虚拟局域网（VLAN）的应用

最新推荐文章于 2024-08-06 11:18:08 发布

慕舟舟.

最新推荐文章于 2024-08-06 11:18:08 发布

阅读量1.1k

点赞数 25

文章标签：计算机网络网络

本文链接：https://blog.csdn.net/2301_76717406/article/details/134661867

版权

一，VLAN 基本概念

VLAN(Virtual Local Area Network)即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术，归属同一VLAN的主机间可以直接通信，而归属不同 VLAN的主机间不能直接互通，从而实现将广播报文限制在一个VLAN内部。

二，VLAN 的帧格式

传统的以太网数据帧在目的 MAC地址和源MAC地址之后封装的是上层协议的类型字段，如下图所示，

IEEE 802.1Q是虚拟局域网(VLAN)的正式标准，对 Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的 802.1Q标记 (Tag)

802.1Q 标记包含4个字段：

字段	名称	解释
TPID 2 字节	Tag ProtocolIdentifier( 标记协议标识符)，表示帧类型	取值为0x8100 时表示802.1Q 标记。如果不支持802.1Q的设备收到这样的帧，会将其丢弃
PRI 3 位	Priority，表示帧的优先级	取值范围为0~7，值越大优先级越高。用于当交换机阻塞时，优先发送优先级高的数据帧
CFI 1 位	Canonical Format Idicator( 标准格式指示位)，表示 MAC 地址是否是经典格式	CFI为0说明是经典格式，CFI为1表示为非经典格式。用于兼容以太网和令牌环网。在以太网中CFI的值为0
VID 12 位	VLAN ID，表示该帧所属的 VLAN编号	VLAN ID取值范围0~4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1~4094

在一个VLAN交换网络中，以太网帧有以下两种形式:
(1)有标记(taggedframe): 加入了4 字节 802.1Q标记的
(2)无标记(untaggedfame): 原始的、未加入4字节802.1Q标记的帧

三，链路类型

VLAN 中有以下两种链路类型：

1，接入链路：用于连接用户主机和交换机的链路。通常情况下，主机并不需要知道自己属于哪个 VLAN，主机硬件通常也不能识别带有 VLAN 标记的帧。因此主机发送和接收的帧是不带标记帧。

2，干道链路：通常用于交机间的连接。干道路可以承载多个不同VLAN数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个 VLAN，所以在干道链路上传输的帧通常是带标记帧。

四，VLAN 划分方法

1，基于接口

原理：根据交换机的接口来划分 VLAN。网络管理员可以给交换机的每个接口配置不同的 PVID。当一个普通数据帧进入配置了 PVID 的交换机接口时，该数据帧就会被打上该接口的 PVID 标记。对VLAN帧的处理由接口类型决定

优点：定义VLAN的成员接口简单

缺点：VLAN 内的接口成员在移动时需重新配置 VLAN

2，基于MAC 地址

原理：根据接入网络的计算机网卡的 MAC 地址来划分VLAN.网络管理员配置MAC 地址和VLAN ID映射关系表，如果交换机收到的是untagged(不带VLAN标记)帧，则依据该表添加VLAN ID

优点：当终端用户的物理位置发生改变，不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性

缺点：只适用于网卡不经常更换、网络环境简单的场景。需要预先定义网绍中所有成员

3，基于子网划分

原理：如采交换设备收到的是 untagged (不带VLAN标记)帧，交换设备根据报文中的P地址信息，确定添加的VLAN ID

优点：将指定网段或IP地址发出的报文在指定的VLAN中传输，减轻了网络管理者的任务量，且有利于管理

缺点：网络中的用户分布需要有规律,且多用户在同一个网段

4，基于协议划分

原理：根据接口接收到的报文所属的协议（族）类型及封装格式来给报文分配不同的基于协议划分VLAN ID.网络管理员需要配置以太网帧中的协议域和 VLAN ID 的映射关系表，如果收到的是untagged(不带VLAN标记)帧，则依据该表添加 VLAN ID

优点：基于协议划分VLAN ID，将网络中提供的服务类型与VLAN 相绑定，方便管理和维护

缺点：需要对网络中所有的协议类型和VLAN ID的映射关系表进行初始配置需要分析各种协议的地址格式并进相应的转换，消耗交换机较多的资源

5，基于匹配策略（MAC地址，IP地址，接口）

原理：基于匹配策略划分 VLAN 是指在交换机上配置终端的 MAC地址和IP地址，并与VLAN 关联只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定 VLAN后，严禁修改IP地址或MAC地址，否则会导致终端从指定VLAN中退出

优点：安全性非常高，基于MAC地址和IP地址成功划分VLAN后，禁止用户改变 IP 地址或MAC地址

缺点：针对每一条策略都需要手工配置

五，接口类型

在802.10中定义 VLAN后，设备的有些接口可以识别 VLAN帧，有些接口不能识别 VLAN帧。根据对 VLAN帧的识别情况，将接口分为以下4类。

(1)Access 接口。Access 接口是交换机上用来连接用户主机的接口，它只能连接接入链路仅允许唯一的VLAN ID通过本接口，这个 VLAN ID与接口的缺省VLAN ID相同，Access接口发往对端设备的以太网帧永远是不带标记的帧。

(2)Trunk 接口。Trunk 接口是交换机上用来和其他交换机连接的接口，它只能连接干道链路允许多个 VLAN的帧(带VLAN标记)通过。

(3)Hybrid 接口。Hybrid 接口是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid 接口既可以连接接入链路又可以连接干道链路。Hybrid 接口允许多个 VLAN的帧通过
并可以在出接口方向将某些 VLAN 帧的标记剥掉。

(4)QinQ接口。QinQ(802.1Q-in-802.10)接口是使用QinQ协议的接口。QinQ接口可以给帧加上双重 VLAN标记，即在原来标记的基础上,给帧加上一个新的标记,从而可以支持多达 4094x4094个VLAN(不同的产品支持不同的规格)，满足网络对 VLAN数量的需求。

六，不同类型接口对 VLAN 帧的处理

由于接口类型不同，对于帧的处理方式也不同，见下表：

接口类型	不带 VLAN 标记的报文	带 VLAN 标记的报文	发送帧处理过程
Access 接口	接收该报文，并打上缺省VLAN 的标记	当VLAN ID与缺省VLAN ID相同时，接收该报文。当VLAN ID 与缺省 VLAN ID 不同时，丢弃该报文	先剥离帧的 VLAN 标记，然后再发送
Trunk 接口	打上缺省的 VLAN ID，当缺省 VLAN ID 在允许通过的VLANID列表里时，接收该报文。打上缺省的 VLAN ID，当缺省 VLAN ID 不在允许通过的VLANID列表里时，丢弃该报文	当 VLAN ID 在接口允许通过的VLAN ID列表里时，接收该报文。当 VLAN ID 不在接口允许通过的 VLAN ID 列表里时，丢弃该报文	当VLAN ID 与缺省VLAN ID相同，且是该接口允许通过的 VLAN ID时，去掉标记，发送该报文当VLAN ID与缺省VLAN ID 不同，且该接口允许通过的 VLAN ID 时，保持原有标记，发送该报文
Hbird 接口	打上缺省的 VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。打上缺省的 VLAN ID，当缺省VLAN I不在允许通过的VLAN ID列表里时，丢弃该报文	当 VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文当 VLAN ID 不在接口允许通过的 VLAN ID 列表里时，丢弃该报文	当VLAN ID 是该接口允许通过的VLAN ID时,发送该报文。可以通过命令设置发送时是否携带标记

接口类型

不带 VLAN 标记的报文

带 VLAN 标记的报文

发送帧处理过程

Access

接口

接收该报文，并打上缺省VLAN 的标记

当VLAN ID与缺省VLAN ID相同时，接收该报文。
当VLAN ID 与缺省 VLAN ID 不同时，丢弃该报文

先剥离帧的 VLAN 标记，然后再发送

Trunk 接口

打上缺省的 VLAN ID，当缺省 VLAN ID 在允许通过的VLANID列表里时，接收该报文。

打上缺省的 VLAN ID，当缺省 VLAN ID 不在允许通过的VLANID列表里时，丢弃该报文

当 VLAN ID 在接口允许通过的VLAN ID列表里时，接收该报文。
当 VLAN ID 不在接口允许通过的 VLAN ID 列表里时，丢弃该报文

当VLAN ID 与缺省VLAN ID相同，且是该接口允许通过的 VLAN ID时，去掉标记，发送该报文

当VLAN ID与缺省VLAN ID 不同，且该接口允许通过的 VLAN ID 时，保持原有标记，发送该报文

Hbird 接口

打上缺省的 VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。

打上缺省的 VLAN ID，当缺省VLAN I不在允许通过的VLAN ID列表里时，丢弃该报文

当 VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文

当 VLAN ID 不在接口允许通过的 VLAN ID 列表里时，丢弃该报文

当VLAN ID 是该接口允许通过的VLAN ID时,发送该报文。可以通过命令设置发送时是否携带标记

七，VLAN 内跨越交换机通信原理

有时属于同一个 VLAN的用户主机被连接在不同的交换机上，当 VLAN跨越交换机时,要交换机间的接口能够同时识别和发送跨越交换机的 VLAN报文。这时，需要用到Trunk Link 技术。Trunk Link 技术有两个作用：
1，中继作用:把 VLAN报文透传 (即保留 VLAN标记)到互联的交换机

2，干线作用:一条Trunk Link 上可以传输多个 VLAN 的报文

总的来说：

(1) 对于主机来说，它不需要知道 VLAN 的存在。主机发出的是 untagged 报文

(2)交换机接收到 untagged 报文后，根据 VLAN 配置规则(如接口信息)判断出报文应该属于哪个 VLAN，并给该报文加上 VLAN 标记。

(3)如果 tagged (带有 VLAN 标记)报文需要通过另一台交换机转发，则该报文必须通过干道链路 (即 Trunk Link) 传输透传到对端交换机上。为了保证其他交换机能够正确处理报文中的 VLAN信息,在干道链路上传输的报文必须保留 VLAN标记。

(4)当交换机最终确定报文出接口后，将报文发送给主机前，需要将 VLAN标记从帧中删除，这样主机接收到的报文都是不带 VLAN 标记的以太网帧

所以，一般情况下，干道链路上传输的都是 tagged ，接入链路上传送到的都是 untagged 帧，这样处理的好处是: 网络中配置的 VLAN 信息可以被所有交换设备正确处理，而主机不需要了解VLAN 信息。

八，实例

如下图所示的网络拓扑中，交换机LSW-1和LSW-2基于接口创建VLAN。其中，Ethermet 0/0/2都被设置为 Access 类型接口，都属于 VLAN10; Ethernet 0/0/1 都设置成 Trunk 类型接口，都允许VLAN10和 VLAN20 的标记帧通过。

此时，当用户主机PC1发送数据给用户主机PC5 时(假设 PC1 已经知道 PC5的IP地址和 MAC地址)，数据的发送过程如下:

(1)PC1发出数据帧，该帧不加 VLAN标记，是普通帧。该数据首先到达 SW-1 的接口Ethernet 0/0/2.

(2)由于Ethernet 0/0/2是Access 类型接口，所以其给数据加上 VLAN标记，标记的 VID字段填入该接口所属的 VLAN 的编号 10。

(3)LSW-1 查询自己的 MAC 地址表，发现到达目的地需要将数据从接口 Ethernet 0/0/1发送出去。Ethernet 0/0/1接口是Trunk 类型接口，其默认的PVID值是1。经过分析，Ethernet 0/0/1接口发现将要发出的数据帧的 VID 值是 10，与自己的 PVID 值不相等，于是不去掉数据的 VLAN标记，直接发送出去，于是在LSW-1和LSW-2之间的Trunk 链路上出现了加 VLAN 标记的数据帧

(4)LSW-2的Ethernet 0/0/1接口收到加VLAN标记的数据，经过分析，它发现该数据帧的VID值是10，与自己的PVID值(默认是1)不相等，于是不去掉数据的VLAN标记。

(5)LSW-2查询自己的MAC地址表,发现目的地MAC地址对应的交换机接口是Ethernet 0/0/2.于是从Ethernet 0/0/2 接口将数据发送出去。

(6)由于LSW-2的Ethernet0/0/2 接口是Access 类型接口,因此将数据发出时,会去掉 VLAN标记，即将普通帧发送PC5。

(7)从PC5 返回PC1 的确认报文，其通信过程类似。