Tagged port: co to jest?

Port oznaczony uzyskuje się po wykonaniu operacji znakowania VLAN, znanej również jako znakowanie ramek. Jest to metoda opracowana przez Cisco, pozwalająca na dostęp do pakietów przechodzących przez sieć szkieletową. Kiedy ramka Ethernetowa przecina to łącze, strona odbierająca nie ma informacji o wykorzystaniu sieci wirtualnych.

Historia normy

W dawnych czasach, kiedy nie istniały przełączniki i sieci VLAN, sieci były łączone za pomocą koncentratorów i umieszczane na wszystkich hostach sieciowych w tym samym segmencie sieci Ethernet. Było to poważne ograniczenie niezawodności, ponieważ wszystkie hosty były w tym samym domu kolizji i jeśli dwa hosty zostały uruchomione w tym samym czasie, dane "kolidowałyby" i byłyby przekierowywane. Przełączniki zostały wprowadzone do systemu, aby rozwiązanie tego problemu.

Istnieją dwa rodzaje przełączników dla portów tagowanych i nie tagowanych:

1. Podstawowe, określane jako "niezarządzane" o prostej funkcjonalności. Nie posiadały konfigurowalnej obsługi sieci VLAN. Oznacza to, że wszystkie hosty na nim są częścią tej samej domeny rozgłoszeniowej.
2. Zarządzane, umożliwiające współdzielenie ruchu za pomocą sieci VLAN. Są one dziś szeroko rozpowszechnione, chociaż niezarządzane przełączniki są nadal liczne.

Osiągnięcie celów niezawodności systemu przesyłowego wymaga podłączenia wszystkich grup hostów do ich własnych przełączników. Czasami jest to robione w celu zarządzania ruchem. Niestety jest to wciąż zbyt kosztowne, więc użytkownicy często decydują się na VLAN. Koncepcja VLAN to wirtualny przełącznik. Główna funkcja - segregacja ruchu. Hosty w jednym nie mogą komunikować się z hostami w drugim bez dodatkowych usług. Przykładem usługi jest router do przesyłania pakietów przez wirtualny obwód.

Zasada oznaczania ramek

Jednym z powodów umieszczania hostów i portów oznaczonych w oddzielnych sieciach VLAN jest ograniczenie liczby komunikatów rozgłoszeniowych w sieci. IPv4, na przykład, opiera się na rozgłaszaniu. Dostępność tych gospodarzy będzie ograniczona.

Poniżej znajduje się typowa ramka Ethernet, obecność danych obowiązkowych:

• Adres MAC źródeł i ich miejsc docelowych;
• pole, typ/długość;
• ładunek;
• FCS dla integralności.

Do ramki dodawany jest czterobajtowy port ze znacznikiem VLAN, zawierający identyfikator linii wirtualnej. Występuje bezpośrednio po źródłowym MAC i ma długość 12 bitów, co daje teoretycznie maksymalnie 4096 wirtualnych linii. W praktyce istnieje kilka zarezerwowanych sieci VLAN w zależności od producenta.

802.1 Q - obecny standard IEEE VLAN (Virtual LAN) ustanawia tagowanie i oznaczanie ruchu w celu przenoszenia danych przez określoną wirtualną sieć internetową. Warstwa OSI 802.1 Q działać przez technologię portów tagowanych, ramka ustanawia tag (vlanid), przez który ruch tagowany jest identyfikowany jako należący do. Naprzeciwko nieagregowany, który nie ma znacznika i VLAN ID ustawiony na 12 bitowe pole o rozmiarze l2 ramki. Limity odczytów od 0 do 4096.

Gdzie:

• 0 i 4096 - dane rezerwowe do wykorzystania przez system;
• 1 - domyślny.

Podstawy tagowania VLAN

Porty ze znacznikami VLAN są zwykle klasyfikowane na jeden z dwóch sposobów: z lub bez znaczników. Mogą być również określane jako "trunk" lub "access". Przypisanie portu oznaczonego lub "trunked" obejmuje ruch dla wielu linii wirtualnych, podczas gdy port nieoznaczony ma dostęp do ruchu tylko dla jednej. Porty typu trunk łączą przełączniki i użytkowników końcowych i wymagają więcej procedur dla portów oznaczonych. Oba końce łącza muszą mieć wspólne parametry:

1. Encapsulation.
2. Dozwolone sieci VLAN.
3. Natywny VLAN.

Mimo, że łącze może być pomyślnie skonfigurowane, obie strony łącza muszą być skonfigurowane w ten sam sposób. Niedopasowanie własnej lub dozwolonej linii wirtualnej może mieć nieprzewidziane konsekwencje. Nienakładanie się na siebie po przeciwnych stronach pnia może niezamierzenie tworzyć "VLAN hopping". Jest to często celowa metoda ataku i stanowi otwarte zagrożenie dla bezpieczeństwa.

Metoda Cisco

Obwody trunk przesyłają ramki (pakiety) VLAN, umożliwiając połączenie wielu przełączników, a każdy port może być niezależnie skonfigurowany dla wirtualnego łącza. Tagowanie VLAN jest metodą opracowaną przez Cisco, która pomaga identyfikować pakiety przechodzące przez sieć szkieletową.

Na przykład, gdy używamy dwóch przełączników Catalyst 3500 series i jednego routera Cisco 3745 połączonych przez szkielet. Łącza szkieletowe dają możliwość wyboru spośród linii wirtualnych. Stacje robocze podłączane są bezpośrednio do łącza dostępowego. Porty są skonfigurowane tylko dla jednego członkostwa.

Nazwanie portu Link Access lub Trunk Link nadaje mu określone ustawienia, takie jak Access Channel lub Trunk Channel w przypadku 100 Mbit lub więcej. Tak więc uplink przełącznika jest zawsze łączem trunk, a każde normalne łącze, do którego podłączona jest stacja robocza, jest portem dostępowym.

Różnice pomiędzy łączem dostępowym a łączem trunk są przedstawione poniżej:

1. Łącze dostępowe to łącze, które jest częścią pojedynczej sieci VLAN i jest zwykle dostępne dla użytkowników końcowych.
2. Każde urządzenie podłączone do łącza nie jest świadome uczestnictwa w sieci VLAN.
3. Łącza dostępowe rozumieją ścisłe standardowe ramki Ethernet, routery usuwają wszelkie informacje VLAN z ramki zanim zostanie ona wysłana do urządzenia linii dostępowej.
4. Łącze trunk obsługuje ruch w wielu sieciach VLAN i jest powszechnie używane do łączenia przełączników z routerami.

Dla ramki VLAN przełącznik Cisco oferuje różne metody znakowania ramki VLAN, natomiast trunk nie ma przypisanej linii wirtualnej. Większość ruchu VLAN jest transportowana pomiędzy przełącznikami za pomocą pojedynczej fizycznej linii trunk.

Dodawanie znacznika do ramki Ethernet

Wielu użytkowników nie do końca rozumie, czym jest - oznaczony port. Znacznik VLAN faktycznie dociera do ramki Ethernetowej na adres MAC. Tagowanie ramek jest technologią stosowaną do istniejących pakietów. Znacznik Frame jest umieszczany na ramce, która jest członkiem wirtualnej linii. Jeśli ma port trunk, to ramka jest przekazywana przez trunk. Dzięki temu określony przełącznik może zobaczyć, do którego VLAN-u należy dany tag. Frame switch trunking usuwa identyfikator, więc informacje o członkostwie są zamknięte dla urządzeń końcowych.

Istnieją różne technologie trunkingu - są to porty tagged VLAN w technologii Cisco:

1. Inter-Switch Link (ISL) - otagowanie ramek sieci Cisco. System oferuje wsparcie dla innych starszych producentów routerów.
2. IEEE 802.1Q - standardowy sposób znakowania ramek IEEE.
3. Emulacja LANE - służy do komunikacji z istniejącymi sieciami VLAN.
4. 802.10 (FDDI) - protokół do przesyłania informacji VLAN przez FDDI.

Protokół znakowania ISL

ISL (Inter-Switch Layer) jest zastrzeżonym protokołem firmy Cisco używanym tylko dla łączy Gigabit Ethernet jako przełączniki i routery, i jest określany jako "zewnętrzne tagowanie". Oznacza to, że protokół Ethernet nie modyfikuje ramki, posiada ona znacznik VLAN i zawiera nowy 26-bajtowy nagłówek, dodając na końcu pola 4-bajtową sekwencję kontroli ramki (FCS). Pomimo tego dodatkowego obciążenia, ISL obsługuje do 1000 VLAN-ów i nie wprowadza opóźnień do sieci szkieletowej.

Cisco, po skonfigurowaniu do korzystania z ISL, stosuje znakowanie trunk jako protokół. Pola ISL i FCS mogą mieć długość 1548 bajtów, a maksymalny możliwy rozmiar ramki to 1518 bajtów, co czyni ISL "gigantyczną" ramką. Dodatkowo na każdej linii wirtualnej wykorzystuje sieć kratową (PVST). Metoda ta optymalizuje rozmieszczenie przełącznika root dla dostępnej linii.

Standard IEEE 802.1Q

Został on stworzony przez grupę IEEE w celu rozwiązywanie problemów Dzielenie dużych sieci na mniejsze i zarządzalne sieci za pomocą sieci VLAN. Ten standard jest alternatywą dla Cisco ISL w zakresie interoperacyjności i bezproblemowej integracji z istniejącą infrastrukturą sieciową. IEEE 802.1Q jest najbardziej popularny i szeroko stosowany we wdrożeniach sieci Cisco-centric, więc oczekujemy kompatybilności i przyszłych aktualizacji. Oprócz kwestii kompatybilności, istnieje kilka innych powodów, dla których inżynierowie preferują tę metodę tagowania. Należą do nich:

1. Obsługa do 4096 sieci VLAN.
2. Wstawienie 4-bajtowego znacznika bez enkapsulacji.
3. Mniejsze rozmiary ramki końcowej w porównaniu do ISL.
4. 4-bajtowy tag wstawiany do istniejącej ramki Ethernetowej bezpośrednio po źródłowym adresie MAC. Ze względu na dodatkową 4-bajtową etykietę, minimalny rozmiar ramki Ethernet II wzrasta z 64 bajtów do 68 bajtów, a maksymalny rozmiar ramki wynosi teraz 1522 bajty.

Maksymalny rozmiar sieci Ethernet jest znacznie mniejszy (o 26 bajtów), gdy używane są parametry tagowania IEEE 802.1Q, więc będzie znacznie szybszy niż ISL. Cisco zaleca jednak stosowanie tagowania ISL w swoim środowisku. Oznacza to, że jeśli użytkownik ma 10 VLAN-ów, to będzie również 10 instancji STP uczestniczących w przełącznikach. W przypadku firm innych niż Cisco, tylko 1 instancja STP będzie obsługiwana dla wszystkich. Krytyczne jest, aby VLAN dla sieci szkieletowej IEEE 802.1Q jest taki sam na obu końcach trunkingu.

Emulacja LANE

Emulacja LANE została wprowadzona dla podejmowanie decyzji na konieczność tworzenia sieci VLAN na łączach WAN, pozwalając administratorowi sieci na definiowanie grup roboczych na podstawie funkcji logicznych, a nie lokalizacji. Istnieją VLANy pomiędzy zdalnymi biurami, niezależnie od lokalizacji. LANE nie jest zbyt powszechne, jednak użytkownicy nie powinni go ignorować.

LANE zostało stworzone przez Cisco w 1995 roku w wydaniu IOS w wersji 11.0. W przypadku wdrożenia pomiędzy dwoma połączeniami punkt-punkt, sieć WAN staje się w pełni przezroczysta dla użytkowników końcowych:

1. Każdy LAN lub własny węzeł ATM, taki jak przełącznik lub router, pokazuje, że jest podłączony do sieci poprzez specjalny interfejs programowy zwany "LAN Emulation Client".
2. Klient LANE współpracuje z siecią lokalną (LES), obsługując wszystkie wiadomości i pakiety.
3. Specyfikacja LANE definiuje Local Area Network Configuration Server (LECS), usługi działające wewnątrz przełącznika ATM lub serwera podłączonego do ATM, który znajduje się w sieci i pozwala administratorowi kontrolować, które sieci LAN są łączone w celu utworzenia sieci VLAN.

Algorytm konfiguracji systemu Windows 2012 Server

Wcześniej, jeśli użytkownik chce skonfigurować pojedynczy VLAN dla interfejsów, należy przejść do "Połączenia sieciowe" -> "Właściwości" -> "Advanced", wybierz pole VLAN I" i dodaj odpowiednią wartość. Jeśli dla tego samego interfejsu ma być skonfigurowanych wiele sieci VLAN, VLAN ID musi być ustawiony na 0, w przeciwnym razie linia nie będzie działać.

W przypadku korzystania z systemu Windows 2012 Server, użytkownik musi skonfigurować wiele portów oznaczonych. Można to zrobić na jednym interfejsie sieciowym z lokalnym połączeniem z serwerem i skojarzeniem kart sieciowych.

Kolejność działań:

1. Utwórz nowe polecenie z pojedynczym interfejsem (TEAMS-> ZADANIA-> New TEAM), wybierz wymagany interfejs, np. 40GbE, i nadaj mu nazwę.
2. Wybierz okna "Adapter i interfejsy", kliknij "Ustaw"-> Dodawanie interfejsu.
3. Skonfiguruj określony VLAN i naciśnij OK, aby dodać kolejny interfejs VLAN.
4. Przypisać adres IP do nowego interfejsu, wyszukać "Network Connections" i znaleźć właściwy interfejs VLAN.
5. Następnie skonfiguruj IP.

Można więc podsumować, że porty oznaczone VLAN są standardem wykorzystywanym do identyfikacji pakietu poprzez adres MAC. Działanie jest całkowicie transparentne dla urządzeń końcowych i zapewnia poziom bezpieczeństwa wymagany w sieci.