Nebula [VLAN] - Объяснение PVID

В этой статье рассказывается о концепции PVID в наших коммутаторах Zyxel и о том, как он влияет на подключение сетевых устройств и управление самим коммутатором.

С помощью нескольких сценариев мы объясним, как манипуляции с PVID могут определить правильное или неправильное назначение сети или даже привести к отключению коммутатора, потеряв возможность управления им.

1. Определение PVID

2. Как нетегированный и тегированный трафик изменяется с помощью настройки PVID?

3. Как PVID в порту восходящей линии связи может повлиять на управление коммутатором?

1. Определение PVID

PVID расшифровывается как "Port VLAN ID" и используется в приложениях VLAN. С его помощью можно установить принадлежность нетегированного трафика, получаемого данным портом (портами), к определенной VLAN.

Например, PVID порта 1 коммутатора по умолчанию равен "1". Это означает, что любой нетегированный входящий трафик, получаемый коммутатором, будет считаться трафиком VLAN1 в коммутаторе.

Для исходящего трафика коммутатор будет использовать информацию о нетегированной VLAN, членом которой является данный порт.

В рамках простоты использования Nebula настройка PVID автоматически устанавливает порт в качестве нетегированного члена той же VLAN. В этой статье мы будем использовать этот факт, чтобы предположить, что PVID также настроен как нетегированный VLAN в порту.

Тегированный трафик с идентификатором VLAN, например 3, полученный коммутатором, будет считаться членом VLAN 3, поэтому он не будет изменен и просто передан.

2. Как изменяется нетегированный и тегированный трафик с помощью настройки PVID?

Теперь, когда концепция PVID объяснена, мы можем рассмотреть следующие сценарии и объяснить каждую точку соединения:

Случай №1

ПК A подключен к порту на коммутаторе A.

ПК/ноутбуки не являются устройствами с поддержкой VLAN, поэтому, когда ПК A подключается к коммутатору:

• ПК сначала отправит DHCP discovery как нетегированный трафик, который будет получен на C3-соединении коммутатора. С помощью PVID этот нетегированный трафик будет помещен в VLAN1, когда он пройдет через коммутатор A.
• Затем коммутатор A определяет, какие другие порты на самом деле являются членами VLAN1, в данном случае это один из портов C2. Коммутатор проверяет, как должен быть отправлен трафик с порта C2, который в данном случае является нетегированным из-за настройки (нетегированный член VLAN).
• Интерфейсы LAN обычно подразумевают "нетегированный трафик" в шлюзах Zyxel, поэтому шлюз будет обрабатывать полученный нетегированный трафик в C1 как часть интерфейса LAN1.
• Когда шлюз отвечает ПК A, трафик проходит аналогичный путь. Нетегированный трафик из LAN1 помещается в VLAN1 в C2, как указано в PVID, и отправляется нетегированным на C3, поскольку порт является нетегированным членом этой VLAN.
• Затем ПК получает IP-адрес от интерфейса LAN1 шлюза и может взаимодействовать с этой сетью.

Пример №2

ПК B подключается к коммутатору B, который имеет другой PVID 100:

Сначала может показаться, что ПК B должен получить IP-адрес из VLAN100 (которой не существует на шлюзе). Однако это не так, и здесь важно понимание концепции PVID:

• Нетегированный трафик ПК B будет помещен в VLAN100, как указано в PVID в C6.
• Затем коммутатор B определяет, какие другие порты на самом деле являются членами VLAN100, и в данном случае это один из них - C5. Коммутатор проверяет, как должен быть отправлен трафик из C5, который в данном случае является нетегированным из-за настройки.
• В C4 коммутатор A получает запрос трафика как нетегированный, но, как указано в PVID, этот трафик будет помещен в VLAN1 для коммутатора A и, наконец, отправлен нетегированным на интерфейс LAN1 на шлюзе.
• Как видно из этого, коммутаторы A и B обрабатывают нетегированный трафик по-разному в зависимости от конфигурации PVID, но на самом деле трафик всегда один и тот же - он успешно достигает LAN1.
• Аналогично, в ответном сообщении коммутатор A помещает нетегированный трафик интерфейса LAN1в VLAN1, который затем отправляется без тегов на C4. Затем коммутатор B получает этот нетегированный трафик в C5 и помещает его в VLAN100, который в итоге пересылается нетегированным на C6 на ПК.
• Затем ПК получает IP-адрес от интерфейса LAN1 шлюза и может взаимодействовать с этой сетью.

Случай № 3

ПК C не получает трафик, а IP-телефон подключается к тегированной VLAN:

Давайте сначала разберемся с соединениями ПК C:

• ПК C посылает нетегированный трафик на C7 в коммутаторе B, который по PVID помещен в VLAN1.
• Затем коммутатор B пытается переслать трафик на другие порты, входящие в VLAN1. Однако в данном случае нет другого порта, входящего в VLAN. Как показано выше, C5 является членом VLAN100 без тегов, поэтому трафик VLAN1 не передается через этот порт.
• Трафик с ПК никогда не достигнет шлюза, а значит, ПК C не получит IP-адрес и не будет иметь доступа к сети.

IP-телефон подключается к тегированной VLAN:

• IP-телефоны обычно знают теги, поэтому они могут обрабатывать трафик VLAN с тегами.
• В этом сценарии IP-телефон отправляет свой трафик вVLAN10 с меткой C8, поэтому PVID не влияет на этот трафик, так как он уже помечен, поэтому PVID может быть установлен в другую VLAN без проблем.
• Трафик VLAN10 также отправляется с метками на C5, C4 и C2, не претерпевая никаких изменений. Трафик поступает с меткой на шлюз, который также имеет интерфейс с меткой VLAN10.
• Ответный трафик шлюза снова проходит аналогичный путь. Он отправляется со шлюза с меткой и просто пересылается с меткой на C2, C4, C5 и C6, поступая с меткой на IP-телефон, который может обрабатывать этот трафик.
• IP-телефон может получить IP-адрес из VLAN10 на шлюзе и установить связь с этой сетью.

3. Как PVID в порту восходящей линии может повлиять на управление коммутатором?

PVID также может влиять на сеть управления самого коммутатора.

В приведенной выше схеме оба коммутатора A и B имеют управляющую VLAN1, настроенную в общих настройках сайта Nebula.

Коммутатор A:

• Этот коммутатор действует как ПК, подключенный к самому себе. Трафик управления помещается в VLAN1, который затем коммутатор отправляет на C2 как нетегированный и получает на LAN1 шлюза.
• Затем коммутатор получает IP-адрес интерфейса LAN1 и становится доступным.

Коммутатор B:

• Аналогично коммутатору A, трафик управления помещается в VLAN1, когда он проходит через коммутатор. Однако порт восходящей линии связи C5 не является членом трафика VLAN1, поэтому запрос не отправляется с коммутатора B.
• Коммутатор B не может получить IP-адрес от шлюза и не подключен к сети.

Как показано в приведенном выше примере для коммутатора B, важно иметь полный обзор настроек PVID на портах восходящей линии связи и их соответствия управляющей VLAN.

К счастью, в Nebula есть второй механизм, который позволяет избежать отключения коммутатора B в этом случае. Эта функция называется "Управление VLAN". Эта функция предоставляет второй механизм (помимо PVID порта) для определения принадлежности портов к управляющей VLAN.

По умолчанию "Все" порты являются членами управляющей VLAN, а это значит, что на коммутаторе B в описанном выше сценарии порт C5 будет оставаться нетегированным членом управляющей VLAN1, что позволит коммутатору получить доступ к интерфейсу LAN1 на шлюзе.

Обратите внимание, что удаление порта восходящей линии связи из списка управления управляющими VLAN, а также отсутствие управляющей VLAN в качестве PVID порта восходящей линии связи приведет к полной неуправляемости коммутатора на Nebula, и потребуется переконфигурация настроек и перезагрузка коммутатора.