Меню Закрыть

Тегированный трафик и нетегированный

Тегированный порт получается после операции маркировки VLAN, также известной, как Frame Tagging. Это метод, разработанный Cisco, для доступных пакетов, проходящих по магистральному каналу. Когда кадр Ethernet пересекает эту линию связи, принимающая сторона не имеет никакой информации об использовании виртуальных сетей.

История стандарта

В прежние времена, когда не существовало коммутаторов и VLAN, сеть подключалась через концентраторы и размещалась на всех сетевых хостах в одном сегменте Ethernet. Это было одно из основных ограничений надежности, потому что все хосты находились в одном доме коллизий, и если два хоста срабатывали одновременно, данные «сталкивались» и переправлялись повторно. Коммутаторы были введены в систему для решения этой проблемы.

Существует два вида коммутаторов для тегированных и нетегированных портов:

  1. Базовые, называемые «неуправляемыми» с простой функциональностью. У них нет настраиваемой поддержки VLAN. Это означает, что все хосты на нем являются частью одного и того же широковещательного домена.
  2. Управляемые, позволяющие разделять трафик с помощью VLAN. Они сегодня широко распространены, хотя и неуправляемые коммутаторы все еще многочисленны.

Достижение целей надежности системы передачи связано с подключением всех групп хостов к собственному коммутатору. Иногда это делается для управления трафиком. К сожалению, это еще слишком дорогостоящий процесс, поэтому часто пользователи предпочитают сеть VLAN. Концепция VLAN – это виртуальный коммутатор. Основная функция – разделение трафика. Хосты в одной не могут связываться с хостами в другой без дополнительных услуг. Примером сервиса является маршрутизатор для передачи пакетов по виртуальной линии.

Принцип маркировки кадров

Одной из причин размещения хостов и тегированных портов в отдельных сетях VLAN является ограничение количества широковещательных сообщений в сети. IPv4, например, опирается на трансляции. Разделение этих хостов будет ограничено.

Ниже приведен обычный кадр Ethernet, наличие обязательных данных:

  • MAC-адрес источников и их назначений;
  • поле, тип/длина;
  • полезная нагрузка;
  • FCS для целостности.

К кадру добавлен четырехбайтовый тегированный порт VLAN, включающий идентификатор виртуальной линии. Он находится сразу после исходного MAC и имеет длину 12 бит, что обеспечивает теоретический максимум – возможность создания 4096 виртуальных линий. На практике существует несколько зарезервированных VLAN в зависимости от поставщика.

802.1 Q – действующий стандарт IEEE VLAN (Virtual LAN), устанавливающий маркировку и тегирования трафика с целью передачи данных по конкретной виртуальной интернет сети. Уровень OSI 802.1 Q для работы по технологии тегитированных портов – канальный, фрейм устанавливает тег (vlanid), по которому определяют принадлежность тегитированного трафика. Напротив нетегированный, что не имеет маркера и VLAN ID, установленного в l2-фрейм размере 12 битного поля. Пределы показаний от 0 до 4096.

  • 0 и 4096 – резерв данных для применения системой;
  • 1 – дефолтный.

Основы тегирования VLAN

Тегированные порты с поддержкой VLAN обычно классифицируются одним из двух способов: с тегами или без тегов. Они также могут упоминаться как «транк» или «доступ». Назначение помеченного или «транкового» порта состоит из трафика с несколькими виртуальными линиями, тогда как немаркированный имеет доступ к трафику только для одного. Магистральные порты связывают коммутаторы и конечных пользователей, и требуют большего количества процедур для тегируемых портов. Оба конца ссылки должны иметь общие параметры:

  1. Инкапсуляция.
  2. Разрешенные VLAN.
  3. Родной VLAN.

Несмотря на то, что канал может быть успешно настроен, нужно, чтобы обе стороны канала были настроены одинаково. Несоответствие собственной или разрешенной виртуальной линии может иметь непредвиденные последствия. Несовпадающие на противоположных сторонах магистрали могут непреднамеренно создать «перескок VLAN». Часто это метод преднамеренной атаки, он представляет собой открытую угрозу безопасности.

Метод Cisco

Магистральные каналы передающих кадры (пакеты) VLAN, позволяют соединять несколько коммутаторов вместе и независимо настраивать каждый порт для виртуальной линии. Маркировка VLAN является методом, разработанным Cisco, чтобы помочь идентифицировать пакеты, проходящие по магистральному каналу.

Например, при использовании двух коммутаторов Catalyst серии 3500 и одного маршрутизатора Cisco 3745, подключенных через магистральные линии. Соединительные линии предоставляют возможность выбора из виртуальных линий. Рабочие станции присоединяются напрямую к каналу доступа. Порты настроены только для одного членства.

Называя порт Link Access (Линия доступа) или Trunk Link (Магистральная связь), ему придаются определенные настройки, например, канал доступа или Trunk-канал в случае, когда он составляет 100 Мбит и более. Таким образом, восходящая линия связи коммутатора – это всегда магистральная связь, а любой обычный, к которому подключают рабочую станцию – это порт доступа.

Различия между линией доступа и магистральной линией приведены ниже:

  1. Линия доступа – это ссылка, которая является частью одной VLAN и обычно они доступны конечным потребителям.
  2. Всякое устройство, присоединенное к каналу, не знает об участии в VLAN.
  3. Доступные соединения понимают строгие стандартные кадры Ethernet, роутеры удаляют любую информацию VLAN из кадра перед тем, как она будет отправлена на устройство линии доступа.
  4. Магистральный канал обрабатывает множественный VLAN-трафик и обычно применяется для подключения коммутаторов к роутерам.

Для VLAN-кадра коммутатор Cisco предлагает различные методы маркировки VLAN-фрейма, при этом магистральная связь не назначена виртуальной линией. Большинство трафика VLAN транспортируется между коммутаторами с использованием одной физической магистральной линии.

Добавление тега в кадр Ethernet

Многие пользователи до конца не понимают, что это – тегированный порт. На самом деле тег VLAN прибывает в кадр Ethernet по MAC-адресу. Маркировка кадров – это технология, используемая для существующих пакетов. Тег Frame размещается в кадре, который является членом виртуальной линии. Если он имеет магистральный порт, то кадр перенаправляется через магистральную линию. Это позволяет конкретному коммутатору видеть, к которому VLAN принадлежит тег. Передача кадрового коммутатора удаляет идентификатор, поэтому информация о членстве закрыта для конечных устройств.

Читайте также:  Меню на пульте филипс

Существуют различные технологии транкинга – это тегированные порты VLAN в технологии Cisco:

  1. Inter-Switch Link (ISL)- маркировка кадров сети Cisco. Система предлагает поддержку от других поставщиков старых моделей роутеров.
  2. IEEE 802.1Q – тегирование кадров промышленного стандарта IEEE.
  3. Эмуляция LANE – используется для связи с существующими VLAN.
  4. 802.10 (FDDI)- протокол для отправки информации VLAN через FDDI.

Протокол маркировки ISL

ISL (межсетевой коммутатор) – это собственный протокол Cisco, используемый только для каналов Gigabit Ethernet в качестве коммутаторов и роутеров, и называется «внешней маркировкой». Это означает, что протокол Ethernet не изменяет кадр, в нем есть тег VLAN, и он включает в себя новый 26-байтовый заголовок, добавляя последовательность проверок 4-байтового кадра (FCS) в конце поля. Несмотря на эту дополнительную нагрузку, ISL поддерживает до 1000 VLAN и не создает задержек при передаче данных между магистральными линиями.

Cisco, когда он настроен на использование ISL, применяет в качестве протокола маркировку транка. ISL и поля FCS могут иметь длину 1548 байт при максимально возможном размере кадра 1518 байт, что делает ISL «гигантским» кадром. Кроме того, он использует связующую сеть (PVST) в каждой виртуальной линии. Этот метод позволяет оптимизировать размещение корневого коммутатора для доступной линии.

Стандарт IEEE 802.1Q

Он был создан группой IEEE для решения проблем разделения больших сетей на более мелкие и управляемые с использованием VLAN. Этот стандарт является альтернативой Cisco ISL для обеспечения совместимости и полной интеграции с существующей сетевой инфраструктурой. IEEE 802.1Q является наиболее популярным и широко используемым в ориентированных на Cisco сетевых установках, что позволяет рассчитывать на совместимость и возможность будущих обновлений. Помимо проблем совместимости, есть еще несколько причин, по которым инженеры предпочитают этот метод тегирования. Они включают:

  1. Поддержка до 4096 VLAN.
  2. Вставка 4-байтового тега без инкапсуляции.
  3. Меньшие конечные размеры кадра по сравнению с ISL.
  4. 4-байтовый тег, вставленный в существующий кадр Ethernet сразу после MAC-адреса источника. Из-за дополнительной 4-байтовой метки минимальный размер кадра Ethernet II увеличивается с 64 байтов до 68 байтов, а максимальный его размер теперь составляет 1522 байта.

Максимальный размер Ethernet значительно меньше (на 26 байт) при использовании параметров тегов IEEE 802.1Q, поэтому он будет намного быстрее, чем ISL. Тем не менее Cisco рекомендует использовать тегирование ISL в собственной среде. Это означает, если у пользователя есть 10 VLAN, то также будет 10 экземпляров STP, участвующих в коммутаторах. В случае отличных от Cisco, для всех будет поддерживаться только 1 экземпляр STP. Крайне важно, чтобы VLAN для магистрали IEEE 802.1Q была одинаковой для обоих концов магистрального канала.

Эмуляция локальной сети LANE

Эмуляция ЛВС была введена для принятия решений о необходимости создания VLAN-сетей по каналам WAN, позволяя администратору сети определять рабочие группы на основе логической функции, а не на основе местоположения. Существуют виртуальные локальные сети между удаленными офисами, независимо от их местоположения. LANE не очень распространен, тем не менее пользователи не должны игнорировать его.

LANE создана Cisco в 1995 году в выпуске IOS версии 11.0. При реализации между двумя соединениями точка-точка сети WAN становится полностью прозрачной для конечных пользователей:

  1. Каждая локальная сеть или собственный узел банкомата, например, коммутатор или маршрутизатор, показывает, что подключен к сети через специальный программный интерфейс, который называется «Клиент эмуляции локальной сети».
  2. Клиент LANE работает с сетью эмуляции локальной сети (LES) для обработки всех сообщений и пакетов.
  3. Спецификация LANE определяет сервер конфигурации сети локальной сети (LECS), службы, работающие внутри коммутатора ATM или сервера, подключенного к ATM, который находится в сети и позволяет администратору контролировать, какие локальные сети объединяются для формирования VLAN.

Алгоритм настройки Windows 2012 Server

Предварительно, если пользователь хочет настроить одну VLAN для интерфейсов, нужно перейти в раздел «Сетевые подключения» -> «Свойства» -> «Дополнительно», выбрать поле VLAN I» и добавить соответствующее значение. Если нужно настроить несколько VLAN для одного и того же интерфейса, необходимо указать значение VLAN ID, заданное значение 0, иначе линия не будет работать.

При использовании Windows 2012 Server пользователю необходимо выполнить настройку нескольких тегированных портов. Это возможно реализовать на одном сетевом интерфейсе с подключением локального сервера и с объединением сетевых карт.

  1. Создают новую команду с единым интерфейсом (TEAMS-> TASKS-> New TEAM), выбирает нужный интерфейс, например, 40GbE, и дают ему имя.
  2. Выбирают окна «Адаптер и интерфейсы», нажимают «Задать»-> Добавляют интерфейс.
  3. Настраивают конкретную VLAN и нажимают ОК, для того чтобы добавить другой интерфейс VLAN.
  4. Назначают IP-адрес новому интерфейсу, поиск «Сетевые подключения» и поиск нужного интерфейса VLAN.
  5. Затем настраивают IP.

Таким образом, можно подвести итог, что тегированные порты VLAN – это стандарт, который используется для идентификации пакета через MAC-адрес. Операция совершенно прозрачна для конечных устройств и обеспечивает уровень необходимой безопасности в сети.

Все о локальных сетях и сетевом оборудовании

В предыдущей статье мы рассмотрели, что такое vlan: технология VLAN предоставляет возможность разделения реальной физической сети на несколько виртуальных, но имеющих такие же свойства и функционал (иными словами, создать отдельные широковещательные домены).

Читайте также:  Фотострана как отправить музыку

Идентификация VLAN по vlan id

Для идентификации каждого такого домена сетевое оборудование нуждается в определенных числовых метках – vlan id. Каждый vlan id соответствует определенному vlan, то есть определенной подсети конкретного отдела или подразделения. В отличие от собственных стандартов конфигурации VLAN, таких как ISL для Cisco, международный стандарт 802.1Q очень широко используется практически на любом сетевом оборудовании и оперирует понятием vlan id, тегируя им фреймы данных для определения принадлежности к конкретному vlan.

Согласно стандарту, vlan id может принимать значения в диапазоне от 0 до 4095, резервируя vlan id 1 как vlan по умолчанию. Также зарезервированы такие значения vlan id, как 1002 и 1004 для FDDI-сетей, 1003 и 1005 – для сетей Token Ring, но ввиду малой востребованности данного типа сетей, практически не используются.

Типы портов на коммутаторах и тегирование

Различают два типа портов на коммутаторах – access и trunk. Первый тип используется при подключении конечных хостов, таких как ПК, ip-телефоны, сервера и т.д., указывая в каком vlan данный хост будет работать.

Второй предназначен в основном для подключений между коммутаторами, передавая несколько vlan’ов.

Другими словами, если вы имеете более одного vlan на транковом порту, вам необходимо указать сетевому устройству, какой из пакетов данных к какому vlan принадлежит на другом конце соединения. Для этого и используется механизм тегирования пакетов данных с помощью vlan тегов. Vlan тег просто вставляется в оригинальный Ethernet-кадр, добавляя необходимую информацию.

802.1Q определяет, что тег содержит такую информацию, как vlan id и некоторые другие данные, указанные данным стандартом. Таким образом, тегированные пакеты данных содержат информацию о принадлежности к vlan, в то время как нетегированные – нет. Типичный пример использования тегирования — это подключение между маршрутизатором и коммутатором, за которым находится несколько подключенных к нему пользователей из разных vlan.

Транкинг и маршрутизация между vlan

Термин “маршрутизатор на палочке” часто используется для описания подключения маршрутизатора и коммутатора, соединенных Ethernet линком, настроенным как транк по стандарту 802.1Q. В данном случае коммутатор настроен на использование нескольких vlan, а маршрутизатор выполняет все функции по маршрутизации между различными подсетями/vlan.

Для некоторых пользователей данный термин звучит немного странно, но он является очень популярным и повсеместно используется в сетях, в которых нет коммутаторов с функциями 3-го уровня сетевой модели OSI. Хорошим примером конфигурации «маршрутизатор на палочке» может быть установка Cisco CCME, что подразумевает необходимость отделить VoIP сеть, состоящую из ваших ip-телефонов, от общей сети, где находятся рабочие станции и сервера.

Тегирование vlan

В целом, для понимания процесса тегирования, нужно разделять пакеты данных на входящие (входящие «с сетевого провода») и исходящие (исходящие «в провод»).

Входящие нетегированные пакеты, поступающие на порт, помещаются в так называемый «родной» vlan. Если коммутатор настроен на использование нескольких vlan, вам необходимо указать, к какому именно vlan принадлежит входящий нетегированный пакет.

Входящие тегированные пакеты, поступающие на порт, будут тегированы, и больше ничего вы не сможете с ними сделать. Если коммутатор не умеет работать с тегированием и не знает точной информации о vlan, он будет отбрасывать такие пакеты. Также можно принудительно указать коммутатору принимать только тегированные или же нетегированные пакеты.

Для исходящих нетегированных пакетов вы можете выбрать один vlan на каждом порту, где пакеты тегироваться не будут, т.к. хосты обычно не поддерживают тегирование и не смогут расшифровать такой пакет. Примером такого хоста является ПК, принтер и т.п.

Для исходящих нетегированных пакетов процесс происходит так: вам нужно указать коммутатору, какие из vlan-ов нужно сделать доступными на порту, и если их более одного, то все, за исключением одного, будут тегироваться в любом случае.

VLAN (от англ. Virtual Local Area Network) – логическая («виртуальная») локальная компьютерная сеть, имеющая те же свойства, что и физическая локальная сеть.

Проще говоря, VLAN – это логический канал внутри физического.

Данная технология позволяет выполнять две противоположные задачи:

1) группировать устройства на канальном уровне (т.е. устройства, находящиеся в одном VLAN’е), хотя физически при этом они могут быть подключены к разным сетевым коммутаторам (расположенным, к примеру, географически отдаленно);

2) разграничивать устройства (находящиеся в разных VLAN’ах), подключенные к одному коммутатору.

Иначе говоря, VLAN ‘ы позволяют создавать отдельные широковещательные домены. Сеть любого крупного предприятия, а уж тем более провайдера, не может функционировать без применения VLAN’ов.

Применение данной технологии дает нам следующие преимущества:

  • группировка устройств (к примеру, серверов) по функционалу;
  • уменьшение количества широковещательного трафика в сети, т.к. каждый VLAN — это отдельный широковещательный домен;
  • увеличение безопасности и управляемости сети (как следствие первых двух преимуществ).

Приведу простой пример: допустим, есть хосты, включенные в коммутатор, который, в свою очередь, подсоединен к маршрутизатору (рис. 1). Предположим, у нас есть две локальные сети, соединенные одним коммутатором и выходящие в интернет через один роутер. Если не разграничить сети по VLAN’ам, то, во-первых, сетевой шторм в одной сети будет оказывать влияние на вторую сеть, во-вторых, с каждой сети можно будет «вылавливать» трафик другой сети. Теперь же, разбив сеть на VLAN’ы, мы фактически получили две отдельные сети, связанные между собой роутером, то есть L3 (сетевым уровнем). Весь трафик проходит из одной сети в другую через роутер, а доступ теперь работает только на уровне L3, что значительно облегчает работу администратора.

Тегирование

Тегирование – процесс добавления метки VLAN’a (он же тег) к фреймам трафика.

Как правило, конечные хосты не тегируют трафик (например, компьютеры пользователей). Этим занимаются коммутаторы, стоящие в сети. Более того, конечные хосты и не подозревают о том, что они находятся в таком-то VLAN’е. Строго говоря, трафик в разных VLAN’ах чем-то особенным не отличается.

Читайте также:  Pci ven 8086 dev 1c3a cc 078000

Если через порт коммутатора может прийти трафик разных VLAN’ов, то коммутатор должен его как-то различать. Для этого каждый кадр должен быть помечен какой-либо меткой.

Наибольшее распространение получила технология, описанная в спецификации IEEE 802.1Q. Также существую и другие проприетарные протоколы (спецификации).

802.1q

802.1q – это открытый стандарт, описывающий процедуру тегирования трафика.

Для этого в тело фрейма помещается тег (рис.2), содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Размер метки (тега) всего 4 байта. Состоит из 4-х полей (рис.3):

    Tag Protocol >

Если трафик теггируется, или наоборот — метка убирается, то контрольная сумма фрейма пересчитывается(CRC).

Native VLAN(нативный VLAN)

Стандарт 802.1q также предусматривает обозначение VLAN’ом трафика, идущего без тега, т.е. не тегированного. Этот VLAN называется нативный VLAN, по умолчанию это VLAN 1. Это позволяет считать тегированным трафик, который в реальности тегированным не является.

802.1ad

802.1ad — это открытый стандарт (аналогично 802.1q), описывающий двойной тег (рис.4). Также известен как Q-in-Q, или Stacked VLANs. Основное отличие от предыдущего стандарта — это наличие двух VLAN’ов — внешнего и внутреннего, что позволяет разбивать сеть не на 4095 VLAN’ов, а на 4095х4095.

Так же наличие двух меток позволяет организовывать более гибкие и сложные сети оператора. Так же, бывают случаи, когда оператору нужно организовать L2 соединение для двух разных клиентов в двух разных городах, но трафик клиенты посылают трафик с одним и тем же тегом(рис.5).

Клиент-1 и клиент-2 имеют филиалы в городе А и Б, где имеется сеть одного провайдера. Обоим клиентам необходимо связать свои филиалы в двух разных городах. Кроме того, для своих нужд каждый клиент тегирует трафик 1051 VLAN’ом. Соответственно, если провайдер будет пропускать трафик обоих клиентов через себя в одном единственном VLAN’е, авария у одного клиента может отразиться на втором клиенте. Более того, трафик одного клиента сможет перехватить другой клиент. Для того, чтобы изолировать трафик клиентов, оператору проще всего использовать Q-in-Q. Добавив дополнительный тег к каждому отдельному клиенту (например, 3083 к клиенту-1 и 3082 к клиенту-2), оператор изолирует клиентов друг от друга, и клиентам не придется менять тег.

Состояние портов

Порты коммутатора, в зависимости от выполняемой операции с VLAN’ами, делятся на два вида:

  • тегированный (он же транковый порт, trunk, в терминалогии cisco) — порт, который пропускает трафик только с определенным тегом;
  • нетегированный (он же аксесный, access, в терминалогии cisco) — входя в данный порт, нетегированный трафик «обертывается» в тег.

По назначению порта в определённый VLAN существует два подхода:

  • Статическое назначение — когда принадлежность порта VLAN’у задаётся администратором;
  • Динамическое назначение — когда принадлежность порта VLAN’у определяется в ходе работы коммутатора с помощью процедур, описанных в специальных стандартах, таких, например, как 802.1X.

Таблица коммутации

Таблица коммутации при использовании VLAN’ов выглядит следующим образом (ниже приведена таблица коммутации коммутатора, не поддерживающего работу во VLAN’ах):

ПортMAC-адрес
1A
2B
3C

Если же коммутатор поддерживает VLAN’ы, то таблица коммутации будет выглядеть следующим образом:

ПортVLANMAC-адрес
1345A
2879B
3defaultC

где default — native vlan.

Протоколы, работаю с VLAN

GVRP( его аналог у cisco — VTP) — протокол, работающий на канальном уровне, работа которого сводиться к обмену информации об имеющихся VLAN’ах.

MSTP(PVSTP, PVSTP++ у cisco) — протокол, модификация протокола STP, позволяющее строить «дерево» с учетом различных VLAN’ов.

LLDP(CDP, у cisco) — протокол, служащий для обмена описательной информацией о сети, в целом, кроме информации о VLAN’ах также распространяет информацию и о других настройках.

5 комментариев

У меня несколько замечаний к вашей статье. начну с содержательных моментов. Во-первых, что такое влан? Что такое широковещательный домен? Ваша статья предназначена всезнающим программистам (хотя они и так знают все, о чем вы пишете), или людям, которые не являются специалистами в данной области, но хотели бы получить определенные знания? Далее: Я должен понять, что такое теггрирование, прочитав : «Как правило, конечные хосты не теггируют трафик(например, компьютеры пользователей)» ? Так что такое теггирование? Вы сами то это понимаете ?
Кроме всего вышесказанного, проверьте Вашу статью на наличие пунктуационных и стилистических ошибок, благо их там в избытке.
С уважением, читатель

Борис, спасибо за ваши комментарии, мы учтем, все ваши пожелания. Опыт работы есть — опыта изложения нет. Статья про широковещательный домен будет, чуть позже. На счет ошибок,тоже в курсе, скоро у нас будет свой корректор. Если у вас есть вопросы, вы можете написать мне лично — sam@netwild.ru, или тут же — в комментариях

Не вижу недостатков. Очень полезная и достаточная статься. Название статьи соответствует содержанию. VLAN, broadcast domain и прочие подробности — значительно могли бы утяжелить статью. По опыту — стоит ступенчато переваривать информацию, а не мешать всё в один котёл.
Пробовала разобраться в деталях VLAN в англоязычных источниках, всё понимала до темы тегирования и native VLAN. Ваша статья заполнила все проблемы.
Спасибо за статью.

не вижу недостатков стандартов 802.1Q u 802.1ad?

Вижу Коментарии давно были
Но одно могу сказать, СПАСИБО
Не мог разобраться до этого в QinQ , теперь могу
Просьба дайте ссылку на форумы где вы именно участвуете
потому что вы излагаете информацию простыми словами, понятным всем.

Рекомендуем к прочтению

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code

Adblock detector