Маркиран порт: какво е това?

Маркираният порт се получава след операция за маркиране на VLAN, известна също като Frame Tagging. Това е метод, разработен от Сиско, за достъпни пакети, преминаващи през опорната мрежа. Когато един Ethernet кадър пресича тази връзка, получаващата страна няма информация за използването на виртуални мрежи.

История на стандарта

В старите времена, когато не съществуваха комутатори и VLAN, мрежата се свързваше чрез хъбове и се хостваше на всички мрежови хостове в един и същ Ethernet сегмент. Това беше основно ограничение на надеждността, тъй като всички хостове бяха в една и съща къща за сблъсъци и ако два хоста се повредят едновременно, данните бяха "податливи на сблъсъци" и трябваше да бъдат преразпределени. В системата са въведени превключватели за за решаване на този проблем.

Съществуват два типа комутатори за маркирани и немаркирани портове:

1. Основен, наричан "неуправляем", с проста функционалност. Те не поддържат конфигурируеми VLAN. Това означава, че всички хостове в него са част от един и същ домейн на излъчване.
2. Управление, позволяващо споделяне на трафика чрез VLAN. Те вече са широко разпространени, въпреки че неуправляемите комутатори все още са често срещани.

Постигането на целите на една надеждна система за пренос включва свързването на всички групи хостове към техните собствени комутатори. Понякога това се прави за управление на трафика. За съжаление това все още е твърде скъпо, така че потребителите често предпочитат VLAN. Концепцията за VLAN е виртуален комутатор. Основна функция - споделяне на трафик. Хостовете в единия не могат да комуникират с хостове в другия без допълнителни услуги. Пример за услуга е маршрутизатор, който предава пакети по виртуална линия.

Принцип на маркиране на рамката

Една от причините за поставяне на хостове и маркирани портове в отделни VLAN е да се ограничи броят на излъчваните съобщения в мрежата. IPv4 например разчита на излъчване. Разделянето на тези хостове ще бъде ограничено.

По-долу е описана обичайната Ethernet рамка, наличието на задължителни данни:

• MAC адрес на източника и местоназначението му;
• поле, тип/дължина;
• полезен товар;
• FCS за цялостност.

Към рамката е добавен четирибайтов порт с VLAN етикет, включително идентификатор на виртуална линия. Той идва веднага след MAC адреса на източника и е с дължина 12 бита, което осигурява теоретичен максимум от 4096 vlanids. На практика има няколко запазени VLAN в зависимост от доставчика.

802.1 Q е настоящият стандарт IEEE VLAN (Virtual LAN), който определя маркирането и обозначаването на трафика с цел пренос на данни по определена виртуална интернет мрежа. Слой OSI 802.1 Q да работи при технологията на маркираните портове, рамката установява таг (vlanid), чрез който маркираният трафик се идентифицира като принадлежащ към. Противоположно на немаркираното, което няма токен и VLAN ID, зададен в 12-битовото поле с размер на l2 кадъра. Граници на показанията от 0 до 4096.

Къде:

• 0 и 4096 - резервни данни за използване от системата;
• 1 - по подразбиране.

Основи на маркирането на VLAN

Портовете с маркирани VLAN обикновено се класифицират по един от двата начина: маркирани или немаркирани. Те могат да се наричат също "магистрални" или "за достъп". Маркираният или "магистрален" порт се състои от трафик с няколко виртуални линии, докато немаркираният има достъп до трафик само за една. Магистралните портове свързват комутаторите и крайните потребители и изискват повече процедури за маркираните портове. Двата края на връзката трябва да имат едни и същи параметри:

1. Капсулиране.
2. Разрешени VLAN.
3. Родна VLAN.

Въпреки че каналът може да бъде успешно конфигуриран, е необходимо двете страни на канала да бъдат конфигурирани по един и същи начин. Несъответствието на собствената или разрешената виртуална линия може да доведе до непредвидени последици. Неприпокриването от противоположните страни на гръбнака може неволно да създаде "прескачане на VLAN". Често това е умишлен метод за атака и представлява открита заплаха за сигурността.

Метод на Cisco

Магистрални връзки, пренасящи VLAN рамки (пакети), които позволяват свързването на няколко комутатора и независимото конфигуриране на всеки порт за виртуална връзка. Маркирането на VLAN е метод, разработен от Cisco, който помага да се идентифицират пакетите, преминаващи през магистралната връзка.

Например, когато използвате два комутатора от серията Catalyst 3500 и един маршрутизатор Cisco 3745, свързани чрез магистрални линии. Магистралите предоставят избор от виртуални линии. Работните станции се свързват директно към връзката за достъп. Портовете са конфигурирани само за едно членство.

Наричането на даден порт Link Access или Trunk Link му дава определени настройки, като например канал за достъп или канал Trunk Channel в случай на 100Mbit или повече. По този начин възходящата връзка на комутатора винаги е магистрална връзка, а всяка обща връзка, към която е свързана работна станция, е порт за достъп.

Разликите между връзка за достъп и магистрална връзка са показани по-долу:

1. Връзката за достъп е връзка, която е част от една VLAN и обикновено е на разположение на крайните потребители.
2. Всяко устройство, свързано към връзката, не знае за участието си във VLAN.
3. Връзките за достъп разбират стриктно стандартните Ethernet рамки, маршрутизаторите премахват всякаква VLAN информация от рамката, преди да бъде изпратена към устройството на линията за достъп.
4. Магистралната връзка обработва трафика на множество VLAN и обикновено се използва за свързване на комутатори с маршрутизатори.

За рамката VLAN комутаторът на Cisco предлага различни методи за маркиране на рамката VLAN, като опорната връзка не се обозначава като виртуална връзка. Повечето VLAN трафици се пренасят между комутаторите с помощта на една физическа магистрална линия.

Добавяне на етикет към Ethernet рамка

Много потребители не разбират напълно, че това е маркиран порт. VLAN тагът всъщност пристига в Ethernet рамката чрез MAC адрес. Маркирането на кадри е технология, която се използва за съществуващи пакети. Тагът Frame се поставя върху рамка, която е част от виртуална линия. Ако има магистрален порт, кадърът се препраща по магистралния порт. Това позволява на определен комутатор да види към коя VLAN принадлежи тагът. Прехвърлянето на рамковия комутатор премахва идентификатора, така че информацията за членството е поверителна за крайните точки.

В технологията на Cisco има различни технологии за магистрално свързване на портове, маркирани с VLAN:

1. Маркиране на мрежовите рамки на Cisco чрез междукомутационна връзка (ISL). Системата предлага поддръжка от други производители на по-стари модели маршрутизатори.
2. IEEE 802.1Q - маркиране на рамки по индустриален стандарт на IEEE.
3. Емулация на LANE - използва се за комуникация със съществуващи VLAN.
4. 802.10 (FDDI)-протокол за изпращане на информация за VLAN по FDDI.

Протокол за маркиране на ISL

ISL (Inter-Switch Layer) е патентован протокол на Cisco, който се използва само за гигабитови Ethernet връзки като комутатори и маршрутизатори и се нарича "външно маркиране". Това означава, че протоколът на Ethernet не променя рамката, тя има VLAN таг и включва ново 26-байтово заглавие, като в края на полето се добавя 4-байтова последователност за проверка на рамката (FCS). Въпреки това допълнително натоварване ISL поддържа до 1000 VLAN и не внася латентност в опорната мрежа.

Cisco, когато е конфигурирана да използва ISL, използва маркиране на магистрала като протокол. ISL и FCS полетата могат да бъдат с дължина 1548 байта, а максималният възможен размер на рамката е 1518 байта, което прави ISL "гигантска" рамка. Освен това тя използва мрежова мрежа (PVST) за всяка виртуална верига. Този метод позволява оптимизирано разположение на главния комутатор за наличната линия.

Стандарт IEEE 802.1Q

Тя е създадена от IEEE, за да решаване на проблеми разделя големи мрежи на по-малки, управлявани мрежи с помощта на VLAN. Този стандарт е алтернатива на Cisco ISL за оперативна съвместимост и пълна интеграция със съществуващата мрежова инфраструктура. IEEE 802.1Q е най-популярният и широко използван в мрежовите инсталации, ориентирани към Cisco, което позволява да се разчита на съвместимост и бъдещи подобрения. В допълнение към проблемите със съвместимостта има няколко причини, поради които инженерите предпочитат този метод на маркиране. Те включват:

1. Поддържа до 4096 VLAN.
2. Вмъкване на 4-байтов таг без капсулиране.
3. По-малки размери на крайната рамка в сравнение с ISL.
4. 4-байтова маркировка, вмъкната в съществуващ Ethernet кадър непосредствено след MAC адреса на източника. Поради допълнителния 4-байтов таг минималният размер на рамката на Ethernet II се увеличава от 64 на 68 байта, а максималният размер на рамката вече е 1522 байта.

Максималният размер на Ethernet е значително по-малък (с 26 байта), когато се използват параметрите за маркиране по IEEE 802.1Q, така че ще бъде много по-бърз от ISL. Въпреки това Cisco препоръчва да се използва ISL маркиране в собствена среда. Това означава, че ако даден потребител има 10 VLAN, в комутаторите ще участват и 10 STP инстанции. В случай на устройства, които не са на Cisco, ще се поддържа само 1 инстанция на STP за всички. От решаващо значение е VLAN за IEEE 802 trunk.1Q е еднакъв в двата края на гръбнака.

LANE Емулация на LAN

Емулацията на LANE е въведена за вземане на решения VLAN през WAN връзки, което позволява на мрежовия администратор да дефинира работни групи въз основа на логическа функция, а не на местоположение. Има VLANs между отдалечени офиси, независимо от местоположението им. LANE не се среща често, но потребителите не бива да го пренебрегват.

LANE е създаден от Cisco през 1995 г. при пускането на версия 11 на IOS.0. Когато се реализира между две WAN връзки от типа "точка към точка", той става напълно прозрачен за крайните потребители:

1. Всеки възел на LAN или ATM, например комутатор или маршрутизатор, показва, че е свързан към мрежата чрез специален софтуерен интерфейс, наречен "клиент за емулация на LAN".
2. Клиентът LANE работи с локалната мрежа (LES), за да обработва всички съобщения и пакети.
3. Спецификацията на LANE определя сървър за конфигуриране на локални мрежи (LECS), услуги, работещи в комутатор на АТМ или сървър, свързан с АТМ, който е в мрежата и позволява на администратора да контролира кои локални мрежи се обединяват, за да образуват VLAN.

Алгоритъм за конфигуриране на Windows 2012 Server

Преди това, ако потребителят иска да конфигурира една VLAN за интерфейсите, той трябва да отиде в "Мрежови връзки" -> "Свойства" -> "Advanced", изберете полето "VLAN I" и добавете подходяща стойност. Ако за един и същи интерфейс трябва да се конфигурират няколко VLAN, VLAN ID трябва да се зададе на 0, в противен случай линията няма да работи.

Ако използвате Windows 2012 Server, потребителят трябва да конфигурира няколко маркирани порта. Възможно е това да се направи на един мрежов интерфейс с локална сървърна връзка и свързване на мрежови карти.

Ред на операциите:

1. Създаване на нова команда с един интерфейс (TEAMS-> ЗАДАЧИ-> New TEAM), изберете желания интерфейс, например 40GbE, и го наименувайте.
2. Изберете "Adapter and Interfaces" и щракнете върху "Set"-> Добавяне на интерфейс.
3. Конфигурирайте конкретна VLAN и щракнете върху OK, за да добавите друг VLAN интерфейс.
4. Задайте IP адрес на новия интерфейс, потърсете "Мрежови връзки" и намерете правилния VLAN интерфейс.
5. След това конфигурирайте IP.

По този начин може да се обобщи, че VLAN маркираните портове са стандарт, използван за идентифициране на пакета чрез MAC адреса. Операцията е напълно прозрачна за крайните устройства и осигурява необходимото ниво на сигурност в мрежата.