Понимание VLAN-обработки пакетов - PullRequest
Новая
       17

Понимание VLAN-обработки пакетов

5 голосов
/ 22 декабря 2011

Привет всем, я пытаюсь понять поведение vlan на помеченных и нетегированных пакетах. Я сталкивался с этим утверждением, которое звучит довольно странно для меня 

When a tagged packet enters a port, the default VLAN ID setting has no effect on the tag.


 1. The packet proceeds to the VLAN specified by its VLAN ID tag number.

 2. If the port in which the packet entered does not belong to the VLAN
    specified by the packet’s VLAN ID tag, the system drops the packet.


 3. If the port belongs to the VLAN specified by the packet’s VLAN ID,
    the system can send the packet to other ports with the same VLAN ID.

Я так запутался во всех этих утверждениях. Какэти три отличаются.Они противоречат друг другу тому, что пакет / порт относится к определенному идентификатору vlan, поскольку порт может иметь только один идентификатор vlan

Ответы [ 5 ]

25 голосов
/ 25 декабря 2011

Обзор

Я воздерживался от ответа на этот вопрос, поскольку думал, что он будет перенесен на Ошибка сервера ;так как это задерживается здесь, я рассмотрю специфику вашего вопроса.Также трудно полностью ответить без дополнительного контекста того, почему автор делал эти замечания, но я постараюсь ответить как можно лучше.Я не уверен, почему я потратил так много времени, отвечая на этот вопрос, за исключением того, что это Рождество, и моя жена находится за границей в гостях у своей семьи ...

Диаграмма

Я думаю, что концепциилучше всего иллюстрировать то, что называется многоуровневым коммутатором, который является просто коммутатором Ethernet, который также понимает IP-адреса.Я нарисовал диаграмму для иллюстрации:

  • Коммутатор имеет четыре физических интерфейса: пронумерованный порт 1/1, порт 1/2, порт 1/3 и порт 1/4
  • .Коммутатор имеет один виртуальный интерфейс, Vlan12.Виртуальный интерфейс имеет локальный mac-адрес и назначенный ему IP-адрес.
  • Предполагается, что три кадра Ethernet входят в порт 1/1
  • Порт 1/1 настроен на прием тегов Vlan12 и 13. Порт 1/1 также имеет по умолчанию Vlan 1;это означает, что любые непомеченные кадры помещаются в Vlan 1.
  • Первая точка принятия решения, которую использует коммутатор Ethernet, - это определение того, к какому Vlan принадлежит фрейм.
  • Далее коммутатор Ethernet просматривает свою базу данныхMac-адреса Ethernet, которые ему известны

Switch with Ethernet Vlans

Ответы

Я так запутался во всех этих утверждениях. Чем эти три отличаются.Они противоречат друг другу тому, что пакет / порт относится к определенному идентификатору vlan, поскольку порт может иметь только один идентификатор vlan

На самом деле это зависит от типа обсуждаемого порта.Автор очень четко описывает, что происходит на порте коммутатора Ethernet в режиме транк .

  • Порты режима транка Ethernet может процессчем один идентификатор Vlan, если они находятся в режиме транка (см. порт 1/1 на схеме).Порт 1/1 может принимать кадры Ethernet с либо Vlan 12 или Vlan 13;однако эти кадры должны иметь тег 802.1q , поэтому коммутатор знает, к какому Vlan они принадлежат
  • Порты режима доступа Ethernet имеютназначен только один Vlan.

Для адресации точек в кавычках из текста ...

Когда пакет с тегами входит в порт, настройка VLAN ID по умолчанию не имеетвлияние на тег.

1. Пакет переходит к VLAN, указанной его номером тега VLAN ID.

Это лучше всего иллюстрируется тем, что может случиться с Кадр A.

Даже если порт 1/1 имеет Vlan по умолчанию (Vlan 1), кадр A остается назначенным для Vlan 12. Таким образом, он может выходить из порта 1/2, 1/3 или идти напрямую.к виртуальному интерфейсу Vlan12:

  • Если кадр A выходит из порта 1/2, тег 802.1q (12), отправленный в порт 1/1 , остается в кадре A, поскольку порт 1/2 находится в режиме транка
  • Если кадр A выходит из порта 1/3, тег 802.1q (12) отправляется в порт 1/1 яs удалены из кадра A, поскольку порт 1/3 находится в режиме доступа
  • Если кадр A доставляется в виртуальный интерфейс Vlan12 (если Mac-адрес назначения кадра A равен 000a.dead.beef), коммутатор не нужно пересылать кадр куда-либо еще .Обычно причина, по которой вы видите кадр Ethernet, адресованный виртуальному интерфейсу на коммутаторе, заключается в целях управления, таких как telnet, ssh или snmp.Есть и другие причины, но давайте пока не будем усложнять ситуацию.

... 2. Если порт, в который введен пакет, не принадлежит VLAN, указанной в пакетеТег VLAN ID, система отбрасывает пакет.

Это лучше всего иллюстрируется тем, что происходит с Кадр B .

* 1.105 * Порт 1/1 не настроен на прием Vlan ID 20, поэтому, когда коммутатор видит «20» в теге 802.1q , кадр B отбрасывается .

... 3. Если порт принадлежит VLAN, указанной в идентификаторе VLAN пакета, система может отправить пакет на другие порты с тем же идентификатором VLAN.

Это снова относится к Кадр A ; в этом случае автор описывает, что может произойти, если коммутатор не доставляет кадр A в виртуальный интерфейс Vlan12.

Наконец я включил Рамка C для справки. Это иллюстрирует поведение Vlan по умолчанию на порте магистральной сети Ethernet.

Счастливого Рождества и удачи в учебе.

2 голосов
/ 10 февраля 2015

Когда пакет с тегами входит в порт, настройка идентификатора VLAN по умолчанию не влияет на тег . означает, что когда пакет входит в какой-либо коммутатор с присвоенным ему некоторым идентификатором VLAN.. он продолжит движение внутри коммутатора с тем же идентификатором vlan.Если пакет не имеет идентификатора vlan, то для пакета будет назначен идентификатор vlan по умолчанию, который обычно равен 1.

1.Пакет переходит к VLAN, указанной его номером тега VLAN ID.

, поскольку пакету назначен идентификатор vlan, он будет продолжаться с тем же идентификатором vlan.

2.Если порт, в который введен пакет, не принадлежит VLAN, указанной в теге VLAN ID пакета, система отбрасывает пакет. пакет будет входить в какой-либо порт, определяемый коммутатором, на основе IP-адреса назначения в пакетезаголовок и таблица маршрутизации внутри коммутатора.Если у этого порта нет разрешений на передачу пакетов с идентификатором vlan этого конкретного пакета, то порт отбросит пакет.

3.Если порт принадлежит VLAN, указанной в идентификаторе VLAN пакета, система может отправить пакет на другие порты с тем же идентификатором VLAN. В противном случае, если порт имеет разрешения на передачу пакетов с этим конкретным идентификатором vlan, тогдаон будет передавать пакет вперед.

Этот же критерий будет выполняться при каждом переключении, с которым он сталкивается, до тех пор, пока пакет не достигнет своего пункта назначения.

2 голосов
/ 25 декабря 2011

Давайте сделаем шаг назад и просто посмотрим на концепцию здесь.

Если у вас просто «тупой» коммутатор, он имеет только одну VLAN, и эта VLAN «немаркирована». Это означает, что каждый пакет имеет «нормальный» заголовок Ethernet, который не включает тег 802.1q .

Если вы хотите мультиплексировать более одной сети на одном физическом носителе, у коммутатора должен быть какой-то способ отделить сети друг от друга. Это делается с помощью тега VLAN. Давайте представим, что у вас есть два коммутатора, подключенных друг к другу, и у вас есть три VLAN, 100, 200 и 300.

Представьте, что два коммутатора подключены друг к другу только одним кабелем к порту A на каждом коммутаторе. Вы должны настроить порт A на каждом коммутаторе для приема и пересылки трафика с тегами на эти три VLAN. Затем вы должны настроить порты, которые вы хотите использовать в VLAN 100, 200 и 300, в качестве VLAN по умолчанию для этого порта на каждом порту, доступном для конечных пользователей.

В заключение несколько важных моментов:

  • Теги VLAN используются для мультиплексирования нескольких сетей логического уровня 2 по одному физическому каналу
  • Теги VLAN обычно используются между устройствами инфраструктуры (и, возможно, серверами) и не видны в сетях конечных пользователей
  • Коммутатор обычно настраивается таким образом, чтобы при переключении пакета соответствующий тег добавлялся по мере прохождения пакета через сетевую инфраструктуру и затем удалялся до того, как устройство конечного пользователя снова увидит пакет.

Трудно объяснить. Надеюсь, это поможет.

1 голос
/ 12 сентября 2015

оба кадра B и C будут отброшены.Если нативный vlan не разрешен в транке, то немаркированный фрейм не сможет перемещаться

0 голосов
/ 22 декабря 2011

Тег VLAN является частью заголовка пакетной ссылки (на втором уровне ISO / OSI).

У вас есть две возможности настройки порта:

1) Порт принадлежитVLAN (режим доступа).

Это предполагает два поведения:

a) Внутри коммутатора каждый порт имеет свой собственный идентификатор VLAN (по умолчанию обычно используется VLAN 1).Каждый порт в этом режиме отклоняет входящие тегированные кадры 802.1q и автоматически назначает нетегированные кадры идентификатору VLAN этого порта.

b) Если кадр входит в порт, связанный с этим режимом, и выходит из магистрального порта (ниже), кадр будет помечен заголовком 802.1q с соответствующим идентификатором VLAN, связанным с входным портом.

Как вы можете видеть, когда вы устанавливаете половину портов на коммутаторе к VLAN5 и половину кVLAN2, вы разделите коммутатор на две части, и у вас будет два виртуальных коммутатора.

2) Порт является 'транковым портом'

Через этот порт проходят пакеты без изменений на другой коммутатор.или ПК, который может работать с помеченными пакетами.На некоторых коммутаторах вы можете использовать фильтр, где вы можете указать, какая VLAN (или номер тега VLAN) может проходить через этот порт.Но этот порт не изменяет теги VLAN.

В этом случае пакеты вне коммутатора идут точно с теми же тегами, что и внутри коммутатора.

...