Miksi ja miten Ethernet Vlans merkitään?

Jos sinulla on useampi kuin yksi VLAN-portti (”runkoportti”), tarvitset jonkin tavan kertoa, mikä paketti johon VLAN-verkkoon kuuluu. Voit tehdä tämän ”merkitsemällä” paketin VLAN-tunnisteella (tai VLAN-otsikolla, jos haluat). Todellisuudessa VLAN-tunniste lisätään Ethernet-kehykseen seuraavasti:

802.1Q (dot1q, VLAN) -tagi sisältää VLAN-ID: n ja muita asioita, jotka on selitetty 802.1Q-standardissa . Ensimmäiset 16 bittiä sisältävät ”Tag Protocol Identifier” (TPID) -arvon, joka on 8100. Tämä toimii myös EtherType 0x8100 -laitteena laitteille, jotka eivät ymmärrä VLAN-verkkoja.

Joten ”tagged” -paketti sisältää VLAN-verkon tiedot Ethernet-kehyksessä, kun ”merkitsemätön” paketti ei. Tyypillinen käyttötapaus olisi, jos sinulla on yksi portti reitittimestä kytkimeen, johon useita asiakkaita on liitetty:

Tässä esimerkissä asiakkaalla ”Green” on VLAN 10 ja asiakkaalla ”Blue” on VLAN 20. Kytkimen ja asiakkaiden väliset portit ovat ”merkitsemättömiä”, mikä tarkoittaa asiakkaalle, että saapuva paketti on vain normaali Ethernet-paketti.

Reitittimen ja kytkimen välinen portti on määritetty runkoportiksi siten, että sekä reititin että kytkin tietävät, mikä paketti kuuluu asiakkaan VLAN-verkkoon. Kyseisessä portissa Ethernet-kehykset on merkitty 802.1Q-tunnisteella.

Kommentit

• on oltava parempi tapa selittää VLAN, Trunkting, Native , Oletus jne. Täydellisille aloittelijoille, kuten minä 🙁
• @CompleteNewbie Internetissä on satoja selityksiä – ei ole mitään syytä vain toistaa niitä täällä. Kuten Mike sanoo, jos sinulla on erityinen kysymys VLAN: t tai kanavat, ' autamme mielellämme.
• Tämä on todella hyvä vastaus. Kiitos.
• Suuri selitys, minä älä ' usko, että olen lukenut yhtä lyhyen ja yksityiskohtaisen samalla selkeästi merkityn ja merkitsemättömän käsitteen.
• @RonTrunk Kuka paremmin selittää vlans kuin kaveri nimeltä ”Trunk”!

Yllä olevat vastaukset ovat melko teknisiä. Ajattele tätä tapa:

Itse asiassa VLAN-verkot ja koodaus ei ole muuta kuin verkkojen looginen erottaminen toisin kuin fyysinen. tarkoittaakö tämä?

Jos VLAN-verkkoja ei olisi, tarvitset yhden kytkimen kutakin lähetystoimialueelle . Kuvittele mukana oleva kaapelointi ja myös isännöillä vaadittu verkkokorttien mahdollinen määrä. Ensinnäkin VLAN-verkkojen avulla sinulla voi olla useita itsenäisiä kerroksen 2 rakenteita samassa kytkimessä.

Koska nyt sinulla voi olla useita verkkoja jokaisessa linkissä / portissa, sinun on jotenkin pystyttävä erottamaan mikä paketti johon verkkoon. Siksi ne merkitään. Jos portilla on useampi kuin yksi VLAN, sitä kutsutaan yleensä myös -rungoksi . (n> 1 VLAN: n kohdalla vähintään n-1 VLAN on merkittävä ja voi olla yksi merkitsemätön VLAN, natiivi VLAN)

Yleensä sinun on erotettava paketit portin sisääntulossa (saapuvat ” kaapeli ”) ja poistu (lähtevä” kaapeliin ”):

Tunkeutuminen

• sisäänpääsy merkitsemätön: tässä natiivi portin vlan tulee sisään. Jos kytkimelle on määritetty useita VLAN-verkkoja, sinun on kerrottava kytkimelle, mihin VLAN-verkkoon saapuva, merkitsemätön paketti kuuluu;

• ingress tagged: no, jos se on merkitty, sitten se on merkitty, etkä voi tehdä siihen paljon. Jos kytkin ei tiedä tunnisteista tai tarkasta VLAN: sta, se hylkää sen, joskus sinun on kuitenkin aktivoitava jonkinlainen sisääntulosuodatin. Voit myös pakottaa portin hyväksymään vain merkitsemättömät tai merkitsemättömät paketit.

Egress

• poistuminen merkitsemättä: jokaiselle portille voit valita yhden VLAN: n, jonka lähtevät paketit kyseisessä portissa ei ole merkitty tunnisteella (esim. koska isäntä ei tue sitä tai vain yksi VLAN tarvitaan esimerkiksi tietokoneelle, tulostimelle jne.);

• lähtönä tagged: You täytyy kertoa kytkimelle, mitkä VLAN-verkot on asetettava saataville portissa, ja jos useampia kuin yksi, kaikki paitsi yksi on merkittävä joka tapauksessa.

Mitä tapahtuu kytkimen sisällä

Kytkimellä on FDB ( F siirtäminen D ata B ase) joka

• kytkimessä, joka ei ole VLAN-yhteensopiva (kutsutaan joskus ”hallitsemattomaksi” tai ”tyhmäksi” ”, …): yhdistää isännän (MAC-osoitteen) porttiin: FDB on taulukko, joka koostuu kahdesta elementistä: (MAC, portti)

• kytkin, joka on VLAN-yhteensopiva (joskus kutsutaan ”hallituksi” tai ”älykkääksi”, …): liittää (VLAN, MAC) sarjat porttiin: FDB on taulukko, joka koostuu kolmen elementin ryhmistä: (MAC, portti, Ainoa rajoitus tässä on, että yksi MAC-osoite ei voi näkyä samassa VLAN-verkossa kahdesti, vaikka eri porteissa (lähinnä VLAN-yhteensopivissa kytkimissä oleva VLAN korvaa portin käsitteen muussa kuin VLAN-verkossa kytkimet). Toisin sanoen:

• VLAN-portteja voi olla useita / portti (minkä vuoksi jossakin vaiheessa on oltava tunnisteita).
• VLAN-verkkoja voi olla useita / portti ja MAC: n kohdalla: sama MAC-osoite voi esiintyä eri VLAN-verkoissa ja samassa portissa (vaikka en suosittelisikaan sitä järkeilyä varten).
• Sama MAC-osoite ei silti voi ei ei näy samassa VLAN-verkossa, mutta eri porteissa (eri isännillä, joilla on sama MAC-osoite samassa kerroksen 2 verkossa).

Toivottavasti tämä poistaa hämmennystä hieman 😉

Defacto VLAN -kapselointiprotokolla on 802.1Q (dot1.q) . Sen perustoiminto on pitää VLAN-verkot kiinni kytkimissä. Koska VLAN-verkot ovat paikallisesti merkityksellisiä kytkimelle, sinun on kehys, joka menee lähellä -vaihtoon, vaihtaa ilmoittaakseen heille, mihin loogiseen ryhmittelyyn kehys kuuluu.

Oletusarvoisesti Native VLAN on oletus VLAN, runkoportti voi kuljettaa useita VLAN-verkkoja liikenteen ohjaamiseksi reitittimeen tai kytkimeen. VLAN on kerroksen 2 protokolla ja se segmentoi kerroksen 2 verkon, ne voivat kommunikoida vain kerroksen 3 laitteessa, kuten reitittimessä tai kerroksen 3 kytkimessä.

Natiivia VLAN-verkkoa käytetään, jotta tunnistamattomat kehykset voivat kommunikoida ilman reititintä. Paras tietoturvakäytäntö on vaihtaa oletus / alkuperäinen VLAN toiseen VLAN-verkkoon tällä komennolla: switchport trunk native vlan.

Cisco-kytkimet tukevat IEEE 802.1Q -kapselointia ja ISL: ää.