NetBash.ru

Общие понятия

VLAN - виртуальные локальные сети, позволяют разбивать локальную сеть на подсети, ограничивая широковещательный трафик. Разбиение происходит на канальном уровне
С помощью технологии vlan офис может быть разбит на разные рабочие группы и в зависимости от названия vlan, иметь разный уровень доступа к ресурсам, трафик внутри коммутатора разделяется логически, т.е. нет необходимости использовать отдельный коммутатор для каждой рабочей группы.

VLAN на основе портов

VLAN ( Port Based ) - каждый порт назначается в определенную vlan
vlan на основе портов применяется в пределах одного коммутатора ( для небольшой сети, информация о принадлежности к vlan не передается в кадре, а только добавляется в адресную таблицу коммутатора
Для настройке нужным портам присваивается номер vlan
Для каждого порта присваивается только один vlan

VLAN IEEE 802.1Q

Стандарт IEEE 802.1Q добавляет в кадр Ethernet 32 бита информации, которая содержит информацию о принадлежности к стандарту vlan и типу сети, приоритет ( Priority ), VID (VLAN ID)

Технология VLAN IEEE 802.1Q использует дополнительные поля в кадре для присвоения принадлежности к vlan при его передачи по сети
Такой тип vlan можно использовать не только в пределах одного коммутатора, но только если по пути будет поддерживаться та же технология IEEE 802.1Q. Также данная технология позволяет использовать алгоритм связывающего дерева (Spanning Tree), который устраняет так называемые петли в сети
Устройства поддерживающие стандарт, могут работать вместе независимо от производителя уст-ва

Для обмена трафика между двумя коммутаторами 2 уровня разных подсетей, используется маршрутизатор, которые пересылает маркированные кадры в другой коммутатор в соответствующий vlan используя магистральный канал ( trunk )

tagging - маркировка или добавления информации о vlan в заголовок кадра
VLAN ID ( VID ) - идентификатор vlan
port VLAN ID ( PVID ) - идентификатор порта vlan. Ingress port - входной порт порт, на который поступают кадры, и проверяется принадлежность к VLAN.
Egress port - выходной порт, с которого передаются кадры на другие устройства и принимается решении о маркировке исходящего кадра
untagged - это функция которая позволяет настраивать vlan для работы с другими устройствами поддерживающими стандарт IEEE 802.1Q
tagged - функция позволяет работать с устройствами, которые не поддерживают маркированные кадры

PVID

PVID определяет в какой vlan отправить входящий немаркированный кадр, немаркированному кадру присваивается VID внутри коммутатора, в соответствии с PVID порта на порт с таким же PVID
Коммутатор поддерживающий IEEE 802.1Q должен содержать таблицу соответствия PVID и VID

Продвижение трафика IEEE 802.1Q

Трафик продвигается в соответствии с правилами:

ingress rules - правила входящего трафика, вопрос о принадлежности кадра к определенной vlan
forwarding rules - правила продвижения между портами, решается продвигать или отбрасывать кадр
egress rules - правила исходящего трафика, решает вопрос о сохранении или удалении тега vlan для исходящего кадра

Админ определяет принимать кадры только маркированные tagged_only или оба вида: маркированные и немаркированныеadmitall
Если кадр маркированный и соответствует PVID, тогда кадр проходит если нет тогда отбрасывается, если кадр немаркированный, PVID присваивается, но только если это не противоречит правилу ingress filtering

В правилах исходящего трафика, немаркированный порт будет извлекать тег vlan из исходящего трафика или наоборот, если порт маркированный, тогда тег в заголовке будет сохранен для исходящего кадра

Настройка VLAN

Удаление и добавление vlan. По умолчанию все порты имеют PVID 1 ( default ), поэтому перед добавлением нового PVID default необходимо удалить

В созданные vlan добавляются порт и указывается правило маркировки