Pourquoi et comment les VLAN Ethernet sont-ils étiquetés?

80

J'entends parler du marquage VLAN, mais je ne comprends pas bien le concept. Je sais qu'une jonction ne peut accepter les paquets sans étiquette sans configurer un VLAN natif, et que les ports d'accès n'acceptent que les paquets sans étiquette. Mais je ne comprends pas pourquoi les paquets doivent être étiquetés ou non. A quoi est-ce que ça sert?

vlan  ethernet 
Vishwanath gowda k
source
2
Consultez cette section de cet article .
Eddie

Réponses:

114

Si vous avez plus d'un réseau local virtuel sur un port (un "port réseau"), vous avez besoin d'un moyen de déterminer quel paquet appartient à quel réseau local virtuel à l'autre bout. Pour ce faire, vous "étiquetez" un paquet avec une balise VLAN (ou un en-tête VLAN si vous le souhaitez). En réalité, une balise VLAN est insérée dans la trame Ethernet comme suit:

En-tête VLAN

La balise 802.1Q (dot1q, VLAN) contient un ID de VLAN et d'autres éléments expliqués dans la norme 802.1Q . Les 16 premiers bits contiennent le "TPID" (identificateur de protocole de balise), soit 8100. Cela correspond également à EtherType 0x8100 pour les périphériques qui ne comprennent pas les VLAN.

Ainsi, un paquet "étiqueté" contient les informations de VLAN dans la trame Ethernet, contrairement à un paquet "non étiqueté". Un cas d'utilisation typique serait si vous avez un port d'un routeur à un commutateur auquel plusieurs clients sont connectés:

Trunking VLAN

Dans cet exemple, le client "vert" a le VLAN 10 et le client "Bleu" le VLAN 20. Les ports entre le commutateur et les clients sont "non étiquetés", ce qui signifie que le paquet entrant est simplement un paquet Ethernet normal.

Le port entre le routeur et le commutateur est configuré en tant que port de ligne réseau afin que le routeur et le commutateur sachent quel paquet appartient à quel VLAN client. Sur ce port, les trames Ethernet sont étiquetées avec la balise 802.1Q.

Sebastian Wiesinger
source
6
il doit exister un meilleur moyen d'expliquer les VLAN, le partage de réseau, le protocole Native, Default, etc. pour les débutants complets comme moi :-(
1
@CompleteNewbie Il existe des centaines d'explications sur Internet - inutile de simplement les répéter ici. Comme le dit Mike, si vous avez une question spécifique sur les VLAN ou les liaisons, nous serons ravis de vous aider.
Ron Trunk
C'est une très bonne réponse. Je vous remercie.
Fr0ntSight
Excellente explication, je ne pense pas en avoir lu un aussi bref et détaillé énonçant clairement le concept de tagged et non tagué.
htm11h
37

Les réponses ci-dessus sont assez techniques. Pense-y de cette façon:

En réalité, les VLAN et le balisage ne sont rien de plus qu'une séparation logique des réseaux contrairement à une physique. Maintenant, qu'est-ce que cela signifie?

S'il n'y avait pas de VLAN, vous auriez besoin d'un commutateur pour chaque domaine de diffusion . Imaginez le câblage impliqué ainsi que le nombre potentiel de cartes réseau requises sur les hôtes. Les VLAN vous permettent donc d’avoir plusieurs constructions de couche 2 indépendantes dans le même commutateur.

Depuis lors, vous pouvez avoir plusieurs réseaux sur chaque lien / port, vous devez donc pouvoir distinguer quel paquet appartient à quel réseau. C'est pourquoi ils sont étiquetés. Si un port transporte plus d'un réseau local virtuel, il est également appelé une jonction . (pour n> 1 VLAN, au moins n-1 VLAN doivent être marqués et il peut y avoir un VLAN non balisé, le VLAN natif)

Généralement, vous devez distinguer les paquets lors de l’entrée du port (entrant "depuis le câble") et de la sortie (sortant "dans le câble"):

Entrée

  • entrée non étiquetée: c'est là que le vlan natif du port entre en jeu. Si le commutateur a plusieurs VLAN configurés, vous devez lui indiquer à quel VLAN un paquet non étiqueté entrant entre;

  • ingress tagged: eh bien, si ça vient en tagged, alors c'est tagged, et vous ne pouvez pas faire grand chose à ce sujet. Si le commutateur ne connaît pas le marquage ou un réseau local virtuel précis, il le rejettera, mais vous devrez parfois activer une sorte de filtre d'entrée. Vous pouvez également forcer un port à accepter uniquement les paquets non étiquetés ou étiquetés.

Sortie

  • egress non tagged: pour chaque port, vous pouvez sélectionner un VLAN dont les paquets sortants de ce port ne sont pas étiquetés (par exemple, parce que l'hôte ne le prend pas en charge ou qu'un seul VLAN est requis, par exemple pour un PC, une imprimante, etc.);

  • egress tagged: vous devez indiquer au commutateur les VLAN à rendre disponibles sur le port et s’il en existe plusieurs, tous sauf un doivent être marqués de toute façon.

Qu'est-ce qui se passe à l'intérieur du commutateur

Un commutateur a un FDB ( F orwarding D ata B ase) qui

  • dans un commutateur non compatible VLAN (parfois appelé "non géré" ou "stupide", ...): associe un hôte (adresse MAC) à un port: le FDB est une table composée de tuples de deux éléments: (MAC, Port)

  • dans un commutateur compatible VLAN (parfois appelé "administré" ou "intelligent", ...): associe des tuples (VLAN, MAC) à un port: le FDB est une table composée de tuples de trois éléments: (MAC, port , VLAN).

    La seule restriction ici est qu’une adresse MAC ne peut pas apparaître deux fois dans le même VLAN, même sur des ports différents (essentiellement le VLAN des commutateurs compatibles VLAN remplace la notion de port dans les commutateurs non compatibles VLAN). En d'autres termes:

  • Il peut y avoir plusieurs VLAN par port (c'est pourquoi il est nécessaire qu'il y ait des balises à un moment donné).
  • Il peut y avoir plusieurs VLAN par port et par MAC: la même adresse MAC peut apparaître sur différents VLAN et sur le même port (bien que je ne le recommande pas pour des raisons de sécurité).
  • La même adresse MAC ne peut toujours pas apparaître sur le même VLAN mais sur des ports différents (différents hôtes ayant la même adresse MAC sur le même réseau de couche 2).

J'espère que cela efface un peu la confusion ;-)

Marki
source
8

Le protocole d’encapsulation VLAN de facto est 802.1Q (dot1.q) . Sa fonction la plus fondamentale consiste à conserver les VLAN sur tous les commutateurs. Étant donné que les VLAN sont localement importants pour le commutateur, vous devez baliser une trame allant aux commutateurs situés à proximité pour leur indiquer le groupe logique auquel cette trame appartient.

Ryan Foley
source
2

Par défaut, le VLAN natif est le VLAN par défaut. Un port de ligne de réseau peut transporter plusieurs VLAN pour acheminer le trafic vers le routeur ou un commutateur. Le VLAN est un protocole de couche 2 et il segmente un réseau de couche 2; ils ne peuvent communiquer que dans un périphérique de couche 3 tel qu'un routeur ou un commutateur de couche 3.

Le VLAN natif est utilisé afin que les trames non étiquetées puissent communiquer sans avoir besoin d'un routeur. La meilleure pratique de sécurité est de changer le VLAN par défaut / natif en un autre VLAN à l’aide de cette commande: switchport trunk native vlan.

Les commutateurs Cisco prennent en charge l'encapsulation IEEE 802.1Q et ISL.

chris
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.