Может ли коммутатор, который не поддерживает VLAN, обрабатывать трафик от магистрали, не являющейся собственной VLAN

10

Недавно столкнулся с установкой, где у инженера был многоуровневый коммутатор Cisco с магистралью, несущей VLAN 41 к коммутатору HP, который не поддерживал VLAN.

Что должен делать коммутатор HP с трафиком 802.1q при его получении?

Я понимаю, что собственная VLAN, которая не имеет тега 802.1q, пройдет, но что происходит с другими VLAN в магистрали?

— dcrearer
источник

Зависит от точного характера "не поддержка". Если он знает, что такое протокол 0x8100, он должен отбросить кадр. Но это не будет безопасной ставкой.

— Рикки Бим

11

Коммутатор, не поддерживающий теги 802.1Q, должен отбрасывать тегированные кадры. Тем не менее, многие простые коммутаторы вообще не соответствуют стандарту 802.1Q и пересылают помеченные кадры, как и непомеченные, - по большей части ставя под угрозу любые намерения разделения VLAN.

Простой коммутатор может просто пропустить TPID, помечающий тег Q, и рассматривать его как полезную нагрузку кадра, так же, как поле Ethertype, которому он предшествует. Эффект состоит в том, что помеченные кадры переключаются точно так же, как нетегированные кадры. Поскольку у коммутатора, скорее всего, нет MAC-адреса назначения, сохраненного в SAT, кадр также, вероятно, будет транслироваться на все порты.

Никогда не следует настраивать транк VLAN на коммутатор, не поддерживающий его.

— Zac67
источник

Коммутатор, транслирующий пакет, потому что он не знает MAC-адрес назначения, не является основной проблемой. В конце концов, это то, что коммутаторы делают постоянно, и ожидается, что конечные пункты назначения будут либо поддерживать 802.1Q и делать правильные вещи, либо не поддерживать его и отбрасывать пакет. И как только ответ на исходный пакет получен, коммутатор узнает оба MAC-адреса, участвующих в обмене данными. Более проблематичными являются конфигурации, в которых один и тот же MAC-адрес необходимо маршрутизировать через разные интерфейсы в зависимости от тега VLAN или коммутаторов, которые не могут работать с большими пакетами.

— Касперд

Имейте в виду, что тег делает кадр длиннее (на 4 байта), поэтому теперь он может быть больше ожидаемого MTU (1518 против 1514). Коммутатор должен отбрасывать его как кадр большего размера. Некоторые очень старые коммутаторы Cisco просто рухнут при передаче помеченного кадра 1518B на немаркированный порт.

— Рикки Бим

@RickyBeam Это действительно точка последней половины моего комментария. Отбрасывание пакетов было бы понятным поведением. Но на самом деле вызывать сбой переключения действительно плохо. Это не значит, что вы обязательно доверяете всем устройствам, подключенным к вашему коммутатору, поэтому, если одно из них может вызвать сбой коммутатора, то это вектор DoS.

— Касперд

1

Я понимаю, что собственная VLAN, которая не имеет тега 802.1q, пройдет, но что происходит с другими VLAN в магистрали?

Это на самом деле не определено. Некоторые переключатели отбрасывают помеченные кадры как искаженные или гигантские, некоторые переключатели удаляют теги, а некоторые просто пропускают кадры.

— Рон Мопин
источник

Даже коммутаторы Cisco по-разному обрабатывают помеченные кадры в зависимости от модели. Я только что обновил сертификат, и эта концепция превратилась в большой разговор / аргумент. Оказывается, нет ни одного ответа, как сказал Рон. Вам нужно узнать об этом в HP или начать тестирование. Wireshark был бы удобен для этого.

— Фикситрод