Чи може комутатор, який не підтримує трафік VLAN процесу, від магістралі, яка не є рідною VLAN

10

Нещодавно зіткнувся з налаштуваннями, коли інженер мав багатошаровий комутатор Cisco з магістраллю, що переносить VLAN 41, до комутатора HP, який не підтримує VLAN.

Що повинен робити комутатор HP з трафіком 802.1q при його отриманні?

Я розумію, що рідна VLAN, яка не має тегу 802.1q, пройде, але що трапиться з іншими VLAN на магістралі?

— древніший
джерело

Залежить від точного характеру "не підтримує". Якщо він знає, що таке протокол 0x8100, він повинен опустити кадр. Але це не було б безпечною ставкою.

— Рікі Бім

11

Перемикач, що не підтримує теги 802.1Q, повинен скидати теги з кадрами. Однак багато простих комутаторів взагалі не відповідають 802.1Q, і вони переносять теги кадрів так само, як і без тегів - здебільшого компрометують будь-які наміри, які мали розділ VLAN.

Простий перемикач може просто не помітити TPID, що позначає тег Q, і розглянути його як корисне навантаження кадру, як і поле Ethertype, яке йому передує. Ефект полягає в тому, що помічені кадри перемикаються так само, як і нетаковані кадри. Оскільки комутатор, ймовірно, не має MAC-адреси призначення, що зберігається в SAT, кадр також може бути трансльований у всі порти.

Ніколи не слід налаштовувати магістраль VLAN на комутатор, який не підтримує його.

— Zac67
джерело

Комутатор, що транслює пакет, оскільки він не знає призначення MAC, не є основною проблемою. Зрештою, це все, що комутатори роблять постійно, і очікується, що кінцеві пункти призначення або підтримують 802.1Q, і роблять правильно, або не підтримують його і скидають пакет. І як тільки відповідь на вихідний пакет буде отримана, комутатор буде знати обидва MAC адреси, що беруть участь у спілкуванні. Більш проблематичними є конфігурації, в яких один і той самий MAC повинен бути маршрутизований через різні інтерфейси залежно від тегу VLAN або комутаторів, які не можуть мати справу з більшими пакетами.

— kasperd

Майте на увазі, що тег робить кадр довшим (на 4 байти), тому він тепер може бути більшим, ніж очікуваний MTU (1518 проти 1514). Комутатор повинен перетворити його як нерозмірний кадр. Деякі дуже старі комутатори Cisco просто вийдуть з ладу, коли передадуть рамку з тегом 1518B на немечений порт.

— Рікі Бім

@RickyBeam Це справді сенс останнього половинного речення мого коментаря. Відкидання пакетів було б зрозумілою поведінкою. Але насправді викликати аварійний вимикач - це дуже погано. Це не так, як ви обов'язково довіряєте всім пристроям, підключеним до вашого комутатора, тому якщо один з них може призвести до збою перемикача, то це вектор DoS.

— kasperd

1

Я розумію, що рідна VLAN, яка не має тегу 802.1q, пройде, але що трапиться з іншими VLAN на магістралі?

Це насправді не визначено. Деякі перемикачі видалять позначені кадри як неправильні або гіганти, деякі комутатори знімуть теги, а деякі перемикачі просто передадуть кадри.

— Рон Мопін
джерело

Навіть комутатори Cisco в цій ситуації по-різному ставляться до позначених кадрів залежно від моделі. Я щойно поновив довідку, і ця концепція перетворилася на велику розмову / аргумент. Виявляється, немає однієї відповіді, як заявив Рон. Вам потрібно буде дізнатисясь від HP або розпочати тестування. Wireshark був би корисний для цього.

— Фікситрод