什么是VLAN?
VLAN, Virtual LAN,虚拟局域网,是一个逻辑概念。在TCP/IP 5层模型中,VLAN属于数据链路层的概念。
2. 为什么要划分VLAN?
-
vlan可以划分广播域,降低单个局域网内部的广播包的数量,从而减小网络中不必要的流量,特别是早期的局域网,带宽只有10Mbit/s,而且还是半双工的。
-
通过划分vlan,可以提高网络安全性。
-
-
该企业在2020年以前网络中没有划分VLAN,700台PC和700台手机在同一个广播域中。该网络也运行了很多年,比较稳定。
某一天服务器上的360安全卫士提示PC攻击服务器试图破解服务器密码,在Nod eset杀毒软件服务器的图形化界面上看到多台PC攻击其它PC和服务器,
另外,企业内部有人恶意攻击业务服务器、攻击网络。因此需要划分VLAN,通过VLAN划分,将整个企业按部门划分到不同的虚拟局域网。将单一局域网内的主机数减少,也就是,原来700台PC,700台手机全部在一个(物理)LAN中。假设,现在有10个部门,每个部门都是70人,人手一台PC,一台手机。那么,划分VLAN后,一个(虚拟)局域网中就只有70台PC和70台手机。哪个局域网有问题,网管就“中断”哪个局域网。实际工作中,由于各种原因,不一定能“中断”,但要口头说出来,以震慑宵小。通过划分VLAN及添加其它安全措施提升网络安全性,
-
3.没有VLAN划分
- 4.
-
4. 有VLAN划分
-
5. 在2.2中 VLAN已经配置完了,不用修改,配置脚本如下
.6. 汇聚交换机上联口配置
enable
configure terminal
no logging on
no ip domain-lookup
interface fastEthernet 0/24
switch trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 20,30
no shutdown
interface fastEthernet 0/23
switchport mode access
switchport access vlan 50
no shutdown
exit
7. 路由器配置
enable
configure terminal
no logging on
no ip domain-lookup
hostname RouterCisco2911
interface gigabitEthernet 0/1
description ToHjuCisco3560Fa0/24
no shutdown
interface gigitEthernet 0/1.1
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
interface gigaEthernet 0/1.2
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
exit
最终版拓扑图
8.三层交换机实现VLAN间路由-拓扑
9.三层交换机实现VLAN间路由-配置脚本
IEEE 802.1Q标准对传统Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag,形成了VLAN的帧格式。具体如图1所示。
802.1Q Tag包含4个字段,其含义如下:
-
TPID:Tag Protocol Identifier,用来判断本VLAN帧是否带有802.1Q Tag,长度为16比特,缺省取值为0x8100。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q协议的设备收到这样的帧,会将其丢弃。
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时, 本设备为了能够识别这样的帧,实现与各厂家互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值相同。
-
PRI:Priority,表示帧的优先级,长度为3比特,取值范围为0~7,值越大优先级越高。用于当设备阻塞时,优先发送优先级高的数据帧。
-
CFI:Canonical Format Indicator,表示MAC地址是否是标准格式,长度为1比特,取值范围为0或1,缺省取值为0。取值为0表示MAC地址以标准格式封装,取值为1表示MAC地址以非标准格式封装。
-
VID:VLAN ID,表示该帧所属的VLAN,长度为12比特,取值范围为0~4095。由于0和4095为协议保留取值,所以VLAN ID的有效取值范围为1~4094。
10.分类
每台支持802.1Q协议的设备利用VLAN ID来识别报文所属的VLAN,并根据报文是否携带VLAN Tag以及携带的VLAN Tag值,来对报文进行处理。因此,数据帧根据是否携带VLAN Tag,分为以下两种形式:
-
有标记帧(Tagged帧),加入了4字节802.1Q Tag的帧。
-
无标记帧(Untagged帧),原始的、未加入4字节802.1Q Tag的帧。
各类设备对Tagged帧、Untagged帧的支持情况不尽相同,通常来说:
-
用户主机、服务器、Hub、傻瓜交换机只能收发Untagged帧。
-
交换机、路由器、防火墙和WLAN AC既能收发Tagged帧,也能收发Untagged帧。
-
语音终端可以收发一个VLAN的Tagged帧或Untagged帧。