Warum und wie werden Ethernet Vlans gekennzeichnet?

80

Ich habe von VLAN-Tagging gehört, verstehe das Konzept jedoch nicht ganz. Ich weiß, dass ein Trunk keine Pakete ohne Tags akzeptieren kann, ohne ein natives VLAN zu konfigurieren, und dass die Zugangsports nur Pakete ohne Tags akzeptieren. Aber ich verstehe nicht, warum Pakete markiert oder nicht markiert werden müssen. Welchem ​​Zweck dient es?

Vishwanath gowda k
quelle
2
Schauen Sie sich diesen Abschnitt von diesem Artikel .
Eddie

Antworten:

114

Wenn Sie mehr als ein VLAN an einem Port haben (einen "Trunk-Port"), müssen Sie feststellen, welches Paket zu welchem ​​VLAN am anderen Ende gehört. Dazu "markieren" Sie ein Paket mit einem VLAN-Tag (oder einem VLAN-Header, wenn Sie möchten). In Wirklichkeit wird ein VLAN-Tag wie folgt in den Ethernet-Frame eingefügt:

VLAN-Header

Das 802.1Q-Tag (dot1q, VLAN) enthält eine VLAN-ID und andere im 802.1Q-Standard erläuterte Informationen . Die ersten 16 Bits enthalten die "Tag Protocol Identifier" (TPID) 8100. Dies wird auch als EtherType 0x8100 für Geräte verwendet, die keine VLANs verstehen.

Ein "getaggtes" Paket enthält also die VLAN-Informationen im Ethernet-Frame, ein "nicht getaggtes" Paket nicht. Ein typischer Anwendungsfall wäre, wenn Sie einen Port von einem Router zu einem Switch haben, an den mehrere Kunden angeschlossen sind:

VLAN-Trunking

In diesem Beispiel hat Kunde "Green" VLAN 10 und Kunde "Blue" VLAN 20. Die Ports zwischen Switch und Kunden sind "ohne Tag", was bedeutet, dass das ankommende Paket für den Kunden nur ein normales Ethernet-Paket ist.

Der Port zwischen Router und Switch ist als Trunk-Port konfiguriert, sodass sowohl Router als auch Switch wissen, welches Paket zu welchem ​​Kunden-VLAN gehört. An diesem Port sind die Ethernet-Frames mit dem 802.1Q-Tag gekennzeichnet.

Sebastian Wiesinger
quelle
6
Es muss eine bessere Möglichkeit geben, VLANs, Trunkting, Native, Default usw. für Anfänger wie mich zu erklären :-(
1
@CompleteNewbie Es gibt Hunderte von Erklärungen im Internet - es macht keinen Sinn, sie hier nur zu wiederholen. Wenn Sie spezielle Fragen zu VLANs oder Trunking haben, helfen wir Ihnen gerne weiter.
Ron Trunk
Das ist eine wirklich gute Antwort. Danke.
Fr0ntSight
Tolle Erklärung, ich glaube nicht, dass ich eine so kurz und detailliert gelesen habe, dass das Konzept von markiert und nicht markiert klar ist.
htm11h
37

Die obigen Antworten sind ziemlich technisch. Denk darüber so:

Tatsächlich ist VLANs und Tagging nichts anderes als eine logische Trennung von Netzwerken im Gegensatz zu einem physischen. Was heißt das nun?

Wenn es keine VLANs gäbe, bräuchten Sie einen Switch für jede Broadcast-Domäne . Stellen Sie sich die Verkabelung und die potenzielle Anzahl der auf den Hosts erforderlichen Netzwerkkarten vor. VLANs ermöglichen es Ihnen also, mehrere unabhängige Layer-2-Konstrukte innerhalb desselben Switches zu haben.

Da Sie jetzt mehrere Netzwerke auf jedem Link / Port haben können, müssen Sie irgendwie unterscheiden können, welches Paket zu welchem ​​Netzwerk gehört. Deshalb sind sie markiert. Wenn ein Port mehr als ein VLAN enthält, wird er normalerweise auch als Trunk bezeichnet . (Für n> 1 VLANs müssen mindestens n-1 VLANs mit Tags versehen werden, und es kann ein VLAN ohne Tags geben, das native VLAN.)

Im Allgemeinen müssen Sie Pakete am Porteingang (eingehend "vom Kabel") und am Porteingang (ausgehend "ins Kabel") unterscheiden:

Ingress

  • Ingress ohne Tag: Hier kommt das native VLAN des Ports an. Wenn für den Switch mehrere VLANs konfiguriert sind, müssen Sie dem Switch mitteilen, zu welchem ​​VLAN ein eingehendes Paket ohne Tag gehört.

  • Eingang markiert: Nun, wenn es markiert eingeht, ist es markiert, und Sie können nicht viel dagegen tun. Wenn der Switch nichts über Tagging oder dieses genaue VLAN weiß, wird er es ablehnen. Manchmal müssen Sie jedoch eine Art Ingress-Filter aktivieren. Sie können einen Port auch dazu zwingen, nur Pakete ohne Tags oder mit Tags zu akzeptieren.

Austritt

  • Ausgang ohne Tag: Für jeden Port können Sie ein VLAN auswählen, dessen ausgehende Pakete an diesem Port nicht mit Tags versehen sind (z. B. weil der Host dies nicht unterstützt oder nur ein VLAN für einen PC, einen Drucker usw. erforderlich ist).

  • egress tagged: Sie müssen dem Switch mitteilen, welche VLANs auf dem Port verfügbar sein sollen, und wenn mehr als eines vorhanden ist, müssen alle bis auf eines markiert werden.

Was passiert im Schalter?

Ein Switch hat eine FDB ( F orwarding D ata B ase) welche

  • in einem Switch, der nicht VLAN-fähig ist (manchmal als "nicht verwaltet" oder "dumm" bezeichnet): ordnet einem Port einen Host (MAC-Adresse) zu: Die FDB ist eine Tabelle, die Tupel aus zwei Elementen enthält: (MAC, Hafen)

  • in einem Switch, der VLAN-fähig ist (manchmal als "verwaltet" oder "intelligent" bezeichnet): Verbindet (VLAN, MAC) Tupel mit einem Port: Die FDB ist eine Tabelle, die aus Tupeln von drei Elementen besteht: (MAC, Port) , VLAN).

    Die einzige Einschränkung besteht darin, dass eine MAC-Adresse nicht zweimal im selben VLAN angezeigt werden kann, auch wenn sie sich an verschiedenen Ports befindet (im Wesentlichen ersetzt das VLAN in VLAN-fähigen Switches den Begriff des Ports in nicht VLAN-fähigen Switches). Mit anderen Worten:

  • Es kann mehrere VLANs pro Port geben (weshalb es irgendwann Tags geben muss).
  • Es kann mehrere VLANs pro Port und pro MAC geben: Dieselbe MAC-Adresse kann in verschiedenen VLANs und auf demselben Port angezeigt werden (obwohl ich dies aus Gründen der Sicherheit nicht empfehlen würde).
  • Dieselbe MAC-Adresse kann immer noch nicht im selben VLAN, sondern an unterschiedlichen Ports angezeigt werden (unterschiedliche Hosts mit derselben MAC-Adresse im selben Layer-2-Netzwerk).

Hoffe das klärt die Verwirrung ein wenig ;-)

Marki
quelle
8

Das Standard-VLAN-Kapselungsprotokoll ist 802.1Q (dot1.q) . Die grundlegendste Funktion besteht darin, VLANs über Switches hinweg beizubehalten. Da VLANs für den Switch lokal von Bedeutung sind, müssen Sie einen Frame mit einem Tag versehen , der zu Switches in der Nähe wechselt, um ihnen mitzuteilen, zu welcher logischen Gruppierung dieser Frame gehört.

Ryan Foley
quelle
2

Standardmäßig ist das native VLAN das Standard-VLAN. Ein Trunk-Port kann mehrere VLANs transportieren, um den Datenverkehr an den Router oder einen Switch weiterzuleiten. VLAN ist ein Layer-2-Protokoll und segmentiert ein Layer-2-Netzwerk. Sie können nur in einem Layer-3-Gerät wie einem Router oder einem Layer-3-Switch kommunizieren.

Natives VLAN wird verwendet, damit Frames ohne Tags ohne die Notwendigkeit eines Routers kommunizieren können. Es wird empfohlen, das standardmäßige / native VLAN mithilfe des folgenden Befehls in ein anderes VLAN zu ändern: switchport trunk native vlan.

Cisco Switches unterstützen die IEEE 802.1Q-Kapselung und ISL.

chris
quelle