VLAN的基本概念
在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。广播域越大,产生的网络安全问题、垃圾流量问题,就越严重。
虚拟局域网VLAN可以隔离广播域。同VLAN才可通信
特点:不受地域限制。同一VLAN内的设备才能直接进行二层通信。
(三层设备都可隔离广播域的原因:每个接口都对应不同网段)
VLAN标签 (VLAN Tag)
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。
IEEE 802.1Q协议/Dot1Q规定,在以太网数据帧中加入4个字节的VLAN标签,简称Tag。
VLAN数据帧
编号范围:由于VLAN ID占12比特,因此共有2^12=4096(0、4095不可用)-2=4094个 1-4094
终端设备(PC等)只能发送和接收不带标签的数据帧(原始以太网数据帧)
VLAN的划分方式
基于接口的VLAN划分
原理
根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID,将该接口划入PVID对应的VLAN。当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag,然后数据帧将在指定PVID中传输。
缺省VLAN,PVID
Port VLAN ID,是接口上的缺省(默认)VLAN。取值:1~4094。
华为交换机所有接口默认属于VLAN1。
接口类型
Access接口:交换机上一般用于连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。
当交换机收到一个不带标签的数据帧,打上接口PVID
当交换机收到一个带标签的数据帧,判断所携带标签是否和接口PVID相同,相同则接受并剥离标签发送,否则丢弃。
Trunk接口(干道链路):(不配置则默认vlan1)常用于交换机之间的互联,也用于连接路由器、防火墙等设备的子接口。Trunk接口允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。
当交换机收到一个不带标签的数据帧,打上接口PVID,查询接口PVID是否在允许通过列表中,如果在则接收,不在则丢弃
当交换机收到一个带标签的数据帧,查询数据帧所携带标签是否在允许通过列表中,如果在则接收并查看是否和接口PVID相同,相同则接受并剥离标签发送,不相同带标签发送,如果不在允许通过列表中则丢弃。
Hybrid接口(华为私有接口类型):Hybrid接口与Trunk接口类似,也允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag。
当交换机收到一个不带标签的数据帧,打上接口PVID,查询接口PVID是否在允许通过列表中(带标签发送的允许列表和不带标签发送的允许列表),如果在则接收,不在则丢弃。
当交换机收到一个带标签的数据帧,查询数据帧所携带的标签是否在允许列表中,如果在带标签发送的允许列表中则带标签发送,如果在不带标签发送的允许列表中则剥离标签发送,如果数据帧所携带的标签不在允许列表中,则丢弃。
是否剥离标签取决于允许通过列表类型
华为交换机所有接口默认属于Hybrid接口
VLAN的应用
VLAN分配原则
按业务规划:可分为语音、视频和数据。
按部门规划:可分为工程部、市场部、财经部等。
按应用规划:可分为服务器、办公、教室等。
VLAN分配技巧
VLAN ID的分配在有效范围内,可以随意分配和选取,但是为了提高VLAN ID的连续性,可以采用VLAN ID和子网关联的方式进行分配。
VLAN规划示例
假设某园区有三栋楼,分别为行政楼、教学楼、办公楼;每栋楼各有1台接入交换机,核心交换机在行政楼;行政楼内有办公室、财务部和教室;办公楼内有办公室和财务部;教学楼内有办公室和教室。
VLAN规划如下:
基于接口的VLAN划分
应用场景:某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问Internet。
VLAN划分:为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的网络,每个VLAN就是一个“虚拟工作组”。
基于MAC的VLAN划分
应用场景:某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的主机才可以访问特定网络资源。
VLAN划分:为了保证非本部门员工不能访问网络资源,可在SW1上配置基于MAC地址划分VLAN。这样,新的主机接入网络,就无法访问公司的网络资源。
VLAN的配置示例
验证配置:display vlan
创建VLAN并进入VLAN视图,如果VLAN已存在,直接进入该VLAN的视图
[Huawei] vlan vlan-id vlan-id是整数形式,取值范围是1~4094。
指定批量创建的VLAN ID
[Huawei] vlan batch { vlan-id1 [ to vlan-id2 ] } vlan-id1:表示第一个VLAN的编号。vlan-id2:表示最后一个VLAN的编号
vlan batch 10 to 20 创建了11个,10 11... =vlan batch 10 11 12...Access接口的基础配置命令
配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type access
配置Access接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id Trunk接口的基础配置命令
配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type trunk
配置Trunk接口加入指定VLAN 设置允许通过列表 all:2-4094 1默认放行
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } | all }
(可选) 配置Trunk接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port trunk pvid vlan vlan-idHybrid接口的基础配置命令
配置接口类型(华为默认)
[Huawei-GigabitEthernet0/0/1] port link-type hybrid
配置Hybrid接口加入指定VLAN,这些VLAN的帧以Untagged/tagged方式通过接口。
[Huawei-GigabitEthernet0/0/1] port hybrid untagged/tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
(可选) 配置Hybrid接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id
858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
