Dlaczego i jak są oznaczane sieci Ethernet Vlany?

Jeśli masz więcej niż jedną sieć VLAN na porcie („port trunk”), potrzebujesz sposobu, aby określić, który pakiet należy do której sieci VLAN na drugim końcu. Aby to zrobić, „tagujesz” pakiet znacznikiem VLAN (lub nagłówkiem VLAN, jeśli chcesz). W rzeczywistości znacznik VLAN jest wstawiany do ramki Ethernet w następujący sposób:

802.1Q (dot1q, VLAN) zawiera identyfikator VLAN-ID i inne rzeczy wyjaśnione w standardzie 802.1Q . Pierwsze 16 bitów zawiera „Identyfikator protokołu tagu” (TPID), który jest równy 8100. To również podwaja się jako EtherType 0x8100 dla urządzeń, które nie rozumieją sieci VLAN.

Tak więc pakiet „oznaczony” zawiera VLAN informacje w ramce Ethernet, podczas gdy pakiet „nieoznakowany” nie. Typowym przypadkiem użycia jest jeden port od routera do przełącznika, do którego jest podłączonych wielu klientów:

W tym przykładzie klient „zielony” ma sieć VLAN 10, a klient „niebieski” ma sieć VLAN 20. Porty między przełącznikiem a klientami są „nieoznakowane”, co oznacza, że dla klienta przychodzący pakiet to zwykły pakiet Ethernet.

Port między routerem a przełącznikiem jest skonfigurowany jako port trunk, dzięki czemu zarówno router, jak i przełącznik wiedzą, który pakiet należy do której sieci VLAN klienta. Na tym porcie ramki Ethernet są oznaczone tagiem 802.1Q.

Komentarze

• musi istnieć lepszy sposób wyjaśnienia sieci VLAN, Trunkting, Native , Default, itp. Dla zupełnie początkujących, takich jak ja 🙁
• @CompleteNewbie W Internecie są setki wyjaśnień – nie ma sensu ich tutaj powtarzać. Jak mówi Mike, jeśli masz konkretne pytanie dotyczące Sieci VLAN lub trunking, ' chętnie pomożemy.
• To naprawdę dobra odpowiedź. Dziękuję.
• Świetne wyjaśnienie, ja don ' nie wydaje mi się, że przeczytałem jeden tak zwięzły i szczegółowy, a jednocześnie jasno określający koncepcję oznaczonych i nieoznaczonych.
• @RonTrunk Kto lepiej wyjaśni vlany niż facet o imieniu „Trunk”!

Powyższe odpowiedzi są dość techniczne. Pomyśl o tym sposób:

W rzeczywistości sieci VLAN i tagowanie to nic innego jak logiczna separacja sieci w przeciwieństwie do fizycznej. Czy to oznacza?

Gdyby nie było sieci VLAN, potrzebny byłby jeden przełącznik dla każdej domeny rozgłoszeniowej . Wyobraź sobie wymagane okablowanie, a także potencjalną liczbę kart sieciowych wymaganych na hostach. Po pierwsze, sieci VLAN pozwalają na posiadanie wielu niezależnych konstrukcji warstwy 2 w tym samym przełączniku.

Ponieważ teraz możesz mieć wiele sieci na każdym łączu / porcie, musisz w jakiś sposób móc rozróżnić, który pakiet należy do którego sieć. Dlatego są one oznaczone. Jeśli port obsługuje więcej niż jedną sieć VLAN, jest zwykle nazywany także linią miejską . (dla n> 1 sieci VLAN, co najmniej n-1 sieci VLAN musi być oznakowanych i może istnieć jedna nieotagowana sieć VLAN, natywna sieć VLAN)

Generalnie musisz rozróżniać pakiety na wejściu portu (przychodzące „z cable ”) i wyjście (wychodzące„ do kabla ”):

Ingress

• ingress unsagged: tutaj natywny vlan portu przychodzi. Jeśli przełącznik ma skonfigurowanych wiele sieci VLAN, musisz powiedzieć przełącznikowi, do której sieci VLAN należy przychodzący nieoznakowany pakiet;

• znacznik wejściowy: cóż, jeśli przychodzi otagowany, potem jest otagowany i niewiele można z tym zrobić. Jeśli przełącznik nie wie o tagowaniu ani o tej dokładnej sieci VLAN, odrzuci go, ale czasami trzeba aktywować jakiś rodzaj filtru wejściowego. Możesz także zmusić port do akceptowania tylko nieoznakowanych lub oznaczonych pakietów.

Egress

• wyjście bez tagów: dla każdego portu można wybrać jedną sieć VLAN, której pakiety wychodzące na tym porcie nie są oznakowane (np. ponieważ host ich nie obsługuje lub wymagana jest tylko jedna sieć VLAN, na przykład dla komputera PC, drukarki itp.);

• Oznakowane wyjście: Ty trzeba powiedzieć przełącznikowi, które sieci VLAN mają być dostępne na porcie, a jeśli jest ich więcej, wszystkie z wyjątkiem jednej i tak muszą zostać oznaczone.

Co dzieje się wewnątrz przełącznika

Przełącznik ma FDB ( F orwarding D ata B ase), które

• w przełączniku, który nie obsługuje sieci VLAN (czasami nazywany „niezarządzanym” lub „głupi „, …): kojarzy hosta (adres MAC) z portem: FDB jest tabelą złożoną z krotek dwóch elementów: (MAC, port)

• w przełącznik obsługujący sieci VLAN (czasami nazywany „zarządzanym” lub „inteligentnym”, …): skojarzone (VLAN, MAC) krotki z portem: FDB jest tabelą złożoną z krotek trzech elementów: (MAC, port, VLAN).

  Jedynym ograniczeniem jest tutaj to, że jeden adres MAC nie może pojawić się dwukrotnie w tej samej sieci VLAN, nawet jeśli na różnych portach (zasadniczo VLAN w przełącznikach obsługujących VLAN zastępuje pojęcie portu w innych niż VLAN -kompatybilne przełączniki). Innymi słowy:

• Może istnieć wiele sieci VLAN na port (dlatego w pewnym momencie muszą istnieć tagi).
• Na jednym porcie może być wiele sieci VLAN i na MAC: ten sam adres MAC może pojawić się w różnych sieciach VLAN i na tym samym porcie (chociaż nie polecam tego ze względów rozsądnych).
• Ten sam adres MAC nadal może nie pojawiają się w tej samej sieci VLAN, ale na różnych portach (różne hosty mają ten sam adres MAC w tej samej sieci warstwy 2).

Mam nadzieję, że to trochę rozwiąże zamieszanie 😉

Protokół enkapsulacji sieci VLAN defacto to 802.1Q (dot1.q) . Jego najbardziej podstawową funkcją jest zachowanie sieci VLAN między przełącznikami. Ponieważ sieci VLAN są lokalnie ważne dla przełącznika, należy dodać tag ramka przechodząca w pobliskie przełączniki, aby poinformować ich, do jakiej logicznej grupy należy ta ramka.

Domyślnie natywna sieć VLAN jest domyślną siecią VLAN, port trunk może przenosić wiele sieci VLAN w celu kierowania ruchu do routera lub przełącznika. VLAN jest protokołem warstwy 2 i segmentuje sieć warstwy 2, mogą komunikować się tylko w urządzeniu warstwy 3, takim jak router lub przełącznik warstwy 3.

Natywna sieć VLAN jest używana, aby ramki nieoznakowane mogły komunikować się bez konieczności korzystania z routera. Najlepszą praktyką w zakresie bezpieczeństwa jest zmiana domyślnej / natywnej sieci VLAN na inną sieć VLAN za pomocą tego polecenia: switchport trunk native vlan.

Przełączniki Cisco obsługują enkapsulację IEEE 802.1Q i ISL.