Сети VLAN в среде с несколькими коммутаторами

Создана 12.09.2024
Отредактирована 16.09.2024

Транк (Trunk) — это канал типа «точка-точка» между двумя сетевыми устройствами, который поддерживает более одной сети VLAN. Транк виртуальных сетей расширяет сети VLAN по всей сети. Cisco поддерживает стандарт IEEE 802.1Q для координации транков в интерфейсах Fast Ethernet, Gigabit Ethernet и 10-Gigabit Ethernet.

Использование сетей VLAN без транковых каналов существенно снижает полезные возможности VLAN. Транки виртуальных сетей обеспечивают распространение всего трафика VLAN между коммутаторами так, чтобы устройства, находящиеся в одной сети VLAN, но подключённые к разным коммутаторам, могли обмениваться данными без вмешательства маршрутизатора.

Транк виртуальных сетей не принадлежит какой-либо определённой сети VLAN, а, скорее, является «кабельным каналом» передачи многих VLAN между коммутаторами и маршрутизаторами. Транк может также использоваться между сетевым устройством и сервером или другим устройством, оснащённым соответствующим сетевым адаптером с поддержкой 802.1Q. По умолчанию на транковом порте коммутатора Cisco Catalyst поддерживаются все сети VLAN.

Рис. 1. Транки виртуальных сетей

На рис. 1 каналы между коммутаторами sw1 и sw2, а также между sw1 и sw3 настроены для передачи трафика, отправляемого по всей сети от VLAN 10, 20, 30 и 99. Данная сеть не сможет работать без транковых каналов VLAN.

При нормальной эксплуатации, когда коммутатор получает широковещательный кадр на одном из своих портов, он пересылает кадр из всех портов, кроме того, на котором он был получен. В анимации на рисунке вся сеть настроена в одной подсети (172.17.40.0/24), сети VLAN не настроены. В результате, когда компьютер программиста (PC3) отправляет широковещательный кадр, коммутатор sw2 отправляет этот широковещательный кадр из всех своих портов. В конечном итоге вся сеть получает широковещательную рассылку, поскольку сеть является широковещательным доменом.

Рис. 2. Без сегментации сети VLAN

В случае когда сети VLAN реализованы на коммутаторе, передача одноадресного, многоадресного и широковещательного трафика от узла в определённой VLAN ведется устройствами в пределах этой сети VLAN.

Как показано на рис. 3, сеть была разделена на сегменты с помощью двух VLAN. Устройства для сотрудников службы безопасности были назначены сети VLAN 10, а устройства программистов — сети VLAN 20. Когда из компьютера (PC2) отправляется широковещательный кадр на коммутатор sw2, коммутатор пересылает кадр только на те порты коммутатора, которые настроены для поддержки VLAN 10.

Порты, обеспечивающие соединение между коммутаторами sw1 и sw2 (порты Gi0/1) и между коммутаторами sw1 и sw3 (порты Gi0/2), являются транковыми каналами и настроены для поддержки всех VLAN в сети.

Когда коммутатор sw1 получает широковещательный кадр через порт Gi0/1, он пересылает широковещательный кадр из единственного другого порта, настроенного для поддержки сети VLAN 10. При получении коммутатором sw3 широковещательного кадра через порт Gi0/2 он пересылает широковещательный кадр из другого порта (Fa0/3), настроенного для поддержки сети VLAN 10. Широковещательный кадр прибывает на единственный другой компьютер в сети, настроенный для VLAN 10.

Рис. 3. C сегментацией сети VLAN

Коммутаторы серии Catalyst 2960 являются устройствами 2-го уровня. Для пересылки пакетов они используют данные заголовка кадра Ethernet. Они не содержат таблиц маршрутизации. Стандартный заголовок кадра Ethernet не содержит информацию о VLAN, к которой относится кадр. Поэтому, когда кадры Ethernet размещаются в транковом канале, необходимо добавить информацию о сетях VLAN, которым они принадлежат. Этот процесс называется тегированием и выполняется с помощью заголовка IEEE 802.1Q, указанного в стандарте IEEE 802.1Q. Заголовок 802.1Q содержит тег размером 4 байта, который добавляется в оригинальный заголовок кадра Ethernet и идентифицирует VLAN, к которой относится кадр.

Когда коммутатор получает кадр через порт, настроенный в режиме доступа и назначенный сети VLAN, коммутатор добавляет в заголовок кадра метку VLAN, заново вычисляет FCS и отправляет тегированный кадр из транкового порта.

Поле тега VLAN состоит из поля типа, поля приоритета, поля идентификатора канонического формата и поля идентификатора VLAN.

Тип — это 2-байтовое значение, которое называется значением идентификатора протокола тегирования (TPID). Значение для Ethernet имеет вид шестнадцатеричного числа 0x8100.

Приоритет пользователя — это 3-битовое значение, которое поддерживает реализацию уровня или сервиса.

Идентификатор канонического формата (CFI) — это 1-битовый идентификатор, который обеспечивает передачу кадров Token Ring по каналам Ethernet.

VLAN-идентификатор (VID) — это 12-битный идентификационный номер VLAN, который поддерживает до 4096 идентификаторов VLAN.

После того как коммутатор добавит поля типа и управляющей информации тега, он пересчитывает значения FCS и добавляет в кадр новое значение FCS.

Рис. 4. Поля в кадре Ethernet 802.1Q

Некоторые устройства, поддерживающие транковую связь, добавляют метку в трафик сети native VLAN. Управляющий трафик, отправляемый в сети native VLAN, тегировать не следует. Если транковый порт 802.1Q получает тегированный кадр с таким же идентификатором VLAN, как у сети native VLAN, то он отбрасывает кадр. Следовательно, при настройке порта коммутатора в коммутаторе Cisco настраивайте устройства таким образом, чтобы они не отправляли тегированные кадры по сети native VLAN. К устройствам от других производителей, которые поддерживают тегированные кадры в сети native VLAN, относятся IP-телефоны, серверы, маршрутизаторы и коммутаторы не от Cisco.

Когда транковый порт коммутатора Cisco получает нетегированные кадры (которые редко встречаются в хорошо спроектированной сети), он пересылает эти кадры в сеть native VLAN. Если с сетью native VLAN не связаны никакие устройства (что бывает довольно часто), а также нет других транковых портов (что также часто случается), то кадр отбрасывается. Сетью native VLAN по умолчанию является сеть VLAN 1. При настройке транкового порта 802.1Q порту идентификатора VLAN по умолчанию (PVID) присваивают значение идентификатора сети native VLAN. Весь нетегированный трафик, поступающий в порт 802.1Q или из него, пересылается в соответствии со значением PVID. Например, если сеть VLAN 99 настроена в качестве native VLAN, то значение PVID равно 99, а весь нетегированный трафик пересылается в сеть VLAN 99. Если сеть native VLAN не была перенастроена, то значение PVID присваивается равным 1.

Рис. 5. Сеть native VLAN на транковом канале 802.1Q

На рис. 5 компьютер PC1 подключен к транковому каналу 802.1Q с помощью концентратора. PC1 отправляет нетегированный трафик, который коммутаторы связывают с сетью native VLAN, настроенной на транковых портах, и пересылают его соответствующим образом. Тегированный трафик в транковом канале, полученный компьютером PC1, отбрасывается. В этом сценарии сеть является плохо спроектированной по нескольким причинам: в ней используется концентратор, имеется узел, подключённый к транковому каналу, и это означает, что существуют порты доступа коммутаторов, назначенные сети native VLAN. Но в этом сценарии иллюстрируется необходимость в спецификации IEEE 802.1Q для native VLAN как средства обработки устаревших сценариев.

Порт доступа, используемый для подключения IP- телефона Cisco, может быть настроен для использования двух отдельных сетей VLAN: одна сеть VLAN для голосового трафика, а другая сеть VLAN для трафика данных от устройства, подключенного к телефону. Канал между коммутатором и IP-телефоном служит транковым каналом для передачи и голосового трафика, и трафика данных.

IP-телефон Cisco содержит встроенный коммутатор 10/100 на 3 порта. Порты обеспечивают выделенные подключения следующим устройствам:

• порт 1 подключается к коммутатору или другому устройству VoIP;
  
• порт 2 является внутренним интерфейсом 10/100, через который передаётся трафик IP-телефона;
  
• порт 3 (порт доступа) подключается к ПК или другому устройству.
  

На коммутаторе доступ настроен для отправки пакетов протокола CDP, указывающих подключённому IP-телефону отправлять голосовой трафик на коммутатор одним из трёх способов, в зависимости от типа трафика:

• в голосовой VLAN, тегированной значением приоритета класса обслуживания (CoS) уровня 2;
  
• в VLAN доступа, тегированной значением приоритета CoS уровня 2;
  
• в нетегированной VLAN доступа (без значения приоритета CoS уровня 2).
  

На рис. 6 компьютер программиста PC5 подключён к IPтелефону Cisco, а телефон подключён к коммутатору sw1. VLAN 150 предназначена для передачи голосового трафика, а PC5 находится в VLAN 20, используемой для данных программистов.

Рис. 6. Тегирование голосовой VLAN

На рис. 7 приведён пример выходных данных. В рамках данной темы не рассматриваются команды Cisco IOS голосовой связи, но в выделенных областях в примере выходных данных показан интерфейс F0/18, настроенный с сетью VLAN для данных (VLAN 20) и сетью VLAN для голосовой связи (VLAN 150).

Рис. 7. Вывод команды show interfaces Fa0/18 switchport