Что такое транк порт
Перейти к содержимому

Что такое транк порт

  • автор:

Что такое транк порт

У сетевых портов оборудования Cisco есть два основных режима работы.

Trunk — сконфигурированное состояние порта коммутатора (в меню команды interface . ), предназначенное для подключения к другому коммутатору. Могут объединяться в Port-channel для увеличения надёжности и быстродействия. На обоих соединяемых таким образом коммутаторах порты должны быть в режиме trunk. Коммутаторы можно иногда соединять друг с другом и портами в режиме access.

Access — сконфигурированное состояние порта коммутатора, предназначенное для подсоединения конечных хостов, потребляющих трафик — компьютеры, IP-телефоны.

В чем основное различие между trank портом и access портом?? кроме tagged это понятно?

Вопрос такое в чем основная различие между транк портом и аксес портом как различаются?( я знаю читал tagged untaged эти) но когда используется когда используется аксес а когда используется транк для связывание коммутаторов.

  • Вопрос задан более трёх лет назад
  • 25759 просмотров

1 комментарий

Простой 1 комментарий

TosterModerator

Модератор @TosterModerator
Для комментирования ответа жмите линк «Комментировать» под ним
Решения вопроса 1

athacker

ОСНОВНОЕ отличие — именно в этом. Что trunk порт может гонять тегированный трафик нескольких вланов, а аксесс порт будет принимать/отправлять нетегированный трафик, принадлежащий только одному влану (трафик как принадлежащий влану будет маркироваться только внутри коммутатора).

Неосновное отличие — trunk-порты могут поддерживать протоколы автоматического согласования режимов/VLAN’ов. Это протоколы DTP или VTP.

Коммутаторы можно связывать акцесс-портами в том случае, если вы стыкуете две инфраструктуры с пересекающимися вланами. Такой кейс возникает у интернет-провайдеров, например. Когда нужно подключить коммутатор клиента, и у вас на этого клиента выделен влан, скажем, 666. Но у клиента этот влан уже используется. Вы не можете ломать свой VLAN план, и клиент не может. Тогда вы настраиваете порт в сторону коммутатора клиента на 666 влан акцессом, а клиент на своей стороне настраивает акцесом порт в том влане, который у него выделен как стыковочный. Ну, к примеру, 777. И получается мир-дружба-жвачка, и все работают согласно своим VLAN-планам без всяких проблем. Но технически получается, что два коммутатора подключены акцесс-портами.

Ответ написан более трёх лет назад
Комментировать
Нравится 6 Комментировать
Ответы на вопрос 3

Trunk линк к котором может ходить куча тегированных пакетов(Читай Вланов), в связи с этой особенностью такой тип линков используется обычно для связи коммутатор коммутатор.
Access , что можно перевести как доступ, и используется для подключений конечных устройств. На этот порт подается только один Влан, особенность(говорим о оборудовании циско) в том что конечному устройству пакет уже придет с вырезанным тегом VLAN , тоесть пакеты до рабочей станции будут уже нетегированными.
Это в общем случае.
Правило не строгое , и в принципе можно некоторые ньюансы вывернуть на изнанку.
По поводу LACP, это агрегация линков. Если опираться именно на вышеописанную идеологию, это именно агрегация. LACP линк может быть в статусе trunk и acess.

VLAN

VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть — группа устройств, которые имеют возможность взаимодействовать между собой напрямую на канальном уровне. Устройства физически могут быть подключены к разным сетевым коммутаторам. Устройства, которые находятся в разных VLAN являются невидимыми друг для друга на канальном уровне, даже если они подключены к одному коммутатору.

VLAN — механизм для создания логической топологии сети независимо от физической топологии. VLAN используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing.

Существуют следующие реализации VLAN:

  • по порту;
  • по MAC-адресу;
  • по протоколу;
  • методом аутентификации.

Принципы функционирования VLAN

DCImanager поддерживает реализацию VLAN на базе портов коммутатора. Физические порты коммутатора логически объединяются в VLAN. VLAN на базе портов — самый высокий уровень управляемости, безопасности и простоты настройки по сравнению с другими реализациями.

DCImanager поддерживает транковые порты. Транковые порты (trunk порты или тегированные порты) используются для передачи трафика нескольких VLAN между коммутаторами. Транковый порт позволяет коммутатору передать трафик нескольких VLAN через один порт. При этом сохраняется информация, в пределах какого VLAN передается фрейм. Для этого выполняется тегирование фрейма. Данная возможность актуальна при наличии нескольких коммутаторов. Два коммутатора связываются только двумя транковыми портами, через которые может проходить трафик любого числа VLAN.

В DCImanager реализованы функции для работы с Primary и Isolated PVLAN.

Private VLAN (PVLAN) — технология, используемая для изоляции портов коммутатора. Private VLAN делит VLAN (primary) на несколько под-VLAN (secondary). При этом сохраняется существующая подсеть IP-адресов и конфигурация layer 3.

Primary VLAN — первичная VLAN. К первичной VLAN относится Promiscuous порт — порт коммутатора, который подключён к вышестоящему оборудованию (коммутатору, маршрутизатору и т.д.).

Secondary VLAN — вторичная VLAN. Порты вторичной VLAN относятся к одному из следующих типов:

  • Isolated — любые порты коммутатора, добавленные в Isolated VLAN, могут связываться с Primary VLAN, но не с другими Secondary VLAN и не с другими хостами в той же Isolated VLAN;
  • Community — любые порты коммутатора, добавленные в Community VLAN, могут связываться с Primary VLAN и друг с другом, но не с другими Secondary VLAN.

Возможность работы с PVLAN поддерживает обработчик Brocade ICX(Mult). Для других коммутаторов поддержка PVLAN указывается в списке поддерживаемых устройств, см. в статье Поддерживаемые устройства.

В DCImanager реализованы функции для работы с режимом «Vlan per user» (VPU). VPU позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен. Каждому серверу (группе серверов) назначается отдельный VLAN и на маршрутизаторе создаётся IRB-интерфейс с этим VLAN. Интерфейс IRB — это логический Layer 3 интерфейс, использующийся как маршрут по умолчанию для VLAN.

Минимально возможная схема реализации выглядит следующим образом:

  1. Под сервер резервируется VLAN и сеть с 31-ым префиксом (два IP-адреса). Один IP-адрес для маршрутизатора, другой для сервера. Сети для дополнительных адресов сервера могут быть различными.
  2. На маршрутизаторе настраивается IRB-интерфейс с IP-адресом из сети сервера и его VLAN.
  3. Настраивается DHCP-relay на IP-адрес DCImanager. Команды для настройки можно увидеть в списке сетей для VLAN.
  4. Дополнительные адреса /32, маршрутизируются на основные адреса, по принципу route x.x.x.16/32 next-hop x.x.x.97.
  5. Дополнительные адреса устанавливаются при помощи протокола динамической маршрутизации. DCImanager использует Bird . Подробнее о Bird см. на официальном сайте.

Для работы с функциями VPU установите соответствующий модуль (начиная с версия 5.155) либо включите опцию Включить VPU в Настройки → Глобальные настройки и заполните необходимые данных (до версии 5.155).

Модули VLAN

Для расширения возможностей работы с VLAN в DCImanager используются модули:

1. Модуль «VPU (Vlan Per User)» (доступен с версии 5.155). Позволяет помещать каждый сервер (группу серверов) в отдельный широковещательный домен.

2. Модуль «Пользовательские VLAN». Позволяет пользователям помещать свои сервера в разрешённые администратором VLAN.

Перейдите в Интеграция → Модули для установки и настройки модулей.

Управление VLAN

Перейдите в Главное меню → Виртуальные сети (VLAN) для управления.

Просмотр списка виртуальных сетей

В списке находятся VLAN:

  • созданные вручную;
  • найденные при опросе оборудования.

Добавление виртуальной сети в DCImanager

Ручное добавление

Нажмите Создать для добавления виртуальной сети.

Укажите:

  • VLAN Id — уникальный идентификатор виртуальной сети;
  • Имя — наименование виртуальной сети, которое используется при настройке сетевого оборудования;
  • Владелец — пользователь, которому доступно использование VLAN на серверах;
  • Примечания — дополнительная информация. Отображается в списке VLAN в столбце Примечания;
  • PVLAN — опция включения функции PVLAN;
  • Тип PVLAN — тип виртуальной сети. Поле доступно только при включении опции «PVLAN»:
    • Isolated — вторичная VLAN с типом isolated;
    • Primary — первичная VLAN.

    Автоматическое добавление

    Администратор в процессе настройки назначает портам коммутаторов необходимые VLAN. DCImanager синхронизируется с настроенными на оборудовании VLAN: автоматически выставляет найденные на портах VLAN, отмечает порты в режиме trunk, а также членов trunk .

    Добавление порта коммутатора в VLAN

    Нажмите Оборудование → Коммутаторы → Порты → Изменить, чтобы указать VLAN для порта коммутатора.

    Настройки порта, которые относятся к конфигурации VLAN:

    • Работает в режиме Trunk — опция установки порта в режим Trunk. Для транкового порта укажите:
      • Native VLAN — VLAN, в которой трафик передается нетегированным;
      • Члены Trunk — VLAN, которые могут передавать трафик через порт.

      Большое количество портов удобнее добавить в VLAN непосредственно на коммутаторе. DCImanager считает изменения при опросе оборудования и отобразит их в интерфейсе автоматически.

      Настройка типов IP-адресов в VLAN

      Создайте в IPmanager группу IP-адресов для VLAN. Эту группу укажите в правах пользователя для соответствующей подсети в IPmanager. Также укажите её для каждого сервера, который будет работать в настраиваемом VLAN в поле Блок IP-адресов.

      В Глобальные настройки во вкладке Политики можно указать стандартный тип IP-адресов. Все вновь создаваемые сервера будут настроены на этот тип, если в поле Блок IP-адресов не указано иное.

      Что такое транк порт

      Локальные сети давно перестали состоять из нескольких абонентских устройств, расположенных внутри одного помещения. Современные сети предприятий представляют собой распределенные системы, состоящие из большего количества устройств разного назначения. Ситуация вынуждает разделять такие большие сети на автономные подсети, в итоге логические структуры сети отличаются от физических топологий. Подобные системы создаются с помощью технологии VLAN (Virtual Local Area Network – виртуальная локальная сеть), которая позволяет разделить одну локальную сеть на отдельные сегменты.

      Зачем нужна технология VLAN?

      Технология VLAN обеспечивает:

      • Гибкое построение сети — VLAN позволяет произвести сегментацию локальной сети на подсети по функциональному признаку независимо от территориального расположения устройств. То есть устройства одной подсети VLAN могут быть подключены к разным коммутаторам, удаленным друг от друга. И наоборот, к одному коммутатору могут быть подключены устройства, относящиеся к разным подсетям VLAN
      • Увеличение производительности – VLAN разделяет подсеть на отдельные широковещательные домены. Это означает, что широковещательные сообщения будут получать только устройства, находящиеся в одной VLAN-подсети. Построение системы с использованием технологии VLAN позволяет уменьшить широковещательный трафик внутри сети, тем самым снижается нагрузка на сетевые устройства и улучшается производительность системы в целом.
      • Улучшение безопасности – Устройства из разных подсетей VLAN не могут общаться друг с другом, что уменьшает шансы произвести несанкционированный доступ к устройствам системы. Связь между разными подсетями возможна только через маршрутизатор. Кроме того, использование маршрутизатора позволяет настроить политики безопасности, которые могут быть применены сразу ко всей группе устройств, принадлежащей одной подсети.

      Как работает технология VLAN?

      У каждой VLAN-подсети есть свой идентификатор, по которому определяется принадлежность той или иной подсети. Информация об идентификаторе содержится в теге, который добавляется в тело Ethernet-фрейма сети, в которой внедрено разделение на подсети VLAN.

      Самый распространенный стандарт, описывающий процедуру тегирования трафика, – это открытый стандарт 802.1 Q. Кроме него есть проприетарные протоколы, но они менее популярны.

      Формат Ethernet – фрейма после тегирования:

      Тег размером 4 байта состоит из нескольких полей:

      • TPID (Tag Protocol Identifier) — Идентификатор протокола тегирования. Для стандарта 802.1Q значение TPID — 0x8100
      • Р-тег – Определяет приоритет пакета. Используется при работе стандарта 802.1p для определения очередности обработки пакетов
      • CFI (Canonical Format Indicator) – Идентификатор формата МАС-адреса, который использовался для совместимости между сетями Ethernet и Token Ring. В настоящее время поле CFI не используется в связи с отказом от сетей Token Ring
      • VLAN ID – Идентификатор VLAN. Определяет, какой подсети VLAN принадлежит пакет

      Именно по тегу сетевое оборудование определяет принадлежность пакета той или иной сети VLAN, осуществляет фильтрацию пакетов и определяет дальнейшие действия с ними: снять тег и передать на конечное оборудование, отбросить пакет, переслать следующему получателю с сохранением тега. Правила, определяющие действия с пакетом на основе тега, зависят от режима работы порта сетевого оборудования. В свою очередь, режим работы выбирается в соответствии с характеристиками подключаемого оборудования. В системе может присутствовать как оборудование с поддержкой технологии VLAN, так и без нее.

      Режимы работы портов коммутаторов

        • Access-port – порт доступа, передающий нетегированный трафик. Используется для подключения конечных устройств, не поддерживающих технологию VLAN

        Тип Access назначается порту коммутатора, к которому подключено либо единичное абонентское устройство, либо группа устройств, находящихся в одной подсети. Кроме выбора режима работы порта Access необходимо указать идентификатор VLAN-подсети, к которой будет принадлежать оборудование, находящееся за этим портом.

        Коммутатор, получив в порт Access данные от подключенных к нему абонентских устройств, добавит ко всем Ethernet-кадрам общий тег с заданным идентификатором подсети и далее будет оперировать уже тегированным пакетом. Напротив, принимая из основной сети данные, предназначенные Access-порту, коммутатор сверит идентификатор VLAN принимаемого пакета с номером VLAN-подсети этого порта. Если они совпадут, то данные будут успешно переданы в порт, а тег удалён, таким образом, подключенные к порту устройства продолжат работать без необходимости поддержки VLAN. Если же идентификатор не равен номеру подсети, кадр будет отброшен, не позволив передать пакет из «чужой» подсети VLAN.

          • Trunk-port – магистральный порт, передающий тегированные пакеты данных. Используется для подключения сетевых устройств с поддержкой VLAN, чаще всего для соединения коммутаторов между собой.

          Помимо задания режима работы и идентификатора VLAN, при конфигурировании Trunk-портов создается список разрешенных для передачи подсетей VLAN, с которым коммутатор сверяется при получении пакетов. Благодаря этому через Trunk-порты могут передаваться пакеты нескольких VLAN-подсетей.

          Коммутатор, получив в порт Trunk нетегированные данные, поступит аналогично Access-порту, т.е. промаркирует пакеты идентификатором VLAN-подсети, присвоенном этому порту, и передаст дальше в сеть. При получении пакета с таким же идентификатором VLAN, как и у самого порта, тег будет снят и данные отправлены на абонентское устройство без тега. В случае получения тегированного пакета с идентификатором VLAN, отличающимся от номера, присвоенного порту, коммутатор сравнит идентификатор со списком разрешенных VLAN-подсетей. Если номер будет указан в списке, то данные будут переданы по сети на следующее устройство без изменения тега. В случае, если идентификатор указывает на принадлежность незнакомой подсети VLAN, то пакет будет отброшен.

          VLAN на коммутаторах Moxa

          ЗАДАЧА:
          Необходимо построить общую сеть предприятия с разграничением доступа между технологической сетью, предназначеной для управления и мониторинга технологическими процессами и сетью общего назначения. Кроме того, оборудование одной подсети установлено на территориальном удалении друг от друга.

          Организовать подобную систему можно с помщою технологии VLAN. Рассмотрим пример реализации данной задачи на коммутаторах Moxa EDS-510E-3GTXSFP.

          Технологию VLAN поддерживают все управляемые коммутаторы Moxa.

          Оборудование, которое должно находиться в технологической сети (компьютеры A и C), отнесем в подсеть с идентификатором VLAN 10. Оборудование сети общего назначения отнесем в подсеть с идентификатором VLAN 20 (компьютеры B и D). Обмен между этими подсетями происходить не будет. В то же время из-за удаленного расположения устройств оборудование одной VLAN-подсети подключено к разным коммутаторам и необходимо обеспечить обмен данными между ними. Для этого объединим коммутаторы с помощью Trunk портов и поместим их в отдельную подсеть с идентификатором VLAN 30.

          Конфигурирование коммутаторов:

          • Порты, к которым подключены устройства A и С, устанавливаем в режим access и назначаем PVID равный 10 (Порт 1 на скриншоте)
          • Порты, к которым подключены устройства B и D, устанавливаем также в режим access и назначаем PVID равный 20 (Порт 3 на скриншоте)
          • Коммутаторы между собой соединяются через trunk-порты. Назначаем этим портам PVID 30. Чтобы trunk-порты пропускали трафик от других VLAN-подсетей (в нашем случае 10 и 20), нужно указать VLAN 10 и 20 в качестве разрешенных. (Порт 5 на скриншоте)

          • PVID (Port VLAN Identifier) – идентификатор VLAN-подсети, к которой относится оборудование, подключенное к порту
          • Tagged VLAN – список разрешенных VLAN

          Кроме того, следует обратить внимание на параметр Management VLAN ID – подсеть управления коммутатором. Компьютер, с которого необходимо управлять и следить за состоянием самих коммутаторов, должен находиться в подсети управления, указанной в Management VLAN ID. По умолчанию Management VLAN но для предотвращения несанкционированного доступа к коммутаторам рекомендуется идентификатор VLAN управления менять на любой свободный.

          Обмен данными в сети предприятия будет осуществляться в соответствии с правилами обработки пакетов.

          Правила обработки пакетов для портов Access

          • Входящие правила
            • Если фрейм без VID, то добавить тег с идентификатором равным PVID
            • Если фрейм с VID = PVID, то принять пакет. Иначе – пакет отбросить.
            • Удалить тег

            Правила обработки пакетов для портов Trunk

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *