Nebula [VLAN] - Trunk, Zugang, PVID erklärt

Wenn Sie mit VLAN nach 802.1q vertraut sind, sind Sie vielleicht schon mit Begriffen wie "PVID", "untagged Membership", "tagged Membership" und VLAN-Tag usw. vertraut.
Allerdings tauchen bei immer mehr Netzwerkgeräten im VLAN-Setup Begriffe wie "Trunk", "Trunking", "Access" usw. auf, was zu einer massiven Verwirrung bei einem Thema führt, das ohnehin schwer zu durchschauen ist. Insbesondere die Switch-Port-Einstellungen in Nebula verwenden diese Terminologie und unterscheiden sich damit stark von dem, was wir früher gelernt haben, um VLANs einzurichten.

In diesem Artikel wollen wir die Verwirrung um dieses Thema auflösen und hoffentlich einen Einblick geben, wie VLANs in Nebula eingerichtet werden.

Geschichtsstunde - eine Rekapitulation in VLAN nach 802.1Q

Wenn Sie an detaillierteren Erklärungen interessiert sind, sollten Sie sich diese Artikel ansehen - es wird dringend empfohlen, dies zu tun, bevor Sie weiterlesen, da in diesen Artikeln die wichtigsten Grundlagen erklärt werden, auf denen die Trunk-/Access-VLAN-Typen beruhen:

VLAN - Ein tieferer Blick auf ihre Funktionsweise

VLAN - Tagged VLANs vs. PVID (Einrichtungsbeispiel Untagged/Tagged VLAN auf einem GS22XX-Switch)

Wenn wir uns ansehen, wie VLANs definiert sind, müssen wir zunächst einige grundlegende Parameter klären - nach dem 802.1q-Standard werden Frames, die zu einem VLAN gehören, anhand der Größe des Headers und bestimmter Bytes unterschieden, die im Falle einer VLAN-Zugehörigkeit hinzugefügt und mit bestimmten Inhalten versehen werden. Wir nennen dies ein VLAN-Tag. Siehe untenstehende Grafik zur Veranschaulichung:

Ein Switch-Port wird den vergrößerten Frame nur dann akzeptieren, wenn er darauf aufmerksam gemacht wurde, dass ein größerer Frame zu erwarten ist als die übliche Frame-Größe, und wenn der Inhalt der VLAN-ID (VID) mit dem übereinstimmt, was dem Switch mitgeteilt wurde. Dies wird als Tagged Membership bezeichnet. Sobald der Switch dies akzeptiert, behandelt er den eingehenden Frame als zu dem VLAN gehörig, für das der Frame getaggt wurde.

Wenn wir eine " Untagged Membership" haben, bedeutet das, dass der Switch-Port selbst keine Art von getaggtem Verkehr erwartet, sondern stattdessen normal große Frames ohne VLAN-Tag. In Verbindung mit der PVID wird der nicht getaggte eingehende Frame jedoch als zu einem bestimmten VLAN gehörig behandelt. Man kann sich das so vorstellen, dass die auf dem Port eingestellten VLANs "Bahnen/Levels mit einer Identifikationsnummer" anzeigen:

Nachdem wir nun einen Blick darauf geworfen haben, wie VLAN allgemein gemäß dem IEEE-Standard zur Definition von VLAN funktioniert, wollen wir dies in den Kontext der neuen Möglichkeiten zur Einrichtung von VLAN über Trunk & Access Mode stellen.

VLANs einfacher einrichten - Trunk & Access Mode

VLAN ist ein Konzept, das für viele Menschen schwer zu begreifen ist. Es ist einer dieser Bereiche, die man überhaupt nicht versteht, bis man sie wirklich gründlich verstanden hat. Aber wenn man erst einmal verstanden hat, wie sie funktionieren, wird es "kinderleicht". Konkurrenten wie Cisco haben die Art und Weise, wie sie VLAN-Mitgliedschaften zuweisen, auf eine Weise geändert, die für den ungelernten Techniker intuitiver erscheint und die sich inzwischen als paralleler Industriestandard etabliert hat, der sich an der 802.1q-Definition von VLAN orientiert und Trunk Mode und Access Mode zur Definition der Mitgliedschaften verwendet. In unserer Nebula-Lösung haben wir dieses Konzept der Zuweisung von VLAN-Mitgliedschaften ebenfalls implementiert, um dieser wachsenden Nachfrage gerecht zu werden. Schauen wir uns zunächst an, wie das Menü für den Trunk Mode aussieht und setzen es in Relation zum 802.1q Standard - das Menü ist zu finden über:

Site-wide > Configure > Switch > Switch ports

Aktivieren Sie nun das Kontrollkästchen eines der Ports, die Sie bearbeiten möchten, und drücken Sie auf die Schaltfläche "Bearbeiten", woraufhin das Menü zur Bearbeitung des Ports angezeigt wird:

Wir wollen uns auf den markierten Bereich konzentrieren, der aus Type, PVID & Allowed VLANS besteht

• Typ - Hier können Sie zwischen Trunk und Access Mode wählen.
• PVID - Hier können Sie die PVID für den Anschluss festlegen
• Erlaubte VLANs (nur im Trunk-Modus) - Hier können Sie einstellen, welche VLANs für den Port aktiviert/getaggt/zugeordnet sind
• VLAN-Typ (nur im Zugriffsmodus) - Ermöglicht Ihnen die Zuweisung bestimmter dynamischer VLAN-Verteilungsmechanismen wie Voice VLAN usw.

Nachdem wir nun erörtert haben, wo die Einstellungen zu finden sind und was eingerichtet werden kann, stellt sich die Frage, wie wir den Trunk- und Access-Typ auf unser zuvor erworbenes Wissen über 802.1q übertragen können. Ehrlich gesagt, ist das ziemlich einfach:

Trunk

Der Trunk-VLAN-Typ wird grundsätzlich gewählt, wenn wir ein VLAN-fähiges Gerät auf der Gegenseite haben. Wenn wir also jede Art von getaggtem VLAN-Verkehr verarbeiten wollen, wählen wir den Trunk-Typ. Dann stellen wir die PVID nach unseren Bedürfnissen ein. Wie wir in dem Artikel VLAN - Ein tieferer Blick auf ihre Funktionsweise gelernt haben, muss die PVID immer mit unserer ungetaggten Mitgliedschaft übereinstimmen, und es kann nur eine ungetaggte Mitgliedschaft pro Port = eine PVID pro Port geben. Wenn wir also die PVID auf = 1 setzen, weisen wir diesem Switch-Port im Hintergrund automatisch eine Untagged-Mitgliedschaft in VLAN 1 zu. Als nächstes haben wir "Erlaubte VLANS" definiert, standardmäßig mit "all". Dies kann im Wesentlichen wie folgt ausgedrückt werden: "Diesem Port sind alle 4096 VLANs zugewiesen worden. Da PVID 1 eingestellt ist und es eine Übereinstimmung innerhalb der erlaubten VLANs gibt, ist VLAN1 nicht getaggt, aber alle anderen VLANs von 2 bis 4096 sind auf getaggte Mitgliedschaft eingestellt".

Wenn wir nur eine bestimmte Auswahl treffen wollen, z. B. VLAN1 (nicht getaggt) und VLAN10, 20, 30 (getaggt), würden wir Folgendes einrichten:

Dies kann im Wesentlichen wie folgt ausgedrückt werden: "Wir richten den Port so ein, dass er nicht getaggten Datenverkehr akzeptiert und ihn als VLAN1-Datenverkehr behandelt. Abgesehen davon dürfen auch getaggte Frames mit der VID 10, 20, 30 hineingehen. Alles, was davon abweicht, wird zurückgewiesen".

Anhand dieser Beispiele wird deutlich, warum der Trunk-Typ sehr einfach und intuitiv einzurichten ist und sich langsam zu einem Industriestandard bei der Einrichtung von VLANs entwickelt.

Zugang

Der Access-Modus unterscheidet sich vom Trunk-VLAN-Typ insofern, als dass im Access-Modus außer der PVID keine VLANs konfigurierbar sind. Wie wir bereits gelernt haben, muss die PVID immer mit der ungetaggten Mitgliedschaft übereinstimmen. Dies kann wiederum wie folgt ausgedrückt werden: "Wenn wir den Zugriffsmodus einrichten, lassen wir lediglich zu, dass nicht getaggter Verkehr so behandelt wird, als gehöre er zu dem VLAN, das in der PVID eingestellt ist. Getaggter Datenverkehr wird in seiner Gesamtheit zurückgewiesen". Der Zugriffsmodus wird vor allem an Ports verwendet, von denen man weiß, dass die angeschlossenen Endgeräte nicht VLAN-fähig sind, oft auch als "Edge-Ports" bezeichnet. Dies ist üblicherweise bei normalen Desktop-PCs und Laptops der Fall.

Schauen wir uns dieses Beispiel an:

Dies kann folgendermaßen beschrieben werden: "Wir setzen den VLAN-Typ des Switchports auf "Access". Dies erlaubt es ausschließlich, dass eingehende Frames, die kein Tag tragen, als zu VLAN1 gehörig behandelt werden. Alle anderen getaggten Daten werden zurückgewiesen, da die Rahmengröße das zulässige Maximum überschreitet und der Inhalt des VLAN-Headers vom Access Type Port zurückgewiesen wird".
Lassen Sie sich nicht davon irritieren, dass der "VLAN-Typ" auf "Kein" eingestellt ist. Der VLAN-Typ kommt nur ins Spiel, wenn Sie dynamisch zugewiesene VLAN-Mechanismen wie Voice VLAN usw. zuweisen wollen. - Die Formulierung könnte verwirrend sein und ist insofern etwas unglücklich, als sie mit dem obigen "Typ" kollidiert:

Mit diesem neu gewonnenen Wissen sollten Sie nun in der Lage sein, VLANs in Nebula im Handumdrehen zuzuweisen und ein umfassendes Verständnis für VLANs und deren Funktionsweise zu erlangen.