Dlaczego i jak są oznakowane sieci Ethernet Vlans?

80

Słyszę o tagowaniu VLAN, ale nie do końca rozumiem tę koncepcję. Wiem, że łącze nie może zaakceptować nieoznaczonych pakietów bez skonfigurowania natywnej sieci VLAN i że porty dostępu akceptują tylko nieoznaczone pakiety. Ale nie rozumiem, dlaczego pakiety muszą być oznaczone lub nieoznaczone. Do czego to służy?

Vishwanath gowda k
źródło
2
Sprawdź tę sekcję w tym artykule .
Eddie,

Odpowiedzi:

114

Jeśli masz więcej niż jedną sieć VLAN na porcie („port trunk”), potrzebujesz sposobu, aby stwierdzić, który pakiet należy do której sieci VLAN na drugim końcu. W tym celu „tagujesz” pakiet tagiem VLAN (lub nagłówkiem VLAN, jeśli chcesz). W rzeczywistości znacznik VLAN jest wstawiany do ramki Ethernet w następujący sposób:

Nagłówek VLAN

Znacznik 802.1Q (dot1q, VLAN) zawiera identyfikator VLAN-ID i inne rzeczy wyjaśnione w standardzie 802.1Q . Pierwsze 16 bitów zawiera „Tag Protocol Identifier” (TPID), który ma wartość 8100. To również podwaja się jako EtherType 0x8100 dla urządzeń, które nie rozumieją VLAN-ów.

Tak więc „otagowany” pakiet zawiera informacje VLAN w ramce Ethernet, podczas gdy pakiet „nieoznaczony” nie. Typowy przypadek użycia może mieć jeden port od routera do przełącznika, do którego podłączonych jest wielu klientów:

Trunking VLAN

W tym przykładzie klient „zielony” ma sieć VLAN 10, a klient „niebieski” ma sieć VLAN 20. Porty między przełącznikiem a klientami są „nieoznaczone”, co oznacza, że ​​dla klienta nadchodzący pakiet jest zwykłym pakietem Ethernet.

Port między routerem a przełącznikiem jest skonfigurowany jako port trunk, dzięki czemu zarówno router, jak i przełącznik wiedzą, który pakiet należy do sieci VLAN klienta. Na tym porcie ramki Ethernet są oznaczone tagiem 802.1Q.

Sebastian Wiesinger
źródło
6
musi istnieć lepszy sposób na wyjaśnienie sieci VLAN, Trunkting, Native, Default itp. dla kompletnych początkujących, takich jak ja :-(
1
@CompleteNewbie W Internecie istnieją setki wyjaśnień - nie ma sensu ich tutaj powtarzać. Jak mówi Mike, jeśli masz konkretne pytanie dotyczące sieci VLAN lub trunkingu, chętnie pomożemy.
Ron Trunk
To jest naprawdę dobra odpowiedź. Dziękuję Ci.
Fr0ntSight
Świetne wytłumaczenie, nie sądzę, że przeczytałem jedno tak zwięzłe i szczegółowe jednocześnie jasno określające pojęcie oznaczenia i nieoznaczenia.
htm11h
37

Powyższe odpowiedzi są dość techniczne. Pomyśl o tym w ten sposób:

W rzeczywistości sieci VLAN i tagowanie to nic innego jak logiczne oddzielenie sieci w przeciwieństwie do fizycznej. Co to znaczy?

Jeśli nie byłoby sieci VLAN, potrzebny byłby jeden przełącznik dla każdej domeny emisji . Wyobraź sobie okablowanie, a także potencjalną liczbę kart sieciowych wymaganych na hostach. Po pierwsze, sieci VLAN pozwalają na posiadanie wielu niezależnych konstrukcji warstwy 2 w ramach tego samego przełącznika.

Ponieważ teraz możesz mieć wiele sieci na każdym łączu / porcie, musisz w jakiś sposób odróżnić, który pakiet należy do której sieci. Dlatego są oznaczone. Jeśli port przenosi więcej niż jedną sieć VLAN, zwykle nazywany jest także trunking . (w przypadku n> 1 sieci VLAN co najmniej n-1 sieci VLAN musi być oznakowanych i może istnieć jedna nieoznaczona sieć VLAN, natywna sieć VLAN)

Zasadniczo należy rozróżniać pakiety przy wejściu do portu (przychodzące „z kabla”) i wychodzące (wychodzące „z kabla”):

Ingres

  • ingress untagged: tutaj przychodzi natywny vlan portu. Jeśli przełącznik ma skonfigurowanych wiele sieci VLAN, musisz powiedzieć przełącznikowi, do której sieci VLAN należy przychodzący nieoznaczony pakiet;

  • ingress otagowany: cóż, jeśli jest otagowany, to jest otagowany i nie można wiele z tym zrobić. Jeśli przełącznik nie wie o tagowaniu lub o konkretnej sieci VLAN, odrzuci ją, czasami trzeba jednak aktywować jakiś filtr wejściowy. Możesz także zmusić port do akceptowania tylko nieoznaczonych lub oznaczonych pakietów.

Wyjście

  • wyjdź bez znacznika: dla każdego portu możesz wybrać jeden VLAN, którego pakiety wychodzące na tym porcie nie są oznaczone (np. ponieważ host go nie obsługuje lub wymagany jest tylko jeden VLAN, na przykład dla komputera, drukarki itp.);

  • wyjście oznaczone: Musisz powiedzieć przełącznikowi, które sieci VLAN mają być dostępne na porcie, a jeśli więcej niż jeden, wszystkie oprócz jednego muszą być oznaczone.

Co dzieje się w przełączniku

Przełącznik ma (FDB F orwarding D ATA B ASE), który

  • w przełączniku, który nie obsługuje VLAN (czasami nazywany „niezarządzanym” lub „głupim”, ...): kojarzy host (adres MAC) z portem: FDB jest tabelą składającą się z krotek dwóch elementów: (MAC, Port)

  • w przełączniku obsługującym VLAN (czasami nazywanym „zarządzanym” lub „inteligentnym”, ...): kojarzy krotki (VLAN, MAC) z portem: FDB jest tabelą złożoną z krotek trzech elementów: (MAC, port , VLAN).

    Jedynym ograniczeniem jest tutaj to, że jeden adres MAC nie może pojawić się dwukrotnie w tej samej sieci VLAN, nawet jeśli znajduje się na różnych portach (zasadniczo sieć VLAN w przełącznikach obsługujących VLAN zastępuje pojęcie portu w przełącznikach nieobsługujących VLAN). Innymi słowy:

  • Na port może znajdować się wiele sieci VLAN (dlatego w pewnym momencie muszą być tagi).
  • Może istnieć wiele sieci VLAN na port i na MAC: ten sam adres MAC może pojawiać się w różnych sieciach VLAN i na tym samym porcie (chociaż nie zalecałbym tego ze względów bezpieczeństwa).
  • Ten sam adres MAC nadal nie może pojawiać się na tej samej sieci VLAN, ale na różnych portach (różne hosty mające ten sam adres MAC w tej samej sieci warstwy 2).

Mam nadzieję, że to trochę rozwiąże problem ;-)

Marki
źródło
8

Protokół enkapsulacji VLAN defacto to 802.1Q (dot1.q) . Jego najbardziej podstawową funkcją jest zachowanie sieci VLAN między przełącznikami. Ponieważ sieci VLAN są lokalnie istotne dla przełącznika, musisz oznaczyć ramkę przechodzącą do przełączników w pobliżu, aby poinformować ich, do jakiego logicznego grupowania należy ta ramka.

Ryan Foley
źródło
2

Domyślnie macierzysta sieć VLAN jest domyślną siecią VLAN, port trunk może przenosić wiele sieci VLAN w celu kierowania ruchu do routera lub przełącznika. VLAN jest protokołem warstwy 2 i dzieli segmenty sieci warstwy 2, mogą komunikować się tylko w urządzeniu warstwy 3, takim jak router lub przełącznik warstwy 3.

Używana jest natywna sieć VLAN, dzięki czemu nieoznakowane ramki mogą się komunikować bez potrzeby routera. Najlepszą praktyką bezpieczeństwa jest zmiana domyślnej / rodzimej sieci VLAN na inną sieć VLAN za pomocą tego polecenia: switchport trunk native vlan.

Przełączniki Cisco obsługują enkapsulację IEEE 802.1Q i ISL.

Chris
źródło