Slyšel jsem o značení VLAN, ale tomuto konceptu úplně nerozumím. Vím, že kmen nemůže přijímat neoznačené pakety bez konfigurace nativní VLAN a že přístupové porty přijímají pouze neoznačené pakety. Nechápu však, proč je třeba označovat nebo neoznačovat pakety. Jakému účelu slouží?
Komentáře
- Podívejte se na tuto část tento článek .
Odpověď
Pokud máte na portu více než jednu VLAN („hlavní port“), budete potřebovat nějaký způsob, jak zjistit, který paket patří ke které VLAN na druhém konci. Za tímto účelem „označujete“ paket značkou VLAN (nebo záhlaví VLAN, pokud chcete). Ve skutečnosti je značka VLAN vložena do ethernetového rámečku takto:
802.1Q (dot1q, VLAN) Značka obsahuje VLAN-ID a další věci vysvětlené ve standardu 802.1Q . Prvních 16 bitů obsahuje „Tag Protocol Identifier“ (TPID), což je 8100. To také funguje jako EtherType 0x8100 pro zařízení, která nerozumí VLAN.
Takže „označený“ paket obsahuje VLAN informace v ethernetovém rámci, zatímco „neoznačený“ paket t. Typickým případem použití je, pokud máte jeden port ze směrovače k přepínači, ke kterému je připojeno více zákazníků:
V tomto příkladu má zákazník „Green“ VLAN 10 a zákazník „Blue“ VLAN 20. Porty mezi přepínačem a zákazníky jsou „neoznačené“, což znamená, že pro zákazníka je přicházející paket pouze běžným ethernetovým paketem.
Port mezi směrovačem a přepínačem je nakonfigurován jako hlavní port, aby směrovač i přepínač věděli, který paket patří které zákaznické síti VLAN. Na tomto portu jsou ethernetové rámce označeny značkou 802.1Q.
Komentáře
- musí existovat lepší způsob, jak vysvětlit VLAN, Trunkting, Native „Výchozí atd. Pro úplné nováčky, jako jsem já 🙁
- @CompleteNewbie Na internetu existují stovky vysvětlení – nemá smysl je zde jen opakovat. Jak říká Mike, pokud máte konkrétní otázku ohledně VLAN nebo vedení, ' rádi vám pomůžeme.
- Toto je opravdu dobrá odpověď. Děkuji.
- Skvělé vysvětlení, já don ' si nemyslím, že jsem jeden přečetl jako stručný a podrobný zároveň s jasným uvedením pojmu označeného a neoznačeného.
- @RonTrunk Kdo by lépe vysvětlil vlan než člověk jménem „Kufr“!
Odpověď
Výše uvedené odpovědi jsou zcela technické. Přemýšlejte o tom způsobem:
Ve skutečnosti nejsou VLAN a označování nic jiného než logické oddělení sítí na rozdíl od fyzických. Nyní wha Znamená to?
Pokud by neexistovaly žádné VLAN, potřebujete jeden přepínač pro každou vysílací doménu . Představte si zapojenou kabeláž a také potenciální počet NIC požadovaných u hostitelů. Nejprve tedy VLAN umožňují mít ve stejném přepínači několik nezávislých konstruktů vrstvy 2.
Protože nyní můžete mít na každém odkazu / portu více sítí, musíte nějak rozlišit, ke kterému paketu patří síť. Proto jsou označeni. Pokud port nese více než jednu VLAN, obvykle se také nazývá kufr . (pro n> 1 VLAN musí být označeno alespoň n-1 VLAN a může existovat jedna neoznačená VLAN, nativní VLAN)
Obecně musíte rozlišovat pakety při příchozím portu (příchozí „od cable „) and egress (outgoing“ into the cable „):
Ingress
-
ingress unagged: this is where the native přijde vlan portu. Pokud má přepínač nakonfigurováno více VLAN, musíte přepínači říct, ke které VLAN patří příchozí neoznačený paket;
-
příchozí tagged: no, if přichází ve značce, potom je označená a vy s tím nemůžete mnoho dělat. Pokud přepínač neví o značkování ani o přesné VLAN, odmítne jej, někdy však musíte aktivovat nějaký druh filtru příchozího přenosu. Můžete také vynutit, aby port přijímal pouze neoznačené nebo označené tagy.
Egress
-
výstup neoznačený: pro každý port můžete vybrat jednu VLAN, jejíž odchozí pakety na daném portu nejsou označeny (např. protože hostitel to nepodporuje, nebo je vyžadována pouze jedna VLAN, například pro PC, tiskárnu atd.);
-
výstup označený: Vy musíte přepínači sdělit, které sítě VLAN mají být na portu k dispozici, a pokud je jich více, musí být stejně označeny všechny kromě jedné.
Co se děje uvnitř přepínače
Přepínač má FDB ( F orwarding D ata B ase), které
-
v přepínači, který není schopen VLAN (někdy se mu říká „nespravovaný“ nebo „němý“) „, …): přidruží hostitele (adresu MAC) k portu: FDB je tabulka složená z n-tic dvou prvků: (MAC, port)
-
v přepínač, který podporuje VLAN (někdy nazývaný „spravovaný“ nebo „inteligentní“, …): sdružuje (VLAN, MAC) n-tice na port: FDB je tabulka složená z n-tic tří prvků: (MAC, port, VLAN).
Jediným omezením je, že jedna MAC adresa se nemůže objevit ve stejné VLAN dvakrát, i když na různých portech (v podstatě VLAN v přepínačích podporujících VLAN nahrazuje pojem port v non-VLAN přepínače). Jinými slovy:
- Na jeden port může existovat více sítí VLAN (proto v určitém okamžiku musí existovat značky).
- Na každém portu může být více sítí VLAN a na MAC: stejná MAC adresa se může objevit v různých VLAN a na stejném portu (i když to nedoporučuji z důvodu rozumu).
- Stejná MAC adresa stále může not se objevují na stejné VLAN, ale na různých portech (různí hostitelé se stejnou MAC adresou ve stejné síti vrstvy 2).
Doufám, že to trochu odstraní zmatek 😉
Odpovědět
Protokol zapouzdření defacto VLAN je 802.1Q (dot1.q) . Jeho nejzákladnější funkcí je zachování sítí VLAN mezi přepínači. Protože sítě VLAN mají pro přepínač místní význam, musíte označit rámec přecházející do vedlejších přepínačů, aby věděli, do jaké logické skupiny daný rámec patří.
Odpovědět
Ve výchozím nastavení je nativní VLAN výchozí VLAN, hlavní port může nést více VLAN pro směrování provozu na router nebo přepínač. VLAN je protokol vrstvy 2 a segmentuje síť vrstvy 2, mohou komunikovat pouze v zařízení vrstvy 3, jako je směrovač nebo přepínač vrstvy 3.
Používá se nativní VLAN, takže neoznačené rámce mohou komunikovat bez potřeby routeru. Nejlepším bezpečnostním postupem je změnit výchozí / nativní VLAN na jinou VLAN pomocí tohoto příkazu: switchport trunk native vlan.
Přepínače Cisco podporují zapouzdření IEEE 802.1Q a ISL.