Tại sao và làm thế nào được gắn thẻ Vlans Ethernet?

Tôi nghe nói về gắn thẻ Vlan, nhưng tôi không hiểu khái niệm này lắm. Tôi biết một thân cây không thể chấp nhận các gói không được mã hóa mà không cần cấu hình Vlan gốc và các cổng truy cập đó chỉ chấp nhận các gói không được mã hóa. Nhưng tôi không hiểu tại sao các gói cần phải được gắn thẻ hoặc không được gắn thẻ. Mục đích của nó là gì?

Nếu bạn có nhiều Vlan trên một cổng ("cổng trung kế"), bạn cần một số cách để biết gói nào thuộc về Vlan nào ở đầu kia. Để làm điều này, bạn đang "gắn thẻ" một gói với thẻ Vlan (hoặc tiêu đề Vlan nếu bạn muốn). Trong thực tế, thẻ Vlan được chèn vào khung Ethernet như thế này:

Thẻ 802.1Q (dot1q, Vlan) chứa Vlan-ID và những thứ khác được giải thích trong Tiêu chuẩn 802.1Q . 16 bit đầu tiên chứa "Mã định danh giao thức thẻ" (TPID) là 8100. Điều này cũng tăng gấp đôi khi EtherType 0x8100 cho các thiết bị không hiểu Vlan.

Vì vậy, gói "được gắn thẻ" chứa thông tin Vlan trong khung Ethernet trong khi gói "không được gắn thẻ" thì không. Trường hợp sử dụng thông thường sẽ là nếu bạn có một cổng từ bộ định tuyến sang bộ chuyển mạch có nhiều khách hàng được gắn vào:

Trong ví dụ này, khách hàng "Xanh" có Vlan 10 và Khách hàng "Xanh" có Vlan 20. Các cổng giữa công tắc và khách hàng có nghĩa là "không được gắn thẻ" đối với khách hàng, gói đến chỉ là một gói Ethernet thông thường.

Cổng giữa bộ định tuyến và bộ chuyển mạch được cấu hình là một cổng trung kế để cả bộ định tuyến và bộ chuyển mạch đều biết gói nào thuộc về Vlan của khách hàng nào. Trên cổng đó, các khung Ethernet được gắn thẻ với thẻ 802.1Q.

Các câu trả lời trên là khá kỹ thuật. Nghĩ theo cách này:

Trong thực tế, các Vlan và gắn thẻ không có gì khác hơn là sự phân tách logic của các mạng trái ngược với mạng vật lý. Vậy thì giờ điều đó có nghĩa là gì?

Nếu không có Vlan, bạn sẽ cần một công tắc cho mỗi miền quảng bá . Hãy tưởng tượng hệ thống cáp có liên quan và số lượng tiềm năng của các máy chủ được yêu cầu tại máy chủ. Vì vậy, trước tiên, Vlan cho phép bạn có nhiều cấu trúc lớp 2 độc lập trong cùng một công tắc.

Kể từ bây giờ bạn có thể có nhiều mạng trên mỗi liên kết / cổng, bằng cách nào đó bạn có thể phân biệt gói nào thuộc về mạng nào. Đó là lý do tại sao chúng được gắn thẻ. Nếu một cổng mang nhiều Vlan thì nó cũng thường được gọi là trung kế . (đối với n> 1 Vlan, ít nhất n-1 Vlan phải được gắn thẻ và có thể có một Vlan chưa được mã hóa, Vlan gốc)

Nói chung, bạn phải phân biệt các gói khi vào cổng (đến "từ cáp") và đi ra (đi "vào cáp"):

Xâm nhập

• xâm nhập không được đánh dấu: đây là nơi mà vlan gốc của cổng xuất hiện. Nếu công tắc có nhiều Vlan được cấu hình, bạn phải báo cho công tắc biết gói Vlan nào không thuộc gói;

• ingress được gắn thẻ: tốt, nếu nó được gắn thẻ, thì nó được gắn thẻ và bạn không thể làm gì nhiều về nó. Nếu công tắc không biết về gắn thẻ hoặc về Vlan chính xác đó, nó sẽ từ chối nó, đôi khi bạn phải kích hoạt một số loại bộ lọc xâm nhập. Bạn cũng có thể buộc một cổng chỉ chấp nhận các gói không được gắn thẻ hoặc được gắn thẻ.

Đi ra

• không được đánh dấu: đối với mỗi cổng, bạn có thể chọn một Vlan có các gói đi trên cổng đó không được gắn thẻ (ví dụ: vì máy chủ không hỗ trợ nó, hoặc chỉ cần một Vlan cho PC, máy in, v.v.);

• Đi ra được gắn thẻ: Bạn phải thông báo cho công tắc biết Vlan nào sẽ có sẵn trên cổng và nếu có nhiều hơn một, tất cả trừ một người phải được gắn thẻ bằng mọi cách.

Điều gì xảy ra bên trong công tắc

Một switch có một FDB ( F orwarding D ata B ase) mà

• trong một công tắc không có khả năng Vlan (đôi khi được gọi là "không được quản lý" hoặc "ngu ngốc", ...): liên kết một máy chủ (địa chỉ MAC) với một cổng: FDB là một bảng bao gồm các bộ dữ liệu gồm hai phần tử: (MAC, Hải cảng)

• trong một công tắc có khả năng Vlan (đôi khi được gọi là "được quản lý" hoặc "thông minh", ...): các cộng sự (Vlan, MAC) chuyển sang một cổng: FDB là một bảng bao gồm các bộ ba yếu tố: (MAC, cổng , Vlan).

  Hạn chế duy nhất ở đây là một địa chỉ MAC không thể xuất hiện trong cùng một Vlan hai lần, ngay cả khi trên các cổng khác nhau (về cơ bản là Vlan trong các bộ chuyển mạch có khả năng Vlan thay thế khái niệm cổng trong các bộ chuyển mạch không có Vlan). Nói cách khác:

• Có thể có nhiều Vlan trên mỗi cổng (đó là lý do tại sao cần phải có thẻ tại một số điểm).
• Có thể có nhiều Vlan trên mỗi cổng và mỗi MAC: cùng một địa chỉ MAC có thể xuất hiện trong các Vlan khác nhau và trên cùng một cổng (mặc dù tôi không khuyến nghị điều đó cho mục đích vệ sinh).
• Cùng một địa chỉ MAC vẫn không thể xuất hiện trên cùng một Vlan nhưng trên các cổng khác nhau (các máy chủ khác nhau có cùng địa chỉ MAC trong cùng một mạng lớp 2).

Hy vọng điều này sẽ xóa sự nhầm lẫn một chút ;-)

Giao thức đóng gói Vlan defacto là 802.1Q (dot1.q) . Chức năng cơ bản nhất của nó là giữ lại các Vlan trên các thiết bị chuyển mạch. Vì các Vlan có ý nghĩa cục bộ đối với bộ chuyển mạch, bạn phải gắn thẻ một khung tới các công tắc gần để cho chúng biết nhóm hợp lý mà khung đó thuộc về logic nào.

Theo mặc định, Vlan bản địa là Vlan mặc định, một cổng trung kế có thể mang nhiều Vlan để định tuyến lưu lượng đến bộ định tuyến hoặc bộ chuyển mạch. Vlan là giao thức lớp 2 và nó phân chia mạng lớp 2, chúng chỉ có thể giao tiếp trong thiết bị lớp 3 như bộ định tuyến hoặc bộ chuyển đổi lớp 3.

Vlan bản địa được sử dụng để các khung không có thẻ có thể giao tiếp mà không cần bộ định tuyến. Cách tốt nhất là bảo mật tốt nhất để thay đổi Vlan mặc định / gốc sang Vlan khác bằng cách sử dụng lệnh này: switchport trunk vlan gốc.

Các thiết bị chuyển mạch của Cisco hỗ trợ đóng gói theo chuẩn IEEE 802.1Q và ISL.