Jeg hører om VLAN-merking, men jeg forstår ikke konseptet helt. Jeg vet at en koffert ikke kan akseptere umerkede pakker uten å konfigurere et innfødt VLAN, og at tilgangsporter bare aksepterer umerkede pakker. Men jeg forstår ikke hvorfor pakker trenger å være merket eller umerket. Hvilket formål tjener det?
Kommentarer
- Ta en titt på denne delen av denne artikkelen .
Svar
Hvis du har mer enn ett VLAN på en port (en «trunkport»), trenger du en måte å fortelle hvilken pakke som tilhører hvilken VLAN i den andre enden. For å gjøre dette «tagger» du en pakke med en VLAN-tag (eller VLAN-header hvis du vil). I virkeligheten settes en VLAN-tag inn i Ethernet-rammen slik:
802.1Q (dot1q, VLAN) tag inneholder en VLAN-ID og andre ting som er forklart i 802.1Q Standard . De første 16 bitene inneholder «Tag Protocol Identifier» (TPID) som er 8100. Dette dobler også som EtherType 0x8100 for enheter som ikke forstår VLAN.
Så en «merket» pakke inneholder VLAN informasjon i Ethernet-rammen mens en «umerket» pakke ikke gjør det. En typisk brukssak vil være hvis du har en port fra en ruter til en bryter som flere kunder er tilknyttet:
I dette eksemplet har kunden «Grønn» VLAN 10 og Kunden «Blå» har VLAN 20. Portene mellom bryter og kunder er «umerket», noe som betyr for kunden at den ankomne pakken bare er en vanlig Ethernet-pakke.
Porten mellom ruteren og bryteren er konfigurert som en koffertport slik at både ruteren og bryteren vet hvilken pakke som tilhører hvilken kunde VLAN. På den porten er Ethernet-rammene merket med 802.1Q-koden.
Kommentarer
- det må være en bedre måte å forklare VLAN-er, Trunkting, Native , Standard osv. For komplette nybegynnere som meg 🙁
- @CompleteNewbie Det er hundrevis av forklaringer på Internett – ikke noe poeng å bare gjenta dem her. Som Mike sier, hvis du har et spesifikt spørsmål om VLAN-er eller trunking, vi ' hjelper deg gjerne.
- Dette er et veldig godt svar. Takk.
- Flott forklaring, jeg don ' t tror jeg har lest en som kort og detaljert samtidig som tydelig angir begrepet merket og umerket.
- @RonTrunk Hvem bedre å forklare vlans enn en fyr som heter “Trunk”!
Svar
Svarene ovenfor er ganske tekniske. Tenk på det dette måte:
Faktisk er VLAN og merking ikke annet enn en logisk separasjon av nettverk i motsetning til et fysisk. t betyr det?
Hvis det ikke var noen VLAN, trenger du en bryter for hver kringkastingsdomene . Tenk deg kabelen som er involvert, og også det potensielle antallet NIC-er som kreves av vertene. Så først lar VLAN deg ha flere uavhengige lag 2-konstruksjoner i samme bryter.
Siden nå kan du ha flere nettverk på hver lenke / port, du må på en eller annen måte kunne skille hvilken pakke som tilhører hvilken Nettverk. Derfor er de merket. Hvis en port bærer mer enn ett VLAN, kalles det vanligvis en koffert . (for n> 1 VLAN, må minst n-1 VLAN merkes, og det kan være ett umerket VLAN, det opprinnelige VLAN)
Generelt må du skille pakker ved portinngang (innkommende «fra kabel «) og utgang (utgående» inn i kabelen «):
Ingress
-
inngang umerket: det er her den innfødte vlan av porten kommer inn. Hvis bryteren har flere VLAN-er konfigurert, må du fortelle bryteren som VLAN en innkommende umerket pakke tilhører;
-
inngang merket: vel, hvis den kommer i merket, så er den merket, og du kan ikke gjøre mye med det. Hvis bryteren ikke vet om merking eller om den nøyaktige VLAN, vil den avvise den, noen ganger må du aktivere en slags inntrengningsfilter. Du kan også tvinge en port til å godta bare umerkede eller merkede pakker.
Egress
-
utgang umerket: for hver port kan du velge ett VLAN med utgående pakker på den porten er ikke merket (f.eks. fordi verten ikke støtter det, eller bare ett VLAN kreves for eksempel for en PC, skriver osv.);
-
utgangstagget: Du må fortelle bryteren hvilke VLAN-er som skal gjøres tilgjengelige på porten, og hvis mer enn én, må alle bortsett fra en være merket uansett.
Hva skjer inne i bryteren
En bryter har en FDB ( F videresending D ata B ase) som
-
i en bryter som ikke er VLAN-kompatibel (noen ganger kalt «ikke-administrert» eller «dum «, …): knytter en vert (MAC-adresse) til en port: FDB er en tabell som består av tupler av to elementer: (MAC, port)
-
i en bryter som er VLAN-kompatibel (noen ganger kalt «administrert» eller «smart», …): tilknytter (VLAN, MAC) tupler til en port: FDB er en tabell som består av tupler med tre elementer: (MAC, port, VLAN).
Den eneste begrensningen her er at en MAC-adresse ikke kan vises i samme VLAN to ganger, selv om den er på forskjellige porter (i det vesentlige erstatter VLAN i VLAN-kompatible brytere forestillingen om port i ikke-VLAN -kapable brytere). Med andre ord:
- Det kan være flere VLAN-er per port (det er derfor det må være tagger på et eller annet tidspunkt).
- Det kan være flere VLAN-er per port og per MAC: den samme MAC-adressen kan vises i forskjellige VLAN-er og i samme port (selv om jeg ikke vil anbefale det for sunnhetsformål).
- Den samme MAC-adressen kan fremdeles ikke vises på samme VLAN, men på forskjellige porter (forskjellige verter som har samme MAC-adresse i samme lag 2-nettverk).
Håper dette fjerner forvirringen litt 😉
Svar
defacto VLAN innkapslingsprotokollen er 802.1Q (dot1.q) . Den mest grunnleggende funksjonen er å beholde VLAN-er på tvers av brytere. Siden VLAN-er har lokal betydning for bryteren, må du tagge en ramme som går til nær-by-brytere for å fortelle dem hvilken logisk gruppering den rammen tilhører.
Svar
Som standard er Native VLAN standard VLAN, en koffertport kan ha flere VLAN-er for å dirigere trafikk til ruteren eller en bryter. VLAN er en lag 2-protokoll og den segmenterer et lag 2-nettverk, de kan bare kommunisere i en lag 3-enhet, for eksempel en ruter eller en lag 3-bryter.
Native VLAN brukes slik at umerkede rammer kan kommunisere uten behov for en ruter. Det er best sikkerhetspraksis å endre standard / native VLAN til et annet VLAN ved hjelp av denne kommandoen: switchport trunk native vlan.
Cisco-svitsjer støtter IEEE 802.1Q innkapsling og ISL.