нашего ресурса вы найдёте много публикаций по теме программно определяемого доступа в интернет. Самая простая имплементация SD-WAN — это обеспечение отказоустойчивости совместно с балансировкой загрузки каналов по трафику.
Наш тестовый шлюз TP-Link TL-ER7206 имеет аж 4 WAN-порта: выделенные SFP и RJ45 и комбинированные WAN/LAN RJ45. Все порты — гигабитные, с возможностью замены MAC-адреса. При балансировке нагрузки, для каждого из портов можно задавать свой вес, отдавая приоритет наиболее быстрому.
Для того, чтобы приложения и сервисы, использующие несколько подключений, сохраняли работоспособность при одновременной работе двух интернет-каналов, контроллер Omada прописывает маршрутизацию таким образом, чтобы трафик с одних и тех же IP адресов подсети с одних и тех же портов шёл через один и тот же WAN канал.
Однако, можно и просто использовать два интернет-канала в режиме «активный/резервный» с переключением и последующим возвратом при поломке.
Периодически шлюз тестирует скорость интернета, выполняя загрузку с сайта Speedtest.net, так что если у вас в компании используются несколько каналов связи, можно настроить, чтобы шлюз всегда выбирал самый быстрый, самый малозагруженный.
Функциональность
Управление глобальными вычислительными сетями осуществляется поставщиками сетевых услуг, такими как спутниковые компании, телефонные компании, кабельные компании или провайдеры интернет-услуг (ISP). Эти компании способны устанавливать крупные сетевые связи, охватывающие города или штаты. Затем пользователи могут арендовать использование этих сетей у этих компаний. Такие междугородние соединения устанавливаются через спутниковую связь, медные телефонные провода или, в последнее время, оптоволоконные кабели, которые либо создают соединения типа «точка-точка», либо работают через сети с пакетной коммутацией. В сетях точка-точка используются аналоговые телефонные линии, в то время как модем работает для подключения устройства, такого как персональный компьютер, к телефонным линиям. Передача данных осуществляется в пакетах по сетям с пакетной коммутацией, которые широко распространены между устройствами.
Для обеспечения безопасности данных в этих крупных сетях предусмотрена виртуальная частная сеть (VPN). VPN функционирует для обеспечения безопасности связи в большой сети путем интеграции системы методов аутентификации. Пользователи должны иметь необходимые коды доступа, пароли или другие формы идентификации, чтобы получить доступ к частным и конфиденциальным приложениям или ресурсам.
Профессиональные роутеры и ZyXEL
Любой маршрутизатор профессионального уровня наделён Ethernet-контроллерами в достаточном количестве. Поэтому, любой из Ethernet-разъёмов легко задействуется в качестве порта WAN, тут даже рассказывать не о чем. Похожим свойством обладают роутеры ZyXEL Keenetic, если используется прошивка второго поколения. Зайдя в web-интерфейс, достаточно открыть вкладку «Интернет» – > «IPoE» и выполнить клик на строке «ISP»:
Страница настройки подключений IPoE
Перед Вами откроется вкладка, где в один клик выбирают, какой из разъёмов должен стать WAN-портом:
Установка галочки «Использовать разъём»
Не забудьте в завершении нажать «Применить».
Было бы глупо, если бы подобными возможностями не обладала прошивка первого поколения. Если Ваш роутер Keenetic относится к поколению «1», просто откройте вкладку «Домашняя сеть» –> «IP-телевидение»:
Вкладка выбора порта STB
Здесь, то есть на указанной вкладке, мы выбираем в верхнем списке параметр «Назначить разъём LAN». Осталось указать, какой из разъёмов будет заменять WAN-порт. Жмём «Применить» и подключаем шнур провайдера к LAN-порту, указанному в нижнем списке.
Для пущей надёжности лучше предварительно установить галочку, обозначенную фразой «Только для ресивера».
ПЯТЬ! Настройка WLAN и IoT
Следующим этапом мы настроим беспроводную сеть на точке доступа EAP660HD. Мы создадим две сети: одну — общую, с открытым SSID в диапазонах 2.5 и 5 ГГц. Так как наша точка доступа поддерживает Wi-Fi 6 (да не просто поддерживает, а имеет 8 пространственных потоков и 2.5-гигабитное подключение), то для безопасности включим уже стандарт WPA3, оставив совместимость с WPA2. Хочу заметить, что такие параметры как Band Steering, роуминг или поддержка MESH, вообще задаются в настройках площадки и действуют глобально на всё беспроводное пространство.
Вторую сеть мы создадим только в диапазоне 2.4 ГГц, и предназначена она будет для беспроводных IoT устройств. Включив в настройках SSID параметр «Guest Network», мы запретим доступ всех подключённых к этой сетке устройств к частным IP-диапазонам вида 10.10.10.x, 192.168.x.x и т.д., сохранив при этом выход в интернет. Это самый простой способ для безопасного подключения IoT устройств: с одной стороны все эти китайские лампочки, принтеры, метеостанции сохраняют работоспособность через свои облачные сервисы, а с другой стороны даже если они будут взломаны или изначально содержат в себе эксплойты, ваша локальная сеть защищена так же надёжно, как при помощи WLAN или изоляции на уровне L2.
Конечно, можно по аналогии создать отдельный VLAN для IoT устройств и заблокировать ему доступ в локальную сеть на уровне коммутатора, но это уже избыточная защита.
Устройства ASUS, TP-Link, D-Link
Как Вы поняли, в некоторых web-интерфейсах надо указывать LAN-порт, предназначенный для STB-приставки. Затем его используют, как порт WAN. В более современных интерфейсах всё устроено «по-честному»: здесь мы просто выбираем, к какому из разъёмов подключается шнур провайдера. Но иногда отсутствуют оба перечисленных варианта. Почти всегда это обуславливается тем, что чипсет наделён только двумя Ethernet-контроллерами. В общем, ремонт лучше начинать с поиска информации о чипсете.
D-Link: объединяем порты 4, 5
В интерфейсе роутеров D-Link для всех аппаратных портов используется обозначение цифрой. Мы должны создать свитч, объединяющий два элемента: четвёртый, пятый. Для этого, на вкладке «Соединения» сначала избавляются от подключения WAN:
Как удалить действующее соединение
Все дальнейшие действия выполняются на другой вкладке, называемой «Дополнительно» –> «VLAN».
Итак, открыв страницу «VLAN», Вы увидите два списка. Нужно перегруппировать интерфейсы так, как надо нам:
Выполните клик на прямоугольнике «lan», выберите строку «port4», нажмите кнопку «Удалить порт» и сохраните изменения.
«Port4» удаляем из «lan»
Добавляем «port4» к «wan»
Осталось на открывшейся вкладке найти список «Порт», выбрать в нём «port4», и сохранить изменения. После нажатия на кнопку «Сохранить», расположенную сверху, можете заново настраивать соединение WAN на вкладке «Соединения» (нажмите «Добавить»).
Мы рассмотрели, как производится объединение разъёмов WAN и LAN4 в свитч. Однако на стартовой странице можно было выбрать «Мастер IPTV», чтобы указать, какой из портов используется для STB-приставки.
Подключаем STB, интерфейс ASUS
В девайсах фирмы ASUS можно указывать, что будет использоваться для подключения ТВ-приставки. Тем самым, можно объединить в свитч пару портов, включая WAN. Если интерфейс содержит пункт, обозначенный как «IPTV», следует этим воспользоваться:
«Дополнительные настройки» –> «WAN» –> «IPTV»
«Дополнительные настройки» –> «WAN» –> «Интернет»
Список, где нарисована стрелочка – то, что нужно нам. Укажите один из разъёмов.
То есть, список «Выбор порта STB…» никогда не дублируется. Зато он может отсутствовать вообще. Чем это обусловлено, мы рассматривали.
Роутеры TP-Link: включаем свитч
Жил-был роутер TP-Link модели TL-WR340GD ревизии 3.1. После перегорания разъёма WAN прошивка была обновлена. Её версия под номером V3_110701, как выяснилось, содержит пункт меню «Bridge». Перейдя к данной вкладке, можно обнаружить вот что:
Принудительное создание свитча WAN-LAN4
Разумеется, был указан четвёртый порт, чтобы не занимать много разъёмов, и после сохранения настроек девайс успешно подключили к провайдеру.
Устройства WAN
Несмотря на множество типов соединений, которые могут быть созданы для формирования сети WAN, эти линии полагаются на похожие аппаратные или программные компоненты, необходимые для создания публичной или частной сети.
WAN-коммутатор
Коммутатор WAN функционирует как многопортовое межсетевое устройство, работающее на канальном уровне модели OSI. Используется в операторских сетях для коммутации трафика.
Сервер доступа
Функционируя в качестве точки доступа для других узлов сети, сервер доступа представляет собой сервер доступа, на котором сосредоточены входящие и исходящие коммутируемые соединения. Сервер физического доступа может быть настроен для предоставления прав другим компьютерам, которые являются или не являются членами сети.
модем
Модем сокращенно от Модулятор / Демодулятор. Это часть оборудования, которое отвечает за преобразование цифровых данных в аналоговые, что позволяет передавать данные по телефонным линиям.
CSU/DSU
Сервисный блок канала или цифровой сервисный блок — это устройство с цифровым интерфейсом, обеспечивающее синхронизацию сигнала для соединений между оконечным оборудованием передачи данных (DTE) и оконечным устройством цепи передачи данных (DCE). CSU/DSU интерпретирует физический интерфейс DTE к интерфейсу DCE.
ISDN терминальный адаптер
Это необходимо для установления соединения между интерфейсом базовой скорости ISDN (BRIC) и другими интерфейсами; в основном он функционирует как модем ISDN, позволяющий пользователям подключать свои устройства или локальную сеть к прерванной коммутируемой линии ISDN.
Высокоскоростной интерфейс
Он интегрирует интерфейсы DTE и DCE, обеспечивая высокоскоростные соединения до 53 Мбит/с по WAN. Обычно это применяется как короткое соединение для маршрутизатора LAN и линии T3, устанавливающее соединение LAN-WAN путем функционирования на физическом уровне модели OSI Reference Model.
РАЗ! Устанавливаем TP-Link Omada — программный контроллер в локальной сети
Первое поколение систем SDN представляло собой физическое устройство, которое монтировалось в стойку. Затем стали появляться программные средства управления, устанавливаемые в виртуалку в локальной сети (так сделано у Ubiquiti), позже появилось облачное решение (Zyxel Nebula), работающее через интернет, а самый молодой продукт в этом классе, Omada от компании TP-Link, совмещает в себе все вышеназванные типы использования: у компании есть и аппаратные контроллеры (OC200 и OC300), есть программный под Windows и Linux, и вот-вот появится облачный
Кроме аппаратных моделей OC200 и OC300, всё остальное — бесплатно, что очень важно в условиях экономии бюджета
За исключением облачного решения, контроллер Omada располагается в вашей LAN сети, и самый простой способ его установки — это поставить куда-нибудь в виртуалку Windows Server и инсталлировать дистрибутив с сайта TP-Link, так же вам потребуется установить последнюю версию Java.
СЕМЬ! Финальный штрих
Конечно, много мелких, но полезных настроек мы оставим за кадром (как то — NAT, включение PoE по расписанию, выделение ваучеров для Wi-Fi…), ведь полный функционал «Омады» нам за один раз не раскрыть. Но вот что точно надо не забыть сделать, так это подключить облачный доступ через интернет, чтобы можно было управлять нашей сетью даже если она глубоко за NAT или имеет серый IP-адрес
Сейчас для обеспечения такого доступа обычно используется «лёгкое» облако на стороне вендора, и важно понимать, что хоть вам и придётся регистрироваться на сайте TP-Link, он в данном случае просто будет работать как шлюз доступа администратора к панели управления. Никакие персональные данные пользователей или настройки на серверах TP-Link не хранятся — только хэши паролей, но..
это мне так сказали, а в документации или на сайте об этом нигде не сказано, хотя о таких вещах надо писать в шапке сайта 36-м шрифтом, можно даже вместо логотипа.
Ну что же, осталось только скачать на смартфон программу Omada, выбрать соединение с Cloud-центром, ввести логин и пароль — и можно спокойно отправляться отдыхать на курорт: весь функционал Omada будет у вас на ладони.
Без интернет-браузера, который вечно тормозит, со всеми графиками и иконками, со всеми объектами, добавленными в контроллер — у вас полноценная облачная служба, и не важно, что сам контроллер спрятан за NAT
ДВА! Настраиваем VLAN и подсети
В нашем случае начнём с расстановки виртуальных сетей, VLAN в меню редактирования объекта (site) в разделе Wired Networks. TP-Link Omada позволяет вам настроить VLAN двумя способами: первый — это просто виртуальная сеть сама по себе, данное разделение будет использоваться на коммутаторах. Второй — это настройка сегментов подсетей на шлюзе доступа с собственными диапазонами IP адресов и DHCP серверами, что даёт возможность сразу определять клиента в нужную виртуальную сеть и записывать в заданный IP диапазон.
Мы использовали PoE коммутатор TL-SG3210XHP-M2, который специально предназначен для развёртывания в средах Wi-Fi 6. Он имеет два 10-гигабитных SFP в качестве аплинка, а распределительная часть составляет 8 PoE+ портов RJ45 со скоростью 2.5 Гбит/с. Общий бюджет PoE оценивается в 240 Вт, сам коммутатор потребляет 17 Вт. Охлаждается устройство двумя вентиляторами, из-за чего работает вполне себе громко даже без подключенной PoE нагрузки, так что монтировать TL-SG3210XHP-M2 нужно в отдельном помещении или звукоизолированном шкафу. Коммутационная матрица равняется 80 Гбит/с, что равняется сумме скоростей всех портов в режиме дуплекса.
Интересно, что коммутатор относится к устройствам класса L2+, и может привязывать IP-адрес к порту, но не все функции L3 в данный момент настраиваются через контроллер: например, статическая маршрутизация через контроллер доступна, а VLAN VPN и привязка IP-MAC-Port настраиваются уже в Standalone режиме.
Но арсенал того, что есть сейчас итак достаточен: виртуальных сетей может быть до 4096 штук, и задавая каждый VLAN вместе с описанием, мы можем в дальнейшем оперировать с их названиями, чтобы проще было ориентироваться в профилях, подсетях и VLAN тэгах Когда дело доходит до доступа, то каждому порту можно присваивать отдельный профиль, в котором вы можете указать какой тегированный и нетегированный трафик из каких VLAN-ов будет обслуживаться именно этим портом. Для высокоприоритетного голосового трафика можно задействовать отдельный VLAN и включить LLP-MED, тогда свитч автоматом повысит приоритет по 802.11p всего трафика в этой виртуальной сети, избавив вас от конфигурирования QoS. Порты можно изолировать или отключать, ограничивать пропускную способность как для всех, так и для определённых MAC-адресов. Так же имеется поддержка агрегации каналов. Реально коммутатор мощный, и настройка здесь проще, чем где бы то ни было.
ТРИ! Выставляем базовую защиту сети
Настройки безопасности представлены правилами для ACL списков, реализуемых на шлюзе доступа, коммутаторе или точке доступа. Если вы хотите заблокировать устройствам доступ к заданным подсетям, оставив только выход в интернет, то вам сюда. Интересно, что ACL настраивается отдельно для точек доступа, свитчей и шлюзов, но принцип везде один и тот же: вы указываете, какой подсети запрещать или разрешать доступ к какому IP диапазону, ну плюс на коммутаторе эта привязка может делаться к VLAN-ам или портам.
Для защиты от DDoS атак по методу переполнения буферов присутствует антифлуд для TCP, UDP и ICMP.
А вот ограничение доступа к интернет-сайтам сделано чисто для галочки, поскольку каждый такой URL вам придётся заносить вручную. Я думаю , что пользоваться этой функцией едва ли кто-то будет.
Functionality
Wide area networks are managed by network service providers such as satellite companies, phone companies, cable companies, or internet service providers (ISPs). These companies are capable of establishing large network connections that cover cities or states. Users are then able to lease the use of these networks from these companies. Such long-distance connections are established through satellite links, telephone copper wires, or, more recently, fiber optic cables that create either point-to-point connections or operate through packet-switched networks. Point-to-point networks use analog dial-up lines while a modem works to link a device, such as a personal computer, to the telephone lines. Data transmission is done in packets across packet-switched networks that are widely shared between devices.
In order to ensure security for the data in these large networks, a Virtual Private Network (VPN) is incorporated. A VPN functions to secure communication on a big network by integrating a system of authentication methods. Users must have the necessary access codes, passwords, or other forms of identification, in order to gain access to private and confidential applications or resources.
WAN Devices
Despite the multiple kinds of connections that can be created to form a WAN network, these lines rely on similar hardware or software components that are required to set up a public or private network.
WAN Switch
A WAN switch functions as a multi-port internetwork device that operates at the data link layer of the OSI Reference Model. It is used in carrier networks to switch traffic use.
Access Server
Functioning as a point of access for other nodes in the network, an access server is where dial-in and dial-out connections are concentrated. A physical access server can be set up to provide rights to other computers that are or are not members of the network.
Modem
A Modem is short for Modulator / Demodulator. This is a piece of hardware that is responsible for translating digital to analog data, thus, enabling data transmission through telephone lines.
CSU/DSU
A Channel Service Unit or Digital Service Unit is a digital interface device that provides signal timing for connections between data terminal equipment (DTE) and the Data Circuit Terminating Device (DCE). The CSU/DSU interprets the physical interface of the DTE to the interface of the DCE.
ISDN Terminal Adapter
This is required to establish a connection between an ISDN Basic Rate Interface Connection (BRIC) to other interfaces; It basically functions like an ISDN Modem that allows users to connect their device or LAN to a terminated dial-up ISDN line.
High-Speed Interface
It functions to integrate the interfaces of the DTE and DCE, enabling high-speed connections of up to 53 Mbps over WANs. This is usually applied as a short-distance connection link for a LAN router and T3 line, establishing a LAN-WAN connection by functioning on the physical layer of the OSI Reference Model.
История
Основное использование сети WAN заключалось в создании частных соединений через филиалы компании в отдаленных районах, что позволяло передавать сигналы голосовой передачи данных внутри компании. Протокол X.25 WAN был создан в 1970-х годах и выполнял эту коммерческую функцию. Однако, арендованные линии WAN стали гораздо более популярными в 1990-х годах, поскольку все больше компаний стали использовать их в качестве метода приватизации и обеспечения безопасности соединений внутри компании. За это время был также разработан протокол Frame Relay Protocol. Через десять лет была также разработана технология многопротокольной коммутации меток (MPLS), и в настоящее время были созданы линии T1 или T3 для создания MPLS-соединений или обеспечения VPN-связи через Интернет. В настоящее время арендуемые линии WAN значительно дороже и дороже по сравнению с современными домашними или корпоративными линиями связи, поскольку для создания межконтинентальных линий связи требуются подводные сетевые кабели.
Выводы
Задача современного SDN контроллера ещё и в том, чтобы сохранять простоту работы с сетью по мере её роста, и у TP-Link этот момент отработан идеально. Даже если у вас в компании одна единица оборудования TP-Link, использование Omada даст свои плюсы в удобстве и информативности. Но как и любой современный продукт, у этого решения есть свои плюсы и минусы.
- Интерфейс на английском языке. Для большинства наших читателей это не проблема, но отсутствие локализации бьёт по заказчикам, реализующим проекты для гос.компаний.
- Функционал Omada ограничивает какие-то устройства, подключенные к нему. Вот например, не все возможности свитча реализованы в Omada, и тут ничего не поделаешь — либо свитч прописан в контроллер и управляется им, либо стоит отдельно.
- Нет возможности вручную кликать на клиента и добавлять его к существующему профайлу, во VLAN или вовсе банить. То есть, взаимодействие с клиентом у вас сводится к ограничению скорости и выделению статического IP адреса.
- Автоматическое обновление прошивки работает только при подключении к облачному аккаунту
- Нет интеграции с сервисом техподдержки вендора
Всё бесплатно. Omada работает без лицензий, серийных номеров и сервисных пакетов
Очень простое добавление и удаление устройств в сети. Не нужно сканировать QR-коды, как у Zyxel или шаманить с IP-адресами, Omada увидит все доступные устройства в сети и позволит вам их перехватить. Так же легко их можно «забыть», сбросив к заводским настройкам.
Подключение к облаку не обязательно. Даже мобильное приложение может работать с локальным IP-адресом
Фактически вообще не важно, где в топологии вашей сети вы поставите контроллер: да хоть в другом филиале, но он остаётся строго под вашим контролем.
Настраиваемый интерфейс с виджетами и яркими графиками
Возможность бесконечно долго хранить логи, экспортировать их в сторонний сервер и взаимодействовать по SNMP с системами мониторинга
Возможность наблюдать интерференции в диапазоне работы точки доступа
В заключении хотелось бы отметить, что для ознакомления с Omada даже не обязательно покупать устройство TP-Link: вы можете скачать контроллер с сайта компании, произвести базовые настройки и посмотреть, насколько он подходит под ваши проекты.
Михаил Дегтярёв (aka LIKE OFF)
05/08.2021