Передача трафика двух подсетей по одному кабелю (VLAN)?

Question

[thehisteam]

Здравствуйте! Ребят подскажите с vlan. Есть 2 подсети (с фильтрацией и без фильтрации трафика), между зданиями проложен один кабель, вопрос в том, как правильно передать трафик двух подсетей по одному кабелю через vlan метки. На первом свитче вводной первой сети помечаю VLAN 1, вводной второй подсети VLAN 2, а на втором свитче нужных пользователей добавляю в нужные vlan, правильно?

Или второй вариант: вводной первой сети и порт между свитчами добавляю в VLAN 1, вводной второй подсети и снова порт между свитчами добавляю в VLAN 2, а на конечном свитче нужных пользователей добавляю в соответствующие vlan вместе с вводным портом.

Как верно будет?

Comments

[AntonMZ]

А в чем вопрос то? Что не получается? Или Вы решили теорию тут получить? А попробовать сначала, а уже потом вопросы задавать? =)

[thehisteam]

fomistoklus: switch dlink

[thehisteam]

Anton Zheltyshev: Именно что не получается. Сети для самых маленьких изучил) В теории все понятно, на практике не получается

Answer 1

[throughtheether]

Первый коммутатор:

create vlan 10 tag 10
create vlan 20 tag 20
!ввод 10 влана:
config vlan 10 add untagged 1:1
!ввод 20 влана:
config vlan 20 add untagged 1:2
!транк до другого коммутатора
config vlan 10 add tagged 1:48
config vlan 20 add tagged 1:48

Второй коммутатор (то же самое):

create vlan 10 tag 10
create vlan 20 tag 20
!ввод 10 влана:
config vlan 10 add untagged 1:1
!ввод 20 влана:
config vlan 20 add untagged 1:2
!транк до другого коммутатора
config vlan 10 add tagged 1:48
config vlan 20 add tagged 1:48

Коммутаторы соединить 48 портами. Порты 1 - ввод и вывод влана 10, порты 2 - влана 20.

Вы говорите, что в теории вам все понятно, я вам не верю. Изучите, когда и как на фрейм ставится или снимается тег, вам многое станет ясно.

В данном случае, трафик входит через access-порт (untagged в мире d-link), в случае направления (форвардинга) через транк (tagged), к нему добавляется тег. На втором коммутаторе приходит тегированный фрейм, перенаправляется в соответствующий влану порт. Так как данный влан в данном порту не тегируется, тег снимается.

Comments

[Yamazaki]

>в случае направления (форвардинга) через транк (tagged), к нему добавляется тег.
Мне кажется тут противоречие с вот этим утверждением:
"Весь трафик, приходящий на access порт от конечного устройства, получает метку этого влана, а исходящий уходит без метки".
habrahabr.ru/post/138043

Так тегирует access (untagged) порт кадры или же нет?

[throughtheether]

Мне кажется тут противоречие с вот этим утверждением: "Весь трафик, приходящий на access порт от конечного устройства, получает метку этого влана, а исходящий уходит без метки".

Весь трафик, приходящий на access порт от конечного устройства, получает метку этого влана

Если подразумевается 802.1q метка (тэг), то я не согласен. Например, если на аксесс-порт по влане 10 пришел фрейм, предназначенный для другого хоста в этом же влане, подключенного в аксесс-порт на этом же коммутаторе - откуда здесь новые 802.1q метки?

На мой взгляд, конструктивнее мыслить так:
1) при поступлении фрейма от внешнего хоста на порт коммутатора происходит определение соответствующего влана. Если это аксесс-порт, то фрейм без тэга ассоциируется с соответствующим вланом. Тегированный фрейм, как правило, отбрасывается. Если это транк, то фрейм ассоциируется с вланом, указанным в его 802.1q-заголовке (если он разрешен в этом транке).
2) при перенаправлении фрейма в другой порт он приводится к нужному виду. То есть если он пришел с аксесс-порта и направляется в транк, к нему добавляется 802.1q-заголовок. Если он пришел из транка и направляется в аксесс-порт, 802.1q заголовок снимается. В случае аксесс-аксесс и транк-транк передается без изменений (в общем случае).

Если остались вопросы, спрашивайте.

[Yamazaki]

throughtheether:
>откуда здесь новые 802.1q метки?
Ну вот автор статьи и пишет:
"3) Если получатель подключен к такому же access-порту, то "ленточка" с кадра отвязывается, и кадр отправляется в этот самый порт таким, каким он был изначально. То есть получателю также нет необходимости знать о существовании вланов".
Т.е. здесь утверждается, что кадр, пришедший на access-порт, тегируется в любом случае.
Меня смущает название порта у Длинка - untagged. Мне кажется название неудачное - как будто tagged тегирует, а untagged - нет (еще и теги отрезает для исходящего кадра).

[throughtheether]

Yamazaki: Что именно имел в виду автор статьи может пояснить только он. С учетом нынешних требований к коммутаторам (line-rate и прочая) было бы наивно и контрпродуктивно со стороны производителей сначала тегировать входящий фрейм, а затем, когда окажется, что его необходимо направить в аксесс-порт в том же влане, снимать с него тег, дважды пересчитывая при этом контрольную сумму (FCS).

[Yamazaki]

throughtheether: А я читал брошюрку D-Link "Технологии коммутации современных сетей" и там написано, что
"Правила входящего трафика выполняют классификацию каждого получаемого
кадра относительно принадлежности к определеннойVLAN, а также могут служить для
принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на
основе классификации и формата принятого кадра.
Классификация кадра по принадлежностиVLAN осуществляется следующим
образом:
а) Если кадр не содержит информацию о VLAN (немаркированный кадр), то в его
заголовок коммутатор добавляет тег с идентификаторомVID, равным идентификатору PVID
порта, через который этот кадр был принят.
б) Если кадр содержит информацию оVLAN (маркированный кадр), то его
принадлежность к конкретнойVLAN определяется по идентификаторуVID в заголовке
кадра. Значение тега в нем не изменяется".
Т.е. совпадает с тем, что пишет eucariot. А т.к. он по цискам специализируется, то, вероятно, это не только лишь имплементация D-Link'а, но и вообще стандарт 802.1Q так велит.

[throughtheether]

Если кадр не содержит информацию о VLAN (немаркированный кадр), то в его
заголовок коммутатор добавляет тег с идентификаторомVID, равным идентификатору PVID

О каком теге идет речь? О 802.1q-заголовке? Или о каком-то поле во внутренней структуре данных, представляющих кадр? Если первое, то когда именно добавляется заголовок? Что, если выяснится, что кадр/фрейм надо передать в другой аксесс-порт в этом же влане, что, придется заголовок убирать?

Далее, определитесь, с какой позиции вы подходите к вопросу. Если вы сетевой администратор, то для вас, по большому счету, коммутатор - это черный ящик с некоторыми доступными элементами управления (прописать влан и т.д.). Если так, то для вас главное, как выход коммутатора (т.е. исходящий из коммутатора фрейм) зависит от входа (входящего фрейма) и внутреннего состояния (отображения портов на вланы). Эти закономерности я вам уже обрисовал. При таком подходе, модификатор 'untagged' в настройках порта говорит о том, входящий нетегированный фрейм ассоциируется с указанным вланом, исходящий фрейм, ассоциированный с указанным вланом не тегируется. Аналогично с 'tagged'.

Если вы хотите узнать, как именно коммутатор работает внутри, то вам может частично помочь текст стандарта 802.1Q (частично потому, что детали реализации все равно будут скрыты). Под рукой оказался 802.1Q-2011, далее цитаты из него.

6.9 Support of the EISS
The EISS is supported by tagging and detagging functions that in turn use the ISS (6.6, 6.7).

EISS - по сути надстройка над ISS (система, реализующая бриджинг), добавляющая релевантный вланам функциональность.

6.9.1 Data indications
On receipt of an M_UNITDATA.indication primitive from the Internal Sublayer Service
...
an EM_UNITDATA.indication primitive is invoked, with parameter values determined as
follows:
...
The value of the mac_service_data_unit parameter is as follows:
c)
If the frame is tagged, then the value used is equal to the value of the received
mac_service_data_unit following removal of the tag header.
d)
Otherwise, the value used is equal to the value of the received mac_service_data_unit.

mac_service_data_unit - это по сути фрейм, с которым работает EISS, из пункта c) следует, что перед дальнейшей обработкой заголовок с тэгом (802.1Q) удаляется.

6.9.2 Data requests
On invocation of an EM_UNITDATA.request primitive by a user of the EISS, an M-UNITDATA.request
primitive is invoked, with parameter values as follows:
...
Unless the Bridge Port is a member of the untagged set (8.8.2) for the VID identified by the vlan_identifier
parameter, then a tag header, formatted as necessary for the destination MAC type, is inserted as the initial
octets of the mac_service_data_unit parameter.

При направлении кадра в порт производится тегирование, если только порт не является "untagged" для этого влан. Кстати, по стандарту может быть несколько нетегированных вланов "на выход", и они могут не совпадать с нетегированным вланом "на вход" (PVID).

Answer 2

[Azretik]

Всё правильно описано, не понимаю почему первый же пост не отмечен в качестве решения вопроса. Но на всякий случай простым языком объясню.

В vlan сетях основными понятиями являются trunk и access. access - передача трафика только одной vlan. trunk - передача трафика множества сетей vlan. В режиме trunk подсети могут быть tagged и untagged. К каждому порту присваивается vlan как основной, трафик такой сети является untagged - передаётся как есть. В access - это единственный передаваемый трафик, но для trunk порта - это несущий. В транке остальные сети помечаются как tagged, они упаковываются в спец обертку, которую можно раскрыть на другом конце.

А следовательно мы на одной стороне создаем необходимое количество vlan, все локальные порты коммутатора помечаем в access в зависимости от сети, которую нужно передать к устройству. Порт на передачу в другой коммутатор помечаем как транк, выдаём untagged несущую, остальные vlan вносим как tagged. На другом конце делаем всё точно так же. Все порты к устройствам помечаем как access с указанием конкретно необходимого vlan. Порт передачи на первый коммутатор вводим в режим транк с указанием аналогичной несущей vlan, а остальные вланы добавляем в качестве tagged.

Всего делов. Если подключиться к передающему порту, то без trunk режима работы устройство увидит только несущий трафик, остальной не будет виден, так как упакован. Всё приблизительно, но основная суть такова. Есть конечно еще разные режимы, у cisco general, у каждого производителя всё может называться по своему, но базис таков.

Answer 3

[Иван]

Пользователей? Каких пользователей?
Вообще смысл VLAN'a в том, что на обоих сторонах кабеля (а устройства могут быть в принципе любые, лиж бы умели) ставятся одинаковые метки. Настройка зависит от оборудования, читайте маны.

Answer 4

[wrench10x12]

xgu.ru/wiki/VLAN_%D0%B2_Cisco

Answer 5

[FloorZ]

trunk, если циско. tagget, если d-link.

Answer 6

[gilgameshfreedom]

Вообще, если у вас есть 2 L3-подсети, то можно их свободно гонять по одному кабелю. Конечно тогда обе этих подсети без использования вланов на каждую сеть, будут в одном броадкаст-домене, но если это не критично, то будет очень простой и рабочий вариант.