Inhoudsopgave:
Video: VLANs and Trunks for Beginners - Part 1 2024
De magie van hoe virtuele lokale netwerken ( VLAN's ) werken, is te vinden in de Ethernet-headers. Wanneer een switch een Ethernet-frame ontvangt, heeft het frame al een VLAN-tag of schakelt de switch een VLAN-tag in de Ethernet-header in. Als het frame werd ontvangen van een andere switch, heeft die switch al de VLAN-tag ingevoegd; terwijl frames afkomstig zijn van netwerkapparaten, zoals computers, heeft het frame geen VLAN-tag.
Als u de standaardinstellingen van de switch voor VLAN's gebruikt, is de VLAN-tag die op het frame wordt geplaatst VLAN1. Wanneer u een VLAN-tag (ook bekend als een IEEE 802. 1Q tag) op het Ethernet-frame plaatst, worden de vier bytes aan gegevens, waaruit het VLAN-label bestaat, vóór het veld Type ingevoegd, zoals weergegeven in de volgende afbeelding. Deze 4-byte header bevat verschillende stukjes informatie:
-
Een 2-byte Tag Protocol Identifier (TPID), die wordt ingesteld op een waarde van 0x8100 om aan te geven dat dit frame 802. 1Q of 802 bevat. 1p tag-informatie.
-
Een 2-byte Tag Control Information (TCI), die is gemaakt van het volgende:
-
Een 3-bits Priority-codepunt van de gebruiker (PCP) dat een prioriteitswaarde instelt tussen 0 en 7, die kan worden gebruikt voor Quality of Service (QoS) priority traffic delivery.
-
Een 1-bits Canonical Format Indicator (CFI) die een compatibiliteitsbit is tussen Ethernet en andere netwerkstructuren, zoals Token Ring. Voor Ethernet-netwerken wordt deze waarde ook op nul gezet.
-
Een 12-bit VLAN Identifier (VID) die de VLAN identificeert waartoe het frame behoort.
-
Afdingen met gigantische pakketformaten
Er kan een ongelukkige fout optreden bij het taggen van VLAN's op een frame. De maximale grootte van een IEEE 802. 3 Ethernet-frame is 1518 bytes. Als de payload of het gegevensgedeelte de volledige 1500 bytes aan gegevens bevat en de extra header van 4 bytes in het frame, zou het frame 1, 522 bytes groot zijn.
Om deze situatie aan te pakken, heeft IEEE in 1998 een nieuwe standaard voor Ethernet uitgebracht (IEEE 802. 3ac) die de maximale grootte van een Ethernet-frame heeft verhoogd tot 1, 522 bytes. Als u oudere switches hebt die de grotere IEEE 802. 3ac-framegrootte niet ondersteunen, kunnen uw switches deze niet-ondersteunde frames met een melding plaatsen of ze rapporteren als babyreuzen , of als te grote frames.
Vóór de IQE 802. 1Q-standaard die VLAN-tags definieert, hebben sommige leveranciers het heft in eigen handen genomen met eigen oplossingen. Het antwoord van Cisco op het probleem was Inter-Switch Link (ISL) , , die nu wordt uitgevoerd op switchports die zijn geconfigureerd voor Trunk-modus.
Naast switches heeft Cisco ISL ook ondersteund met routerverbindingen sinds Cisco IOS Release 11. 1. ISL implementeert ondersteuning voor VLAN-informatie op een compleet andere manier dan IEEE 802. 1Q; in plaats van een header in het Ethernet-frame te plaatsen, wordt het volledige bestaande Ethernet-frame ingekapseld in een ISL-frame met een nieuwe header die wordt gebruikt om het Ethernet-frame tussen switches te transporteren.
Het ISL-frame voegt een extra 30 bytes toe aan de grootte van het Ethernet-frame met een ISL-header van 26 bytes met de VLAN-ID en een controlesom van 4 bytes aan het einde van het frame. Deze overhead bestaat alleen als het frame uitgaat boven een ISL-koppeling.
Wanneer het ISL-frame de switch verlaat, onderzoekt de switch het poorttype van de uitgaande poort. Als de poort geen deel uitmaakt van een ISL-koppeling, wordt de ISL-inkapseling verwijderd van het frame en wordt de standaard 802. 1Q-tag ingevoegd in het Ethernet-frame.
VLAN-frames
Nu weet u hoe u VLAN-verkeer van de ene switch naar de andere kunt verplaatsen met behulp van IEEE 802. 1Q-tags of ISL-frames over ISL-koppelingen, maar hoe komt VLAN-informatie er in de eerste plaats uit? Er zijn zowel handmatige als automatische methoden om dit te doen, maar de meest gebruikelijke methode is de handmatige methode voor het configureren van een poortgebaseerde VLAN.
Met een poortgebaseerd VLAN onderzoekt uw switch de gegevens die binnenkomen op een poort en als de gegevens nog niet zijn getagd met een VLAN, plaatst de switch vervolgens een VLAN-tag op de gegevens.
Wanneer u VLAN's in uw netwerk implementeert, gebruikt u trunk-poorten voor uw koppelingen tussen switches, maar voor uw clienttoegangspoorten gebruikt u de Access-modus in plaats van de trunk-modus.
Wanneer u uw nieuwe switch opheft, staan alle poorten standaard in de Access-modus; dat betekent dat ze verwachten dat computerapparatuur op hen is aangesloten en dat ze automatisch IEEE 802. 1Q-tags in Ethernet-frames plaatsen die nog geen tags hebben. Normaal verwachten poorten in de Access-modus ongecodeerd verkeer te zien omdat computers en andere apparaten niet weten hoe Ethernet-frames vooraf moeten worden gecodeerd.
Als u IP-telefonie hebt geïmplementeerd, zijn IP-telefoons in staat om hun eigen verkeer te taggen via een geïntegreerde switch met twee poorten.
Een switch verwacht geen verkeer met VLAN-tags te zien op poorten in de Access-modus, omdat de meeste apparaten op die poorten hun eigen verkeer niet taggen. verkeer op Trunk-moduspoorten staat verkeer dat is getagd voor het automatisch verzenden van VLAN's automatisch toe aan verbonden switches. Omdat Trunk-moduspoorten verkeer verzenden dat is gelabeld voor elk VLAN, verwachten ze dat verkeer dat afkomstig is van aangesloten switches die zijn getagd voor een willekeurig VLAN.
Het doorsturen van verkeer van VLAN naar VLAN
Met VLAN's kunt u gebruikers van elkaar isoleren door ze in verschillende VLAN's te plaatsen, maar nu, hoe geeft u het verkeer door van een VLAN naar een andere VLAN? Hierbij wordt gebruik gemaakt van een Layer 3-apparaat om het verkeer van het ene VLAN naar het andere te routeren; ja, dat zou een router zijn. Daarom, als uw router geen VLAN's of VLAN-tagging ondersteunt, vereist dit proces een interface die op elke VLAN is geconfigureerd, wat een dure propositie kan zijn.
De beste oplossing is om een router aan te schaffen die VLAN's ondersteunt, wat betekent dat u een enkele interface op uw router kunt aansluiten op een Trunk-moduspoort op uw switch, waardoor de router intern kan routeren tussen virtuele VLAN-interfaces.
De andere optie die u ter beschikking hebt, is om een Layer 3-switch aan te schaffen. Dit is een switch waarop routingfuncties zijn ingebouwd. Dat wil zeggen, ze zijn in staat om alle inter-VLAN routeringsfunctionaliteit te verschaffen, zonder het schakelapparaat te verlaten.
Een beheerde Layer 2-switch ziet gelabelde of niet-gecodeerde gegevens en de switch kan zo worden geconfigureerd dat verkeer op gespecificeerde VLAN's kan worden doorgestuurd of geblokkeerd. Als er niet-gecodeerd verkeer is, kan met deze switch een VLAN-tag in de bestaande header worden geplaatst of kan het frame worden ingekapseld als het via een ISL-koppeling wordt verzonden. Ten slotte zullen trunk-poorten standaard het verkeer voor alle VLAN's doorgeven, tenzij anders aangegeven.
Er worden verschillende standaard VLAN's op uw switch gemaakt die niet kunnen worden verwijderd. Deze omvatten VLAN's 1 en 1002-1005. De laatste VLAN's worden gebruikt voor Token Ring- en FDDI-netwerken; VLAN 1 is de standaard VLAN en wordt gebruikt voor Ethernet.
Hoewel het ondersteunen van 4096 Per VLAN Spanning Tree (PVST) leuk zou zijn, één voor elke VLAN, is er een IOS-limiet van 64 instanties voor het spantelen van boominstanties. Dus als u PVST gebruikt, zoals u in het volgende hoofdstuk doet, hebben alleen de eerste 64 VLAN's omspannende boomstructuur ingeschakeld en wordt deze uitgeschakeld voor de resterende VLAN's.
