Belangrijke mededeling: |
In dit artikel wordt het concept van de PVID in onze Zyxel Switches uitgelegd en hoe dit de connectiviteit van uw netwerkapparaten en het beheer van de switch zelf beïnvloedt.
Aan de hand van enkele scenario's leggen we uit hoe de PVID-manipulatie de juiste of onjuiste toewijzing van een netwerk kan bepalen of zelfs een uitschakeling van de switch kan veroorzaken door het verlies van de beheercapaciteit.
2. Hoe wordt het ongelabelde en getagde verkeer gewijzigd door de PVID-instelling?
3. Hoe kan PVID in de uplink poort het beheer van de switch beïnvloeden?
1. Definitie PVID
PVID staat voor "Port VLAN ID" en wordt gebruikt in VLAN-toepassingen en kan worden gebruikt om niet-getagd verkeer dat door een bepaalde poort(en) wordt ontvangen, in te stellen als lid van een specifiek VLAN.
Standaard PVID in poort 1 van de switch is bijvoorbeeld "1". Dit betekent dat elk niet-getagd inkomend verkeer dat door de switch wordt ontvangen, wordt beschouwd als verkeer van VLAN1 in de switch.
Voor het uitgaande verkeer zal de schakelaar de niet-getagde VLAN-informatie gebruiken waarvan de poort lid is.
Als onderdeel van het gebruiksgemak dat de Nebula nastreeft, zal het instellen van de PVID automatisch de poort als niet-gemarkeerd lid van hetzelfde VLAN instellen. In dit artikel zullen we dit feit gebruiken om aan te nemen dat de PVID ook is geconfigureerd als ongetagged VLAN in de poort.
Getagd verkeer met VLAN ID, bijvoorbeeld: 3, dat door de switch wordt ontvangen, zal worden beschouwd als een lid van VLAN 3, vandaar dat het niet zal worden gewijzigd en gewoon zal worden doorgestuurd.
2. Hoe wordt het ongelabelde en getagde verkeer gewijzigd door de PVID-instelling?
Nu het PVID-concept is uitgelegd, kunnen we een blik werpen op de volgende scenario's en uitleg geven over elk verbindingspunt:
Geval #1
PC A is verbonden met de poort op switch A
PC's/laptops zijn geen VLAN-bewuste apparaten, dus wanneer de PC A verbinding maakt met de switch:
- De pc zal eerst de DHCP-detectie verzenden als ongelabeld verkeer dat wordt ontvangen op de C3-verbinding op de switch. Door PVID wordt dit ongelabelde verkeer vervolgens op VLAN1 gezet terwijl het door Switch A gaat.
- Switch A bepaalt vervolgens welke andere poorten lid zijn van VLAN1, in dit geval C2. De schakelaar controleert hoe het verkeer uit C2 moet worden verzonden, dat in dit geval ongemarkeerd is vanwege de instelling (ongemarkeerd VLAN-lid).
- LAN interfaces impliceren gewoonlijk "untagged traffic" in de Zyxel gateways, vandaar dat de gateway het ontvangen untagged verkeer in C1 zal behandelen als onderdeel van de LAN1 interface.
- Wanneer de gateway antwoordt naar PC A, heeft het verkeer een gelijkaardig pad. Het ongelabelde verkeer van LAN1 wordt in VLAN1 gezet in C2 zoals aangegeven door PVID, en wordt ongelabeld verzondennaar C3 omdat de poort ongelabeld lid is van dat VLAN.
- De PC ontvangt dan het IP adres van de LAN1 interface van de gateway en kan dan communiceren met dit netwerk.
Geval #2
PC B maakt verbinding met Switch B, die een andere PVID 100 heeft:
In eerste instantie zou je kunnen denken dat PC B eigenlijk een IP zou moeten krijgen van VLAN100 (dat niet bestaat op de Gateway). Dit is echter niet het geval en hier is het begrijpen van het PVID concept belangrijk:
- Ongetagd verkeer van PC B wordt op VLAN100 gezet, zoals aangegeven door de PVID in C6.
- Switch B bepaalt vervolgens welke andere poorten daadwerkelijk lid zijn van VLAN100, in dit geval is C5 daar één van. De switch controleert hoe het verkeer uit C5 moet worden verzonden, dat in dit geval vanwege de instelling ongemarkeerd is.
- In C4 ontvangt Switch A het verkeersverzoek als niet-gemarkeerd, maar zoals aangegeven in de PVID, wordt dit verkeer vervolgens op VLAN1 voor Switch A gezet en uiteindelijk niet-gemarkeerd naar de LAN1 interface op de Gateway verzonden.
- Zoals hier te zien is, behandelen Switch A en B het ongelabelde verkeer op verschillende manieren gebaseerd op de geconfigureerde PVID, maar in feite is het verkeer altijd hetzelfde en bereikt LAN1 met succes.
- Op dezelfde manier zet Switch A op het antwoord terug het ongelabelde verkeer vande LAN1 interfacein VLAN1, dat vervolgens ongelabeldnaar buiten wordt gestuurd op C4. Schakelaar B ontvangt dan dit ongelabelde verkeer in C5 en plaatst het in VLAN100, dat uiteindelijk ongelabeld wordt doorgestuurd op C6 naar de PC.
- De PC ontvangt dan het IP-adres van de LAN1 interface van de gateway en kan dan met dit netwerk communiceren.
Geval #3
PC C ontvangt geen verkeer en IP-telefoon maakt verbinding met VLAN met tags:
Laten we eerst de PC C verbindingen aanpakken:
- PC C stuurt het ongelabelde verkeer naar C7 in Switch B, die door PVID op VLAN1 is gezet.
- Vervolgens probeert Switch B het verkeer door te sturen naar andere poorten die lid zijn van VLAN1. In dit geval is er echter geen andere poort lid van het VLAN. Zoals eerder is weergegeven, is C5 lid van VLAN100 untagged, zodat het VLAN1 verkeer niet via deze poort wordt doorgestuurd.
- Het verkeer van de PC bereikt nooit de gateway en PC C krijgt dus geen IP adres en heeft geen netwerktoegang.
IP-telefoon die verbinding maakt met VLAN met tags:
- IP-telefoons zijn meestal tagged aware, dus ze kunnen VLAN tagged verkeer afhandelen.
- In dit scenario stuurt de IP-telefoon zijn verkeer naarVLAN10 met tag C8, daarom heeft de PVID geen invloed op dit verkeer omdat het al getagd is, dus PVID kan zonder problemen op een ander VLAN worden ingesteld.
- Het VLAN10-verkeer wordt ook getagd verzonden naar C5, C4 en C2, zonder enige wijziging. Het verkeer komt getagd aan op de gateway, die ook een VLAN10 getagde interface heeft.
- Het antwoordverkeer van de gateway heeft wederom een vergelijkbaar pad. Het wordt getagd verzonden vanaf de gateway en het wordt gewoon doorgestuurd met de tag op C2, C4, C5 en C6 en komt getagd aan bij de IP-telefoon die dit verkeer kan verwerken.
- De IP-telefoon kan een IP-adres ontvangen van VLAN10 op de gateway en communiceren met dit netwerk.
3. Hoe kan PVID in de uplinkpoort het beheer van de switch beïnvloeden?
De PVID kan ook het managementnetwerk van de switch zelf beïnvloeden.
In de bovenstaande opstelling hebben zowel switch A als switch B een management VLAN1 geconfigureerd in de Nebula site-wide instellingen.
Switch A:
- De switch gedraagt zich als een pc die met zichzelf is verbonden. Het managementverkeer wordt op VLAN1 gezet dat de switch vervolgens als untagged op C2 uitstuurt en op LAN1 van de gateway ontvangt.
- De switch ontvangt en is dan toegankelijk op een IP adres van LAN1 interface.
Schakelaar B:
- Vergelijkbaar met Switch A wordt het managementverkeer op VLAN1 gezet wanneer het door de switch gaat. Echter, de uplink poort in C5 is geen lid van VLAN1 verkeer, dan wordt het verzoek niet verzonden vanaf Switch B.
- Switch B kan dan geen IP-adres van de gateway ontvangen en is niet verbonden met het netwerk.
Zoals te zien is in bovenstaand voorbeeld voor Switch B, is het belangrijk om een volledig overzicht te hebben van de PVID-instellingen op uplink poorten en de matching met het Management VLAN.
Gelukkig heeft de Nebula een tweede mechanisme dat kan voorkomen dat switch B in dit geval offline gaat. Deze functie heet "Management VLAN Control". Deze functie biedt een tweede mechanisme (naast poort PVID) om het lidmaatschap van de poorten op het management VLAN te definiëren.
Standaard zijn "alle" poorten lid van het management VLAN, wat betekent dat schakelaar B in het bovenstaande scenario poort C5 nog steeds als ongelabeld lid van management VLAN1 heeft, waardoor de schakelaar toegang heeft tot interface LAN1 op de gateway.
Merk op dat het verwijderen van de uplink poort uit de Management VLAN controlelijst, en ook het niet hebben van de management VLAN als PVID van de uplink poort een totale onbeheersbaarheid van de switch op de Nebula zal veroorzaken, en een herconfiguratie van de instellingen en het resetten van de switch nodig zal zijn.