Woher weiß ein Paket, zu welchem ​​VLAN es gehen soll?

Woher weiß ein Paket, zu welchem ​​VLAN es gehen soll?

Ich bin mit dem VLAN-Konzept noch relativ neu und habe Zweifel, wie die Dinge funktionieren und wie man die Ports konfiguriert.

Nehmen wir an, ich habe ein normales LAN 192.168.1.0 hinter SwitchA, VLAN2 192.168.2.0 und VLAN3 192.168.3.0, beide hinter SwitchB.

192.168.1.1 ist das GW zum Internet. SwitchA und SwitchB sind über einen Trunk verbunden.

Wenn ein Gerät aus dem LAN mit VLAN2 oder VLAN3 kommunizieren möchte, wie bei einer SSH/RDP-Anfrage an ein Gerät oder einer HTTP-Anforderung, woher weiß es dann, zu welchem ​​VLAN es gehen soll? Wird es ein einfaches Routing durch das GW unter Verwendung der IPs des LAN/VLANs geben? Oder muss in Bezug auf die Markierung noch etwas mehr hinzugefügt werden? Denn nach meinem Verständnis sollte ich die Ports, an denen die Geräte mit VLAN2 verbunden sind, so konfigurieren, dass nur Pakete mit VID2 und die des VLAN3 mit VID3 akzeptiert werden.

Antwort1

Kurze Antwort:

Fragen Sie sich: „Wenn ich einem Host zwei Ethernet-Ports hinzufüge, woher weiß er, welcher Port verwendet werden soll?“

Für VLANs gilt die gleiche Antwort.


Lange Antwort:

Wenn ein Gerät aus dem LAN entweder mit VLAN2 oder VLAN3 kommunizieren möchte, beispielsweise bei einer SSH/RDP-Anfrage an ein Gerät oder einer HTTP-Anforderung, woher weiß es, zu welchem ​​VLAN es gehen soll?

In der Praxis kümmert sich Ihr Gerät normalerweise nicht um VLANs – es sendet das Paket einfach an das Gateway.

Das Gateway (also der Router) trifft diese Entscheidung auf dieselbe Weise, wie es zwischen physischen Verbindungen entscheiden würde: basierend auf Subnetzen und Routingtabellen. Die meisten Systeme zeigen VLANs als virtuelle Netzwerkschnittstellen an: Wenn der physische Ethernet-Port den Namen hat eth0, dann wäre VLAN 3 eth0.3oder eth0_vlan3. Ihnen können IP-Adressen zugewiesen, Routen hinzugefügt, Firewalls aktiviert usw. werden.

Es kommt ziemlich selten vor, dass Hosts ihren eigenen Datenverkehr kennzeichnen. Wenn Sie dies zulassen, wird praktisch jede Trennung, die Sie möglicherweise erreichen wollten, zerstört. Aber wenn SieTunmehrere VLANs konfigurieren (Linux/BSD sind dazu in der Lage), dann würde es die Tagging-Entscheidung treffengenauauf die gleiche Weise wie ein Router: Er würde jedes konfigurierte VLAN als virtuellen Ethernet-Port mit seinem eigenen Subnetz und seinen eigenen Routen betrachten.


(Natürlich muss der Switch-Port zum Router so konfiguriert werden, dass er alle VLANs übertragen kann. Bei manchen Switch-Modellen müssen Sie möglicherweise den Modus „Trunk“ oder „Mixed“ auswählen, bei anderen Typen fügen Sie die benötigten VLANs als „tagged“ hinzu.)

Antwort2

Es hängt davon ab, was Sie konfigurieren. VLANs sind an die zweite Schicht des ISO/OSI-Modells gebunden. An diesem Punkt betrachten Sie linkbasierte Verbindungen. Angenommen, Sie verwendenIEEE 802.1QZur Implementierung von VLANs wird auf dieser Ebene ein spezieller Header hinzugefügt, der VLANs zulässt.

Wenn Sie die Kommunikation zwischen VLANs zulassen möchten, benötigen Sie ein Gerät, auf das von beiden VLANs aus zugegriffen werden kann. In den meisten Fällen wird es sich dabei um einen Router handeln.

verwandte Informationen