Belangrijke mededeling: |
Als je bekend bent met VLAN volgens 802.1q, ben je misschien al bekend met terminologie zoals "PVID", "untagged Membership", "tagged Membership" en VLAN-Tag enz.
Steeds meer netwerkapparaten tonen in hun VLAN-instellingen echter termen als "Trunk", "Trunking", "Access" enzovoort, waardoor er enorme verwarring ontstaat over een onderwerp dat toch al moeilijk te begrijpen lijkt. Vooral de instellingen van de switch-poorten in de Nebula gebruiken deze terminologie en wijken daardoor sterk af van de manier waarop we voorheen VLAN's leerden instellen.
In dit artikel willen we de verwarring rondom dit onderwerp aanpakken en hopelijk wat inzicht geven in hoe VLAN is ingesteld binnen Nebula.
Geschiedenisles - een recapitulatie in VLAN volgens 802.1Q
Als u geïnteresseerd bent in meer gedetailleerde uitleg, bekijk dan deze artikelen - het wordt sterk aangeraden om deze eerst te lezen voordat u verder leest, aangezien deze artikelen de kernbasis uitleggen waarop Trunk / Access VLAN-typen zijn gebaseerd:
VLAN - Een diepere kijk op hoe ze werken
VLAN - VLAN's met tags vs. PVID (Setup Voorbeeld Untagged/Tagged VLAN op een GS22XX-Switch)
Als we terugkijken naar hoe VLAN worden gedefinieerd, zijn er enkele basisparameters die we eerst op een rijtje moeten zetten - volgens de 802.1q standaard worden frames die tot een VLAN behoren onderscheiden op basis van de grootte van de header en bepaalde bytes die worden toegevoegd en waarin bepaalde inhoud wordt geschreven in het geval van een VLAN-lidmaatschap. We noemen dit een VLAN-Tag. Zie de afbeelding hieronder ter referentie:
Een switch-poort zal het vergrote frame alleen accepteren als hij ervan op de hoogte is gesteld dat er een groter frame te verwachten is dan de gebruikelijke frame-grootte en als de inhoud van het VLAN-ID (VID) overeenkomt met wat de switch ervan op de hoogte is gesteld. Dit wordt getagd lidmaatschap genoemd. Eenmaal geaccepteerd, zal de schakelaar het binnenkomende frame behandelen als behorend tot het VLAN waarvoor het frame getagd is.
Als we een Untagged Membership hebben, betekent dit dat de switchpoort zelf geen getagd verkeer verwacht, maar in plaats daarvan frames van normale grootte zonder VLAN-Tag. Wat het echter wel zal doen is, in combinatie met de PVID, het ongetagde inkomende frame behandelen als behorend tot een bepaald VLAN. Hiervoor kun je je voorstellen alsof de VLAN's die op de poort zijn ingesteld "spoorwegen/lanes met een identificatienummer" aangeven:
Nu we hebben bekeken hoe VLAN generiek werkt volgens de IEEE standaard die VLAN definieert, laten we dit eens in de context plaatsen van de nieuwe manieren om VLAN in te stellen via Trunk & Access Mode.
VLAN's gemakkelijker instellen - Trunk & Access Mode
VLAN is een concept dat voor veel mensen moeilijk te begrijpen is. Het is een van die gebieden die je helemaal niet begrijpt, totdat je ze echt grondig begrijpt. Maar als je eenmaal doorhebt hoe het werkt, wordt het een fluitje van een cent. Concurrenten zoals Cisco hebben de manier waarop ze VLAN-lidmaatschappen toewijzen veranderd in iets dat intuïtiever lijkt voor de ongeschoolde technicus en dat zich inmiddels heeft gevestigd als een parallelle industriestandaard die werkt volgens de 802.1q definitie van VLAN, waarbij Trunk Mode en Access Mode worden gebruikt om de lidmaatschappen te definiëren. Om aan deze groeiende vraag tegemoet te komen, hebben we in onze Nebula oplossing ook dit concept van het toewijzen van VLAN-lidmaatschappen geïmplementeerd. Laten we eerst eens kijken hoe het menu er voor Trunk Mode uitziet en dat in perspectief plaatsen van de 802.1q Standaard - het menu is te vinden via:
Site-wide > Configure > Switch > Switch ports
Vink nu het selectievakje aan van een van de poorten die u wilde bewerken en druk op de knop "Bewerken", waarna u het menu voor het bewerken van de poort te zien krijgt:
Waar we ons op willen concentreren is het gemarkeerde gebied bestaande uit Type, PVID & Allowed VLANS
- Type - Laat je kiezen tussen Trunk & Access Mode
- PVID - Hiermee kun je de PVID voor de poort instellen
- Toegestane VLAN's (alleen in Trunk-modus) - Hiermee kun je instellen welke VLAN's zijn geactiveerd/tagged/toegewezen aan de poort.
- VLAN Type (alleen in Toegangsmodus) - Hiermee kunt u bepaalde dynamische VLAN-distributiemechanismen toewijzen, zoals Voice VLAN enz.
Dus nu we besproken hebben waar de instellingen te vinden zijn en wat er ingesteld kan worden, hoe vertalen we het Trunk & Access Type naar onze eerder opgedane kennis over 802.1q. Eerlijk gezegd is het vrij eenvoudig:
Trunk
Het Trunk VLAN type wordt in principe gekozen wanneer we een apparaat aan de peer kant hebben dat VLAN ondersteunt. Dus als we elk soort getagd VLAN-verkeer willen afhandelen, kiezen we voor het Trunk-type. Vervolgens stellen we de PVID in volgens onze behoeften. Zoals we hebben geleerd in het artikel VLAN - Een diepere kijk op hoe ze werken, moet het PVID altijd overeenkomen met ons niet-getagde lidmaatschap en er kan slechts één niet-getagd lidmaatschap per poort zijn = ook één PVID per poort. Dus als we de PVID instellen op = 1, wijzen we automatisch op de achtergrond aan deze switchpoort ook een ongetagd lidmaatschap in VLAN 1 toe. Verder hebben we "Toegestane VLANS" gedefinieerd, standaard met "alle". Dit kan in principe worden verklaard als: "Deze poort is toegewezen aan alle 4096 VLANs. Aangezien PVID 1 is ingesteld en er een overeenkomst is binnen de Toegestane VLAN's, is VLAN1 ongelabeld, maar alle andere VLAN's van 2 tot 4096 zijn ingesteld op lidmaatschap met tags".
Als we alleen een specifieke selectie willen, bijvoorbeeld VLAN1 zonder tags en VLAN10, 20, 30 met tags, dan stellen we het volgende in:
Dit kan in principe worden gesteld als: "We stellen de poort zo in dat deze ongetagd verkeer accepteert en behandelt als VLAN1-verkeer. Daarnaast mogen getagde frames met de VID 10, 20, 30 ook binnenkomen. Alles wat hiervan afwijkt wordt geweigerd".
Met deze voorbeelden bij de hand zou het duidelijk moeten zijn waarom het Trunk Type heel eenvoudig en intuïtief is om in te stellen en langzaam een industriestandaard wordt in VLAN-instellingen.
Toegang
De Access modus verschilt enorm van het Trunk VLAN type in de zin dat er in de Access modus geen VLANs configureerbaar zijn, behalve de PVID. Zoals we eerder hebben geleerd, moet de PVID altijd overeenkomen met het niet-gemagde lidmaatschap. Dit kan op zijn beurt worden verklaard als: "Als we de toegangsmodus instellen, staan we puur toe dat niet-getagd verkeer wordt behandeld als behorend tot welk VLAN dan ook dat is ingesteld in de PVID. Gelabeld verkeer in zijn geheel zal worden geweigerd". Access Type wordt vooral gebruikt op poorten waarvan je weet dat de aangesloten eindapparaten niet geschikt zijn voor VLAN, ook vaak "edge-ports" genoemd. Dit is vaak het geval bij normale desktop PC's en laptops.
Laten we eens kijken naar dit voorbeeld:
Dit kan op deze manier worden beschreven: "We stellen het VLAN-type van de switchpoort in op "Toegang". Dit staat alleen toe dat binnenkomende frames, die geen tag hebben, worden behandeld als behorend tot VLAN1. Al het andere verkeer met tags zal worden geweigerd, omdat de framegrootte het geaccepteerde maximum overschrijdt en de inhoud van de VLAN koptekst wordt geweigerd door de poort van het Access-type".
Raak niet in de war dat het "VLAN type" is ingesteld op "Geen". Het VLAN-type komt alleen om de hoek kijken als je dynamisch toegewezen VLAN-mechanismen wilt toewijzen, zoals Voice VLAN enz. - De formulering kan verwarrend zijn en is een beetje ongelukkig in het opzicht dat het in strijd is met het "Type" hierboven:
Met deze nieuw verworven kennis zou je nu in staat moeten zijn om in een handomdraai VLAN's toe te wijzen in Nebula en een volledig begrip te krijgen van VLAN en hoe ze functioneren.