Теґований порт: що це таке?

Тегований порт виходить після операції маркування VLAN, також відомої, як Frame Tagging. Це метод, розроблений Cisco, для доступних пакетів, що проходять магістральним каналом. Коли кадр Ethernet перетинає цю лінію зв 'язку, приймаюча сторона не має ніякої інформації про використання віртуальних мереж.

Історія стандарту

У колишні часи, коли не існувало комутаторів і VLAN, мережа підключалася через концентратори і розміщувалася на всіх мережевих хостах в одному сегменті Ethernet. Це було одне з основних обмежень надійності, тому що всі хости знаходилися в одному будинку колізій, і якщо два хости спрацьовували одночасно, дані "стикалися" і переправлялися повторно. Комутатори були введені в систему для вирішення цієї проблеми.


Існує два види комутаторів для тегованих і нетейованих портів:

  • Базові, які називають "некерованими" з простою функціональністю. У них немає налаштовуваної підтримки VLAN. Це означає, що всі хости на ньому є частиною одного і того ж широкомовного домену.
  • Керовані, що дозволяють розділяти трафік за допомогою VLAN. Вони сьогодні широко поширені, хоча і некеровані комутатори все ще численні.

Досягнення цілей надійності системи передачі пов 'язане з підключенням всіх груп хостів до власного комутатора. Іноді це робиться для управління трафіком. На жаль, це ще занадто дорогий процес, тому часто користувачі віддають перевагу мережі VLAN. Концепція VLAN - це віртуальний комутатор. Основна функція - поділ трафіку. Хости в одній не можуть зв 'язуватися з хостами в іншій без додаткових послуг. Прикладом сервісу є маршрутизатор для передачі пакетів по віртуальній лінії.

Принцип маркування кадрів

Однією з причин розміщення хостів і тегованих портів в окремих мережах VLAN є обмеження кількості широкомовних повідомлень в мережі. IPv4, наприклад, спирається на трансляції. Поділ цих вузлів буде обмежено.

Нижче наведено звичайний кадр Ethernet, наявність обов 'язкових даних:

  • MAC-адреса джерел та їх призначень;
  • поле, тип/довжина;
  • корисне навантаження;
  • FCS для цілісності.

До кадру додано чотирибайтовий тегований порт VLAN, що включає ідентифікатор віртуальної лінії. Він знаходиться відразу після вихідного MAC і має довжину 12 біт, що забезпечує теоретичний максимум - можливість створення 4096 віртуальних ліній. На практиці існує кілька зарезервованих VLAN залежно від постачальника.


802.1 Q - діючий стандарт IEEE VLAN (Virtual LAN), що встановлює маркування і тегування трафіку з метою передачі даних по конкретній віртуальній інтернет мережі. Рівень OSI 802.1 Q для роботи за технологією тегитованих портів - канальний, фрейм встановлює тег (vlanid), за яким визначають приналежність тегитованого трафіку. Навпроти нетейований, що не має маркера і VLAN ID, встановленого в l2-фрейм розмірі 12 бітного поля. Межі показів від 0 до 4096.

Де:

  • 0 і 4096 - резерв даних для застосування системою;
  • 1 - дефолтний.

Основи тегування VLAN

Теговані порти з підтримкою VLAN зазвичай класифікуються одним з двох способів: з тегами або без тегів. Вони також можуть згадуватися як "транк" або "доступ". Призначення позначеного або "транкового" порту складається з трафіку з кількома віртуальними лініями, тоді як немаркований має доступ до трафіку тільки для одного. Магістральні порти пов 'язують комутатори і кінцевих користувачів, і вимагають більшої кількості процедур для тегованих портів. Обидва кінці посилання повинні мати загальні параметри:

  • Інкапсуляція.
  • Дозволені VLAN.
  • Рідний VLAN.

Незважаючи на те, що канал може бути успішно налаштований, потрібно, щоб обидві сторони каналу були налаштовані однаково. Невідповідність власної або дозволеної віртуальної лінії може мати непередбачені наслідки. Неспівпадаючі на протилежних сторонах магістралі можуть ненавмисно створити "перескок VLAN". Часто це метод навмисної атаки, він являє собою відкриту загрозу безпеці.

Метод Cisco

Магістральні канали передавальних кадри (пакети) VLAN, дозволяють з 'єднувати кілька комутаторів разом і незалежно налаштовувати кожен порт для віртуальної лінії. Маркування VLAN є методом, розробленим Cisco, щоб допомогти ідентифікувати пакети, що проходять магістральним каналом.


Наприклад, при використанні двох комутаторів Catalyst серії 3500 і одного маршрутизатора Cisco 3745, підключених через магістральні лінії. З 'єднувальні лінії надають можливість вибору з віртуальних ліній. Робочі станції приєднуються безпосередньо до каналу доступу. Порти налаштовані тільки для одного членства.

Називаючи порт Link Access (Лінія доступу) або Trunk Link (Магістральний зв 'язок), йому надаються певні налаштування, наприклад, канал доступу або Trunk-канал у разі, коли він становить 100 Мбіт і більше. Таким чином, висхідна лінія зв 'язку комутатора - це завжди магістральний зв' язок, а будь-який звичайний, до якого підключають робочу станцію - це порт доступу.

Відмінності між лінією доступу та магістральною лінією наведені нижче:

  • Лінія доступу - це посилання, яке є частиною однієї VLAN і зазвичай вони доступні кінцевим споживачам.
  • Будь-який пристрій, приєднаний до каналу, не знає про участь у VLAN.
  • Доступні з 'єднання розуміють суворі стандартні кадри Ethernet, роутери видаляють будь-яку інформацію VLAN з кадру перед тим, як вона буде відправлена на пристрій лінії доступу.
  • Магістральний канал обробляє множинний VLAN-трафік і зазвичай застосовується для підключення комутаторів до роутерів.

Для VLAN-кадру комутатор Cisco пропонує різні методи маркування VLAN-фрейму, при цьому магістральний зв 'язок не призначено віртуальною лінією. Більшість трафіку VLAN транспортується між комутаторами з використанням однієї фізичної магістральної лінії.

Додавання тега до кадру Ethernet

Багато користувачів до кінця не розуміють, що це - тегований порт. насправді тег VLAN прибуває в кадр Ethernet за MAC-адресою. Маркування кадрів - це технологія, яка використовується для існуючих пакетів. Тег Frame розміщується в кадрі, який є членом віртуальної лінії. Якщо він має магістральний порт, то кадр перенаправляється через магістральну лінію. Це дозволяє конкретному комутатору бачити, до якого VLAN належить тег. Передача кадрового комутатора видаляє ідентифікатор, тому інформація про членство закрита для кінцевих пристроїв.

Існують різні технології транкінгу - це теговані порти VLAN в технології Cisco:


  • Inter-Switch Link (ISL) - маркування кадрів мережі Cisco. Система пропонує підтримку від інших постачальників старих моделей роутерів.
  • IEEE 802.1Q - тегування кадрів промислового стандарту IEEE.
  • Емуляція LANE - використовується для зв 'язку з існуючими VLAN.
  • 10 (FDDI) - протокол для надсилання інформації VLAN через FDDI.

Протокол маркування ISL

ISL (міжмережевий комутатор) - це власний протокол Cisco, який використовується тільки для каналів Gigabit Ethernet як комутатори і роутери, і називається "зовнішнім маркуванням". Це означає, що протокол Ethernet не змінює кадр, в ньому є тег VLAN, і він включає в себе новий 26-байтовий заголовок, додаючи послідовність перевірок 4-байтового кадру (FCS) в кінці поля. Незважаючи на це додаткове навантаження, ISL підтримує до 1000 VLAN і не створює затримок при передачі даних між магістральними лініями.

Cisco, коли він налаштований на використання ISL, застосовує як протокол маркування транку. ISL і поля FCS можуть мати довжину 1548 байт при максимально можливому розмірі кадру 1518 байт, що робить ISL "гігантським" кадром. Крім того, він використовує мережу (PVST) в кожній віртуальній лінії. Цей метод дозволяє оптимізувати розміщення кореневого комутатора для доступної лінії.


Стандарт IEEE 802.1Q

Він був створений групою IEEE для вирішення проблем поділу великих мереж на більш дрібні і керовані з використанням VLAN. Цей стандарт є альтернативою Cisco ISL для забезпечення сумісності і повної інтеграції з існуючою мережевою інфраструктурою. IEEE 802.1Q є найбільш популярним і широко використовуваним в орієнтованих на Cisco мережевих установках, що дозволяє розраховувати на сумісність і можливість майбутніх оновлень. Крім проблем сумісності, є ще кілька причин, через які інженери надають перевагу цьому методу тегування. Вони включають:

  • Підтримка 4096 VLAN.
  • Вставка 4-байтового тега без інкапсуляції.
  • Менші розміри кадру порівняно з ISL.
  • 4-байтовий тег, вставлений в існуючий кадр Ethernet відразу після MAC-адреси джерела. Через додаткову 4-байтову мітку мінімальний розмір кадру Ethernet II збільшується з 64 байтів до 68 байтів, а максимальний його розмір тепер становить 1522 байти.

Максимальний розмір Ethernet значно менший (на 26 байтів) при використанні параметрів тегів IEEE 802.1Q, тому він буде набагато швидшим, ніж ISL. Проте Cisco рекомендує використовувати тегування ISL у власному середовищі. Це означає, якщо у користувача є 10 VLAN, то також буде 10 примірників STP, які беруть участь у комутаторах. У разі відмінних від Cisco, для всіх буде підтримуватися тільки 1 екземпляр STP. Вкрай важливо, щоб VLAN для магістралі IEEE 802.1Q була однаковою для обох кінців магістрального каналу.

Емуляція локальної мережі LANE

Емуляція ЛВС була введена для прийняття рішень про необхідність створення VLAN-мереж по каналах WAN, дозволяючи адміністратору мережі визначати робочі групи на основі логічної функції, а не на основі місця розташування. Існують віртуальні локальні мережі між віддаленими офісами, незалежно від їх місця розташування. LANE не дуже поширений, проте користувачі не повинні ігнорувати його.


LANE створена Cisco в 1995 році у випуску IOS версії 11.0. При реалізації між двома з 'єднаннями точка-точка мережі WAN стає повністю прозорою для кінцевих користувачів:

  • Кожна локальна мережа або власний вузол банкомату, наприклад, комутатор або маршрутизатор, показує, що підключений до мережі через спеціальний програмний інтерфейс, який називається "Клієнт емуляції локальної мережі".
  • Клієнт LANE працює з мережею емуляції локальної мережі (LES) для обробки всіх повідомлень і пакетів.
  • Специфікація LANE визначає сервер налаштування мережі локальної мережі (LECS), служби, що працюють всередині комутатора ATM або сервера, підключеного до ATM, який знаходиться в мережі і дозволяє адміністратору контролювати, які локальні мережі об 'єднуються для формування VLAN.

Алгоритм налаштування Windows 2012 Server

Попередньо, якщо користувач хоче налаштувати одну VLAN для інтерфейсів, потрібно перейти в розділ "Мережеві з 'єднання" - > "Властивості" - > "Додатково", вибрати поле VLAN I "і додати відповідне значення. Якщо потрібно налаштувати декілька VLAN для одного і того ж інтерфейсу, необхідно вказати значення VLAN ID, вказане значення 0, інакше лінія не працюватиме.

Під час використання Windows 2012 Server користувачеві необхідно налаштувати декілька тегованих портів. Це можна реалізувати на одному мережевому інтерфейсі з підключенням локального сервера і з об 'єднанням мережевих карт.

Порядок операцій:

  • Створюють нову команду з єдиним інтерфейсом (TEAMS- > TASKS- > New TEAM), вибирає потрібний інтерфейс, наприклад, 40GbE, і дають йому назву.
  • Вибирають вікна "Адаптер та інтерфейси", натискають "Встановити" - > "Додати інтерфейс".
  • Налаштовують конкретну VLAN і натискають OK, для того щоб додати інший інтерфейс VLAN.
  • Призначають IP-адресу новому інтерфейсу, пошук "Мережеві підключення" і пошук потрібного інтерфейсу VLAN.
  • Потім налаштовують IP.

Таким чином, можна підбити підсумок, що теговані порти VLAN - це стандарт, який використовується для ідентифікації пакету через MAC-адресу. Операція абсолютно прозора для кінцевих пристроїв і забезпечує рівень необхідної безпеки в мережі.