Тегований порт: що це таке?

Тегований порт виходить після операції маркування VLAN, також відомої, як Frame Tagging. Це метод, розроблений Cisco, для доступних пакетів, що проходять по магістральному каналу. Коли кадр Ethernet перетинає цю лінію зв`язку, приймаюча сторона не має жодної інформації про використання віртуальних мереж.

Історія стандарту

У попередні часи, коли не існувало комутаторів і VLAN, мережа підключалася через концентратори і розміщувалася на всіх мережевих хостах в одному сегменті Ethernet. Це було одне з основних обмежень надійності, оскільки всі хости знаходились в одному будинку зіткнень, і якщо два хости спрацьовували одночасно, дані «стикалися " та повторно передавались. Комутатори були введені в систему для вирішення цієї проблеми.

Існує два види комутаторів для тегованих і нетегованих портів:

1. Базові, звані "некерованими" з простою функціональністю. Вони не мають власної підтримки VLAN. Це означає, що всі хости на ньому є частиною одного домену трансляції.
2. Керовані, що дозволяють розділяти трафік за допомогою VLAN. Вони сьогодні широко поширені, хоча і некеровані Комутатори все ще численні.

Досягнення цілей надійності системи передачі пов`язане з підключенням всіх груп хостів до власного комутатора. Іноді це робиться для управління трафіком. На жаль, це ще занадто дорогий процес, тому часто користувачі віддають перевагу мережі VLAN. Концепція VLAN-це віртуальний комутатор. Основна функція - розділення трафіку. Хости в одній не можуть зв`язуватися з хостами в іншій без додаткових послуг. Прикладом сервісу є маршрутизатор для передачі пакетів по віртуальній лінії.

Принцип маркування кадрів

Однією з причин розміщення хостів і тегованих портів в окремих мережах VLAN є обмеження кількості широкомовних повідомлень в мережі. IPv4, наприклад, спирається на трансляції. Розділення цих хостів буде обмежено.

Нижче наведено звичайний кадр Ethernet, наявність обов`язкових даних:

• MAC-адреса джерел і їх призначень;
• поле, тип / довжина;
• корисне навантаження;
• FCS для цілісності.

До кадру додано чотирибайтовий тегований порт VLAN, що включає ідентифікатор віртуальної лінії. Він знаходиться відразу після початкового MAC і має довжину 12 біт, що забезпечує теоретичний максимум-можливість створення 4096 віртуальних ліній. На практиці існує кілька зарезервованих VLAN залежно від Постачальника.

802.1 Q - діючий стандарт IEEE VLAN (Virtual LAN), що встановлює маркування і тегування трафіку з метою передачі даних по конкретній віртуальній інтернет мережі. Рівень OSI 802.1 Q для роботи за технологією тегітованих портів-канальний, фрейм встановлює тег (vlanid), за яким визначають приналежність тегітованого трафіку. Навпаки нетегований, що не має маркера і VLAN ID, встановленого в l2-фрейм розмірі 12 бітного поля. Межі показань від 0 до 4096.

Де:

• 0 і 4096-резерв даних для застосування системою;
• 1-дефолтний.

Основи тегування VLAN

Теговані порти з підтримкою VLAN зазвичай класифікуються одним із двох способів: з тегами або без тегів. Вони також можуть називатися "транк" або»доступ". Призначення позначеного або» транкового " порту складається з трафіку з декількома віртуальними лініями, тоді як немаркований має доступ до трафіку тільки для одного. Магістральні порти пов`язують комутатори і кінцевих користувачів, і вимагають більшої кількості процедур для тегованих портів. Обидва кінці посилання повинні мати спільні параметри:

1. Інкапсуляція.
2. Дозволені VLAN.
3. Рідний VLAN.

Незважаючи на те, що канал може бути успішно налаштований, потрібно, щоб обидві сторони каналу були налаштовані однаково. Невідповідність власної або дозволеної віртуальної лінії може мати непередбачені наслідки. Невідповідні на протилежних сторонах магістралі можуть ненавмисно створити " перескок VLAN». Часто це метод навмисної атаки, він представляє відкриту загрозу безпеці.

Метод Cisco

Магістральні канали передавальних кадри (пакети) VLAN, дозволяють з`єднувати кілька комутаторів разом і незалежно налаштовувати кожен порт для віртуальної лінії. Маркування VLAN є методом, розробленим Cisco, щоб допомогти ідентифікувати пакети, що проходять по магістральному каналу.

Наприклад, при використанні двох комутаторів Catalyst серії 3500 і одного маршрутизатора Cisco 3745, підключених через магістральні лінії. Сполучні лінії надають можливість вибору з віртуальних ліній. Робочі станції приєднуються безпосередньо до каналу доступу. Порти налаштовані лише для одного членства.

Називаючи порт Link Access (лінія доступу) або Trunk Link (магістральний зв`язок), йому надаються певні настройки, наприклад, канал доступу або Trunk-канал в разі, коли він становить 100 Мбіт і більше. Таким чином, висхідна лінія зв`язку комутатора-це завжди магістральний зв`язок, а будь-який звичайний, до якого підключають робочу станцію - це порт доступу.

Відмінності між лінією доступу та магістральною лінією наведені нижче:

1. Лінія доступу-це посилання, яке є частиною однієї VLAN і зазвичай вони доступні кінцевим споживачам.
2. Будь-який пристрій, приєднаний до каналу, не знає про участь у VLAN.
3. Доступні з`єднання розуміють строгі стандартні кадри Ethernet, роутери видаляють будь-яку інформацію VLAN з кадру перед тим, як вона буде відправлена на пристрій лінії доступу.
4. Магістральний канал обробляє множинний VLAN-трафік і зазвичай застосовується для підключення комутаторів до роутерів.

Для VLAN-кадру Комутатор Cisco пропонує різні методи маркування VLAN-фрейму, при цьому магістральний зв`язок не призначена віртуальною лінією. Більшість трафіку VLAN транспортується між комутаторами за допомогою однієї фізичної магістральної лінії.

Додавання тега в кадр Ethernet

Багато користувачів до кінця не розуміють, що це-тегований порт. Насправді тег VLAN надходить у кадр Ethernet за адресою MAC. Маркування кадрів-це технологія, яка використовується для існуючих пакетів. Тег Frame розміщується в кадрі, який є членом віртуальної лінії. Якщо він має магістральний порт, то кадр перенаправляється через магістральну лінію. Це дозволяє конкретному комутатору бачити, до якого VLAN належить тег. Передача кадрового комутатора видаляє ідентифікатор, тому інформація про членство закрита для кінцевих пристроїв.

Існують різні технології транкінгу - це теговані порти VLAN в технології Cisco:

1. Inter-Switch Link (ISL) - маркування кадрів мережі Cisco. Система пропонує підтримку від інших постачальників старих моделей роутерів.
2. IEEE 802.1Q-тегування кадрів промислового стандарту IEEE.
3. Емуляція LANE-використовується для зв`язку з існуючими VLAN.
4. 802.10 (FDDI)- протокол для надсилання інформації VLAN через FDDI.

Протокол маркування ISL

ISL (брандмауер) - це власний протокол Cisco, який використовується лише для Gigabit Ethernet-каналів як комутаторів та маршрутизаторів, і називається " зовнішнім маркуванням». Це означає, що протокол Ethernet не змінює кадр, він має тег VLAN і включає новий 26-байтовий заголовок, додаючи послідовність перевірок 4-байтового кадру (FCS) в кінці поля. Незважаючи на це додаткове навантаження, ISL підтримує до 1000 VLAN і не створює затримок при передачі даних між магістральними лініями.

Cisco, коли він налаштований на використання ISL, застосовує в якості протоколу маркування транка. Поля ISL та FCS можуть мати довжину 1548 байт при максимально можливому розмірі кадру 1518 байт, що робить ISL» гігантським " кадром. Крім того, він використовує сполучну мережу (PVST) у кожній віртуальній лінії. Цей метод дозволяє оптимізувати розміщення кореневого комутатора для доступної лінії.

Стандарт IEEE 802.1Q

Він був створений групою IEEE для вирішення проблем поділу великих мереж на більш дрібні і керовані з використанням VLAN. Цей стандарт є альтернативою Cisco ISL для забезпечення сумісності та повної інтеграції з існуючою мережевою інфраструктурою. IEEE 802.1Q є найбільш популярним і широко використовуваним в орієнтованих на Cisco мережевих установках, що дозволяє розраховувати на сумісність і можливість майбутніх оновлень. Окрім проблем сумісності, є ще кілька причин, чому інженери віддають перевагу цьому методу тегування. Вони включають:

1. Підтримка до 4096 VLAN.
2. Вставка 4-байтового тега без інкапсуляції.
3. Менші кінцеві розміри кадру в порівнянні з ISL.
4. 4-байтовий тег, вставлений в існуючий кадр Ethernet відразу після MAC-адреси джерела. Через додаткову 4-байтову мітку мінімальний розмір кадру Ethernet II збільшується з 64 байт до 68 байт, а максимальний його розмір тепер становить 1522 байти.

Максимальний розмір Ethernet значно менший (на 26 байт) при використанні параметрів тегів IEEE 802.1Q, тому це буде набагато швидше, ніж ISL. Проте Cisco рекомендує використовувати тегування ISL у власному середовищі. Це означає, що якщо користувач має 10 VLAN, то також буде 10 екземплярів STP, що беруть участь у комутаторах. У випадку, що не є Cisco, для всіх буде підтримуватися лише 1 екземпляр STP. Вкрай важливо, щоб VLAN для магістралі IEEE 802.1Q був однаковим для обох кінців магістрального каналу.

Емуляція локальної мережі LANE

Емуляція ЛВС була введена для прийняття рішень про необхідність створення VLAN-мереж по каналах WAN, дозволяючи адміністратору мережі визначати робочі групи на основі логічної функції, а не на основі місця розташування. Існувавши віртуальні локальні мережі між віддаленими офісами, незалежно від їх місцезнаходження. LANE не дуже поширений, проте користувачі не повинні ігнорувати його.

LANE створена Cisco в 1995 році у випуску IOS версії 11.0. При реалізації між двома з`єднаннями точка-точка мережі WAN стає повністю прозорою для кінцевих користувачів:

1. Кожна локальна мережа або власний вузол банкомату, наприклад, комутатор або маршрутизатор, показує, що підключений до мережі через спеціальний програмний інтерфейс, який називається " клієнт емуляції локальної мережі».
2. Клієнт LANE працює з мережею емуляції локальної мережі (LES) для обробки всіх повідомлень та пакетів.
3. Специфікація LANE визначає сервер конфігурації мережі локальної мережі (LECS), служби, що працюють всередині комутатора ATM або сервера, підключеного до ATM, який знаходиться в мережі і дозволяє адміністратору контролювати, які локальні мережі об`єднуються для формування VLAN.

Алгоритм налаштування Windows 2012 Server

Попередньо, якщо користувач хоче налаштувати одну VLAN для інтерфейсів, потрібно перейти в розділ " Мережеві підключення» -> «Властивість» -> "Додатково", вибрати поле VLAN I " і додати відповідне значення. Якщо потрібно налаштувати кілька VLAN для одного і того ж інтерфейсу, необхідно вказати значення VLAN ID, задане значення 0, інакше лінія не буде працювати.

При використанні Windows 2012 Server Користувачеві необхідно виконати настройку декількох тегованих портів. Це можливо реалізувати на одному мережевому інтерфейсі з підключенням локального сервера і з об`єднанням мережевих карт.

Порядок операцій:

1. Створюють нову команду з єдиним інтерфейсом (TEAMS-> TASKS-> New TEAM), вибирає потрібний інтерфейс, наприклад, 40GbE, і дають йому ім`я.
2. Вибирають вікна "Адаптер і інтерфейси", натискають " задати»-> Додають інтерфейс.
3. Налаштовують конкретну VLAN і натискають ОК, для того щоб додати інший інтерфейс VLAN.
4. Призначають IP-адресу новому інтерфейсу, пошук "мережеві підключення" і пошук потрібного інтерфейсу VLAN.
5. Потім налаштовують IP.

Таким чином, можна підсумувати теговані порти VLAN-це стандарт , який використовується для ідентифікації пакета через MAC-адресу. Операція абсолютно прозора для кінцевих пристроїв і забезпечує рівень необхідної безпеки в мережі.