Em quais cenários o modo de porta VLAN untagAll (access) é útil?

Navegue suas respostas
3

No meu comutador Avaya ERS2550T, cada porta pode ser definida com uma VLAN nativa / primária. Posso atribuir outras VLANs secundárias (dependendo do modo) que serão associadas a essa porta.

Eu posso configurar portas como:

  • tagAll (tronco)
  • untagAll (acesso)
  • tagPvidOnly
  • untagPvidOnly

Eu já vi opções de porta semelhantes em diferentes switches. Pelo que entendi, as VLANs são usadas para segregar domínios de colisão em sub-redes separadas.

O que não entendo é que, se tivéssemos as VLANs 10, 20 e 30, que são cada uma delas sua própria sub-rede IP, por que queremos desmarcar todas elas em uma porta, pois isso criaria uma colisão de diferentes sub-redes? na mesma porta física.

Então, em resumo, por que o modo untagAll (access) existe, e em quais cenários seria útil atribuir mais de uma VLAN a uma porta que está operando neste modo?

    
por g18c 26.05.2013 / 21:05

1 resposta

3

Esta definição de porta de “acesso” parece incomum - em muitos outros dispositivos, configurar o modo de porta para “acessar” significa que a porta pode ser um membro de apenas uma única VLAN. Alguns outros dispositivos têm um modo de porta “híbrida” que é ainda mais geral - uma porta híbrida pode ser membro de várias VLANs e, para cada VLAN, você pode escolher se os quadros de saída dessa VLAN serão marcados ou não marcados.

Ter mais de uma VLAN não marcada em uma porta pode ser útil em circunstâncias especiais. Suponha que você tenha um servidor e três grupos de clientes na mesma sub-rede IP; no entanto, cada grupo de clientes deve poder se comunicar apenas com o servidor e com outros clientes no mesmo grupo, mas não deve conseguir alcançar clientes de outros grupos. Então você pode configurar as VLANs no switch da seguinte forma:

  • portas para o grupo de clientes 1 - VLANs 10, 40; PVID = 10, untagAll;
  • portas para o grupo de clientes 2 - VLANs 20, 40; PVID = 20, untagAll;
  • portas para o grupo de clientes 3 - VLANs 30, 40; PVID = 30, untagAll;
  • porta para o servidor - VLANs 10, 20, 30, 40; PVID = 40, untagAll.

Nesse caso, os quadros transmitidos pelo servidor receberão o ID de VLAN 40 e poderão alcançar todos os clientes; no entanto, os quadros transmitidos por um cliente do grupo 1 obterão o ID de VLAN 10 e poderão alcançar apenas o servidor e outros clientes do grupo 1 e, da mesma forma, para outros grupos.

Essa configuração por si só não fornece proteção total entre grupos de clientes - mesmo que um cliente não possa enviar quadros que seriam recebidos por um cliente de outro grupo, essa configuração de VLAN não pode impedi-lo de falsificar IPs de clientes de outros grupos. Outros recursos de switch (por exemplo, ACLs ou DHCP snooping) podem ser usados para evitar esse spoofing de IP.

Outro buraco em potencial nessa configuração é o comportamento do switch quando ele recebe um quadro marcado em tal porta - por exemplo, se um cliente envia um quadro marcado com VLAN ID 40, e o switch processará esse quadro de acordo com o tag , esse quadro pode alcançar clientes de outros grupos. Portanto, uma opção para filtrar todos os quadros marcados em uma porta é necessária para tornar o isolamento de grupo realmente completo.

Em um caso especial, em que cada cliente está em seu próprio grupo, o mesmo resultado pode ser obtido usando um recurso de “isolamento de portas” disponível em alguns switches, mas configurações mais complexas com vários clientes em um grupo precisam de IDs de VLAN separados para grupos.

    
por 26.05.2013 / 22:39

Tags

Atualizando o Squeeze para Wheezy: Dependências Não Resolvidas Por que o padrão Remove-ADGroupMember requer confirmação?