Важное уведомление: |
В этой статье рассказывается о концепции PVID в наших коммутаторах Zyxel и о том, как он влияет на подключение сетевых устройств и управление самим коммутатором.
С помощью нескольких сценариев мы объясним, как манипуляции с PVID могут определить правильное или неправильное назначение сети или даже привести к отключению коммутатора, потеряв возможность управления им.
2. Как нетегированный и тегированный трафик изменяется с помощью настройки PVID?
3. Как PVID в порту восходящей линии связи может повлиять на управление коммутатором?
1. Определение PVID
PVID расшифровывается как "Port VLAN ID" и используется в приложениях VLAN. С его помощью можно установить принадлежность нетегированного трафика, получаемого данным портом (портами), к определенной VLAN.
Например, PVID порта 1 коммутатора по умолчанию равен "1". Это означает, что любой нетегированный входящий трафик, получаемый коммутатором, будет считаться трафиком VLAN1 в коммутаторе.
Для исходящего трафика коммутатор будет использовать информацию о нетегированной VLAN, членом которой является данный порт.
В рамках простоты использования Nebula настройка PVID автоматически устанавливает порт в качестве нетегированного члена той же VLAN. В этой статье мы будем использовать этот факт, чтобы предположить, что PVID также настроен как нетегированный VLAN в порту.
Тегированный трафик с идентификатором VLAN, например 3, полученный коммутатором, будет считаться членом VLAN 3, поэтому он не будет изменен и просто передан.
2. Как изменяется нетегированный и тегированный трафик с помощью настройки PVID?
Теперь, когда концепция PVID объяснена, мы можем рассмотреть следующие сценарии и объяснить каждую точку соединения:
Случай №1
ПК A подключен к порту на коммутаторе A.
ПК/ноутбуки не являются устройствами с поддержкой VLAN, поэтому, когда ПК A подключается к коммутатору:
- ПК сначала отправит DHCP discovery как нетегированный трафик, который будет получен на C3-соединении коммутатора. С помощью PVID этот нетегированный трафик будет помещен в VLAN1, когда он пройдет через коммутатор A.
- Затем коммутатор A определяет, какие другие порты на самом деле являются членами VLAN1, в данном случае это один из портов C2. Коммутатор проверяет, как должен быть отправлен трафик с порта C2, который в данном случае является нетегированным из-за настройки (нетегированный член VLAN).
- Интерфейсы LAN обычно подразумевают "нетегированный трафик" в шлюзах Zyxel, поэтому шлюз будет обрабатывать полученный нетегированный трафик в C1 как часть интерфейса LAN1.
- Когда шлюз отвечает ПК A, трафик проходит аналогичный путь. Нетегированный трафик из LAN1 помещается в VLAN1 в C2, как указано в PVID, и отправляется нетегированным на C3, поскольку порт является нетегированным членом этой VLAN.
- Затем ПК получает IP-адрес от интерфейса LAN1 шлюза и может взаимодействовать с этой сетью.
Пример №2
ПК B подключается к коммутатору B, который имеет другой PVID 100:
Сначала может показаться, что ПК B должен получить IP-адрес из VLAN100 (которой не существует на шлюзе). Однако это не так, и здесь важно понимание концепции PVID:
- Нетегированный трафик ПК B будет помещен в VLAN100, как указано в PVID в C6.
- Затем коммутатор B определяет, какие другие порты на самом деле являются членами VLAN100, и в данном случае это один из них - C5. Коммутатор проверяет, как должен быть отправлен трафик из C5, который в данном случае является нетегированным из-за настройки.
- В C4 коммутатор A получает запрос трафика как нетегированный, но, как указано в PVID, этот трафик будет помещен в VLAN1 для коммутатора A и, наконец, отправлен нетегированным на интерфейс LAN1 на шлюзе.
- Как видно из этого, коммутаторы A и B обрабатывают нетегированный трафик по-разному в зависимости от конфигурации PVID, но на самом деле трафик всегда один и тот же - он успешно достигает LAN1.
- Аналогично, в ответном сообщении коммутатор A помещает нетегированный трафик интерфейса LAN1в VLAN1, который затем отправляется без тегов на C4. Затем коммутатор B получает этот нетегированный трафик в C5 и помещает его в VLAN100, который в итоге пересылается нетегированным на C6 на ПК.
- Затем ПК получает IP-адрес от интерфейса LAN1 шлюза и может взаимодействовать с этой сетью.
Случай № 3
ПК C не получает трафик, а IP-телефон подключается к тегированной VLAN:
Давайте сначала разберемся с соединениями ПК C:
- ПК C посылает нетегированный трафик на C7 в коммутаторе B, который по PVID помещен в VLAN1.
- Затем коммутатор B пытается переслать трафик на другие порты, входящие в VLAN1. Однако в данном случае нет другого порта, входящего в VLAN. Как показано выше, C5 является членом VLAN100 без тегов, поэтому трафик VLAN1 не передается через этот порт.
- Трафик с ПК никогда не достигнет шлюза, а значит, ПК C не получит IP-адрес и не будет иметь доступа к сети.
IP-телефон подключается к тегированной VLAN:
- IP-телефоны обычно знают теги, поэтому они могут обрабатывать трафик VLAN с тегами.
- В этом сценарии IP-телефон отправляет свой трафик вVLAN10 с меткой C8, поэтому PVID не влияет на этот трафик, так как он уже помечен, поэтому PVID может быть установлен в другую VLAN без проблем.
- Трафик VLAN10 также отправляется с метками на C5, C4 и C2, не претерпевая никаких изменений. Трафик поступает с меткой на шлюз, который также имеет интерфейс с меткой VLAN10.
- Ответный трафик шлюза снова проходит аналогичный путь. Он отправляется со шлюза с меткой и просто пересылается с меткой на C2, C4, C5 и C6, поступая с меткой на IP-телефон, который может обрабатывать этот трафик.
- IP-телефон может получить IP-адрес из VLAN10 на шлюзе и установить связь с этой сетью.
3. Как PVID в порту восходящей линии может повлиять на управление коммутатором?
PVID также может влиять на сеть управления самого коммутатора.
В приведенной выше схеме оба коммутатора A и B имеют управляющую VLAN1, настроенную в общих настройках сайта Nebula.
Коммутатор A:
- Этот коммутатор действует как ПК, подключенный к самому себе. Трафик управления помещается в VLAN1, который затем коммутатор отправляет на C2 как нетегированный и получает на LAN1 шлюза.
- Затем коммутатор получает IP-адрес интерфейса LAN1 и становится доступным.
Коммутатор B:
- Аналогично коммутатору A, трафик управления помещается в VLAN1, когда он проходит через коммутатор. Однако порт восходящей линии связи C5 не является членом трафика VLAN1, поэтому запрос не отправляется с коммутатора B.
- Коммутатор B не может получить IP-адрес от шлюза и не подключен к сети.
Как показано в приведенном выше примере для коммутатора B, важно иметь полный обзор настроек PVID на портах восходящей линии связи и их соответствия управляющей VLAN.
К счастью, в Nebula есть второй механизм, который позволяет избежать отключения коммутатора B в этом случае. Эта функция называется "Управление VLAN". Эта функция предоставляет второй механизм (помимо PVID порта) для определения принадлежности портов к управляющей VLAN.
По умолчанию "Все" порты являются членами управляющей VLAN, а это значит, что на коммутаторе B в описанном выше сценарии порт C5 будет оставаться нетегированным членом управляющей VLAN1, что позволит коммутатору получить доступ к интерфейсу LAN1 на шлюзе.
Обратите внимание, что удаление порта восходящей линии связи из списка управления управляющими VLAN, а также отсутствие управляющей VLAN в качестве PVID порта восходящей линии связи приведет к полной неуправляемости коммутатора на Nebula, и потребуется переконфигурация настроек и перезагрузка коммутатора.