Каждый физический порт коммутатора имеет параметр, называемый идентификатор порта VLAN (PVID). Этот параметр используется для того, чтобы определить, в какую VLAN коммутатор направит входящий немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт (внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификатор VID , равный PVID порта, на который они были приняты). Этот механизм позволяет одновременно существовать в одной сети устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q .
Коммутаторы, поддерживающие протокол IEEE 802.1Q , должны хранить таблицу, связывающую идентификаторы портов PVID с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторов VID , сколько поддерживает данная модель коммутатора.
Если на коммутаторе не настроены VLAN , то все порты по умолчанию входят в одну VLAN с PVID = 1 .
Продвижение кадров VLAN IEEE 802.1Q
Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих видов правил.
HUAWEI Access Network Feature Description-VLAN Communications V1.0
- Правила входящего трафика (ingress rules) — классификация получаемых кадров относительно принадлежности к VLAN .
- Правила продвижения между портами (forwarding rules) — принятие решения о продвижении или отбрасывании кадра.
- Правила исходящего трафика (egress rules) — принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей.
Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN , а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе формата принятого кадра.
Классификация кадра по принадлежности VLAN осуществляется следующим образом:
- если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентификатором VID , равным идентификатору PVID порта, через который этот кадр был принят;
- если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по идентификатору VID в заголовке кадра. Значение тега в нем не изменяется.
Активизировав функцию проверки формата кадра на входе, администратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием портами либо только маркированных кадров (tagged_only), либо обоих типов кадров — маркированных и немаркированных (admitall).
Внимание: внутри коммутатора все кадры являются маркированными.
Правила продвижения между портами осуществляют принятие решения об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника.
HUAWEI Access Network Feature Description-QinQ VLAN And Stacking VLAN V1.0
Рис. 6.8. Правила входящего трафика
Если входящий кадр маркированный, то коммутатор определяет, является ли входной порт членом той же VLAN , путем сравнения идентификатора VID в заголовке кадра и набора идентификаторов VID , ассоциированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering ( входной фильтрацией ) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN , что и входной порт, на стадии их приема.
Если кадр немаркированный, входная фильтрация не выполняется.
Далее определяется, является ли порт назначения членом той же VLAN . Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN , то коммутатор передает кадр в подключенный к нему сегмент сети.
Рис. 6.9. Правила исходящего трафика
Правила исходящего трафика определяют формат исходящего кадра — маркированный или немаркированный. Если выходной порт является немаркированным (untagged), то он будет извлекать тег 802.1Q из заголовков всех выходящих через него маркированных кадров. Если выходной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров.
На рис. 6.10 — 6.13 приведен пример передачи немаркированного и маркированного кадра через маркированный и немаркированный порты коммутатора.
Источник: intuit.ru
gnom_virtuoz
В продолжение прошлого поста про VLAN на модемах Промсвязь. Как выяснилось, модемы Промсвязь не умеют тегировать пакеты на Ethernet портах, в связи с чем было не понятно, каким образом можно повесить сервер на несколько VLAN и можно ли вообще.
Обчитавшись интернетов на счет этой технологии, я никак не мог понять, для чего нужны эти PVID. Ибо получается так, создаем VLAN, указываем какие порты в него входят, и затем в отдельном поле еще указываем к какому VLAN принадлежит конкретный порт. ЗАЧЕМ?! Зачем в двух местах указывать принадлежность порта к определенному VLAN? Вот это никак не давало мне покоя.
И как назло во всех манах и форумах, про эти PVID пишется вскользь и очень туманно.
После нескольких часов гугления я таки нарыл связь между определениями PVID и асимметричные VLAN.
Оказывается, эти PVID нужны для того, что бы иметь возможность объеденять не тегированные порты в несколько VLAN. Что при построении симметричных VLAN не возможно. Как правило, если надо по одному порту гонять трафик из нескольких VLAN, то нужно сделать это порт тегированным, что бы он помечал какой пакет, какому VLAN принадлежит. Что собственно логично.
Таким образом, при помощи этих PVID мы получаем возможность гонять не тегированный трафик за пределами коммутатора и при этом иметь возможность держать несколько VLAN на не тегированном порту. О как.
Бедный мой моск, сколько же ему сегодня пришлось переварить инфы и профильтровать мегатайты флуда на форумах. Ибо инфа с хорошим разъяснением работы ассиметричных VLAN очень плохо гуглится, в основном только примеры «сделайте так и так и будет у вас счатье, трафик будет ходить так и вот так», а понять что либо из примера как оно работает внутри что и куда ходит, довольно сложно. Очень хорошо в понимании работы ассиметричных VLAN помог случайно свалившийся официальный мануал по коммутаторам D-link. Если кому надо, могу поделиться.
Источник: gnom-virtuoz.livejournal.com
Cisco коммутаторы: как настроить гибридный (hybrid) порт кратко
Задача: настроить на коммутаторе Cisco гибридный порт: т.е. порт, который будет иметь возможность принимать как tagged пакеты, распихивая их по соответствующим VLANам, так и untagged (обычные), считая, что это пакеты еще одного отдельного VLAN.
В отличие, от, например, 3Com, у коммутаторов Cisco такого понятия, как гибридный порт — не существует. Любой порт коммутатора может работать либо в Trunk режиме, либо в Access.
Понятно, что в Access коммутатор будет принимать только untagged пакеты и класть их в указанный VLAN. А гибридный режим можно организовать через Trunk. Для этого существует так называется Native VLAN — он указывается для каждого порта отдельно и является для коммутатора указателем — в какой VLAN ложить нетаггированные пакеты, пришедшие на порт или уходящие с порта.
Итак, давайте продемонстрируем это на практике. Логинимся на Cisco и переходим в режим конфигурации, после чего настраиваем порт как гибрид:
>enable
#config t
(config)#interface fa 0/1
(config-if)#switchport mode trunk
(config-if)#switchport native vlan 99 (это нетагированный влан для
hybrid-режима)
(config-if)#switchport trunk allowed vlan aa,bb,cc,99
(замечаем, что здесь тоже нужно добавить этот влан)
(config-if)#end
Как указано в коде, мы оперируем портом FastEthernet 0/1 и указываем, что untagged пакеты будут считаться пакетами из VLAN 99. При этом tagged пакеты допустимы из VLAN aa, bb, cc и dd (вместо этих букв, конечно, нужно подставлять номера VLANов).
Хочется особо указать на тот факт, что VLAN для нетаггированных пакетов нужно указывать в двух местах (обязательно): как Native VLAN и как Trunk Allowed VLAN. Если в Native VLAN указана сеть, а в Allowed ее нет — то и работать untagged не будет. Hybrid port — это особый тип интерфейса 2го уровня.
Подобно интерфейсу типа trunk, интерфейс hybrid может передавать данные из нескольких VLAN а также определить наличие vlan тега внутри фрейма. С другой стороны, гибридные интерфейсы также можно использовать для развертывания IP-подсетей на основе VLAN. Ниже мы рассмотрим настройку гибридного интерфейса для нескольких сценариев использования.
1. Гибридный интерфейс используется для подключения к ПК.
На приведенном выше рисунке компьютер PC1 подключен к интерфейсу GE0/0/1 коммутатора SW1. Теперь настроим интерфейс GE0/0/1 коммутатора SW1 следующим образом: [SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type hybrid Приведенная выше команда используется для настройки интерфейса как hybrid. Возьмем в качестве примера коммутатор S5300.
По умолчанию интерфейс имеет гибридный тип, а для VLAN 1 выбран вариант PVID (VLAN по умолчанию) и разрешена сквозная передача. (Параметр port hybrid untagged vlan 1 настроен по умолчанию.) Следовательно, в этом сценарии компьютер PC1 и коммутатор SW1 могут обмениваться данными, если на коммутаторе SW1 задан IP-адрес 192.168.10.0/24 для Vlanif1. В данном случае считается, что компьютер PC1 относится к сети VLAN 1. Если мы хотим отнести компьютер PC1 к сети VLAN 10, настройка изменится следующим образом: ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type hybrid [SW1-GigabitEthernet0/0/1] port hybrid pvid vlan 10 [SW1-GigabitEthernet0/0/1] port hybrid untagged vlan 10 [SW1] interface Vlanif 10 [SW1-Vlanif10] ip address 192.168.10.3 24 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ В описанной выше настройке команда port hybrid pvid vlan 10 изменяет PVID интерфейса на 10, чтобы нетегированный кадр, отправленный с компьютера PC1 и принятый интерфейсом, считался кадром из сети VLAN 10.
Команда port hybrid untagged vlan 10 добавляет интерфейс к VLAN 10, чтобы позволить кадру, отправленному с компьютера PC1, попасть через GE0/0/1 на коммутатор. Кроме того, эта команда позволяет коммутатору отправлять кадры VLAN 10 с порта GE0/0/1 без тегов. Следовательно, после завершения вышеупомянутой настройки компьютер PC1 считается принадлежащим сети VLAN 10 и может отправлять ping-запросы на IP-адрес интерфейса vlanif10 коммутатора SW1: 192.168.10.3. Стоит отметить, что после того как кадр, отправленный с компьютера PC1, приходит на коммутатор SW1, SW1 прозрачно пересылает кадр данных, отправленный с GE0/0/15, наличие тега зависит от настройки интерфейса GE0/0/15.
2. Гибридный интерфейс используется для подключения к коммутатору.
На приведенном выше рисунке коммутаторы SW1 и SW2 подключены к компьютерам PC1 и PC2 соответственно. Мы настраиваем GE0/0/1 на двух коммутаторах в качестве интерфейсов доступа и добавляем их к сети VLAN 10. Затем настраиваем GE0/0/15 на коммутаторе SW1 как интерфейс между коммутаторма и разрешаем сквозную передачу VLAN 10. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [SW1-GigabitEthernet0/0/15] port link-type trunk [SW1-GigabitEthernet0/0/15] port trunk allow-pass vlan 10 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Далее переходим к интерфейсу GE0/0/15 на коммутаторе SW2. Допустим, используется гибридный тип (типы интерфейсов коммутаторов на обоих концах канала связи обычно одинаковы). Поскольку интерфейс (GE0/0/15 на SW1) отправляет кадр сети VLAN 10 в режиме тег, интерфейс GE0/0/15 на SW2 также должен обрабатывать данные VLAN 10 в режиме тег: ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [SW2-GigabitEthernet0/0/15] port link-type hybrid [SW2-GigabitEthernet0/0/15] port hybrid tagged vlan 10 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Команда port hybrid tagged vlan 10 используется для добавления GE 0/0/15 к сети VLAN 10 и сквозной передачи кадров VLAN в тегированном режим.
Далее рассмотрим другую ситуацию:
Коммутатор SW1 подключен к сетям VLAN 10, 20 и 1000. Теперь интерфейс GE0/0/15 на коммутаторе SW1 настраивается следующим образом: ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [SW1-GigabitEthernet0/0/15] port link-type trunk [SW1-GigabitEthernet0/0/15] port trunk allow-pass vlan 10 20 1000 [SW1-GigabitEthernet0/0/15] port trunk pvid vlan 1000 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Когда коммутатор SW1 отправляет кадр через GE0/0/15, он использует тегированный кадр для VLAN 10 и VLAN 20 и нетегированный для VLAN 1000. Допустим, коммутатор SW2 подключен к SW1 с гибридным интерфейсом. Настройка должна выполняться так: ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [SW2-GigabitEthernet0/0/15] port link-type hybrid [SW2-GigabitEthernet0/0/15] port hybrid tagged vlan 10 20 [SW2-GigabitEthernet0/0/15] port hybrid pvid vlan 1000 [SW2-GigabitEthernet0/0/15] port hybrid untagged vlan 1000
Источник: intellect.icu