На моем коммутаторе Avaya ERS2550T для каждого порта можно настроить собственную / первичную VLAN. Я могу назначить другие вторичные (в зависимости от режима) VLAN, которые будут связаны с этим портом.
Я могу настроить порты как:
Я видел похожие варианты портов на разных коммутаторах. Насколько я понимаю, VLAN используются для разделения конфликтных доменов на отдельные подсети.
Я не понимаю, что если бы у нас были VLAN 10, 20 и 30, каждая из которых является собственной IP-подсетью, зачем нам убирать все эти теги на порте, поскольку это привело бы к конфликту разных подсетей на одном и том же? физический порт.
Итак, вкратце, почему существует режим untagAll (доступ), и в каких сценариях было бы полезно назначить более одной VLAN для порта, который работает в этом режиме?
Такое определение порта «доступа» выглядит необычно - во многих других устройствах установка режима порта на «доступ» означает, что порт может быть членом только одной VLAN. Некоторые другие устройства имеют «гибридный» режим порта, который носит еще более общий характер - гибридный порт может быть членом нескольких VLAN, и для каждой VLAN вы можете выбрать, будут ли исходящие кадры из этой VLAN тегироваться или нет.
Наличие более одной немаркированной VLAN на порту может быть полезно в особых обстоятельствах. Предположим, у вас есть сервер и три группы клиентов в одной IP-подсети; однако каждая группа клиентов должна иметь возможность связываться только с сервером и другими клиентами в той же группе, но не должна иметь возможность связываться с клиентами из других групп. Затем вы можете настроить VLAN на коммутаторе следующим образом:
В этом случае кадры, передаваемые сервером, получат VLAN ID 40 и смогут достичь всех клиентов; однако кадры, передаваемые клиентом из группы 1, получают идентификатор VLAN 10 и могут достигать только сервера и других клиентов из группы 1, и аналогично для других групп.
Такая конфигурация сама по себе не обеспечивает полную защиту между группами клиентов - даже если клиент не может отправлять кадры, которые были бы получены клиентом из другой группы, эта конфигурация VLAN не может предотвратить подмену IP-адресов клиентов из других групп. Другие функции коммутатора (например, списки контроля доступа или отслеживание DHCP) могут использоваться для предотвращения подобного IP-спуфинга.
Еще одна потенциальная дыра в этой конфигурации - это поведение коммутатора, когда он получает тегированный кадр на такой порт - например, если клиент отправляет кадр с тегом VLAN ID 40, и коммутатор будет обрабатывать такой кадр в соответствии с тегом, этот кадр может связаться с клиентами из других групп. Следовательно, для полной изоляции группы необходима возможность фильтрации всех тегированных кадров на порту.
В особом случае, когда каждый клиент находится в своей группе, того же результата можно достичь с помощью функции «изоляции порта», доступной на некоторых коммутаторах, но для более сложных конфигураций с несколькими клиентами в группе требуются отдельные идентификаторы VLAN для групп.