В каких случаях полезен режим untagAll (access) VLAN port?

Question

В каких случаях полезен режим untagAll (access) VLAN port?

На моем коммутаторе Avaya ERS2550T каждый порт может быть настроен с собственной / первичной VLAN. Я могу назначить другие вторичные (в зависимости от режима) VLAN, которые будут связаны с этим портом.

Я могу настроить порты как:

tagAll (багажник)
untagAll (доступ)
tagPvidOnly
untagPvidOnly

Я видел похожие варианты портов на разных коммутаторах. Как я понимаю, сети VLAN используются для разделения доменов коллизий на отдельные подсети.

Вещь, которую я не понимаю, это то, что если бы у нас были VLAN 10, 20 и 30, каждая из которых имеет свою собственную IP-подсеть, то почему мы хотели бы отключить все из них на порту, так как это привело бы к коллизии разных подсетей в одной и той же сети? физический порт.

Итак, в заключение, почему существует режим untagAll (доступ) и в каких случаях было бы полезно назначить более одной VLAN порту, работающему в этом режиме?

3

networking vlan

Источник

g18c 26 май '13 в 23:05

1 ответ

Решение

Другие вопросы по тегам networking vlan

Sergey Vlasov 27 май '13 в 00:39 2013-05-27 00:39 · Accepted Answer · 2013-05-27 00:39

Такое определение "доступа" к порту выглядит необычно - во многих других устройствах настройка режима порта на "доступ" означает, что порт может быть членом только одной VLAN. Некоторые другие устройства имеют "гибридный" режим порта, который является еще более общим - гибридный порт может быть членом нескольких VLAN, и для каждой VLAN вы можете выбрать, будут ли исходящие кадры из этой VLAN маркированы или нетегированы.

Наличие более одной VAG без тега на порту может быть полезно в особых случаях. Предположим, у вас есть сервер и три группы клиентов в одной IP-подсети; однако каждая группа клиентов должна иметь возможность общаться только с сервером и другими клиентами в той же группе, но не должна иметь возможность обращаться к клиентам из других групп. Затем вы можете настроить VLAN на коммутаторе следующим образом:

порты для группы клиентов 1 - VLAN 10, 40; PVID = 10, untagAll;
порты для группы клиентов 2 - VLAN 20, 40; PVID = 20, untagAll;
порты для группы клиентов 3 - VLAN 30, 40; PVID = 30, untagAll;
порт для сервера - VLAN 10, 20, 30, 40; PVID = 40, untagAll.

В этом случае кадры, передаваемые сервером, получат VLAN ID 40 и могут достичь всех клиентов; однако кадры, передаваемые клиентом из группы 1, получат VLAN ID 10 и могут достигать только сервера и других клиентов из группы 1, и аналогично для других групп.

Такая конфигурация сама по себе не обеспечивает полной защиты между группами клиентов - даже если клиент не может отправлять кадры, которые будут получены клиентом из другой группы, эта конфигурация VLAN не может помешать им подделать IP-адреса клиентов из других групп. Другие функции коммутатора (например, ACL или отслеживание DHCP) могут использоваться для предотвращения такого подмены IP.

Другой потенциальной дырой в этой конфигурации является поведение коммутатора, когда он принимает помеченный кадр на таком порту - например, если клиент отправляет кадр, помеченный VLAN ID 40, и коммутатор будет обрабатывать такой кадр в соответствии с тегом, этот кадр может достигать клиентов из других групп. Поэтому для полной изоляции группы необходима опция фильтрации всех помеченных фреймов в порту.

В особом случае, когда каждый клиент находится в своей собственной группе, тот же результат может быть достигнут с помощью функции "изоляции портов", доступной на некоторых коммутаторах, но более сложные конфигурации с несколькими клиентами в группе требуют отдельных идентификаторов VLAN для групп.