Я слышал о маркировке VLAN, но не совсем понимаю эту концепцию. Я знаю, что магистраль не может принимать нетегированные пакеты без настройки собственной сети VLAN, и что порты доступа принимают только нетегированные пакеты. Но я не понимаю, почему пакеты должны быть помечены или не помечены. Какой цели это служит?
Если на одном порту ("магистральный порт") имеется более одной сети VLAN, вам необходимо каким-то образом определить, какой пакет принадлежит к какой сети VLAN на другом конце. Для этого вы "помечаете" пакет меткой VLAN (или заголовком VLAN, если хотите). В действительности метка VLAN вставляется в кадр Ethernet следующим образом:
Метка 802.1Q (dot1q, VLAN) содержит VLAN-ID и другие параметры, описанные в 802.1Q Standard. Первые 16 бит содержат "Идентификатор протокола тега" (TPID), который равен 8100. Это также дублирует EtherType 0x8100 для устройств, которые не понимают VLAN.
Таким образом, "маркированный" пакет содержит информацию VLAN в кадре Ethernet, а "немаркированный" пакет - нет. Типичный случай использования - один порт от маршрутизатора к коммутатору, к которому подключено несколько клиентов:
В этом примере клиент "Green" имеет VLAN 10, а клиент "Blue" - VLAN 20. Порты между коммутатором и клиентами являются "немаркированными", то есть для клиента приходящий пакет является обычным Ethernet-пакетом.
Порт между маршрутизатором и коммутатором настроен как магистральный порт, поэтому и маршрутизатор, и коммутатор знают, какой пакет принадлежит VLAN клиента. На этом порту кадры Ethernet помечаются тегом 802.1Q.
Вышеуказанные ответы являются довольно техническими. Подумайте об этом так:
На самом деле VLAN и тегирование-это не более чем логическое разделение сетей, в отличие от физического. Теперь что это значит?
Если нет VLAN, вы бы нужен один переключатель для каждого широковещательного домена. Представьте себе привязывать сторон, а также потенциальное количество сетевых адаптеров требуются на хозяев. Итак, во-первых, виртуальные локальные сети позволяют вам иметь несколько независимых слоя 2 конструкции в пределах одного коммутатора.
Так как теперь вы можете иметь несколько сетей по каждому каналу/порту, вы должны как-то уметь отличать, в пакет которого принадлежит сеть. Что's, почему они привязаны. Если порт связан более чем с одним влан это's также обычно называют багажник. (для п>1 виртуальные локальные сети, по крайней мере, N-1 виртуальные локальные сети должны быть промаркированы и не может быть один без тегов VLAN, родной влан)
Как правило, вы должны различать пакеты на порт входа (входящие "от кабеля и") и исходящие (исходящие "и в кабель на"):
Попадание
ингресс неразмеченным: это когда родной влан на порт приходит. Если выключатель имеет несколько настроенных виртуальных локальных сетей, вы должны сказать коммутатору, к которой влан входящий пакет немаркированный принадлежит ;
попадания меткой: ну, если речь идет с тегами, то это'с метками, и вы можете'т поделать. Если переключатель не'т знают о метках и о том, что точное влан, он будет отвергать, иногда у вас есть, чтобы активировать какое-то попадание-фильтра. Вы также можете заставить порту принять немаркированный или пакетов только с меткой.
Выход
выход немаркированный: для каждого порта можно выбрать один VLAN, чьи исходящие пакеты на этот порт не помечены (например, потому что хозяин не'т поддерживать, или только один VLAN требуется, например, ПК, принтера и т. д.) ;
выход тегами: вы должны сказать коммутатора VLAN-ов на порту, и если больше чем один, все, кроме одного, должны быть так или иначе отмечены.
Что происходит внутри переключателя
Переключатель имеет ФДБ (Фorwarding ДАтаБASE), который
в выключатель, что является не поддержкой VLAN (иногда называемый "неуправляемый" или "тупой", у, ...): связывание узла (MAC-адрес), порт: БПД-таблица, состоящая из кортежей из двух элементов: (МАК, порт)
в коммутатор, с поддержкой VLAN (иногда называемый "управляемый" или "умные", ...): партнеры (влан МАК) кортежей в порт: гидродинамический таблица состоит из кортежей из трех элементов: (МАК, порт, VLAN).
Единственное ограничение здесь заключается в том, что один MAC-адрес не может находиться в одной VLAN в два раза, даже если на разных портах (по сути VLAN в VLAN-сети-коммутаторов заменяет понятие порт в влан-коммутаторов). Другими словами:
Надеюсь, что это очищает путаницы немного ;-)
Дефакто протоколом инкапсуляции VLAN является 802.1Q (dot1.q). Его основная функция заключается в сохранении VLAN между коммутаторами. Поскольку VLAN являются локально значимыми для коммутатора, вы должны отметить кадр, идущий к соседним коммутаторам, чтобы они знали, к какой логической группе принадлежит этот кадр.
По умолчанию Native VLAN является VLAN по умолчанию, магистральный порт может передавать несколько VLAN для маршрутизации трафика на маршрутизатор или коммутатор. VLAN является протоколом второго уровня и сегментирует сеть второго уровня, они могут взаимодействовать только в устройствах третьего уровня, таких как маршрутизатор или коммутатор третьего уровня.
Native VLAN используется для того, чтобы нетегированные кадры могли обмениваться данными без использования маршрутизатора. Лучшей практикой безопасности является изменение стандартной/родной VLAN на другую VLAN с помощью этой команды: switchport trunk native vlan
Коммутаторы Cisco поддерживают инкапсуляцию IEEE 802.1Q и ISL.