ทำไมถึงติดแท็ก Ethernet Vlans?

80

ฉันได้ยินเกี่ยวกับการติดแท็ก VLAN แต่ฉันไม่ค่อยเข้าใจแนวคิด ฉันรู้ว่า trunk ไม่สามารถรับแพ็กเก็ตที่ไม่ได้ติดแท็กได้โดยไม่ต้องตั้งค่า VLAN ดั้งเดิมและพอร์ตการเข้าถึงนั้นยอมรับเฉพาะแพ็กเก็ตที่ไม่ติดแท็ก แต่ฉันไม่เข้าใจว่าทำไมแพ็คเก็ตต้องติดแท็กหรือไม่ติดแท็ก มันมีจุดประสงค์อะไร

vlan  ethernet 
Vishwanath gowda k
แหล่งที่มา
2
ตรวจสอบส่วนนี้ของบทความนี้
Eddie

คำตอบ:

114

หากคุณมี VLAN มากกว่าหนึ่งพอร์ตในพอร์ต ("พอร์ต trunk") คุณต้องมีวิธีที่จะบอกได้ว่าแพ็กเก็ตใดเป็นของ VLAN ใดในอีกปลายหนึ่ง ในการทำเช่นนี้คุณจะ "แท็ก" แพ็กเก็ตที่มีแท็ก VLAN (หรือส่วนหัว VLAN หากคุณต้องการ) ในความเป็นจริงแท็ก VLAN ถูกแทรกในเฟรมอีเทอร์เน็ตดังนี้:

หัว VLAN

802.1Q (dot1q, VLAN) แท็กมี VLAN-ID และสิ่งอื่น ๆ ที่อธิบายไว้ใน802.1Q มาตรฐาน 16 บิตแรกประกอบด้วย "Tag Protocol Identifier" (TPID) ซึ่งคือ 8100 นี่ยังเป็น EtherType 0x8100 สองเท่าสำหรับอุปกรณ์ที่ไม่เข้าใจ VLAN

ดังนั้นแพ็กเก็ต "แท็ก" จึงมีข้อมูล VLAN ในเฟรม Ethernet ในขณะที่แพ็กเก็ต "ไม่ติดแท็ก" จะไม่ กรณีการใช้งานทั่วไปคือหากคุณมีพอร์ตหนึ่งพอร์ตจากเราเตอร์ไปยังสวิตช์ซึ่งลูกค้าหลายรายเชื่อมต่อกับ:

เส้นทางเดินสาย VLAN

ในตัวอย่างนี้ลูกค้า "สีเขียว" มี VLAN 10 และลูกค้า "สีฟ้า" มี VLAN 20 พอร์ตระหว่างสวิตช์และลูกค้ามีความหมาย "ไม่ติดแท็ก" สำหรับลูกค้าแพ็กเก็ตที่มาถึงเป็นเพียงแพ็กเก็ตอีเทอร์เน็ตปกติ

พอร์ตระหว่างเราเตอร์และสวิตช์ถูกกำหนดค่าเป็นพอร์ต trunk เพื่อให้เราเตอร์และสวิตช์ทราบว่าแพ็กเก็ตใดเป็นของลูกค้า VLAN ที่พอร์ตนั้นเฟรม Ethernet จะถูกแท็กด้วยแท็ก 802.1Q

เซบาสเตียนวีสซิงเกอร์
แหล่งที่มา
6
ต้องมีวิธีที่ดีกว่าในการอธิบาย VLANs, Trunkting, Native, Default และอื่น ๆ สำหรับมือใหม่ที่สมบูรณ์แบบเช่นฉัน :-(
1
@CompleteNewbie มีคำอธิบายนับร้อยบนอินเทอร์เน็ต - ไม่ต้องพูดซ้ำอีกเลย อย่างที่ไมค์บอกถ้าคุณมีคำถามเฉพาะเกี่ยวกับ VLAN หรือการเดินสายไฟเรายินดีให้ความช่วยเหลือ
Ron Trunk
นี่เป็นคำตอบที่ดีจริงๆ ขอขอบคุณ.
Fr0ntSight
คำอธิบายที่ดีฉันไม่คิดว่าฉันได้อ่านบทสรุปและรายละเอียดในเวลาเดียวกันอย่างชัดเจนระบุแนวคิดของการติดแท็กและไม่ติดแท็ก
htm11h
37

คำตอบข้างต้นค่อนข้างเทคนิค ลองวิธีนี้ดู:

ในความเป็นจริง VLANs และการติดแท็กไม่มีอะไรมากไปกว่าการแยกทางตรรกะของเครือข่ายในทางตรงกันข้าม ตอนนี้หมายความว่าอย่างไร

หากไม่มี VLANs คุณจะต้องเป็นหนึ่งในสวิทช์สำหรับแต่ละโดเมนออกอากาศ ลองนึกภาพการเดินสายที่เกี่ยวข้องและจำนวน NIC ที่จำเป็นสำหรับโฮสต์ อย่างแรก, VLANs อนุญาตให้คุณสร้างเลเยอร์อิสระ 2 หลาย ๆ อันภายในสวิตช์เดียวกัน

ตั้งแต่ตอนนี้คุณสามารถมีหลายเครือข่ายในแต่ละลิงค์ / พอร์ตคุณต้องสามารถแยกแพ็คเก็ตที่เป็นของเครือข่ายใด นั่นเป็นเหตุผลที่พวกเขาถูกแท็ก ถ้าพอร์ตดำเนินการมากกว่าหนึ่ง VLAN ก็ยังมักจะเรียกว่าลำต้น (สำหรับ n> 1 VLANs อย่างน้อย n-1 VLAN ต้องถูกแท็กและสามารถมีหนึ่งแท็ก VLAN ซึ่งไม่ได้ติดแท็กไว้, VLAN ดั้งเดิม)

โดยทั่วไปคุณต้องแยกแพ็คเก็ตที่พอร์ตทางเข้า (ขาเข้า "จากสายเคเบิล") และออกไปด้านนอก (ขาออก "เป็นสายเคเบิล"):

สิทธิในการเข้า

  • ไม่ใส่แท็ก: นี่คือที่ vlan ดั้งเดิมของพอร์ตเข้ามาหากสวิตช์มีการกำหนดค่า VLAN หลายตัวคุณต้องบอกสวิตช์ที่ VLAN เป็นแพ็กเก็ตที่ไม่ได้ติดแท็กขาเข้า

  • ติดแท็ก ingress: ถ้ามันติดแท็กก็จะติดแท็กและคุณไม่สามารถทำอะไรได้มาก หากสวิตช์ไม่ทราบเกี่ยวกับการติดแท็กหรือ VLAN ที่แม่นยำนั้นมันจะปฏิเสธบางครั้งคุณต้องเปิดใช้งานตัวกรอง - ทางเข้าบางประเภท คุณสามารถบังคับให้พอร์ตยอมรับแพ็กเก็ตที่ไม่ได้ติดแท็กหรือที่ติดแท็กเท่านั้น

ออกไปข้างนอก

  • egress untagged: สำหรับแต่ละพอร์ตคุณสามารถเลือกหนึ่ง VLAN ที่แพ็กเก็ตขาออกบนพอร์ตนั้นไม่ได้ติดแท็ก (เช่นเนื่องจากโฮสต์ไม่รองรับหรือโฮสต์ VLAN เพียงอันเดียวเช่นพีซีเครื่องพิมพ์ ฯลฯ );

  • egress แท็ก: คุณต้องบอกสวิตช์ที่ VLANs เพื่อให้พร้อมใช้งานบนพอร์ตและถ้ามีมากกว่าหนึ่งทั้งหมดทั้งหมดต้องมีการติดแท็กอยู่ดี

เกิดอะไรขึ้นภายในสวิตช์

สวิตช์มี FDB ( F orwarding D ata B ase) ซึ่ง

  • ในสวิตช์ที่ไม่สามารถใช้ VLAN ได้ (บางครั้งเรียกว่า "unmanaged" หรือ "dumb", ... ): เชื่อมโยงโฮสต์ (ที่อยู่ MAC) กับพอร์ต: FDB เป็นตารางที่ประกอบด้วย tuples ของสององค์ประกอบ: (MAC, ท่าเรือ)

  • ในสวิตช์ที่มีความสามารถ VLAN (บางครั้งเรียกว่า "จัดการ" หรือ "สมาร์ท", ... ): ผู้ร่วมงาน (VLAN, MAC) tuples ไปยังพอร์ต: FDB เป็นตารางที่ประกอบด้วย tuples สามองค์ประกอบ: (MAC, พอร์ต , VLAN)

    ข้อ จำกัด เพียงอย่างเดียวคือที่อยู่ MAC หนึ่งไม่สามารถปรากฏใน VLAN เดียวกันสองครั้งแม้ว่าจะอยู่ในพอร์ตที่แตกต่างกัน (โดยพื้นฐานแล้ว VLAN ในสวิตช์ที่รองรับ VLAN สามารถแทนที่ความคิดของพอร์ตในสวิตช์ที่ไม่รองรับ VLAN) ในคำอื่น ๆ :

  • อาจมีหลาย VLAN ต่อพอร์ต (ซึ่งเป็นสาเหตุที่ต้องมีแท็กในบางจุด)
  • สามารถมีได้หลาย VLAN ต่อพอร์ตและต่อ MAC: ที่อยู่ MAC เดียวกันสามารถปรากฏใน VLANs ที่แตกต่างกันและในพอร์ตเดียวกัน (แม้ว่าฉันจะไม่แนะนำให้ใช้เพื่อวัตถุประสงค์ด้านสุขภาพจิต)
  • ที่อยู่ MAC เดียวกันยังคงไม่สามารถปรากฏบน VLAN เดียวกัน แต่บนพอร์ตที่แตกต่างกัน (โฮสต์ที่แตกต่างกันมีที่อยู่ MAC เดียวกันในเครือข่ายเลเยอร์ 2 เดียวกัน)

หวังว่านี่จะเป็นการขจัดความสับสนเล็กน้อย ;-)

Marki
แหล่งที่มา
8

โปรโตคอล defacto VLAN encapsulation เป็น802.1Q (dot1.q) ฟังก์ชั่นพื้นฐานที่สุดคือการรักษา VLANs ข้ามสวิตช์ ตั้งแต่ VLANs อยู่ในประเทศที่สำคัญในการสวิทช์ที่คุณต้องแท็กกรอบไปสวิทช์ใกล้โดยที่จะให้พวกเขารู้ว่าสิ่งที่ตรรกะการจัดกลุ่มกรอบที่เป็น

Ryan Foley
แหล่งที่มา
2

โดยค่าเริ่มต้น Native VLAN เป็น VLAN เริ่มต้นพอร์ต trunk สามารถนำ VLAN หลาย ๆ ตัวเพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเราเตอร์หรือสวิตช์ VLAN เป็นโปรโตคอลเลเยอร์ 2 และแบ่งกลุ่มเครือข่ายเลเยอร์ 2 พวกเขาสามารถสื่อสารได้เฉพาะในอุปกรณ์เลเยอร์ 3 เช่นเราเตอร์หรือสวิตช์เลเยอร์ 3

Native VLAN ใช้เฟรมที่ไม่มีแท็กสามารถสื่อสารได้โดยไม่ต้องใช้เราเตอร์ วิธีปฏิบัติด้านความปลอดภัยที่ดีที่สุดคือเปลี่ยนค่าเริ่มต้น / เนทีฟ VLAN เป็น VLAN อื่นโดยใช้คำสั่งนี้: switchport trunk native vlan

สวิตช์ของ Cisco รองรับการห่อหุ้ม IEEE 802.1Q และ ISL

คริส
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.