Kann ein Switch, der keinen VLAN unterstützt, Datenverkehr von einem Trunk verarbeiten, der nicht das native VLAN ist?

10

Kürzlich ist ein Setup aufgetreten, bei dem der Techniker einen mehrschichtigen Cisco-Switch mit einem Trunk hatte, der VLAN 41 zu einem HP-Switch führte, der keine VLANs unterstützte.

Was soll der HP Switch mit dem 802.1q-Verkehr tun, wenn er empfangen wird?

Ich verstehe, dass das native VLAN, das nicht über das 802.1q-Tag verfügt, übergeben wird, aber was passiert mit den anderen VLANs auf dem Trunk?

cisco  switch  vlan  ethernet 
dcrearer
quelle
Hängt von der genauen Art der "Nichtunterstützung" ab. Wenn es weiß, was das Protokoll 0x8100 ist, soll es den Frame löschen. Aber das wäre keine sichere Sache.
Ricky Beam

Antworten:

11

Ein Switch, der keine 802.1Q-Tags unterstützt, sollte markierte Frames löschen. Viele einfache Switches entsprechen jedoch überhaupt nicht 802.1Q und leiten getaggte Frames wie nicht getaggte weiter - wobei sie zum größten Teil die Absicht der VLAN-Partitionierung gefährden.

Ein einfacher Schalter kann einfach die TPID übersehen, die das Q-Tag markiert, und es als Frame-Nutzlast betrachten, genau wie das Ethertype-Feld, dem es vorausgeht. Der Effekt ist, dass getaggte Frames genau wie nicht getaggte Frames umgeschaltet werden. Da auf dem Switch wahrscheinlich nicht die Ziel-MAC-Adresse in SAT gespeichert ist, wird der Frame wahrscheinlich auch an alle Ports gesendet.

Sie sollten niemals einen VLAN-Trunk für einen Switch konfigurieren, der ihn nicht unterstützt.

Zac67
quelle
Der Switch, der das Paket sendet, weil er den Ziel-MAC nicht kennt, ist nicht das Hauptproblem. Schließlich ist dies etwas, was Switches ständig tun, und von den endgültigen Zielen wird erwartet, dass sie entweder 802.1Q unterstützen und das Richtige tun oder es nicht unterstützen und das Paket verwerfen. Sobald eine Antwort auf das Originalpaket empfangen wurde, kennt der Switch beide an der Kommunikation beteiligten MAC-Adressen. Problematischer sind Konfigurationen, bei denen derselbe MAC je nach VLAN-Tag oder Switches, die die größeren Pakete nicht verarbeiten können, über verschiedene Schnittstellen geroutet werden müsste.
Kasperd
Beachten Sie, dass das Tag den Frame länger macht (um 4 Byte), sodass er jetzt größer sein kann als die erwartete MTU (1518 vs 1514). Der Switch sollte dies als übergroßen Frame löschen. Einige sehr alte Cisco-Switches stürzen einfach ab, wenn ein Frame mit 1518B-Tags an einen Port ohne Tags übergeben wird.
Ricky Beam
@ RickyBeam Das ist in der Tat der Punkt des letzten halben Satzes meines Kommentars. Das Verwerfen der Pakete wäre ein verständliches Verhalten. Aber es ist wirklich schlimm, den Schalter zum Absturz zu bringen. Es ist nicht so, dass Sie unbedingt allen Geräten vertrauen, die an Ihren Switch angeschlossen sind. Wenn also einer von ihnen zum Absturz des Switch führen kann, handelt es sich um einen DoS-Vektor.
Kasperd
1

Ich verstehe, dass das native VLAN, das nicht über das 802.1q-Tag verfügt, übergeben wird, aber was passiert mit den anderen VLANs auf dem Trunk?

Das ist eigentlich undefiniert. Einige Switches lassen die markierten Frames als fehlerhaft oder gigantisch fallen, einige Switches entfernen die Tags und einige Switches übergeben einfach die Frames.

Ron Maupin
quelle
Selbst Cisco-Switches behandeln markierte Frames in dieser Situation je nach Modell unterschiedlich. Ich habe gerade ein Zertifikat erneuert und dieses Konzept wurde zu einem großen Gespräch / Streit. Es stellt sich heraus, dass es keine einzige Antwort gibt, wie Ron sagte. Sie müssen dies bei HP herausfinden oder mit dem Testen beginnen. Wireshark wäre dafür praktisch.
Fixitrod
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.