(!) Принцип работы VLAN в xDSL-коммутаторах ZyXEL

Определение VLAN Безопасность рабочей группы и сети Контроль активности трафика Виртуальная локальная сеть на базе порта (Port Based VLAN) Виртуальная локальная сеть на базе признака (802.1Q VLAN) Процесс 802.1Q Таблица SVLAN Регистрация VLAN Выходное правило

Определение VLAN


Виртуальная локальная сеть (VLAN) представляет собой логический домен циркулярной рассылки, который может охватывать множество физических локальных сетевых сегментов.
За каждым портом коммутатора может быть закреплена конкретная VLAN, которая может быть логически сегментирована в соответствии с ее функциями и задачами.
Порты одной VLAN имеют общий домен циркулярной рассылки. Порты, относящиеся к различным VLAN, не могут осуществлять циркулярную рассылку.


C помощью виртуальных локальных сетей возможно:


  • Разделение физической ЛВС на несколько логических подсетей;
  • Изолирование каждого порта для увеличения безопасности;
  • Изолирование широковещательного трафика.


Безопасность рабочей группы и сети


Можно повысить уровень безопасности путем сегментирования сети на отдельные домены циркулярной рассылки. Кроме того, можно регулировать размер и структуру домена путем регулирования размера и структуры VLAN.


Контроль активности трафика


VLAN позволяют группировать порты коммутатора таким образом, чтобы трафик ограничивался только членами той или иной группы. Данная функция ограничивает циркулярную, одноадресную и многоадресную рассылку (лавинная адресация) только портами, включенными в конкретную VLAN. VLAN делают возможным эффективное разделение трафика, тем самым обеспечивая более высокую пропускную способность.


Существует три типа виртуальной локальной сети (VLAN):


VLAN на базе порта позволяет создавать VLAN из различных портов одного моста. Возможна реализация на базе только одного коммутатора;


VLAN на базе MAC позволяет объединять в сегмент MAC-адреса хост-машин; 


VLAN на базе признака позволяет создавать VLAN по какому-либо признаку. Признак записывается после MAC-адреса источника в кадре Ethernet, что позволяет идентифицировать VLAN. Данные виртульные локальные сети могут работать между несколькими коммутаторами, поддерживающими IEEE 802.1Q.


Максимальный размер кадра 802.1Q составляет 1522 байта. Размер обычного Ethernet-пакета составляет 1518 байт + 4 байта признака виртуальной сети (тэг 802.1Q).


Виртуальная локальная сеть на базе порта (Port Based VLAN)


VLAN на базе порта требует, чтобы для каждого входного порта были определены доступные выходные порты. Кадры Ethernet пересылаются в соответствии с этими правилами.


  • Выходной порт разрешен для входного;
  • VLAN на базе порта только управляет исходящим трафиком;
  • Чтобы сделать VLAN для двух портов, нужно определить соответствующий выходной порт для каждого порта.

Виртуальная локальная сеть на базе признака (802.1Q VLAN)



Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.
Стандарт IEEE 802.1p специфицирует метод указания приоритета кадра, основанный на использовании новых полей, определенных в стандарте IEEE 802.1Q.
К кадру Ethernet добавляются 4 байта. TPID (Tag Protocol Identifier) 2 байта, которые содержат информацию о принадлежности кадра Ethernet к VLAN и TCI (Tag Control Information).
Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов, обрабатывающих кадры Ethernet аппаратно. Чтобы избежать этого, группы по стандартизации предложили сократить на два байта максимальный размер полезной нагрузки в кадре.
Спецификация IEEE 802.1p, создаваемая в рамках процесса стандартизации 802.1Q, определяет метод передачи информации о приоритете сетевого трафика. Стандарт 802.1p специфицирует алгоритм изменения порядка расположения пакетов в очередях, с помощью которого обеспечивается своевременная доставка чувствительного к временным задержкам трафика.



TPID: TPID идентифицирует принадлежность данного кадра к стандарту 802.1Q и имеет значение 81-00 в 16с/с. Если кадр имеет идентификатор EtherType, равный 81-00, то этот кадр несет нагрузку IEEE 802.1Q / 802.1P.
TCI содержит три поля.


Priority: Первые три бита TCI используются под приоритет. Возможно восемь значений (23) приоритета. IEEE 802.1P работает именно с этими 3 битами приоритета.


CFI: Canonical Format Indicator однобитовый флаг, который всегда равен 0 для кадров Ethernet. CFI для идентификации, если в поле данные находятся данные других стандартов, не Ethernet, например Token Ring. В таком случае этот бит будет равен 1. Если кадр был получен с Ethernet-порта и CFI равен 1, то этот кадр должен быть перенаправлен на untagged-порт.


VID: VLAN ID - идентификатор VLAN, который используется в стандарте 802.1Q.
Это поле состоит из 12 бит и позволяет закодировать 4096 (212) VLANов. Из 4096 возможных значений VID равное 0 и 4095 (FFF) зарезервированы, поэтому максимальное количество VLAN, которые работают в сети, равно 4094. VID = 0 определяет, что данный кадр не несет информации о VLAN, а несет только информацию о приоритете. VID = 4095 в оборудовании ZyXEL используется для внутренней коммутации (например, в DSLAM).


802.1Q VLAN



Каждый VLAN имеет свой уникальный VID. Порты с одинаковыми VID могут взаимодействовать друг с другом.


VLAN-aware - устройство, которое может распознавать и поддерживать VLAN на базе признака (802.1Q Tag VLAN).


VLAN -unaware - устройство, которое не может распознать VLAN на базе признака.


Коммутатору необходимо знать, какие устройства поддерживают VLAN, а какие нет. Это позволяет коммутатору убрать дополнительную информацию о VLAN при передаче кадра не поддерживающему данный стандарт устройству.


Процесс 802.1Q



В соответствии с VID коммутатор перенаправляет и фильтрует кадры между портами с одинаковыми VID. IEEE 802.1Q VLAN выполняет три задачи, а именно выполнение Входного правила (классификация принадлежности входного кадра VLAN'у), Пересылку сообщения (принятие решения о фильтрации или пересылке пакета) и Выходное правило (принятие решения о пересылке кадра с признаками VLAN или без).


Входное правило



Коммутатор с поддержкой VLAN может принимать кадры как с признаком, так и без. 


На этапе применения Входного правила определяется наличие признака в кадре и классификация кадра по VLAN. На каждом порту определено свое Входное правило. Если Входное правило определяет прием только кадров с признаками, то другие кадры будут отбрасываться.
Если в правиле определено принимать все кадры, то и кадры с признаком, и без признака будут приниматься и обрабатываться. 
При приеме кадра с признаком он сразу направляется на процесс пересылки.
При приеме кадра без признака происходит добавление признака со значением PVID в кадр. Каждый физический порт имеет VID по умолчанию PVID (Port VID). PVID добавляется в кадры без признака и приоритетные кадры с признаком (кадры с VID=0), которые поступают на порт.
После выполнения Входного правила все кадры имеют 4 дополнительных байта, в которых записана информация VLAN, и отправляются на процесс пересылки.


Процесс пересылки



На этапе процесса пересылки принимается решение о пересылке полученного кадра на основе Базы фильтрации. Решение о пересылке принимается на основе таблиц. База фильтрации содержит две таблицы: Таблицу MAC (Порт, MAC-адрес назначения принятого кадра, Время старения) и таблицу VLAN (VLAN ID принятого кадра, Выходной порт, SVLAN/DVLAN, Тип выходного кадра). Кадры после применения Входного правила вначале обрабатываются при помощи таблицы MAC, а затем при помощи таблицы VLAN.


Если необходимо отправлять кадры с признаком на определенный порт, то этот порт должен быть выходным портом для этого VID.


База фильтрации хранит информацию по VLAN, используемую для коммутации кадров. Она содержит статическую таблицу (Static VLAN или таблица SVLAN) и динамическую таблицу (Dynamic VLAN или таблица DVLAN). Таблица SVLAN ведется вручную администратором. Таблица DVLAN динамически пополняется при помощи протокола GVRP и не может изменяться администратором.


Таблица SVLAN


В таблице SVLAN содержится статическая информация по VLAN.



Таблица SVLAN Базы Фильтрации содержит следующую информацию:
a. VID: VLAN ID
b. Port: Порт коммутатора
c. Ad Control: Управление, которое бывает трех типов: forbidden, fixed и normal.


  • Forbidden: Данный порт не может быть членом этого VLAN; 
  • Fixed: Данный порт постоянно является участником этого VLAN;
  • Normal: Данный тип означает, что вхождение порта в определенные VLAN определяется таблицей DVLAN на базе протоколо GVRP.

d. Egress Tag Control (Контроль признака на выходе): Эта информация используется для Выходного правила. Если установлено tag, то выходной кадр с признаком, если установлено UnTag, то выходной кадр без признака. Если Ad Control = Forbidden, то Egress Tag Control = none. Egress


Регистрация VLAN


Существует два варианта регистрации VLAN:


  1. Статически (Static);
  2. Динамически (Dynamic).


Static VLAN добавляются вручную администратором и как правило, работают на одном коммутаторе. Dynamic VLAN автоматически добавляются из данных протокола GVRP и не могут быть изменены и добавлены администратором.


GVRP значит GARP VLAN Registration Protocol, GVRP – протокол регистрации портов членов VLAN в сети. C помощью GVRP возможно динамическое создание VLAN между соседними VLAN-aware устройствами. При этом, VLAN автоматически регистрируются и удаляются. 


Например, имеется два 802.1Q VLAN коммутатора на базе признаков – Switch-1 и Switch-2. Каждый коммутатор содержит SVLAN-таблицу, заполненную администратором, и пустую DVLAN-таблицу. После включения GVRP коммутаторы обмениваются информацией, и VLAN-таблица пополняется соответствующими записями.


Выходное правило



Выходное правило решает должна ли быть информация о признаке VLAN в отправляемом кадре или нет. Решение принимается на основе информации поля Egress Tag Control (Контроль признака на выходе) из Базы Фильтрации.


Для VLAN-aware устройств на приеме: отсылаемые кадры должны быть с признаком.


Для VLAN-unaware устройств на приеме: отсылаемые кадры должны быть без признака.

 

KB-1437

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0