VLAN tagowany i nietagowany oraz PVID wyjaśnienie

[crazyITman 0]

Witam

 

Potrzebuję, aby ktoś bardziej doświadczony wytłumaczył mi zasadę działania vlanów tagowanych, nietagowanych i PVID, oraz wyjaśnił jak to się ma w przypadku switcha marki ZyXEL GS1900-10HP.

Czytałem kilka objaśnień na ten temat i obejrzałem materiały odnośnie ich konfiguracji, ale kilka rzeczy było dla mnie niejasnych w tłumaczeniu zasady działania.

 

 

1. Jak to rozumieć skoro są jeszcze tryby access, general i trunk "O ile w przypadku 802.1Q ramki są oznaczane TAGiem i mogą one z takim znacznikiem opuszczać przełącznik. O tyle w przypadku trybu Port Based VLANy są tworzone tylko w konfiguracji przełącznika." ?

 

2. Czy ramki tagowane są również przesyłane w tym trybie i co się z nimi dalej dzieje w takim wypadku "ACCESS – W tym trybie przełącznik akceptuje zwykle wszystkie nietagowane ramki i nadaje im znacznik z góry zdefiniowany za pomocą pola PVID" ?

 

3. Po co ustawia się PVID, skoro jest możliwość przypisania portów należących do konkretnego vlanu ?

 

4. Co dokładnie oznacza tagowanie na ingress i egress i jak to się ma do dalszej komunikacji ?

 

5. Kiedy i po co switch zdejmuje tag na porcie ?

 

6. Czy gdy na routerze skonfiguruję vlany, to są one już otagowane i co się dzieje gdy dotrą do switcha w zależności od trybu pracy portu ?

 

http://blog.devices.pl/?p=29 - stąd przytoczyłem cytaty

 

 

 

Z góry dziękuję za odpowiedź

[Kpc21 1]

802.1q ("dot1q") to standard opisujący tagowanie ramek Ethernetowych numerem VLAN-u.

 

VLAN-y to tak jakby logiczny podział switcha na kilka switchy. Gdy różne grupy portów przydzielisz do osobnych VLAN-ów, między portami przydzielonymi do różnych VLAN-ów po prostu nie będzie komunikacji. Tak, jakby to było kilka osobnych switchy.

 

Teraz wyobraź sobie, że masz kilka switchy, każdy z takimi samymi VLAN-ami (np. na różnych piętrach biurowca), i chcesz te przełączniki ze sobą połączyć, tak by np. VLAN A na przełączniku 1 komunikował się z VLAN-em A na przełączniku 2, ale już nie z VLAN-em B ani na przełączniku 1, ani na przełączniku 2.

 

Normalnie w tej sytuacji musiałbyś poprowadzić między switchami tyle kabli, ile masz VLAN-ów. I zużyć taką samą liczbę portów w każdym z wymienionych switchy.

 

Tagowanie VLAN-ów pozwala nam tego uniknąć. Wystarczy skonfigurować jeden z portów każdego z przełączników jako "trunk". Dzięki tagowaniu, ramki należące do różnych VLAN-ów mogą być przesyłane jednym kablem.

 

Analogiczna sytuacja nastąpi, jeśli chcesz np. trasować ruch między różnymi VLAN-ami, nawet jeśli są one na jednym switchu, za pomocą routera. Normalnie musiałbyś poprowadzić tyle kabli od switcha do routera, ile masz VLAN-ów. Dzięki tagowaniu możesz użyć jednego kabla, którym będą przesyłane ramki należące do różnych VLAN-ów. Dzięki tagowaniu router (czy, w poprzednim przypadku, drugi switch) wie, do jakich VLAN-ów należą poszczególne ramki.

 

Port typu trunk przesyła ramki jako otagowane, za wyjątkiem jednego VLAN-u tzw. natywnego, który pozostaje nieotagowany. Może być zatem przypisany do więcej, niż jednego VLAN-u (i zazwyczaj jest, bo taki jest cały sens działania tagowania i połączeń trunkowych).

 

Port typu access przesyła ramki jako nieotagowane – może należeć tylko do jednego VLAN-u.

 

To jest ogólna zasada działania tagowania i VLAN-ów. Natomiast reszta kwestii to już rzeczy specyficzne dla tego konkretnego przełącznika, który posiadasz i powinieneś to doczytać w jego dokumentacji.

 

PVID w kontekście tego przełącznika, to będzie chyba po prostu inne określenie na VID, czyli VLAN ID – co oznacza po prostu numer VLAN-u używany do tagowania 802.1q. Większość switchy pozwala też nadawać VLAN-om nazwy, ale te nazwy mają znaczenie tylko lokalnie dla danego przełącznika – numery VLAN ID muszą się natomiast zgadzać między przełącznikami, między którymi istnieje połączenie trunkowe, bo to one właśnie są "doklejane" do tagowanych ramek.

 

To może spróbuję odpowiedzieć na te pytania...

 

1. Jak to rozumieć skoro są jeszcze tryby access, general i trunk "O ile w przypadku 802.1Q ramki są oznaczane TAGiem i mogą one z takim znacznikiem opuszczać przełącznik. O tyle w przypadku trybu Port Based VLANy są tworzone tylko w konfiguracji przełącznika." ?

Czyli rozumiem, że twój switch ma tryby "802.1q" i "Port Based". To w takim razie w trybie "Port Based" nie możesz robić połączeń trunkowych z innymi switchami/routerami. To będą VLAN-y robione tylko wewnętrznie na twoim switchu. A przy 802.1q będziesz mógł określić niektóre porty jako trunkowe i przesyłać nimi ruch z kilku VLAN-ów do innego urządzenia.

 

2. Czy ramki tagowane są również przesyłane w tym trybie i co się z nimi dalej dzieje w takim wypadku "ACCESS – W tym trybie przełącznik akceptuje zwykle wszystkie nietagowane ramki i nadaje im znacznik z góry zdefiniowany za pomocą pola PVID" ?

No na tyle, na ile to rozumiem, to w trybie "Port Based" nie masz tagowania.

 

Co się dzieje z ramką, która trafi na port accessowy (czyli przeciwieństwo trunkowego)? Jeśli jest otagowana, najprawdopodobniej zostanie odrzucona. Jeśli jest nieotagowana, i jest to ramka broadcastowa, zostanie przekierowana na wszystkie pozostałe porty przypisane do tego samego VLAN-u w konfiguracji przełącznika. Jeśli jest unicastowa... no, jak to switch, szuka u siebie w tablicy, czy wie, gdzie jest host o MAC-u, który jest w ramce podany jako docelowy (i uwaga – sprawdza też, czy należy on do tego samego VLAN-u), i jak wie, to tam przekierowuje ramkę, a jak nie wie, to ją rozsyła na wszystkie porty do tego VLAN-u przypisane.

 

3. Po co ustawia się PVID, skoro jest możliwość przypisania portów należących do konkretnego vlanu ?

Żeby móc łączyć switche połączeniami trunkowymi.

 

4. Co dokładnie oznacza tagowanie na ingress i egress i jak to się ma do dalszej komunikacji ?

Ingress to jest ruch wchodzący do danego urządzenia, a egress wychodzący. Na porcie accessowym ruch wychodzący jest nieotagowany, a na trunkowym otagowany (o ile nie należy on do VLAN-u skonfigurowanego jako natywny). Wchodzący – no to w przypadku accessu, jak już napisałem, nieotagowany będzie akceptowany, otagowany nie, natomiast w przypadku trunku otagowany będzie akceptowany, nieotagowany też, z tym, że zostanie przypisany do VLAN-u skonfigurowanego jako natywny.

 

5. Kiedy i po co switch zdejmuje tag na porcie ?

Na porcie accessowym. Do portów accessowych przyłączasz zwykle komputery, drukarki (generalnie, gniazda ścienne w biurze), a takie urządzenia zazwyczaj "nie umieją" w 802.1q. Z infrastrukturą serwerową – to bywa różnie, szczególnie w dzisiejszych czasach przy wszechobecnej wirtualizacji.

 

6. Czy gdy na routerze skonfiguruję vlany, to są one już otagowane i co się dzieje gdy dotrą do switcha w zależności od trybu pracy portu ?

Możesz na to patrzeć tak, że ramki "w switchu" zawsze są otagowane, tj. switch wie, do jakiego VLAN-u należą, ale to w zasadzie kwestia tego, jak to w środku rozwiązał producent switcha i ciebie to nie musi interesować.