Продвижение кадров VLAN IEEE 802.1Q

Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих правил:

● правила входящего трафика (ingress rules) – классификация получаемых кадров относительно принадлежности к VLAN;

● правила продвижения между портами (forwarding rules) – принятие решения о продвижении или отбрасывании кадра;

● правила исходящего трафика (egress rules) – принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей.

Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN, а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе классификации и формата принятого кадра.

Классификация кадра по принадлежности VLAN осуществляется следующим образом:

а) Если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентификатором VID, равным идентификатору PVID порта, через который этот кадр был принят.

б) Если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по идентификатору VID в заголовке кадра. Значение тега в нем не изменяется.

Активизировав функцию проверки формата кадра на входе, администратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием либо только маркированных кадров (tagged_only), либо обоих типов кадров – маркированных и немаркированных (admit_all).

Внимание: внутри коммутатора все кадры являются маркированными.

Рис. 6.30 Правила входящего трафика

Правила продвижения между портами осуществляют принятие решения об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника.

Если входящий кадр маркированный, то коммутатор определяет, является ли входной портчленом той же VLAN путем сравнения идентификатора VID в заголовке кадра и набора идентификаторов VID, ассоциированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN, что и входной порт, на стадии их приема.

Если кадр немаркированный, входная фильтрация не выполняется.

Далее определяется, является ли порт назначения членом той же VLAN. Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN, то коммутатор передает кадр в подключенный к нему сегмент сети.

Правила исходящего трафика определяют формат исходящего кадра – маркированный или немаркированный. Если выходной порт является немаркированным (untagged), то он будет извлекать тег 802.1Q из заголовков всех выходящих через него маркированных кадров. Если выходной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров.

Рис. 6.31 Правила исходящего трафика

На рисунках 6.32–6.35 приведен пример передачи немаркированного и маркированного кадра через маркированный и немаркированный порты коммутатора.

Рис. 6.32 Входящий немаркированный кадр

Рис. 6.33 Немаркированный кадр, передаваемый через маркированный и немаркированный порты

Рис. 6.34Входящий маркированный кадр

Рис. 6.35 Маркированный кадр, передаваемый через маркированный и немаркированный порты

Пример настройки VLAN IEEE 802.1Q

Предположим, что в небольшом офисе, в котором имеется два отдела, необходимо изолировать трафик сотрудников разных отделов друг от друга, но в тоже время обеспечить совместный доступ всех пользователей к серверу. Для этих целей можно использовать коммутатор с поддержкой стандарта IEEE 802.1Q и создать на нем две группы VLAN (VLAN v2 – для первого отдела, VLAN v3 – для второго отдела). Схема сети показана на рисунке 6. 36.

В качестве примера передачи данных между VLAN рассмотрим пересылку кадра с порта 1 коммутатора на порт 24, к которому подключен сервер.

Порт 1 является немаркированным портом VLAN v2 (PVID = 2). Поэтому, когда любой немаркированный кадр поступает на порт 1, коммутатор снабжает его тегом 802.1Q со значением VID равным 2.

Далее коммутатор проверяет в своей таблице коммутации, через какой порт необходимо передать кадр и принадлежит ли этот порт VLAN v2. Кадр может быть передан через порт 24, так как он является маркированным членом VLAN v2. После передачи кадра через порт 24 тег 802.1Q в нем будет сохранен, поэтому сетевой адаптер сервера должен поддерживать стандарт IЕЕЕ 802.1Q.

Рис. 6.36 Схема сети с двумя VLAN

Ниже приведен пример настройки коммутатора DGS-1210-28/ME, позволяющий реализовать заданную схему сети с двумя VLAN.

1. Удалить соответствующие порты из VLAN по умолчанию (default VLAN). Выбрать раздел VLAN → 802.1Q VLAN и нажать ссылку VID 1 (рис. 6.37).

Рис. 6.37 Редактирование VLAN по умолчанию

В открывшемся окне напротив Not Member установить галочки для портов 1-16 и нажать кнопку Apply (рис. 6.38).

Рис. 6.38 Удаление портов из VLAN по умолчанию

Внимание:заводские установки по умолчанию назначают все порты коммутатора в default VLAN с VID = 1.Перед созданием новой VLAN необходимо удалить из default VLAN все порты, которые требуется сделать немаркированными членами новой VLAN.Немаркированные порты не могут одновременно быть членами нескольких VLAN.

2. Создать VLAN с именем v2 и настроить порты 1-8 как немаркированные, порт 24 – маркированным. Для этого нажать на кнопку Add (рисунок 6. 39).

Рис. 6.39 Создание VLAN

В поле VID ввести 2, в поле VLAN Name ввести v2 и установить галочки напротив Untagged для портов 1-8, напротив Tagged – для порта 24 и нажать кнопку Apply (рисунок 6.40).

Рис. 6.40 Добавление портов в VLAN v2

3. Создать VLAN с именем v3 и настроить порты 9-16 как немаркированные, порт 24 – маркированным. Для этого нажать на кнопку Add. В поле VID ввести 3, в поле VLAN Name ввести v3 и установить галочки напротив Untagged для портов 9-16, напротив Tagged – для порта 24 и нажать кнопку Apply (рисунок 6.41).

Рис. 6.41 Добавление портов в VLAN v3

4. Созданные VLAN на коммутаторе (рисунок 6.42).

Рис. 6.42 Созданные VLAN

Внимание:при настройке VLAN на основе стандарта IEEE 802.1Q через Web-интерфейс необходимо, чтобы рабочая станция, с которой осуществляется управление коммутатором, была подключена к порту, входящему в VLAN по умолчанию (default VLAN с VID = 1).