Почему и как отмечены теги Ethernet Vlans?

Я слышал о тегах VLAN, но я не совсем понимаю концепцию. Я знаю, что соединительная линия не может принимать непомеченные пакеты без настройки собственной VLAN, и что порты доступа принимают только непомеченные пакеты. Но я не понимаю, почему пакеты должны быть помечены или немаркированы. Какую цель он выполняет?

61 голос | спросил Vishwanath gowda k 25 FebruaryEurope/MoscowbTue, 25 Feb 2014 13:07:51 +0400000000pmTue, 25 Feb 2014 13:07:51 +040014 2014, 13:07:51

4 ответа


89

Если у вас несколько портов VLAN на порту («порт для внешних линий»), вам нужно каким-то образом определить, какой пакет принадлежит той VLAN на другом конце. Для этого вы «помечаете» пакет тегом VLAN (или заголовком VLAN, если хотите). В действительности тег VLAN вставлен в кадр Ethernet следующим образом:

Заголовок VLAN

Тег 802.1Q (dot1q, VLAN) содержит идентификатор VLAN и другие вещи, описанные в Стандарт 802.1Q . Первые 16 бит содержат «Идентификатор протокола тегов» (TPID), который равен 8100. Это также удваивается как EtherType 0x8100 для устройств, которые не понимают VLAN.

Таким образом, «помеченный» пакет содержит информацию VLAN в кадре Ethernet, а «немаркированный» пакет - нет. Типичным примером использования может быть, если у вас есть один порт от маршрутизатора к коммутатору, к которому подключены несколько клиентов:

VLAN Trunking

В этом примере клиент «Зеленый» имеет VLAN 10, а клиент «Синий» имеет VLAN 20. Порты между коммутатором и клиентами «немаркированы», что означает, что прибывающий пакет является обычным Ethernet-пакетом.

Порт между маршрутизатором и коммутатором настроен как порт соединительной линии, так что оба маршрутизатора и коммутатора знают, какой пакет принадлежит той клиентской VLAN. На этом порту кадры Ethernet помечены тегом 802.1Q.

ответил Sebastian 25 FebruaryEurope/MoscowbTue, 25 Feb 2014 14:28:31 +0400000000pmTue, 25 Feb 2014 14:28:31 +040014 2014, 14:28:31
22

Вышеупомянутые ответы носят весьма технический характер. Подумайте об этом так:

Фактически VLAN и тегирование представляют собой не что иное, как логическое разделение сетей в отличие от физического. Что это значит?

Если сетей VLAN не было, вам понадобится один коммутатор для каждого широковещательного домена . Представьте, что задействованы кабели, а также потенциальное количество сетевых адаптеров, требуемых для хостов. Итак, во-первых, VLAN позволяют вам иметь несколько независимых конструкций уровня 2 внутри одного и того же коммутатора.

Теперь вы можете иметь несколько сетей на каждой ссылке /порту, которые вы должны каким-то образом различать, какой пакет принадлежит какой сети. Вот почему они помечены. Если порт содержит более одной VLAN, его обычно называют trunk . (для n> 1 VLAN необходимо пометить не менее n-1 VLAN, и может быть одна немаркированная VLAN, собственная VLAN)

Как правило, вы должны различать пакеты при входе в порт (входящие «из кабеля») и исходящие (исходящие «в кабель»):

Ingress

  • Входящие немаркированные: вот где входит родной vlan порта. Если у коммутатора установлено несколько VLAN, вы должны указать коммутатору, к которому принадлежит VLAN входящий непомеченный пакет,

  • enterged tagged: ну, если он входит в tagged, то он помечен, и вы не можете много сделать. Если коммутатор не знает о пометке или об этой точной VLAN, он отклонит его, иногда вам нужно активировать какой-либо фильтр-вход. Вы также можете заставить порт принимать немаркированные или помеченные пакеты.

Выхода

  • выход без тегов: для каждого порта вы можете выбрать одну VLAN, чьи исходящие пакеты на этом порту не помечены (например, потому что хост не поддерживает ее, или требуется только одна VLAN, например, для ПК, принтера и т. д.);

  • Отметить тег: вы должны сообщить коммутатору, какие VLAN должны быть доступны на порту, и если их несколько, все равно нужно пометить все.

Что происходит внутри коммутатора

У коммутатора есть FDB ( F orwarding D ata B ase), который

  • в коммутаторе, который не поддерживает VLAN (иногда называемый «неуправляемым» или «немым», ...): связывает хост (MAC-адрес) с портом: FDB представляет собой таблицу, состоящую из кортежей два элемента: (MAC, порт)

  • в коммутаторе, который поддерживает VLAN (иногда называемый «управляемый» или «умный», ...): ассоциирует (VLAN, MAC) кортежи с портом: FDB представляет собой таблицу, состоящую из кортежей из трех элементов: ( MAC, порт, VLAN).

    Единственное ограничение здесь состоит в том, что один MAC-адрес не может отображаться в одной и той же VLAN дважды, даже если на разных портах (по существу, VLAN в VLAN-совместимых коммутаторах заменяет понятие порта в коммутаторах, не поддерживающих VLAN). Другими словами:

  • На каждый порт может быть несколько VLAN (поэтому в какой-то момент должны быть теги).
  • На каждый порт и на каждый MAC-адрес может быть несколько VLAN: один и тот же MAC-адрес может отображаться в разных VLAN и на одном и том же порту (хотя я бы не рекомендовал это для разумных целей).
  • Тот же MAC-адрес по-прежнему может не отображаться в той же VLAN, но на разных портах (разные хосты, имеющие один и тот же MAC-адрес в той же сети уровня 2).

Надеюсь, это немного облегчит путаницу; -)

ответил Marki 30 J000000Wednesday14 2014, 13:36:18
8

Протокол инкапсуляции defacto VLAN 802.1Q (dot1.q) . Его основная функция - сохранить VLAN между коммутаторами. Поскольку VLAN локально значимы для коммутатора, вы должны тег кадр, идущий к ближайшим коммутаторам, чтобы сообщить им, к какой логической группировке принадлежит этот кадр.

ответил Ryan Foley 25 FebruaryEurope/MoscowbTue, 25 Feb 2014 13:44:24 +0400000000pmTue, 25 Feb 2014 13:44:24 +040014 2014, 13:44:24
1

По умолчанию VLAN VLAN является VLAN по умолчанию, порт внешней линии может переносить несколько VLAN для маршрутизации трафика на маршрутизатор или коммутатор. VLAN - это протокол уровня 2, и он сегментирует сеть уровня 2, они могут взаимодействовать только на устройстве уровня 3, таком как маршрутизатор или коммутатор уровня 3.

Используется Native VLAN, поэтому немаркированные кадры могут взаимодействовать без необходимости использования маршрутизатора. Лучшей практикой в ​​области безопасности является изменение по умолчанию /родной VLAN на другую VLAN с помощью этой команды: родной VLAN коммутатора.

Коммутаторы Cisco поддерживают инкапсуляцию IEEE 802.1Q и ISL.

ответил chris 25 FebruaryEurope/MoscowbTue, 25 Feb 2014 15:18:49 +0400000000pmTue, 25 Feb 2014 15:18:49 +040014 2014, 15:18:49

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132