Może przełącznik, który nie obsługuje ruchu procesowego VLAN z Trunk, który nie jest natywną VLAN

10

Ostatnio natknąłem się na konfigurację, w której inżynier miał przełącznik Cisco Wielowarstwowe z bagażnikiem przenoszącym VLAN 41 na przełącznik HP, który nie obsługiwał VLAN.

Co powinien zrobić przełącznik HP z ruchem 802.1q po jego odebraniu?

Rozumiem, że natywna sieć VLAN, która nie ma znacznika 802.1q, przejdzie, ale co stanie się z innymi sieciami VLAN w linii miejskiej?

cisco switch vlan ethernet dcrearer
źródło
Zależy od dokładnej natury „braku wsparcia”. Jeśli wie, jaki jest protokół 0x8100, powinien upuścić ramkę. Ale to nie byłby bezpieczny zakład.
Ricky Beam,

Odpowiedzi:

11

Przełącznik nieobsługujący tagów 802.1Q powinien upuścić oznaczone ramki. Jednak wiele prostych przełączników w ogóle nie jest zgodnych ze standardem 802.1Q i przekazują oznaczone ramki tak samo, jak te nieoznaczone - w większości naruszając intencje partycjonowania VLAN.

Prosty przełącznik może po prostu przeoczyć znak TPID oznaczający znacznik Q i traktować go jako ładunek ramki, tak jak pole Ethertype, które poprzedza. Skutkuje to tym, że oznaczone ramki są przełączane tak samo jak ramki nieoznaczone. Ponieważ przełącznik prawdopodobnie nie będzie miał docelowego adresu MAC zapisanego w SAT, ramka prawdopodobnie również będzie nadawana do wszystkich portów.

Nigdy nie należy konfigurować łącza VLAN do przełącznika, który go nie obsługuje.

Zac67
źródło
Przełącznik rozgłaszający pakiet, ponieważ nie zna docelowego adresu MAC, nie jest głównym problemem. W końcu coś takiego działają przełączniki przez cały czas i oczekuje się, że ostateczne miejsca docelowe będą albo obsługiwać 802.1Q i postępować właściwie, albo nie będą obsługiwać go i upuszczą pakiet. Po otrzymaniu odpowiedzi na oryginalny pakiet przełącznik pozna oba adresy MAC zaangażowane w komunikację. Bardziej problematyczne są konfiguracje, w których ten sam MAC musiałby być kierowany przez różne interfejsy w zależności od znacznika VLAN lub przełączników, które nie mogą poradzić sobie z większymi pakietami.
kasperd
Pamiętaj, że znacznik powoduje, że ramka jest dłuższa (o 4 bajty), więc może być teraz większa niż oczekiwana MTU (1518 vs 1514) Przełącznik powinien upuścić ją jako ramkę ponadwymiarową. Niektóre bardzo stare przełączniki Cisco po prostu ulegają awarii po przekazaniu ramki z etykietą 1518B na nieoznaczonym porcie.
Ricky Beam,
@RickyBeam To jest właśnie sedno ostatniego zdania w połowie mojego komentarza. Upuszczanie pakietów byłoby zrozumiałym zachowaniem. Ale w rzeczywistości spowodowanie awarii przełącznika jest naprawdę złe. To nie jest tak, że niekoniecznie ufasz wszystkim urządzeniom podłączonym do twojego przełącznika, więc jeśli jedno z nich może spowodować awarię przełącznika, to jest to wektor DoS.
kasperd
1

Rozumiem, że natywna sieć VLAN, która nie ma znacznika 802.1q, przejdzie, ale co stanie się z innymi sieciami VLAN w linii miejskiej?

To jest właściwie niezdefiniowane. Niektóre przełączniki upuszczają oznaczone ramki jako zniekształcone lub gigantyczne, niektóre przełączniki usuwają znaczniki, a niektóre przełączniki po prostu przechodzą przez ramki.

Ron Maupin
źródło
W tej sytuacji nawet przełączniki Cisco traktują oznaczone ramki w różny sposób, w zależności od modelu. Właśnie odnowiłem certyfikat i ta koncepcja stała się wielką rozmową / kłótnią. Okazuje się, że nie ma jednej odpowiedzi, jak stwierdził Ron. Musisz dowiedzieć się od HP lub rozpocząć testowanie. Przydałby się do tego Wireshark.
Fixitrod,