标记与未标记的问题

网络工程 转变 VLAN 树干
2021-07-15 00:40:15

由于我是菜鸟,我无法就以下问题发布后续问题...... 为什么以及如何标记以太网 Vlan?

标记

在我的图像中,我相信我已经正确地描述了标记网络的工作原理,从交换机到设备。如果 v10、v20 和 v30 被标记,则允许该流量通过到客户端设备。由于 v50 未在此端口上标记,因此将不允许其流量通过。然后,客户端设备将确定如何处理不同 vlan 的流量(例如,具有多个 SSID 的接入点用于多个 vlan,或者运行虚拟计算机的主机和来宾计算机位于不同的 vlan)。

由于许多设备(例如我们的家用计算机)(据我所知)没有能力将 802.1Q 标记标头应用于其流量(基本上将计算机的网卡设置为使用标记的网络,例如 v10、v20 或 v30),来自计算机的流量将被拒绝。

未标记

在这种情况下,需要一个未标记的网络。

它仍然可以通过 v10、v20 或 v30 上的流量,但它需要...

1.A 在交换机上未标记 vlan(例如 v20)

2.A设备有正确的IP地址(如10.0.20.XXX)

或者

1.B 设备能够标记其流量(例如 VoIP 电话)

2.B 设备有正确的IP地址(如10.0.20.XXX)

标记和未标记

在这最后一张图片中,我相信我已经描述了标记和未标记的开关设置如何正确运行。该交换机有 3 个标记网络和 1 个未标记网络。主机的流量在未标记的网络上传输(例如获取自动 DHCP、Internet 等)。主机通过用户设置,使用标头中的标签正确路由流量。

访客网络然后将其标记的流量发送回主机服务器,然后主机服务器将其流量中继到交换机。

  1. 这是否准确地描述了(以基本术语)标记和未标记的流量是如何工作的?
  2. 如果这都是真的,那么主机如何将标记的流量发送到交换机?可以...

A. 通过未标记的网络发送它并且交换机相应地路由标记的流量?

B. 通过不使用未标记网络的标记网络发送它。

如果 B 是正确的,那么(在这种情况下)主机是否必须有一个未标记的网络来让来宾计算机传递流量?主机是否可以没有标记或未标记的网络,并且仍然能够传递来自访客服务器的标记流量?

感谢您对此的帮助!

凯文

更新:系统要求我更新这个问题,以解决为什么这与以太网 Vlan 标记原因和方式不同. 我本来可以对这个问题添加评论,但作为菜鸟,我没有足够的声望点来发布它。虽然它确实在某种程度上解决了我的问题,但其中一部分是试图澄清我的理解并提出后续问题。

3个回答

标签仅附加到中继端口上的帧。接入端口虽然是 VLAN 的成员,但不会在帧退出端口时标记帧。

通常,终端设备连接到访问端口,因此它们不会接收带有标签的帧。有一些例外,因为一些服务器可以处理标签并通过中继端口连接。

不,这并不能准确反映标记和未标记流量的工作方式。

首先,802.1q VLAN 标记是在以太网帧的第 2 层上完成的,因此 IP 地址与标记或未标记帧的行为无关。其次,标记不是用于允许或拒绝进出特定 VLAN 的流量的系统。通常不应仅仅因为帧有或没有标记而拒绝帧。

VLAN 标记只是帧指定其适用于哪个 VLAN 的一种方式。差不多就是这样(还有其他事情,但现在让我们了解基础知识)。

对于不处理 VLAN 标记(或禁用标记处理)的接口,进入该接口的所有帧都被视为位于同一 VLAN 上。对于不了解 VLAN 的设备,进入任何接口的帧仅位于设备看到的一个网络 (VLAN) 上。

对于确实处理 VLAN 标记的接口,标记会告诉接口该帧用于哪个 VLAN。大多数情况下,当接口被配置为处理 VLAN 标记时,该接口上可用的 VLAN 之一被配置为任何没有标记的帧的目的地。该 VLAN 通常称为“未标记 VLAN”、“默认 VLAN”或“本机 VLAN”。到达配置了默认 VLAN 的接口的未标记数据包将被接受并传递到该 VLAN没有标签不一定会导致帧被拒绝或丢弃。有时出于安全目的,接口没有默认 VLAN,或者未标记的数据包将被明确丢弃。

此外,VLAN 没有完全标记或未标记。接口被配置为在该接口上可用的所有 VLAN 或所有 VLAN 上使用标记,但标记哪些 VLAN 帧可能因接口而异。

假设您有两个 VLAN,VLAN 10 和 VLAN 20,一台支持标记的交换机,一台支持标记的防火墙,以及两台不支持标记的计算机。在交换机上,您可以将端口 1 配置为仅在 VLAN 10 上,将 VLAN 10 作为默认 VLAN,将端口 2 配置为仅在 VLAN 20 上,将 VLAN 20 作为默认 vlan,将端口 3 配置为 VLAN 10 和 VLAN 10。 20,其中 VLAN 10 作为默认 VLAN,并在端口 3 上为 VLAN 20 配置了 802.1q 标记。

然后,您可以将防火墙配置为在其“内部”端口上具有两个虚拟接口。一个虚拟接口可以配置为未标记且位于 VLAN 10 上,另一个虚拟接口可以配置为 VLAN 20。

将计算机 A 插入端口 1,将计算机 B 插入端口 2。现在,当计算机 A 向交换机发送帧时,交换机会在端口 1 上接受它,因此知道它是用于 VLAN 10 的,并在没有 VLAN 标记的情况下将其从端口 3 发送出去。防火墙在其“内部”端口上获取帧,并且由于它没有标记,因此假定它用于 VLAN 10 并使用 VLAN 10 虚拟接口对其进行处理。

当计算机 B 向交换机发送一个帧时,交换机在端口 2 上接受它并知道它是用于 VLAN 20 的,然后将它从端口 3 发送出去,并为 VLAN 20 添加了一个 VLAN 标记防火墙获取帧、查看标记并知道该帧用于 VLAN 20,因此使用 VLAN 20 虚拟接口处理该帧。

希望这能稍微澄清一下。

当以太网帧穿过中继链路时,会向该帧添加一个特殊的 VLAN 标记并通过中继链路发送。

当它到达中继链路的末端时,标记被移除,并且根据交换机表将帧发送到正确的接入链路端口,因此接收端不知道任何 VLAN 信息。

其它你可能感兴趣的问题
上一篇简单拓扑中的路由/网关问题 下一篇Arping 本地广播地址