Por que e como as tags Ethernet Vlans são marcadas?

Soube da marcação de VLAN, mas não entendo bem o conceito. Sei que um tronco não pode aceitar pacotes sem marcação sem configurar uma VLAN nativa e que as portas de acesso aceitam apenas pacotes sem marcação. Mas não entendo por que os pacotes precisam ser marcados ou desmarcados. Que finalidade serve?

Se você tiver mais de uma VLAN em uma porta (uma "porta de tronco"), precisará de uma maneira de saber qual pacote pertence a qual VLAN na outra extremidade. Para fazer isso, você está "etiquetando" um pacote com uma etiqueta VLAN (ou um cabeçalho VLAN, se desejar). Na realidade, uma tag VLAN é inserida no quadro Ethernet da seguinte maneira:

A etiqueta 802.1Q (dot1q, VLAN) contém um ID de VLAN e outras coisas explicadas no padrão 802.1Q . Os primeiros 16 bits contêm o "Tag Protocol Identifier" (TPID), que é 8100. Isso também funciona como o EtherType 0x8100 para dispositivos que não entendem VLANs.

Portanto, um pacote "marcado" contém as informações da VLAN no quadro Ethernet, enquanto um pacote "não marcado" não. Um caso de uso típico seria se você tivesse uma porta de um roteador para um comutador ao qual vários clientes estão conectados:

Neste exemplo, o cliente "Verde" possui VLAN 10 e o Cliente "Azul" possui VLAN 20. As portas entre o switch e os clientes são "não identificadas", o que significa para o cliente que o pacote que chega é apenas um pacote Ethernet normal.

A porta entre o roteador e o comutador é configurada como uma porta de tronco, para que o roteador e o comutador saibam qual pacote pertence a qual cliente VLAN. Nessa porta, os quadros Ethernet são marcados com a tag 802.1Q.

As respostas acima são bastante técnicas. Pense desta maneira:

De fato, as VLANs e a marcação nada mais são do que uma separação lógica de redes, em contraste com uma separação física. Agora, o que isso significa?

Se não houvesse VLANs, você precisaria de um switch para cada domínio de broadcast . Imagine o cabeamento envolvido e também o número potencial de placas de rede necessárias nos hosts. Então, primeiro, as VLANs permitem que você tenha várias construções independentes da camada 2 dentro do mesmo comutador.

Como agora você pode ter várias redes em cada link / porta, você precisa, de alguma forma, distinguir qual pacote pertence a qual rede. É por isso que eles são marcados. Se uma porta transporta mais de uma VLAN, também é chamada de tronco . (para n> 1 VLANs, pelo menos n-1 VLANs precisam ser etiquetadas e pode haver uma VLAN sem marcação, a VLAN nativa)

Geralmente você precisa distinguir pacotes na entrada de porta (entrada "do cabo") e saída (saída "no cabo"):

Entrada

• ingresso sem marcação: é aqui que entra a vlan nativa da porta. Se o switch tiver várias VLANs configuradas, você deverá informar ao comutador ao qual pertence um pacote não marcado de VLAN;

• ingresso marcado: bem, se ele vem marcado, então está marcado e você não pode fazer muito a respeito. Se o switch não souber sobre marcação ou sobre essa VLAN precisa, ele será rejeitado; algumas vezes você precisará ativar algum tipo de filtro de entrada. Você também pode forçar uma porta a aceitar apenas pacotes não marcados ou marcados.

Saída

• saída sem marcação: para cada porta, você pode selecionar uma VLAN cujos pacotes de saída nessa porta não estejam marcados (por exemplo, porque o host não a suporta, ou apenas uma VLAN é necessária, por exemplo, para um PC, impressora etc.);

• saída marcada: você precisa informar ao switch quais VLANs disponibilizarão na porta e, se houver mais de uma, todas, exceto uma, deverão ser marcadas de qualquer maneira.

O que acontece dentro do switch

Um switch possui um FDB ( F encaminhamento D ata B ase) que

• em um switch que não é compatível com VLAN (às vezes chamado de "não gerenciado" ou "burro", ...): associa um host (endereço MAC) a uma porta: o FDB é uma tabela composta de tuplas de dois elementos: (MAC, porta)

• em um switch compatível com VLAN (às vezes chamado de "gerenciado" ou "inteligente", ...): associa (VLAN, MAC) tuplas a uma porta: o FDB é uma tabela composta por tuplas de três elementos: (MAC, porta , VLAN).

  A única restrição aqui é que um endereço MAC não pode aparecer na mesma VLAN duas vezes, mesmo se em portas diferentes (essencialmente a VLAN em comutadores compatíveis com VLAN substitui a noção de porta em comutadores não compatíveis com VLAN). Em outras palavras:

• Pode haver várias VLANs por porta (é por isso que precisa haver tags em algum momento).
• Pode haver várias VLANs por porta e por MAC: o mesmo endereço MAC pode aparecer em diferentes VLANs e na mesma porta (embora eu não recomendo isso para fins de sanidade).
• O mesmo endereço MAC ainda não pode aparecer na mesma VLAN, mas em portas diferentes (hosts diferentes tendo o mesmo endereço MAC na mesma rede da camada 2).

Espero que isso esclareça um pouco a confusão ;-)

O protocolo de encapsulamento VLAN padrão é 802.1Q (dot1.q) . Sua função mais básica é reter VLANs entre switches. Como as VLANs são localmente significativas para o comutador, é necessário marcar um quadro que vai para comutadores próximos para que eles saibam a que agrupamento lógico esse quadro pertence.

Por padrão, a VLAN nativa é a VLAN padrão, uma porta de tronco pode transportar várias VLANs para rotear o tráfego para o roteador ou um switch. A VLAN é um protocolo da camada 2 e segmenta uma rede da camada 2; eles só podem se comunicar em um dispositivo da camada 3, como um roteador ou um comutador da camada 3.

A VLAN nativa é usada para que os quadros não marcados possam se comunicar sem a necessidade de um roteador. É uma prática recomendada de segurança alterar a VLAN padrão / nativa para outra VLAN usando este comando: switchport trunk native vlan.

Os switches Cisco suportam encapsulamento IEEE 802.1Q e ISL.