Тегированный порт получается после операции маркировки VLAN, также известной, как Frame Tagging. Это метод, разработанный Cisco, для доступных пакетов, проходящих по магистральному каналу. Когда кадр Ethernet пересекает эту линию связи, принимающая сторона не имеет никакой информации об использовании виртуальных сетей.
История стандарта
В прежние времена, когда не существовало коммутаторов и VLAN, сеть подключалась через концентраторы и размещалась на всех сетевых хостах в одном сегменте Ethernet. Это было одно из основных ограничений надежности, потому что все хосты находились в одном доме коллизий, и если два хоста срабатывали одновременно, данные «сталкивались» и переправлялись повторно. Коммутаторы были введены в систему для решения этой проблемы.
Существует два вида коммутаторов для тегированных и нетегированных портов:
- Базовые, называемые «неуправляемыми» с простой функциональностью. У них нет настраиваемой поддержки VLAN. Это означает, что все хосты на нем являются частью одного и того же широковещательного домена.
- Управляемые, позволяющие разделять трафик с помощью VLAN. Они сегодня широко распространены, хотя и неуправляемые коммутаторы все еще многочисленны.
Достижение целей надежности системы передачи связано с подключением всех групп хостов к собственному коммутатору. Иногда это делается для управления трафиком. К сожалению, это еще слишком дорогостоящий процесс, поэтому часто пользователи предпочитают сеть VLAN. Концепция VLAN — это виртуальный коммутатор. Основная функция — разделение трафика. Хосты в одной не могут связываться с хостами в другой без дополнительных услуг. Примером сервиса является маршрутизатор для передачи пакетов по виртуальной линии.
Принцип маркировки кадров
Одной из причин размещения хостов и тегированных портов в отдельных сетях VLAN является ограничение количества широковещательных сообщений в сети. IPv4, например, опирается на трансляции. Разделение этих хостов будет ограничено.
Ниже приведен обычный кадр Ethernet, наличие обязательных данных:
- MAC-адрес источников и их назначений;
- поле, тип/длина;
- полезная нагрузка;
- FCS для целостности.
К кадру добавлен четырехбайтовый тегированный порт VLAN, включающий идентификатор виртуальной линии. Он находится сразу после исходного MAC и имеет длину 12 бит, что обеспечивает теоретический максимум — возможность создания 4096 виртуальных линий. На практике существует несколько зарезервированных VLAN в зависимости от поставщика.
802.1 Q — действующий стандарт IEEE VLAN (Virtual LAN), устанавливающий маркировку и тегирования трафика с целью передачи данных по конкретной виртуальной интернет сети. Уровень OSI 802.1 Q для работы по технологии тегитированных портов – канальный, фрейм устанавливает тег (vlanid), по которому определяют принадлежность тегитированного трафика. Напротив нетегированный, что не имеет маркера и VLAN ID, установленного в l2-фрейм размере 12 битного поля. Пределы показаний от 0 до 4096.
Где:
- 0 и 4096 — резерв данных для применения системой;
- 1 — дефолтный.
Основы тегирования VLAN
Тегированные порты с поддержкой VLAN обычно классифицируются одним из двух способов: с тегами или без тегов. Они также могут упоминаться как «транк» или «доступ». Назначение помеченного или «транкового» порта состоит из трафика с несколькими виртуальными линиями, тогда как немаркированный имеет доступ к трафику только для одного. Магистральные порты связывают коммутаторы и конечных пользователей, и требуют большего количества процедур для тегируемых портов. Оба конца ссылки должны иметь общие параметры:
- Инкапсуляция.
- Разрешенные VLAN.
- Родной VLAN.
Несмотря на то, что канал может быть успешно настроен, нужно, чтобы обе стороны канала были настроены одинаково. Несоответствие собственной или разрешенной виртуальной линии может иметь непредвиденные последствия. Несовпадающие на противоположных сторонах магистрали могут непреднамеренно создать «перескок VLAN». Часто это метод преднамеренной атаки, он представляет собой открытую угрозу безопасности.
Метод Cisco
Магистральные каналы передающих кадры (пакеты) VLAN, позволяют соединять несколько коммутаторов вместе и независимо настраивать каждый порт для виртуальной линии. Маркировка VLAN является методом, разработанным Cisco, чтобы помочь идентифицировать пакеты, проходящие по магистральному каналу.
Например, при использовании двух коммутаторов Catalyst серии 3500 и одного маршрутизатора Cisco 3745, подключенных через магистральные линии. Соединительные линии предоставляют возможность выбора из виртуальных линий. Рабочие станции присоединяются напрямую к каналу доступа. Порты настроены только для одного членства.
Называя порт Link Access (Линия доступа) или Trunk Link (Магистральная связь), ему придаются определенные настройки, например, канал доступа или Trunk-канал в случае, когда он составляет 100 Мбит и более. Таким образом, восходящая линия связи коммутатора — это всегда магистральная связь, а любой обычный, к которому подключают рабочую станцию — это порт доступа.
Различия между линией доступа и магистральной линией приведены ниже:
- Линия доступа — это ссылка, которая является частью одной VLAN и обычно они доступны конечным потребителям.
- Всякое устройство, присоединенное к каналу, не знает об участии в VLAN.
- Доступные соединения понимают строгие стандартные кадры Ethernet, роутеры удаляют любую информацию VLAN из кадра перед тем, как она будет отправлена на устройство линии доступа.
- Магистральный канал обрабатывает множественный VLAN-трафик и обычно применяется для подключения коммутаторов к роутерам.
Для VLAN-кадра коммутатор Cisco предлагает различные методы маркировки VLAN-фрейма, при этом магистральная связь не назначена виртуальной линией. Большинство трафика VLAN транспортируется между коммутаторами с использованием одной физической магистральной линии.
Добавление тега в кадр Ethernet
Многие пользователи до конца не понимают, что это — тегированный порт. На самом деле тег VLAN прибывает в кадр Ethernet по MAC-адресу. Маркировка кадров — это технология, используемая для существующих пакетов. Тег Frame размещается в кадре, который является членом виртуальной линии. Если он имеет магистральный порт, то кадр перенаправляется через магистральную линию. Это позволяет конкретному коммутатору видеть, к которому VLAN принадлежит тег. Передача кадрового коммутатора удаляет идентификатор, поэтому информация о членстве закрыта для конечных устройств.
Существуют различные технологии транкинга — это тегированные порты VLAN в технологии Cisco:
- Inter-Switch Link (ISL)- маркировка кадров сети Cisco. Система предлагает поддержку от других поставщиков старых моделей роутеров.
- IEEE 802.1Q — тегирование кадров промышленного стандарта IEEE.
- Эмуляция LANE — используется для связи с существующими VLAN.
- 802.10 (FDDI)- протокол для отправки информации VLAN через FDDI.
Протокол маркировки ISL
ISL (межсетевой коммутатор) — это собственный протокол Cisco, используемый только для каналов Gigabit Ethernet в качестве коммутаторов и роутеров, и называется «внешней маркировкой». Это означает, что протокол Ethernet не изменяет кадр, в нем есть тег VLAN, и он включает в себя новый 26-байтовый заголовок, добавляя последовательность проверок 4-байтового кадра (FCS) в конце поля. Несмотря на эту дополнительную нагрузку, ISL поддерживает до 1000 VLAN и не создает задержек при передаче данных между магистральными линиями.
Cisco, когда он настроен на использование ISL, применяет в качестве протокола маркировку транка. ISL и поля FCS могут иметь длину 1548 байт при максимально возможном размере кадра 1518 байт, что делает ISL «гигантским» кадром. Кроме того, он использует связующую сеть (PVST) в каждой виртуальной линии. Этот метод позволяет оптимизировать размещение корневого коммутатора для доступной линии.
Стандарт IEEE 802.1Q
Он был создан группой IEEE для решения проблем разделения больших сетей на более мелкие и управляемые с использованием VLAN. Этот стандарт является альтернативой Cisco ISL для обеспечения совместимости и полной интеграции с существующей сетевой инфраструктурой. IEEE 802.1Q является наиболее популярным и широко используемым в ориентированных на Cisco сетевых установках, что позволяет рассчитывать на совместимость и возможность будущих обновлений. Помимо проблем совместимости, есть еще несколько причин, по которым инженеры предпочитают этот метод тегирования. Они включают:
- Поддержка до 4096 VLAN.
- Вставка 4-байтового тега без инкапсуляции.
- Меньшие конечные размеры кадра по сравнению с ISL.
- 4-байтовый тег, вставленный в существующий кадр Ethernet сразу после MAC-адреса источника. Из-за дополнительной 4-байтовой метки минимальный размер кадра Ethernet II увеличивается с 64 байтов до 68 байтов, а максимальный его размер теперь составляет 1522 байта.
Максимальный размер Ethernet значительно меньше (на 26 байт) при использовании параметров тегов IEEE 802.1Q, поэтому он будет намного быстрее, чем ISL. Тем не менее Cisco рекомендует использовать тегирование ISL в собственной среде. Это означает, если у пользователя есть 10 VLAN, то также будет 10 экземпляров STP, участвующих в коммутаторах. В случае отличных от Cisco, для всех будет поддерживаться только 1 экземпляр STP. Крайне важно, чтобы VLAN для магистрали IEEE 802.1Q была одинаковой для обоих концов магистрального канала.
Эмуляция локальной сети LANE
Эмуляция ЛВС была введена для принятия решений о необходимости создания VLAN-сетей по каналам WAN, позволяя администратору сети определять рабочие группы на основе логической функции, а не на основе местоположения. Существуют виртуальные локальные сети между удаленными офисами, независимо от их местоположения. LANE не очень распространен, тем не менее пользователи не должны игнорировать его.
LANE создана Cisco в 1995 году в выпуске IOS версии 11.0. При реализации между двумя соединениями точка-точка сети WAN становится полностью прозрачной для конечных пользователей:
- Каждая локальная сеть или собственный узел банкомата, например, коммутатор или маршрутизатор, показывает, что подключен к сети через специальный программный интерфейс, который называется «Клиент эмуляции локальной сети».
- Клиент LANE работает с сетью эмуляции локальной сети (LES) для обработки всех сообщений и пакетов.
- Спецификация LANE определяет сервер конфигурации сети локальной сети (LECS), службы, работающие внутри коммутатора ATM или сервера, подключенного к ATM, который находится в сети и позволяет администратору контролировать, какие локальные сети объединяются для формирования VLAN.
Алгоритм настройки Windows 2012 Server
Предварительно, если пользователь хочет настроить одну VLAN для интерфейсов, нужно перейти в раздел «Сетевые подключения» -> «Свойства» -> «Дополнительно», выбрать поле VLAN I» и добавить соответствующее значение. Если нужно настроить несколько VLAN для одного и того же интерфейса, необходимо указать значение VLAN ID, заданное значение 0, иначе линия не будет работать.
При использовании Windows 2012 Server пользователю необходимо выполнить настройку нескольких тегированных портов. Это возможно реализовать на одном сетевом интерфейсе с подключением локального сервера и с объединением сетевых карт.
Порядок операций:
- Создают новую команду с единым интерфейсом (TEAMS-> TASKS-> New TEAM), выбирает нужный интерфейс, например, 40GbE, и дают ему имя.
- Выбирают окна «Адаптер и интерфейсы», нажимают «Задать»-> Добавляют интерфейс.
- Настраивают конкретную VLAN и нажимают ОК, для того чтобы добавить другой интерфейс VLAN.
- Назначают IP-адрес новому интерфейсу, поиск «Сетевые подключения» и поиск нужного интерфейса VLAN.
- Затем настраивают IP.
Таким образом, можно подвести итог, что тегированные порты VLAN — это стандарт, который используется для идентификации пакета через MAC-адрес. Операция совершенно прозрачна для конечных устройств и обеспечивает уровень необходимой безопасности в сети.