本文详细介绍了VLAN的基本概念、划分原因、数据在三层设备中的转发原理,以及在企业网络中的实际配置案例,包括路由器和三层交换机实现VLAN间路由的方法,以及VLAN和IEEE802.1Q的关系。着重强调了VLAN在控制广播、提升网络安全性等方面的作用。
目录
前言:
VLAN和Trunk是企业局域网最基本和最核心的网络技术,在部署和实施局域网时应用广泛。VLAN技术可以很容易地控制广播域的大小。有了VLAN,交换机之间的级联链路就需要Trunk技术来保证该链路可以同时传输多个VLAN的数据。管理员可以手动配置交换机之间链路上的Trunk也可以让交换机自动协商。一个VLAN就是一个广播域或者单独的子网,因此要通过路由功能实现不同VLAN间主机的通信。
1.VLAN
1.1 什么是VLAN?
VLAN, Virtual LAN,虚拟局域网,是一个逻辑概念。在TCP/IP 5层模型中,VLAN属于数据链路层的概念。
1.2 为什么要划分VLAN?
vlan可以划分广播域,降低单个局域网内部的广播包的数量,从而减小网络中不必要的流量,特别是早期的局域网,带宽只有10Mbit/s,而且还是半双工的。
通过划分vlan,可以提高网络安全性。
该企业在2020年以前网络中没有划分VLAN,700台PC和700台手机在同一个广播域中。该网络也运行了很多年,比较稳定。
某一天服务器上的360安全卫士提示PC攻击服务器试图破解服务器密码,在Nod eset杀毒软件服务器的图形化界面上看到多台PC攻击其它PC和服务器。
另外,企业内部有人恶意攻击业务服务器、攻击网络。因此需要划分VLAN,通过VLAN划分,将整个企业按部门划分到不同的虚拟局域网。将单一局域网内的主机数减少,也就是,原来700台PC,700台手机全部在一个(物理)LAN中。假设,现在有10个部门,每个部门都是70人,人手一台PC,一台手机。那么,划分VLAN后,一个(虚拟)局域网中就只有70台PC和70台手机。哪个局域网有问题,网管就“中断”哪个局域网。实际工作中,由于各种原因,不一定能“中断”,但要口头说出来,以震慑宵小。通过划分VLAN及添加其它安全措施提升网络安全性.
1.3 没有VLAN划分
1.4 有VLAN划分
2.数据在三层交换机或路由器中的转发原理
在二层交换机中转发的是数据帧(frame)。
采用三层功能进行数据转发的的三层交换机和路由器中转发的是数据包(packet)。
交换机的转发(二层转发)速率要比路由器(三层转发)快。交换机是通过硬件(MAC地址表)进行转发,而路由器器三层转发需要计算路由表,这更消耗资源。
国际互联网=A国国家内网(国家局域网)+B国国家内网(国家局域网)+.......+n国国家内网(国家局域网)构成。
对于国际互联网来说,任意一个国家的内网,都可以称作局域网。
国家内网=A省省域网+B省省域网+......+n省省域网
对于国家互联网来说,某省的省域网可以说就是一个大的局域网(LAN)。
广西省省域网=南宁城域网+柳州城域网+......+XX城域网。
这样一级级往下,无数个局域网构成了国际互联网(Internet)。
由于每一个设备都有一个MAC地址,MAC地址是全球唯一的,MAC地址是48位的二进制构成,MAC地址由70万亿个,因此在网互联网上不能直接的仅仅通过MAC地址寻目标主机,得用其它方式代替。MAC地址只适合与小型局域网中。大型网络就需要用到IP地址。
在设计Internet的时候,就考虑到大范围内的设备的互联问题,因此设计了IP地址,IP地址的一个特性是,它可以做路由汇聚,这样路由器中的路由条目就可以得到控制,举个例子,一些BGP路由器中其路由条目可以支持几十万条到数百万条。数百万条路由条目还是要比70万亿个MAC地址形成的MAC地址表要少。
3.VLAN配置项目举例
3.1VLAN配置举例
3.1.1企业A(甲方)情况及要求:
思科公司是全球排名前列的网络设备制造商,设备安全可靠,要求使用全套cisco设备进行组网,总预算XXX元。A企业现有3个部门,分别是综合管理部(15人)、市场部(18人)、技术部(18人),公司每个人一台PC。
3.2 网络管理员或乙方进行网络规划(提供方案):
3.2.1.出口/核心层
采购一台Cisco 2911路由器作为出口,并提供NAT转换,该路由器有两个千兆上联口,再采购HWIC-4ESW扩展卡作为下联各部门交换机,HWIC-4ESW扩展卡有4个Fast Ethernet Port(百兆口)。Cisco 2911单价1.5万元人民币。HWIC-4ESW扩展卡0.5万元人民币。
3.2.2. 汇聚层
使用一台cisco 3560 24口交换机作为汇聚层,单价0.8万元。
3.2.3. 接入层
采用3台cisco 3560 24口交换机,综合管理部、市场部、技术部各一台,总价2.4万元。
交换机、路由器、服务器设备网关:192.168.10.1/24, vlan 10
综合管理部网关:192.168.20.1/24,vlan 20
市场部网关:192.168.30.1/24, vlan 30
技术部网关:192.168.50.1/24, vlan 50
3.2.4设备安装位置
3.2.5. 各设备间端口连接情况
4.项目实施-路由器实现VLAN间路由
4.1汇聚交换机上联口配置
enable
configure terminal
no logging on
no ip domain-lookup
interface fastEthernet 0/24
switch trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 20,30
no shutdown
interface fastEthernet 0/23
switchport mode access
switchport access vlan 50
no shutdown
exit
4.2路由器配置
enable
configure terminal
no logging on
no ip domain-lookup
hostname RouterCisco2911
interface gigabitEthernet 0/1
description ToHuijuCisco3560Fa0/24
no shutdown
interface gigabitEthernet 0/1.1
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
interface gigabitEthernet 0/1.2
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
exit
interface gigabitEthernet 0/2
description ToHuijuCisco3560Fa0/23
no shutdown
ip address 192.168.50.1 255.255.255.0
exit
end
write
copy running-config startup-config
5.项目实施-三层交换机实现VLAN间路由
5.1三层交换机实现VLAN间路由-配置文档解释
enable //从用户模式(>)进入到特权模式(#)
configure terminal //从特权模式(#)进入到全局配置模式
no logging on
no ip domain-lookup //禁止DNS解析
hostname 4LouZhongXinJiFangSW //给这台设备起名字
vlan 20 //进入VLAN配置模式,同时创建VLAN 20
name ZongHeGuanliBu //给VLAN20起名字,综合管理部
vlan 30 //进入VLAN配置模式,同时创建VLAN 30
name ShiChangBu //给VLAN30起名字,市场部
vlan 50 //进入VLAN配置模式,同时创建VLAN 50
name JiShuBu //给VLAN50起名字,技术部
exit //退出VLAN配置模式
interface vlan 20 //创建虚拟接口/端口,接口/端口名称是vlan 20
ip address 192.168.20.1 255.255.255.0 //给虚拟接口VLAN20配置IP地址
description ZongHeGuanliBu //描述虚拟接口VLAN20的用途
no shutdown //开启该虚拟接口
exit //退出虚拟接口配置模式
interface vlan 30
ip address 192.168.30.1 255.255.255.0
description ShiChangBu
no shutdown
exit
interface vlan 50
ip address 192.168.50.1 255.255.255.0
description JishuBu
no shutdown
exit
interface fastEthernet 0/1 //进入端口配置模式,具体配置的端口是fa0/1口。fastethernet快速以太网,百兆,工作在二层,数据链路层。
description ToZGBSwitchFa0/24 //给实体端口fa0/1起个名字
switchport mode access //端口模式接入口(还有一种是trunk中继口,trunk口允许多个vlan通过,access口和trunk口对应,access只允许某一个vlan通过。)
switchport access vlan 20 //通过该口的数据属于VLAN20,该access口允许vlan 20通过
no shutdown //开启该端口
exit //退出端口配置模式
interface fastEthernet 0/2
description ToSCBSwitchFa0/24
switchport mode access
switchport access vlan 30
no shutdown
exit
interface fastEthernet 0/3
description ToJSBSwitchFa0/24
switchport mode access
switchport access vlan 50
no shutdown
exit
exit
write
copy running-config startup-config
6.vlan中继(Trunk)&VLAN间路由
6.1拓扑
6.2交换机配置文档解释
enable //从“>”进入全局模式“#”
configure terminal //从“#”模式进入全局配置模式“(config)#"
no logging on
no ip domain-lookup //当输入错误时,不需要通过DNS查询,如果没有这条命令,要等很久。
hostname ZhongXinJiFangHuiJu //给这台交换机起名字,默认的名字是switch
vlan 20 //进入vlan配置模式,设立vlan 20
name ZongHeGuanliBu //给vlan 20起名字,用拼音表示
vlan 30
name FaWuBu
vlan 50
name CaiWuBu
vlan 60
name ShiChangBu
exit //退出vlan 配置模式
interface vlan 20 //进入vlan20的接口配置模式。因为vlan是一个虚拟的概念,所以这个接口也是虚拟的
ip address 192.168.20.1 255.255.255.0 //给这个vlan20虚拟接口配置IP地址
description ZongHeGuanliBu //给这个vlan 20的虚拟接口起一个名字
no shutdown //思科设备,默认情况下,端口都是出于关闭模式,而shutdown是关闭,no shutdown的含义就是不要关闭,也就是开启这个虚拟端口的意思。
exit //退出vlan20的虚拟接口
interface vlan 30
ip address 192.168.30.1 255.255.255.0 //这个IP是这个虚拟端口的IP地址,这个虚拟IP地址存在于交换机中。
description FaWuBu
no shutdown
exit
interface vlan 50
ip address 192.168.50.1 255.255.255.0
description CaiWuBu
no shutdown
exit
interface vlan 60
ip address 192.168.60.1 255.255.255.0
description ShiChangBu
no shutdown
exit
interface fastEthernet 0/1 //进入快速以太网0槽1口
description To3LouSWFa0/24 //给这个口起个名字
switchport trunk encapsulation dot1q //把这个口封装成支持802.1Q的trunk口,trunk口允许多个vlan通过。
switchport mode trunk //端口模式trunk
switchport trunk allow vlan 20,30,50 //该trunk口允许vlan 20 30 50通过
no shutdown
exit
interface fastEthernet 0/2
description ToSCBSwitchFa0/24
switchport mode access //该端口采用access模式,该模式只允许一个vlan通过
switchport access vlan 60 //该端口默认通过的vlan是vlan 60
no shutdown
exit
ip routing //开启IP路由功能。
exit //退出到“#”模式
write //在“#”模式下,保存到内存中
copy running-config startup-config //将内存中的配置保存到硬盘中,确保重启后,配置不丢失。如果不输入该命令,重启后,刚才配置的所有内容全部丢失。
7.VLAN和IEEE Std 802.1Q
VLAN(Virtual Bridged Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术,截至2023.10最新的版本是IEEE 802.1Q-2022。
7.1目的
早期的以太网是为简单、小型网络而设计的局域网技术,是基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection),并采用共享介质的总线技术。随着时间的推移,局域网承载的数据类型越来越多,包括图形、语音和视频,面临的问题也更加突出。
产生冲突:网络中多台主机同时发送数据,造成冲突。主机越多,冲突越严重。
产生广播:网络中任意一台主机发送的数据都会被发送到其他所有主机,造成广播。主机越多,广播越泛滥。
加剧数据安全的隐患:网络中所有主机共享一台传输通道,无法有效控制数据安全。数据越复杂,数据安全的隐患越大。
虽然采用二层设备的组网架构,通过快速二层交换将数据控制在局域网范围内传输,能有效解决冲突的问题,但是广播和安全的问题依然存在。
为了减少广播,可以通过设置不同网段来实现主机之间的隔离,但是成本较高。在这种情况下,出现了VLAN(Virtual Local Area Network)技术。
VLAN技术可以把一个物理局域网划分成多个逻辑局域网,即多个VLAN。每个VLAN是一个广播域,使得VLAN内的主机可以互通,而VLAN间不能直接互通。这样,广播报文被限制在一个VLAN内,同时提高了网络安全性。
7.2 受益
使用VLAN能给用户带来以下受益。
限制广播域:广播域被限制在一个VLAN内,既节省带宽,又提高网络处理能力。
增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信。
提高局域网的健壮性:局域网内的故障是隔离的,被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN内用户的正常工作。
灵活构建虚拟工作组:VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理位置,网络构建和维护更方便灵活。
8.VLAN Tag(标签)
8.1定义
当一个局域网被划分为多个VLAN时,每个VLAN都用一个唯一的VLAN标签来标识。VLAN标签也称为VLAN Tag或802.1Q Tag。
8.2格式
IEEE 802.1Q标准对传统Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag,形成了VLAN的帧格式。具体如图1所示。
802.1Q Tag包含4个字段,其含义如下:
TPID:Tag Protocol Identifier,用来判断本VLAN帧是否带有802.1Q Tag,长度为16比特,缺省取值为0x8100。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q协议的设备收到这样的帧,会将其丢弃。
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时, 本设备为了能够识别这样的帧,实现与各厂家互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值相同。
PRI:Priority,表示帧的优先级,长度为3比特,取值范围为0~7,值越大优先级越高。用于当设备阻塞时,优先发送优先级高的数据帧。
CFI:Canonical Format Indicator,表示MAC地址是否是标准格式,长度为1比特,取值范围为0或1,缺省取值为0。取值为0表示MAC地址以标准格式封装,取值为1表示MAC地址以非标准格式封装。
VID:VLAN ID,表示该帧所属的VLAN,长度为12比特,取值范围为0~4095。由于0和4095为协议保留取值,所以VLAN ID的有效取值范围为1~4094。
8.3分类
每台支持802.1Q协议的设备利用VLAN ID来识别报文所属的VLAN,并根据报文是否携带VLAN Tag以及携带的VLAN Tag值,来对报文进行处理。因此,数据帧根据是否携带VLAN Tag,分为以下两种形式:
- 有标记帧(Tagged帧),加入了4字节802.1Q Tag的帧。
- 无标记帧(Untagged帧),原始的、未加入4字节802.1Q Tag的帧。
- 各类设备对Tagged帧、Untagged帧的支持情况不尽相同,通常来说:用户主机、服务器、Hub、傻瓜交换机只能收发Untagged帧。
- 交换机、路由器、防火墙和WLAN AC既能收发Tagged帧,也能收发Untagged帧。
- 语音终端可以收发一个VLAN的Tagged帧或Untagged帧。
总结:
本章主要学习了VLAN 间路由,介绍了VLAN的概念、配置与实现,还介绍了单臂路由实现VLAN间路由。
2255
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
