Il tuo indirizzo IP è 108.162.216.121     

Chiarimenti sulle VLAN: default vlan, PVID, porte tagged e untagged

Scritto da Alessio Carta il . Inserito in Livello 2 - collegamento . Visite: 58536

Mi capita spesso di incontrare colleghi in difficoltà nell'uso di switch managed, nel momento in cui devono gestire le VLAN e configurarle su più switch. I dubbi riguardano in particolare i concetti seguenti:

  • porte tagged
  • porte untagged
  • Default e Native VLAN
  • PVID

Per quanto riguarda il concetto di VLAN, rimando all'articolo "VLAN: le LAN virtuali". Una volta chiari i concetti generali, è importante memorizzare questi ulteriori dettagli:

  • Ogni VLAN ha un solo ed unico identificativo numerico, VID o VLAN ID, il cui valore va da 1 a 4094. In sostanza è il numero che identifica la VLAN.
  • Per quanto riguarda gli switch, le porte possono essere untagged member o tagged member di una VLAN.
  • Nella terminologia Cisco, una porta untagged è semplicemente una Access Port, mentre le porte tagged sono quelle di Trunk.
  • Una porta può essere untagged per una sola VLAN (access port assegnata a quella sola VLAN), oppure tagged per diverse VLAN (ossia trunk).

Modalità VLAN per le interfacce dello switch

In base al tipo di switch, è possibile configurare le porte in una delle modalità seguenti:

  • General - l'interfaccia supporta tutte le funzioni definite nelle specifiche IEEE 802.1q e può essere tagged o untagged member di una o più VLAN.
  • Access o untagged - in questa modalità l'interfaccia può essere untagged member di una sola VLAN. Access Port o Untagged Port sono definizioni equivalenti. I pacchetti che attraversano una porta untagged (o access) sono privi del tag VLAN. Infatti sulle porte untagged sono collegati PC e dispositivi che nulla sanno delle VLAN.
  • ·     Trunk o tagged - l'interfaccia è tagged member di una o più VLAN. Una porta tagged è in grado di ricevere pacchetti "taggati", e su queste porte possono essere collegati solo dispositivi in grado di interpretare i VLAN tag, come switch, router e firewall compatibili con il protocollo 802.1q.
Cosa succede se un pacchetto con tag VLAN n entra su una porta untagged? Semplice, il pacchetto viene scartato.
Cosa succede se un pacchetto privo di VLAN tag entra su una porta untagged? Viene classificato in base al PVID (Port VLAN Identifier) di quella porta, cioè se quella porta è untagged per la VLAN n, il pacchetto sarà classificato come appartenente alla VLAN n e potrà essere inoltrato solo sulle porte untagged e tagged per quella VLAN. 
Cosa succede se un pacchetto con tag VLAN n arriva su una porta tagged? Se quella porta è tagged VLAN n, viene fatto passare, altrimenti viene scartato. Una volta che il pacchetto entra su una porta tagged, può andare solo sulle porte tagged e untagged della stessa VLAN n; se il pacchetto esce esce da una porta untagged sarà privato del tag VLAN, se esce da una porta tagged (trunk) rimarrà taggato come VLAN n.

Port VLAN ID

E' l'identificativo della VLAN utilizzato per classificare un pacchetto non taggato che entra nello switch. C'è corrispondenza tra PVID e le porte access o untagged: se una porta è impostata come access o untagged member della VLAN n, allora il PVID di quella porta è "n". Pertanto il pacchetto che entra in quella porta sarà classificato come appartenente alla VLAN n.

Default VLAN e Native VLAN

La Default VLAN ha le caratteristiche seguenti:

  • esiste sempre e non può essere eliminata
  • esiste perchè lo switch ha bisogno di almeno una VLAN a cui assegnare le sue porte; inoltre è utilizzata per protocolli speciali quali CDP, VTP, PAgP, e DTP;
  • inizialmente, tutte le porte sono untagged member della VLAN di default
  • a meno di modifiche, la VLAN di default ha ID 1
  • l'ID della VLAN di default può essere cambiato
  • se una porta non è più membro di alcuna VLAN, automaticamente diventa untagged member della VLAN di default (una porta non appartiene più a una determinata VLAN quando è rimossa dalla VLAN stessa, oppure se quella VLAN viene eliminata)

La Native VLAN invece riguarda solo i collegamenti in trunk fra switch. Default VLAN e Native VLAN causano spesso confusione... proverò a chiarire questi due concetti. Quando la porta di uno switch è configurata in trunk, oppure è tagged member per una o più VLAN, i pacchetti in transito per quella porta saranno inoltrati lasciando inalterato il loro VLAN TAG. Se però i pacchetti sono privi di tag, saranno assegnati alla Native VLAN. In maniera predefinita, la Native VLAN coincide con la Default VLAN, quindi si può affermare che i pacchetti privi di tag, in transito su una porta di trunk, saranno assegnati alla Default VLAN.

Alcuni switch permettono di modificare la Native VLAN (esempio Cisco Catalyst), altri non la mostrano nemmeno (esempio Cisco Managed serie 500), e rendono possibile modificare solo l'ID della VLAN di Default.

Commenti  

# stefano 2017-06-08 09:12
Buondì,
è possibile avere una VLAN aperta alla rete INTERNET e inibire la navigazione su internet solo su determinate porte? Grazie, Stefano
Rispondi
# Pierluigi 2017-05-10 09:19
Ciao Alessio, complimenti per il post...vorrei chiederti una delucidazione.. .non ho capito la differenza tra le porte in ACCESS di uno switch Cisco e "Untagged" degli switch HP... è la stessa cosa ma detta in termini diversi?

Grazie mille
Rispondi
# Luca 2016-11-13 16:01
Ciao Alessio e complimenti per l'articolo. Mi son imbattuto nei tuoi articoli in quanto non riesco a risolvere un problema che riporto di seguito.
L'architettura è composta da firewall, frontend proxy e application server. Il firewall mantiene l'indirizzo pubblico e gira le connessioni sul frontend proxy attraverso switch1 , il frontend proxy le gira a diversi application server su altra rete dmz attraverso switch2, le connessioni vpn arrivano dirette dal firewall allo switch2 (bypassano il proxy) e ogni connessione è abilitata verso i soli ip di competenza (deny tramite firewall verso altri ip).

Tutto funziona, il mio problema è che vorrei isolare le varie macchine application server in modo da non farle comunicare fra loro, allo stesso tempo devono continuare a comunicare in modo bidirezionale sia con il frontend che con il firewall per le vpn.

La mia idea era di far sì che il frontend accettasse tutte le vlan sulla scheda interna (switch2) tenendo i vari guest separati fra loro attraverso altre vlan, non riesco però a trovare nessuna impoazione lato vmware che mi consenta la separazione per porte virtuali sullo stesso switch.

Avresti qualche consiglo?
Gazie mille!
Ciao
Rispondi
# Stef 2016-01-05 16:04
Buongiorno, complimenti per l'articolo.
Io mi trovo in una situazione di rete già esistente e funzionante.
Ho bisogno di separare la rete wireless della rete interna (acceso ai server e servizi) dalla rete per gli ospiti (solo internet) che metterei in DMZ.
Ho creato una rete wireless e gli ho abbinato una VLAN, sul firewall ho abbinato la VLAN alla porta DMZ, adesso in mezzo ho switch sia managed che unmanaged. Come li dovrei configurare ? Gli access point (6 in totale) hanno la configurazione sia con la rete interna (UNTAGGED) che la rete ospiti (TAGGED: 199) dunque le porte degli switch managed come dovranno essere configurate ?
Se poi a valle di questi switch ci sono switch unmanaged che serviranno sia per la rete wireless che per PC e stampanti che dovranno essere collegati alla rete priva di VLAN è possibile oppure dovranno essere sostituiti ?
Purtroppo il cablaggio è gia fatto e non modificabile e il budget per questo lavoro è praticamente inesistente, devo arrangiarmi con quello che ho già.
Grazie in anticipo per le risposte

Saluti
Rispondi
# Gianluca 2015-12-15 12:06
Ciao a tutti, non ho ben capito il funzionamento delle vlan. Volevo sapere se posso risolvere un problema che ho a casa mia. In pratica ho un modem router collegato a 2 switch ed ad un router wifi per avere internet in tutte le stanze tramite lan e tramite wifi e fin qui tutto ok. Nell'appartamen to di sotto ho mio zio che ha un router con la sua connessione internet. In pratica dal suo router abbiamo portato un cavo lan al mio switch al piano di sopra. Ora, volevo sapere se con le vlan posso condividere il mio hard disk di rete con mio zio ma devo fare in modo che io devo usare la mia connessione internet e mio zio la sua. Ho già provato a collegare i router insieme e farli comunicare impostando gli ip e le subnet ma i device che si collegano in wifi al mio router wifi, invece che prendere gli indirizzi ip di quel router prende gli indirizzi ip del router del piano di sotto, quindi sfrutta la connessione internet del piano di sotto. Grazie
Rispondi
# Stefano 2015-07-27 18:27
Ciao, complimenti a parte che non basterebbero i 500 caratteri, ho un semplice problema.
Devo isolare 3 porte tra di loro su di uno switch "dot1Q" in modo che facciano traffico seguendo queste regole:
-la porta A può fare traffico bidirezionale solo con la porta B;
-la porta C può fare traffico bidirezionale solo con la porta B;
-la porta B può fare traffico bidirezionale sia con la porta A che con la porta C ma su due VLAN differenti;
- le porte A,B e C sono su di uno switch con altre porte e devono essere isolate da tutte le altre (un sub-switch se esiste il termine).
Come devo implementare le VLAN?
Grazie per l'impegno che impiegherete nel rispondermi.
Rispondi
# Luca 2015-05-29 12:18
C'e' qualcosa che non capisco :sad:
Devo dividere lan(1) e wireless(100) ed ho due switch hp (1810 e 1910).
Il primo switch ha lan su default e wifi su 4 porte, il secondo switch ha lan su default e wifi su 2 porte. Ogni switch con relative vlan funziona regolarmente.
Ho messo le untagged le porte per ogni vlan ed escludendole dall'altra.
Sul trunk ho dei dubbi, ho messo prima tagged la porta che collega i due switch solo per VLAN wifi ma non funziona, volevo mettere tagged entrambe le VLAN sulla portama sembra che il 1910 non mi prenda tagged per la default.
Sbaglio sicuramente :) secondo voi dove?
Rispondi
# Vittore 2015-05-13 11:53
Sito stupendo. trovato per caso cercando info sulle vlan. Subito passato ai colleghi. Complimenti.

Io ci provo con una domanda.
Spesso usiamo le VLAN in modo improprio per "dividere" in due uno switch: ho due reti (L3) da isolare, prendo uno switch e faccio due VLAN, metà delle porte untagged VLAN1 e similmente le altre untagged in VLAN2. Tutto funziona e l'obiettivo è raggiunto.
Il problema nasce quando da una porta (ad esempio untagged VLAN1) entro su un nuovo switch e ho la necessità di dividere anche questo secondo switch.
Se lascio le porte untagged i frame vengono (giustamente) scartati.

Domanda: l'unica soluzione è propagare al secondo switch le VLAN del primo attraverso delle porte tagged?

Grazie e ancora complimenti.
Rispondi
# Alessio 2015-05-20 09:47
Ciao,
la procedura corretta, per il collegamento fra switch, è quella di utilizzare una porta in trunk, che sia tagged VLAN1 e VLAN2. La porta deve essere configurata su entrambi gli switch. Sconsiglio tuttavia l'uso della VLAN1, che normalmente è la VLAN di default. Se si devono creare due VLAN, creare ad esempio la VLAN10 e la VLAN20.
Se non si vogliono porte di trunk, si potrebbe semplicemente collegare i due switch usando due porte untagged della VLAN1, e due porte untagged della VLAN2, in pratica un doppio collegamento. Non è però la soluzione ideale se il numero di VLAN o il numero di switch è superiore a 2.
Rispondi
# Gor75 2015-04-30 18:03
Ciao
sto leggendo con molto interesse tutto il sito. Complimenti
Vorrei fare una domanda, sperando in una risposta, anche se l'articolo è datato comunque è sempre attuale.
Se lo switch 1 ha tutte le porte in modalità access per la Vlan 10 e devo collegarvi un secondo switch 2 per aumentare il numero di porte, anch'esso con tutte le porte access in Vlan 10, è corretto impostare le porte dedicate al collegamento degli switch semplicemente in modalità trunk senza specificare quali vlan siano permesse sul trunk appunto ? oppure per come hai scritto sopra il pacchetto uscendo da una porta untagged sarà privato del suo tag e quindi andrà a finire sulla Vlan Native(Default) e quindi sarò costretto a permettere sul trunk solo i pacchetti della Vlan10 impostando oltretutto come vlan di default appunto la 10 ?
Rispondi
# Alessio 2015-05-04 15:25
Ciao,
il pacchetto uscendo da una porta untagged sarà privato del suo tag.
Se su una porta di tipo access untagged vlan 10 colleghi un altro switch, le cui porte sono tutte access untagged vlan 10, i pacchetti transitano comunque da uno switch all'altro. Ma che serve avere tutte le porte di entrambi gli switch impostate in access per la stessa VLAN? Tanto vale lasciare tutto di default, perché non ottieni alcun vantaggio.
Le VLAN servono per migliorare le prestazioni della rete, limitando il broadcast, e per suddividere la rete principale in sottoreti che possono sottostare a politiche differenti, con vantaggio per la sicurezza.

Spero di aver chiarito i tuoi dubbi. :D
Rispondi
# FrancescoB 2015-03-23 18:10
Ciao, innanzi tutto grazie per l'opera di divulgazione che fai. Si impara molto. :)

Non ho capito bene una cosa. HP A5120. Quando io metto una porta Tagged per una VLAN, mettiamo 10, se poi guardo la configurazione mi esce che è tagged per vlan 10 e untagged per la vlan 1. Tu però dici che non è buona cosa una configurazione del genere. Se provo a rimuovere la porta dalla VLAN 1 mi dice che non si possono aggiungere o rimuovere porte alla VLAN 1 (default).
Intendi forse dire che quando taggo una porta per una o pù vlan devo anche cambiare il PVID?

Grazie mille,
Francesco
Rispondi
# Alessio 2015-03-24 09:20
Ciao Francesco,
non ho presente la modalità di gestione delle VLAN implementata sulla serie cui appartiene il tuo switch HP. Ipotizzo che per avere una porta tagged VLAN10, ed evitare che sia nello stesso tempo untagged VLAN1, tu debba impostare il PVID per quella porta con valore 10.
Rispondi
# FrancescoB 2015-03-24 09:25
Grazie mille. Comunque nel mio caso avendo un vSwitch con 2 portgroup, uno taggato a 10 e l'altro no (0), la porta di uplink dello switch fisico deve essere impostata tagged per la 10 ma anche untagged per la default vlan. Altrimenti la il portgroup untagged non riesce a parlare. :)
Rispondi
# FrancescoB 2015-03-23 18:53
Ah. dimenticavo: Quella porta di switch è collegata a un uplink di un vSwitch che ha al suo interno due portgroup: uno con tag 10 e l'altro senza tag (deve andare nella default vlan il suo traffico). Anche per quello non come configurare altrimenti la porta dello switch (tagged per vlan 10 e untagged per 1)... :)
Rispondi
# Alessio 2015-03-24 09:25
Se questa è la condizione, allora va bene la confiugurazione che hai indicato nel post precedente, con tag VLAN10 e default VLAN 1. Tuttavia, perché collegare una porta di trunk su un vSwitch dove sono presenti port group senza VLAN tag?? Su quel vSwitch, sarebbe meglio avere solo port group con specifiche VLAN. Se vuoi dei port group privi di VLAN, crea un altro vSwitch e attestalo su un'interfaccia diversa. Hai dato uno sguardo al mio articolo sul VLAN tagging negli switch virtuali? qui: netsetup.it/.../...
Rispondi
# Francesco B 2015-03-24 17:57
Bene, devo cercare di farmi capire senza schemi il che non sarà facile. Sto configurando un cluster vSphere di 2 nodi, storage interno centralizzato attraverso HP StoreVirtual VSA.
Sono VCP410, non per dirti che sono figo, anzi, solo per dirti che puoi parlami tranquillamente nel gergo vSphere perché 'dovrei' capire :)

L'infrastruttura viene installata su una rete esistente costituita, per farla semplice, da due CED collegati tra loro già ad oggi in fibra ottica. Quindi ho già uno switch per CED (un HP Procurve e un Allied Telesin) connessi in fibra all'altro.

L'idea è installare un host per CED e altri 2 switch (i HP/3COM 5120 appunto), uno per CED, connessi anch'essi in fibra.

Gli host in questione hanno 6 nics totali ciascuno. 4 gbic, 2 10gbic (iSCSI). Nota: delle due 10Gbic ne posso usare una sola per il momento (niente failover).

Nota: Gli uplink in teaming degli host finiscono (secondo il mio pensiero per fare un failover sensato) in due switch diversi, una zampa nel 5120 e l'altra nel Procurve (o nel Telesin a seconda del CED)

Bene, da best practise HP con sei nics devo configurare l'host in questo modo:

vSwitch "iSCSI" su rete 10gbic:
- traffico di replica VSA
- Macchina virtuale VSA

vSwitch "vMotion&Manage ment" con 2 uplink (vmnic 2,3) in failover active-standby.
Portgroup vMotion: vlan 10. Active: vmnic 3. Standby: vmnic 2.
Portgroup "Management": vlan 0 (untagged). Active: vmnic 2. Standby: vmnic 3.

vSwitch "VMs" con 2 uplink (vmnic 4,5) in failover active-standby.
Portgroup VMs: valn 0. Active: vmnic 4. Standby: vmnic 5.


Ora le mie considerazioni, di uno che si affaccia alle VLAN in questo periodo.

- Io ho tutti gli switch esistenti e tutta la rete, oltre a quelli nominati sopra, senza VLANs, ovvero con quella di default (server, clients, stampanti... ). Tutti supportano protocollo 802.1Q.
- Per non stravolgere le cose la rete di management è bene che resti nella LAN del mio PC, così come la rete delle VMs. Quindi devo lasciare untagged il loro traffico così che esso transiti sulla VLAN di default.
- Ho letto da più parti, su kb VMWare anche, che non è buona cosa taggare un port group a 1 (mi pare per compatibilità/f unzionamento con gli switch..)
- A meno che non abbia capito un ciufolo dei tuoi articoli, se i portgroup "VMs" e "Management" devono parlare con il mio PC e con il resto dei nodi in rete (senza tirare in ballo il routing) non posso taggarli o farli andare su VLAN diverse da quella di default cioè la 1.
- Gli switch nuovi, i 5120, li ho configurati con port based VLAN 10, 100, 1 (default). La porta dello switch dove si attesta il vSwitch "vMotion&Manage ment" è Trunk per la VLAN 10, Access per la VLAN 1. Tra i due switch il collegamento in fibra è tra porte Trunk per VLAN 10, 100, Access per la 1.
- Gli switch "vecchi": La porta dello switch dove si attesta il vSwitch "vMotion&Manage ment" è Trunk per la VLAN 10, Access per la VLAN 1. Le porte in fibra che li collegano, una per switch, sono Trunk per VLAN 10, Access per la 1.
- In uno o nell'altro CED ho un cavo UTP che collega una porta access del 5120 a una porta access del vecchio switch per permettermi di raggiungere i 5120 dal mio PC.


Questa è la configurazione che ho in mente. Come la reputi? (non dirmi come la corazzata Potionky please :D )

Grazie mille,
Francesco
Rispondi
# Andrea 2014-11-12 10:39
Ciao Alessio,
mi unisco ai complimenti degli altri . Ho scoperto questo sito mentre cercavo in rete info sulle VLAn, e subito è finito nei miei preferiti. Finite le vlan vado a vedermi i backup di vmware con vdp ;)
Avrei bisogno di un solo chiarimento. All'inizio del documento parti do porte general e porte trunk. non ho capito bene quale sia la differenza.
Rispondi
# Alessio 2014-11-12 09:57
Ciao Andrea, grazie per i complimenti :D. Una porta General permette il passaggio di pacchetti con tag che devono essere specificati, e permette anche il passaggio di pacchetti untagged che però saranno taggati in base al PVID della porta.

Al contrario, una porta in Trunk classico blocca qualsiasi pacchetto privo di tag.
Rispondi
# Alessandro 2014-06-16 10:54
Ciao, grazie per i chiarimenti, mi sfugge però una cosa sulla Native VLAN. A me risulta che se la native VLAN è impostata a n, appena un pacchetto taggato con VLAN n esce dalla porta di trunk, il tag 802.1Q viene eliminato (solo per quella VLAN ovviamente). Questo consente che il traffico di management possa essere gestito anche dallo switch che lo riceve, ad esempio uno switch con native VLAN impostata a n+1, in quanto vedrebbe arrivare sulla porta di trunk un pacchetto untagged e lo metterebbe sulla sua native VLAN.
Cosa sbaglio? :-)
A questo comportamento fanno eccezzione eventuli regole di 801.1v per le protocol-base VLAN.

Forse mi sfugge qualcosa, chiedo lumi!
Grazie,
Alessandro
Rispondi
# Alessio 2014-06-18 09:43
Ciao Alessandro, ho letto con attenzione la tua osservazione. A me non risulta che se imposti la Native VLAN a "n", i suoi pacchetti siano privati del tag uscendo da una porta di trunk. La native VLAN è untagged nei trunk quando viene lasciata di default a 1. Ci sono alcune osservazioni da fare:
- non tutti i vendor implementano la Native VLAN
- l'interoperabil ità tra vendor diversi, riguardo la native vlan, può generare conflitti o malfunzionamenti
- la native VLAN è stata introdotta da Cisco per il trasporto fra switch di protocolli quali CDP, DTP, LACP.

Pertanto la documentazione Cisco è quella di riferimento in questo caso. Puoi trovare qualcosa di più qui: cisco.com/.../...
Alessio
Rispondi
# Alessandro 2014-06-19 14:18
Ciao Alessio, sono confuso perché anche io, pur non usando CISCO, seguo spesso la sua documentazione, e le Native VLAN avevo capito funzionassero in quel modo. Addirittura qualcuno sostiene che le native vlan possano essere settante diversamente per ogni porta! (learningnetwork.cisco.com/.../ ... commento 3, ovviamente credo che dipendi dal modello di swich/router che stai configurando).
C'è molta confusione, credo che alcuni vendor la implementino chiamandola con altri nomi, ad esempio primary VLAN o management VLAN. Andrei a leggermi lo standard ma è a pagamento (standards.ieee.org/.../...). Comunque domani mi arriva un HP ed a luglio metto le mani su dei netgear, giù di wireshark e vediamo come funzionano. Nel frattempo ti posso dire che ho degli access point Motorola dove è scritta esplicitamente qual'è la native vlan e la posso modificare, posso scegliere di taggare comunque i frame della native vlan (lo possono fare anche altri device credo, in modo da continuare a portare le informazioni CoS anche su vlan native).

Ciao e grazie,
Alessandro
Rispondi
# Alessio 2014-06-19 16:01
Se vorrai postare i risultati dei test, noi ci siamo. Potresti scrivere un articolo con tanto di screenshot di wireshark, sarebbe molto interessante, te lo pubblicherei subito (a tuo nome e con tua firma ovviamente).
A presto Alessio :D
Rispondi
# oscar 2014-05-06 10:17
Ciao Alessio, complimenti per l'articolo.

Ti espongo il mio quesito:
ho quattro access point e 2 reti wifi per ognuno di essi, una senza tag e l'altra con tag 200.
Questi access point vengono collegati a uno switch e devo fare in modo che i pacchetti con tag vadano ad un hotspot in grado di riconoscere i tag e quelli senza tag vadano ad uno switch sulla rete locale.
La mia domanda è: come deve essere settato lo switch in modo che i pacchetti con tag vadano verso l'hotspot e non sulla rete locale?
Grazie
Rispondi
# Alessio 2014-05-06 10:31
Le porte dello switch, su cui sono collegati gli AP, devono esseren porte di trunk, ovvero tagged 200 e untagged member della VLAN di default. Poi dovrai impostare un'altra porta tagged 200 per l'hotspot.
Ciao e grazie per i complimenti :D
Rispondi
# davide 2014-03-28 08:09
CIao Alessio, compliementi come al solito. Da quando ti ho conosciuto con la guida di VSPhere ad ogni problema tecnico faccio fronte con qualche tuo articolo. Vorrei chiederti due cosette. Ho diversi switch tutti configurati con 2 Vlan : Nativa untagged e Vlan 10 tagged su tutte le porte. Integrerò a breve una un' infrastruttura che necessita 3 nuove vlan. Posso ulteriolmente taggare X porte che già si trovano nella situazione descritta ( mi sembra di aver capito che è possibile ) ? Visto che poi le Vlan devono essere propagate su ogni switch collegato, devo per forza taggare anche le porte di uplink ? Se posso taggare ogni porta con n VlanID , perchè non è usanza taggare sempre tutte le porte ? Grazie anticipatamente e scusa la serie di domande :lol:
Rispondi
# Alessio 2014-03-31 09:04
Ciao Davide, grazie per i complimenti :D . Rispondo alle tue domande:
- si, puoi ulteriormente taggare X porte
- assolutamente si, devi taggare le porte di uplink
- non è usanza taggare sempre tutte le porte semplicemente perché non ha senso.
Si devono taggare con un determinato VlanID le sole porte appartenenti a quella Vlan. Lasciare le porte untagged member della VLAN di default e contemporaneame nte taggate con un certo VlanID non è cosa buona. Una porta dovrebbe appartenere ad una sola Vlan, solo le porte di trunk dovrebbero essere tagged member di più Vlan.
Rispondi
# Danilo 2014-02-25 15:43
Ciao Alessio,
Complimento ottima guida. Anche io mi aggrego a Roberto dicendo che molte cose mi sono state spiegate in maniera comprensiva leggendo la tua guida :-)
Una sola cosa non mi è chiara...quando dici
"Cosa succede se un pacchetto con tag VLAN n entra su una porta untagged? Semplice, il pacchetto viene scartato."
Quando dici che viene scartato, intendi fatto uscire oppure eliminato?
Perché ti riporto l'esempio che sto testando in ufficio...io ho un pc A collegato alla porta untagged 1, poi ho un pc C collegato alla porta untagged 3, infine ho un pc B (linux router) collegato ad una porta tagged 2...ora dal pc A io pingo il pc B...quindi parte il pacchetto dal pc A privo di VLAN id, arriva alla porta 1 untagged che lo accetta, lo marchia con il PVID della porta untagged 1 e lo manda alla porta 2 tagged, da qui arriva al pc B che farà tornare indietro il reply (pacchetto tagged), il pacchetto tagged dalla porta 2 torna alla porta 1 che è untagged...qui, da come scrivi, la porta 1 untagged dovrebbe scartarlo, mentre a me (penso giustamente) non succede ciò e torna la risposta del ping al pc A.
Sbaglio forse io a ragionare?

Grazie,
Danilo.
Rispondi
# Alessio 2014-02-25 15:56
Ciao Danilo,
per "scartato" intendo eliminato. Questa affermazione non contrasta con il tuo caso: quando scrivo "Cosa succede se un pacchetto con tag VLAN n entra su una porta untagged? Semplice, il pacchetto viene scartato" intendo quando il pacchetto entra fisicamente nello switch dal mondo esterno, nel tuo caso il pacchetto è in uscita dalla porta 1 dopo essere stato accettato dallo switch tramite la porta 2.
Per essere più chiaro, il tuo pacchetto tagged entra nella porta 2 e torna alla porta 1, ed in uscita viene privato del tag. Se tu provassi a mettere il tuo router Linux sulla porta 1, i pacchetti taggati inviati dal router sarebbero eliminati.
Ciao :D
Rispondi
# Alessio 2014-02-05 16:33
Ciao Roberto, grazie per il tuo commento!
A presto, Alessio
Rispondi
# Roberto 2014-02-04 20:41
Ottimo articolo, ho letto valanghe di pagine sulle VLAN ma questa paginetta è entrata di corsa nella mia "bibbia" personale :lol:
Rispondi

Aggiungi commento


Codice di sicurezza
Aggiorna

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni