Perché e come vengono etichettati Ethernet Vlans?

Ho sentito parlare del tagging VLAN, ma non capisco bene il concetto. So che un trunk non può accettare pacchetti senza tag senza configurare una VLAN nativa e che le porte di accesso accettano solo pacchetti senza tag. Ma non capisco perché i pacchetti debbano essere taggati o non taggati. A quale scopo serve?

Se si dispone di più di una VLAN su una porta (una "porta trunk"), è necessario un modo per stabilire quale pacchetto appartiene a quale VLAN all'altra estremità. Per fare questo, stai "taggando" un pacchetto con un tag VLAN (o intestazione VLAN, se lo desideri). In realtà un tag VLAN è inserito nel frame Ethernet in questo modo:

Il tag 802.1Q (dot1q, VLAN) contiene un ID VLAN e altre cose spiegate nello standard 802.1Q . I primi 16 bit contengono "Tag Protocol Identifier" (TPID) che è 8100. Questo funge anche da EtherType 0x8100 per dispositivi che non comprendono le VLAN.

Quindi un pacchetto "taggato" contiene le informazioni VLAN nel frame Ethernet mentre un pacchetto "senza tag" no. Un caso d'uso tipico sarebbe se si dispone di una porta da un router a uno switch a cui sono collegati più clienti:

In questo esempio il cliente "Green" ha VLAN 10 e il cliente "Blue" ha VLAN 20. Le porte tra switch e clienti sono "senza tag", il che significa che per il cliente il pacchetto in arrivo è solo un normale pacchetto Ethernet.

La porta tra router e switch è configurata come porta trunk in modo che sia il router sia lo switch sappiano quale pacchetto appartiene a quale VLAN cliente. Su quella porta i frame Ethernet sono etichettati con il tag 802.1Q.

Le risposte sopra sono abbastanza tecniche. Pensare in questo modo:

In effetti VLAN e tag non sono altro che una separazione logica delle reti in contrasto con una fisica. Cosa significa?

Se non vi fossero VLAN, sarebbe necessario uno switch per ciascun dominio di trasmissione . Immagina il cablaggio coinvolto e anche il potenziale numero di schede NIC richieste agli host. Quindi, in primo luogo, le VLAN consentono di avere più costrutti layer 2 indipendenti all'interno dello stesso switch.

Da ora puoi avere più reti su ogni collegamento / porta devi in ​​qualche modo essere in grado di distinguere quale pacchetto appartiene a quale rete. Ecco perché sono taggati. Se una porta trasporta più di una VLAN, di solito viene anche chiamata trunk . (per n> 1 VLAN, almeno n-1 VLAN devono essere taggate e può esserci una VLAN senza tag, la VLAN nativa)

Generalmente devi distinguere i pacchetti all'ingresso della porta (in entrata "dal cavo") e all'uscita (in uscita "nel cavo"):

Ingresso

• ingress senza tag: è qui che entra in gioco il vlan nativo della porta. Se lo switch ha più VLAN configurate, devi dire allo switch a quale VLAN appartiene un pacchetto senza tag in entrata;

• ingresso taggato: beh, se viene taggato, allora è taggato e non puoi fare molto al riguardo. Se lo switch non è a conoscenza della codifica o di quella VLAN precisa, la rifiuterà, tuttavia a volte è necessario attivare una sorta di filtro di ingresso. È inoltre possibile forzare una porta ad accettare solo pacchetti senza tag o con tag.

Uscita

• uscita senza tag: per ciascuna porta è possibile selezionare una VLAN i cui pacchetti in uscita su quella porta non sono taggati (ad es. perché l'host non la supporta, oppure è necessaria una sola VLAN per esempio per un PC, una stampante, ecc.);

• egress tagged: devi dire allo switch quali VLAN rendere disponibili sulla porta e se più di una, tutte tranne una devono essere taggate comunque.

Cosa succede all'interno dell'interruttore

Un interruttore ha un (FDB F rasmissione D ata B ase) che

• in uno switch che non è VLAN (a volte chiamato "non gestito" o "stupido", ...): associa un host (indirizzo MAC) a una porta: l'FDB è una tabella composta da tuple di due elementi: (MAC, porta)

• in uno switch abilitato per VLAN (a volte chiamato "gestito" o "intelligente", ...): associa (VLAN, MAC) tuple a una porta: l'FDB è una tabella composta da tuple di tre elementi: (MAC, porta , VLAN).

  L'unica limitazione qui è che un indirizzo MAC non può apparire due volte nella stessa VLAN, anche se su porte diverse (essenzialmente la VLAN negli switch abilitati per VLAN sostituisce la nozione di porta negli switch non compatibili con VLAN). In altre parole:

• Possono esserci più VLAN per porta (motivo per cui ad un certo punto devono essere presenti tag).
• Possono esserci più VLAN per porta e per MAC: lo stesso indirizzo MAC può apparire in VLAN diverse e sulla stessa porta (anche se non lo consiglierei per motivi di integrità).
• Lo stesso indirizzo MAC non può ancora apparire sulla stessa VLAN ma su porte diverse (host diversi con lo stesso indirizzo MAC nella stessa rete di livello 2).

Spero che questo cancella un po 'la confusione ;-)

Il protocollo di incapsulamento VLAN defacto è 802.1Q (dot1.q) . La sua funzione più semplice è quella di conservare le VLAN tra gli switch. Poiché le VLAN sono localmente significative per lo switch, è necessario contrassegnare un frame che passa agli switch vicini per far loro sapere a quale gruppo logico appartiene quel frame.

Per impostazione predefinita, la VLAN nativa è la VLAN predefinita, una porta trunk può trasportare più VLAN per instradare il traffico verso il router o uno switch. VLAN è un protocollo di livello 2 e segmenta una rete di livello 2, possono comunicare solo in un dispositivo di livello 3 come un router o uno switch di livello 3.

La VLAN nativa viene utilizzata in modo che i frame senza tag possano comunicare senza la necessità di un router. È buona prassi di sicurezza cambiare VLAN predefinita / nativa in un'altra VLAN usando questo comando: switchport trunk nativo vlan.

Gli switch Cisco supportano l'incapsulamento IEEE 802.1Q e ISL.