Теги 802.1q

В соответствии со стандартом IEEE 802.l Q номер VLAN передается в специальном поле кадра Ethernet, которое носит название TAG. Поэтому пакеты, содержащие такое поле, стали называть тегированными (англ. tagged), а пакеты без этого поля — не тегированными (англ. untagged). Поле TAG включает в себя данные QoS (поэтому все пакеты, содержащие информацию о качестве обслуживания, являются тегированными) и номер VLAN, на который отведено 12бит. Таким образом, максимально возможное число VLAN составляет 4096.

Сетевые адаптеры рабочих станций обычно не поддерживают теги, поэтому порты коммутаторов уровня доступа настраиваются в варианте не тегированными (untagged). Для того, чтобы через один порт можно было передать пакеты нескольких VLAN, он включается в соответствующие VLAN в режиме тегирования (обычно это магистральные порты или порты соединения двух коммутаторов). Коммутатор будет анализировать поля TAG принятых пакетов, и пересылать данные только в ту VLAN, номер которой содержится в поле. Таким образом, через один порт можно безопасно передавать информацию сразу для нескольких VLAN.

При соединениях «точка — точка» порты для одинаковых VLAN должны быть либо оба тегированными, либо оба не тегированными.

IEEE 802.1Q — открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN.

Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.

Рисунок 13. Фрейм Ethernet с тегом 802.1Q

IEEE 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN. Размер тега — 4 байта. Он состоит из таких полей:

Tag Protocol Identifier (TPID)- Идентификатор протокола тегирования. Размер поля — 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1 Q используется значение 0x8100.

Priority - приоритет. Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.

Canonical Format Indicator (CFI) - Индикатор канонического формата. Размер поля - 1 бит. Указывает на формат MAC -адреса. 1 - канонический, 0 - не канонический.

VLAN Identifier (VID) - идентификатор VLAN. Размер поля - 12 бит. Указывает, к какому VLAN принадлежит фрейм. Диапазон возможных значений VID от 0 до 4095.

При использовании стандарта Ethernet II, 802.1Q вставляет тег перед полем «Тип протокола». Так как фрейм изменился, пересчитывается контрольная сумма.

VLAN 1

При создании VLAN следует учитывать тот факт, что служебная сетевая информация пересылается не тегированными пакетами. Для правильной работы сети администратору необходимо обеспечить передачу таких пакетов по всем направлениям. Самый простой способ настройки заключается в использовании VLAN по умолчанию (VLAN 1). Соответственно, все порты компьютеров необходимо включать в VLAN с другими номерами.

В VLAN 1 по умолчанию находятся интерфейсы управления коммутаторами, причем ранее выпускавшиеся модели коммутаторов не позволяют сменить номер для VLAN управления. Поэтому администратору следует тщательно продумать систему разбиения на VLAN, чтобы не допустить случайного доступа к управлению коммутаторами посторонних лиц, например, можно переместить все порты доступа коммутатора в другую VLAN, оставив для VLAN 1 только магистральный порт. Таким образом, пользователи не смогут подключиться к управлению коммутатором. GVRP

Протокол GVRP предназначен для автоматического создания VLAN 802.1Q. С его помощью можно автоматически назначать порты во все вновь создаваемые VLAN. Несмотря на определенные удобства, такое решение является существенной брешью в системе обеспечения сетевой безопасности. Администратор должен представлять структуру VLAN и производить назначения портов ручными операциями.