Wyjaśnienie działania profili VLAN w OMADA

OMADA VLAN

Post dla osób zaczynających przygodę z VLAN lub OMADA
(Przydatny także dla tych, którzy wcześniej nie mieli styczności z OMADA, a przesiadają się na ten sprzęt).

Zakładam, że wiesz już, czym są porty VLAN UNTAG i TAG oraz jak działają.

W przypadku kontrolera OMADA warto rozróżnić kilka podstawowych ustawień:

1. Sieci

Tutaj określasz, czy dana sieć to Interfejs, czy tylko VLAN.
Nadajesz jej nazwę (widoczną w panelu), jednak w konfiguracjach switchy od strony czy to SSH, czy to pokazanie działającej konfiguracji będzie widoczne wyłącznie ID sieci utworzone przez kontroler.

  • Interfejs – jak sama nazwa wskazuje, jest to interfejs z przypisanym przez Ciebie VLAN-em. Ma własne ustawienia podsieci, bramy sieciowej, opcjonalnie serwera DHCP, QoS, IGMP/MLD Snooping itd.

  • VLAN – możesz określić, czy brama sieciowa ma go „widzieć”, czy nie.

    Uwaga! Opcja „przełącznik brama sieciowa” działa tylko przy tworzeniu VLAN-u. W takim trybie urządzenia „wiedzą” o istnieniu VLAN-u, ale nie ingerują w jego ruch.
    Przydatne np. w przypadku:

    • VLAN dla wewnętrznego VoIP

    • VLAN dla monitoringu, gdzie kamery mają być odizolowane od sieci i bez dostępu z zewnątrz

2. Profil przełącznika

Każda utworzona sieć (interfejs lub VLAN) generuje automatycznie swój profil, ustawiony jako sieć nietagowana z numerem VLAN (np. tworzysz VLAN 600 o nazwie „test1” – profil będzie miał roztagowany VLAN 600 i nazwę „test1”).

W takim profilu możesz zmieniać jedynie opcje zaawansowane, m.in.:

  • PoE

  • Ochrona pętli

  • LLDP-MED

  • Priorytety

Możesz też stworzyć własny profil, w którym ustawisz dowolny VLAN jako untag, sieć natywną czyli inaczej PVID i tag jaki chcesz.

Dodatkowo dostępne są dwa specjalne profile:

  • Wszystkie – VLAN domyślny jako untag (zazwyczaj VLAN 1), a reszta jako tag (odpowiednik TRUNK w Cisco).

  • Wyłącz – dezaktywacja portu.

3. Ustawienia przełącznika

To lista wszystkich przełączników z ich konfiguracją.
Osobiście rzadko tu zaglądam – używam jej głównie, gdy na któym switchu i porcie jest ustawiony dany profil.
Na co dzień konfiguruję wszystko z zakładki Urządzenia, bo wiem, co gdzie jest podłączone.

Scenariusz 1

Masz Access Point (AP), na którym muszą działać:

  • WIFI1 – główna sieć (VLAN 100) oraz dostęp do AP w celu konfiguracji.

  • WIFI2 – sieć gościnna (VLAN 200) lub np. sieć kontrahenta/firmy.

Jak ustawić port, aby działał poprawnie w tym układzie?

1. Konfiguracja w zakładce Sieci

  • Tworzysz sieć z VLAN 100.

  • Tworzysz sieć z VLAN 200.

W tym momencie kontroler automatycznie tworzy dwa oddzielne profile portów – po jednym dla każdej sieci.
Problem w tym, że potrzebujemy obie te sieci na tym samym porcie, więc musimy zrobić własny profil.

2. Tworzenie profilu portu dla AP

  • Nadaj nazwę np. AP.

  • Ustaw Untag jako VLAN 100 (będzie to sieć natywna dla AP).

  • Dodaj Tag dla VLAN 200.

  • Jeśli AP zasilane jest PoE – włącz PoE w ustawieniach profilu, ale możesz zrobić to też po stronie urządzenia (switcha).

3. Przypisanie profilu do portu

  • Przejdź do zakładki Urządzenia, wybierz odpowiedni switch.

  • W sekcji Porty znajdź port, do którego podłączony jest AP.

  • Wybierz stworzony profil AP.

  • Możesz też nadpisać ustawienia profilu dla tego portu (np. włączyć detekcję pętli).

Po zapisaniu konfiguracji switch odbierze ustawienia z kontrolera i automatycznie się przeładuje. W praktyce dzieje się to bardzo szybko – często wręcz natychmiast.

Dlaczego nie trzeba ustawiać VLAN-u na każdym switchu?

Załóżmy, że pomiędzy switchami masz profil All/Wszystkie.
W momencie stworzenia sieci z danym VLAN-em kontroler wysyła informację o nim do wszystkich urządzeń.
Dzięki temu VLAN jest „widoczny” w całej infrastrukturze i na końcowym switchu wystarczy ustawić profil portu z odpowiednią konfiguracją – bez logowania się do każdego po kolei.

Scenariusz 2


Masz serwer (np. Proxmox, VMware, TrueNAS) z jedną kartą sieciową.
Serwer musi działać jednocześnie w trzech sieciach:

  • VLAN 100 – Untag – sieć zarządzająca (logowanie, konfiguracja itp.)

  • VLAN 300 – Tag – sieć maszyn wirtualnych klientów

  • VLAN 400 – Tag – sieć backupowa

1. Konfiguracja w zakładce Sieci

  1. Tworzysz trzy sieci:

    • Management_Servers – VLAN 100

    • VM_Net – VLAN 300

    • Backup – VLAN 400

  2. Każda sieć będzie widoczna w OMADA jako osobny wpis i automatycznie utworzy swój profil portu.

  3. Ponieważ wszystkie trzy mają działać na jednym porcie, potrzebny będzie własny profil.

2. Tworzenie profilu portu

  • Nazwa profilu np: Server_Proxmox

  • Untag: VLAN 100 (sieć natywna – zarządzanie serwerem)

  • Tag: VLAN 300 oraz VLAN 400

  • Dodatkowe ustawienia według potrzeb (np. ochrona pętli, Storm Control)

3. Przypisanie profilu do portu

  1. W zakładce Urządzenia wybierasz switch, do którego podłączony jest serwer.

  2. W sekcji Porty wybierasz odpowiedni port.

  3. Przypisujesz mu profil Server_Proxmox.

  4. W razie potrzeby możesz nadpisać ustawienia profilu dla tego konkretnego portu (np. włączyć dodatkowe zabezpieczenia).

4. Działanie w praktyce

  • Ruch z VLAN 100 przychodzi i wychodzi bez tagowania (untagged) – system operacyjny widzi go jako zwykły interfejs.

  • Ruch z VLAN 300 i VLAN 400 jest przesyłany z tagami – w systemie serwera trzeba skonfigurować interfejsy VLAN (np. eth0.300 i eth0.400).

  • Dzięki temu jeden kabel obsługuje ruch z trzech różnych sieci, zachowując ich separację.