Avis important : |
Si vous connaissez le VLAN selon la norme 802.1q, vous êtes peut-être déjà familiarisé avec des termes tels que "PVID", "untagged Membership", "tagged Membership" et VLAN-Tag, etc.
Cependant, de plus en plus d'appareils de réseau affichent dans leur configuration VLAN des termes tels que "Trunk", "Trunking", "Access", etc., ce qui crée une confusion massive dans un sujet qui semble de toute façon difficile à comprendre. En particulier, les paramètres des ports de commutation dans Nebula utilisent cette terminologie et sont donc très différents de la façon dont nous avons appris à configurer les VLANs.
Dans cet article, nous voulons nous attaquer à la confusion qui entoure ce sujet et, nous l'espérons, donner un aperçu de la façon dont les VLAN sont configurés dans Nebula.
Leçon d'histoire - un récapitulatif des VLAN selon 802.1Q
Si vous êtes intéressé par une explication plus détaillée, consultez ces articles - il est fortement recommandé de les consulter avant de poursuivre la lecture, car ils expliquent les bases fondamentales sur lesquelles reposent les types de VLAN Trunk / Access :
VLAN - Un regard plus approfondi sur leur fonctionnement
Selon la norme 802.1q, les trames appartenant à un VLAN sont différenciées en fonction de la taille de l'en-tête et de certains octets qui sont ajoutés et dont le contenu est défini en cas d'appartenance à un VLAN. C'est ce que nous appelons un VLAN-Tag. Voir le graphique ci-dessous à titre de référence :
Un port de commutation n'acceptera la trame élargie que s'il a été informé qu'il faut s'attendre à une trame plus grande que la taille de trame habituelle et si le contenu de l'identifiant VLAN (VID ) correspond à ce que le commutateur a été informé. C'est ce qu'on appelle le Tagged Membership. Une fois accepté, le commutateur traitera la trame entrante comme appartenant au VLAN pour lequel la trame a été étiquetée.
Si nous avons une appartenance non balisée, cela signifie que le port du commutateur lui-même n'attend aucun type de trafic balisé, mais plutôt des trames de taille normale sans balise VLAN. Ce qu'il fera cependant, en conjonction avec le PVID, c'est traiter la trame entrante non balisée comme appartenant à un certain VLAN. Pour cela, vous pouvez imaginer que les VLAN définis sur le port indiquent "chemins de fer/plans avec un numéro d'identification" :
Maintenant que nous avons examiné le fonctionnement générique des VLAN conformément à la norme IEEE définissant les VLAN, replaçons-les dans le contexte des nouvelles méthodes de configuration des VLAN via les modes Trunk et Access.
Configuration simplifiée des VLAN - Mode trunk et mode d'accès
Le VLAN est un concept difficile à appréhender pour de nombreuses personnes. C'est l'un de ces domaines que l'on ne comprend pas du tout, jusqu'à ce qu'on les comprenne vraiment en profondeur. Mais une fois que l'on a vraiment compris comment ils fonctionnent, ils deviennent "simples comme bonjour". Des concurrents tels que Cisco ont modifié la façon dont ils attribuent les membres des VLAN pour adopter une méthode qui semble plus intuitive pour l'ingénieur non qualifié et qui s'est désormais imposée comme une norme industrielle parallèle s'appuyant sur la définition 802.1q du VLAN, en utilisant le mode Trunk et le mode Access pour définir les membres. Dans notre solution Nebula, afin de répondre à cette demande croissante, nous avons également mis en œuvre ce concept d'attribution de membres de VLAN. Voyons d'abord à quoi ressemble le menu du mode Trunk et mettons-le en perspective avec la norme 802.1q - le menu se trouve à l'adresse suivante :
Site-wide > Configure > Switch > Switch ports
Maintenant, cochez la case de l'un des ports que vous vouliez éditer et appuyez sur le bouton "Edit", et vous serez invité à accéder au menu d'édition du port :
Ce sur quoi nous voulons nous concentrer, c'est la zone marquée consistant en Type, PVID et VLANS autorisés.
- Type - Permet de choisir entre le mode Trunk et le mode Access.
- PVID - Permet de définir le PVID du port.
- VLAN autorisés (uniquement en mode tronc commun) - Permet de définir les VLAN activés, marqués ou attribués au port.
- VLANType (uniquement en mode d'accès) - Permet d'attribuer certains mécanismes de distribution dynamique de VLAN tels que Voice VLAN, etc.
Maintenant que nous avons discuté de l'endroit où trouver les paramètres et de ce qui peut être configuré, comment traduire les types Trunk et Access en fonction de nos connaissances précédemment acquises sur 802.1q. C'est assez simple, honnêtement :
Trunk
Le type de VLAN Trunk est choisi lorsque l'on dispose d'un appareil compatible avec le VLAN du côté de l'homologue. Ainsi, si nous voulons gérer tout type de trafic VLAN étiqueté, nous choisissons le type Trunk. Ensuite, nous définissons le PVID en fonction de nos besoins. Comme nous l'avons appris dans l'article VLAN - Un regard plus profond sur leur fonctionnement, le PVID doit toujours correspondre à notre adhésion non balisée, et il ne peut y avoir qu'une seule adhésion non balisée par port = un PVID par port également. Ainsi, en fixant le PVID à = 1, nous attribuons automatiquement en arrière-plan à ce port de commutateur une appartenance non marquée au VLAN 1. Ensuite, nous avons défini les "VLANS autorisés", par défaut avec "all". Cela peut se traduire par : "Ce port a été assigné à l'ensemble des 4096 VLAN. Puisque le PVID 1 est défini et qu'il existe une correspondance dans les VLAN autorisés, le VLAN 1 n'est pas marqué, mais tous les autres VLAN de 2 à 4096 sont définis comme des membres marqués".
Si nous ne voulons qu'une sélection spécifique, par exemple Untagged VLAN1, et tagged VLAN10, 20, 30, nous mettrions en place ce qui suit :
Cela peut se résumer comme suit : "Nous configurons le port pour qu'il accepte le trafic non balisé et le traite comme du trafic VLAN1. En outre, les trames étiquetées avec le VID 10, 20, 30 sont également autorisées à entrer. Tout ce qui diffère de cela sera rejeté".
Avec ces exemples en main, il devrait être clair que le type Trunk est très facile et intuitif à configurer et qu'il est en train de devenir un standard industriel dans la configuration des VLAN.
L'accès
Le mode Accès diffère grandement du type VLAN Trunk dans le sens où le mode Accès n'a pas de VLAN configurable à l'exception du PVID. Comme nous l'avons appris précédemment, le PVID doit toujours correspondre à l'appartenance non marquée. En d'autres termes, cela peut se traduire par : "Si nous configurons le mode d'accès, nous autorisons purement et simplement le trafic non balisé à être traité comme appartenant à n'importe quel VLAN défini dans le PVID. Le trafic balisé dans son intégralité sera rejeté". Le type d'accès est particulièrement utilisé sur les ports dont vous savez que les périphériques connectés ne sont pas compatibles avec les VLAN, souvent appelés "ports de bordure". C'est généralement le cas des ordinateurs de bureau et des ordinateurs portables.
Prenons l'exemple suivant :
Cet exemple peut être décrit de la manière suivante : "Nous réglons le type de VLAN du port du commutateur sur "Accès". Cela permet exclusivement aux trames entrantes, qui n'ont pas d'étiquette attachée, d'être traitées comme appartenant au VLAN1. Tous les autres trafics étiquetés seront rejetés, car la taille de la trame dépasse le maximum accepté et le contenu de l'en-tête VLAN est rejeté par le port de type Accès".
Ne vous méprenez pas sur le fait que le "type de VLAN" est réglé sur "Aucun". Le type de VLAN n'entre en jeu que lorsque vous souhaitez attribuer dynamiquement des mécanismes de VLAN, tels que Voice VLAN, etc. - la formulation peut prêter à confusion et est un peu malchanceuse dans la mesure où elle est en conflit avec le "Type" ci-dessus :
Avec ces connaissances nouvellement acquises, vous devriez maintenant être en mesure d'assigner des VLANs dans Nebula en un clin d'œil et d'acquérir une compréhension complète des VLANs et de leur fonctionnement.