¿Por qué y cómo se etiquetan los Vlans de Ethernet?

Escuché sobre el etiquetado de VLAN, pero no entiendo el concepto. Sé que una troncal no puede aceptar paquetes sin etiquetar sin configurar una VLAN nativa, y que los puertos de acceso solo aceptan paquetes sin etiquetar. Pero no entiendo por qué los paquetes deben ser etiquetados o sin etiquetar. ¿Para qué sirve?

Si tiene más de una VLAN en un puerto (un "puerto troncal"), necesita alguna forma de saber qué paquete pertenece a qué VLAN en el otro extremo. Para hacer esto, está "etiquetando" un paquete con una etiqueta VLAN (o encabezado VLAN si lo desea). En realidad, una etiqueta VLAN se inserta en el marco de Ethernet de esta manera:

La etiqueta 802.1Q (dot1q, VLAN) contiene una ID de VLAN y otras cosas explicadas en el estándar 802.1Q . Los primeros 16 bits contienen el "Identificador de protocolo de etiqueta" (TPID) que es 8100. Esto también funciona como EtherType 0x8100 para dispositivos que no entienden las VLAN.

Por lo tanto, un paquete "etiquetado" contiene la información de VLAN en la trama de Ethernet, mientras que un paquete "sin etiquetar" no. Un caso de uso típico sería si tiene un puerto desde un enrutador a un conmutador al que están conectados varios clientes:

En este ejemplo, el cliente "Verde" tiene VLAN 10 y el Cliente "Azul" tiene VLAN 20. Los puertos entre el conmutador y los clientes están "sin etiquetar", lo que significa que para el cliente el paquete que llega es solo un paquete Ethernet normal.

El puerto entre el enrutador y el conmutador se configura como un puerto troncal para que tanto el enrutador como el conmutador sepan qué paquete pertenece a qué VLAN del cliente. En ese puerto, las tramas de Ethernet están etiquetadas con la etiqueta 802.1Q.

Las respuestas anteriores son bastante técnicas. Piénsalo de esta manera:

De hecho, las VLAN y el etiquetado no son más que una separación lógica de redes en contraste con una física. ¿Qué significa eso?

Si no hubiera VLAN, necesitaría un conmutador para cada dominio de difusión . Imagine el cableado involucrado y también la cantidad potencial de NIC requeridas en los hosts. Primero, las VLAN le permiten tener múltiples construcciones independientes de capa 2 dentro del mismo conmutador.

Como ahora puede tener múltiples redes en cada enlace / puerto, debe poder distinguir de alguna manera qué paquete pertenece a qué red. Por eso están etiquetados. Si un puerto lleva más de una VLAN, generalmente también se denomina troncal . (para n> 1 VLAN, al menos n-1 VLAN deben etiquetarse y puede haber una VLAN sin etiquetar, la VLAN nativa)

En general, debe distinguir los paquetes en la entrada del puerto (entrante "desde el cable") y salida ("entrando en el cable"):

Ingreso

• ingreso sin etiquetar: aquí es donde entra la vlan nativa del puerto. Si el conmutador tiene varias VLAN configuradas, debe decirle al conmutador a qué VLAN pertenece un paquete entrante sin etiquetar;

• ingreso etiquetado: bueno, si viene etiquetado, entonces está etiquetado y no se puede hacer mucho al respecto. Si el conmutador no sabe sobre el etiquetado o sobre esa VLAN precisa, lo rechazará, aunque a veces debe activar algún tipo de filtro de entrada. También puede forzar a un puerto a aceptar solo paquetes sin etiquetar o etiquetados.

Salida

• salida sin etiquetar: para cada puerto puede seleccionar una VLAN cuyos paquetes salientes en ese puerto no estén etiquetados (por ejemplo, porque el host no lo admite, o solo se requiere una VLAN, por ejemplo, para una PC, impresora, etc.);

• salida etiquetada: debe indicarle al conmutador qué VLAN debe poner a disposición en el puerto y, si hay más de una, todas menos una deben etiquetarse de todos modos.

¿Qué sucede dentro del interruptor?

Un interruptor tiene un FDB ( F orwarding D ata B ase) que

• en un conmutador que no es compatible con VLAN (a veces llamado "no administrado" o "tonto", ...): asocia un host (dirección MAC) a un puerto: el FDB es una tabla compuesta de tuplas de dos elementos: (MAC, Puerto)

• en un conmutador que es capaz de VLAN (a veces llamado "administrado" o "inteligente", ...): asocia tuplas (VLAN, MAC) a un puerto: el FDB es una tabla compuesta de tuplas de tres elementos: (MAC, puerto , VLAN).

  La única restricción aquí es que una dirección MAC no puede aparecer en la misma VLAN dos veces, incluso en puertos diferentes (esencialmente la VLAN en los conmutadores con capacidad para VLAN reemplaza la noción de puerto en los conmutadores sin capacidad para VLAN). En otras palabras:

• Puede haber varias VLAN por puerto (razón por la cual debe haber etiquetas en algún momento).
• Puede haber varias VLAN por puerto y por MAC: la misma dirección MAC puede aparecer en diferentes VLAN y en el mismo puerto (aunque no lo recomendaría por razones de sanidad).
• La misma dirección MAC todavía no puede aparecer en la misma VLAN pero en diferentes puertos (diferentes hosts que tienen la misma dirección MAC en la misma red de capa 2).

Espero que esto aclare un poco la confusión ;-)

El protocolo de encapsulación de VLAN de facto es 802.1Q (dot1.q) . Su función más básica es retener las VLAN en los conmutadores. Dado que las VLAN son localmente importantes para el conmutador, debe etiquetar un marco que vaya a los conmutadores cercanos para que sepan a qué agrupación lógica pertenece ese marco.

Por defecto, la VLAN nativa es la VLAN predeterminada, un puerto troncal puede transportar múltiples VLAN para enrutar el tráfico al enrutador o conmutador. VLAN es un protocolo de capa 2 y segmenta una red de capa 2, solo pueden comunicarse en un dispositivo de Capa 3, como un enrutador o un conmutador de capa 3.

La VLAN nativa se utiliza para que los marcos sin etiquetar puedan comunicarse sin la necesidad de un enrutador. La mejor práctica de seguridad es cambiar la VLAN predeterminada / nativa a otra VLAN con este comando: switchport trunk native vlan.

Los switches Cisco admiten la encapsulación IEEE 802.1Q e ISL.