Perché e come vengono etichettati i Vlan Ethernet?
Ho sentito parlare di VLAN tagging, ma non capisco bene il concetto. So che un trunk non può accettare pacchetti untagged senza configurare una VLAN nativa, e che le porte di accesso accettano solo pacchetti untagged. Ma non capisco perché i pacchetti debbano essere etichettati o meno. A quale scopo serve?
80
3
Se avete più di una VLAN su una porta (una "porta trunk"), avete bisogno di un modo per dire quale pacchetto appartiene a quale VLAN all'altra estremità. Per fare questo si "tagga" un pacchetto con un tag VLAN (o intestazione VLAN, se volete). In realtà un tag VLAN è inserito nel frame Ethernet in questo modo:
Il tag 802.1Q (dot1q, VLAN) contiene un VLAN-ID e altre cose spiegate nel 802.1Q Standard. I primi 16 bit contengono il "Tag Protocol Identifier" (TPID) che è 8100. Questo raddoppia anche come EtherType 0x8100 per i dispositivi che non capiscono le VLAN.
Così un pacchetto "tagged" contiene le informazioni VLAN nel frame Ethernet mentre un pacchetto "untagged" non lo fa. Un tipico caso d'uso sarebbe se avete una porta da un router a uno switch a cui sono collegati più clienti:
In questo esempio il cliente "Verde" ha la VLAN 10 e il cliente "Blu" ha la VLAN 20. Le porte tra lo switch e i clienti sono "untagged" cioè per il cliente il pacchetto in arrivo è solo un normale pacchetto Ethernet.
La porta tra il router e lo switch è configurata come una porta trunk in modo che sia il router che lo switch sappiano quale pacchetto appartiene a quale VLAN del cliente. Su quella porta i frame Ethernet sono etichettati con il tag 802.1Q.
Il protocollo di incapsulamento VLAN di default è 802.1Q (dot1.q). La sua funzione più basilare è quella di mantenere le VLAN attraverso gli switch. Poiché le VLAN sono localmente significative per lo switch, dovete tag un frame che va agli switch vicini per far sapere loro a quale raggruppamento logico appartiene quel frame.
Per default la VLAN nativa è la VLAN predefinita, una porta trunk può trasportare più VLAN per instradare il traffico verso il router o uno switch. VLAN è un protocollo di livello 2 e segmenta una rete di livello 2, possono comunicare solo in un dispositivo di livello 3 come un router o uno switch di livello 3.
La VLAN nativa è usata in modo che i frame non etichettati possano comunicare senza il bisogno di un router. È la migliore pratica di sicurezza cambiare la VLAN di default/nativa in un'altra VLAN usando questo comando: switchport trunk native vlan .
Gli switch Cisco supportano l'incapsulamento IEEE 802.1Q e ISL.