VLAN工作原理与VLAN路由

最新推荐文章于 2022-03-27 20:04:34 发布

darkqaz

最新推荐文章于 2022-03-27 20:04:34 发布

阅读量997

点赞数

分类专栏：学习记录文章标签：网络交换机网络通信

本文链接：https://blog.csdn.net/darkqaz/article/details/109737718

版权

学习记录专栏收录该内容

25 篇文章 9 订阅

订阅专栏

VLAN工作原理与VLAN路由

前言
一、VLAN技术

前言

随着网络中计算机的数量越来越多，传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。
VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

一、VLAN技术

VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域，也就是多个VLAN。VLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机共享同一个广播域，它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域，不能直接实现二层互通。这样，广播报文就被限制在各个相应的VLAN内，同时也提高了网络安全性。
本例中，原本属于同一广播域的主机被划分到了两个VLAN中，即，VLAN1和VLAN2。VLAN内部的主机可以直接在二层互相通信，VLAN1和VLAN2之间的主机无法直接实现二层通信。
在这里插入图片描述

规定：
1）同一个VLAN之间可以通信；
2）不同VLAN之间是不能直接通信；

[sw1]vlan 10   //创建VLAN 10
[sw1]vlan batch 10 20  //创建VLAN 10 和 20
[SW1]vlan batch 10 to 15    //连续创建vlan   创建vlan 10 11 12 13 14 15

链路类型：
1）Access：连接用户主机和交换机的链路称为接入链路；
2）Trunk：连接交换机与交换机的链路称为干道链路；
3）hybrid：既可以用于连接交换机与交换机的链路，也可以用于连接用户主机与交换机的链路；

PVID

在这里插入图片描述

PVID即Port VLAN ID，代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。
untag port与tag port
所谓的untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是untagged Port，在另一个VID上是tagged Port。
　　untag port和tag port是针对VID来说的，和PVID没有什么关系。比如有一个交换机的端口设置成untag port，但是从这个端口进入交换机的网络包如果没有vlan tag的话，就会被打上该端口的PVID，不要以为它是untag port就不会被打上vlan tag。

Access端口

在这里插入图片描述

Access端口是交换机上用于连接用户主机的端口，它只能连接接入链路，并且只允许一种VLAN ID通过本端口。
Access端口收发数据帧规则如下：
1）如果端口收到对端设备发送的帧是untag port（不带VLAN标签），交换机将强制加上端口PVID（vlan ID），如果端口收到对端设备发送的帧是tag port （带VLAN标签），交换机会检测标签是否与PVID相同，如果相同则接收该报文，如果不一样则会丢弃该报文。
2）Access端口发送数据帧时，总是先剥离帧的tag，然后在发送，Access端口发送对端设备的以太网帧永远都是不带标签的帧。
在本示例中，交换机的G0/0/1，G0/0/2，G0/0/3端口分别连接三台主机，都配置为Access端口。主机A把数据帧（未加标签）发送到交换机的G0/0/1端口，再由交换机发往其他目的地。收到数据帧之后，交换机根据端口的PVID给数据帧打上VLAN标签10，然后决定从G0/0/3端口转发数据帧。G0/0/3端口的PVID也是10，与VLAN标签中的VLAN ID相同，交换机移除标签，把数据帧发送到主机C。连接主机B的端口的PVID是2，与VLAN10不属于同一个VLAN，因此此端口不会接收到VLAN10的数据帧。

Trunk端口

在这里插入图片描述

Trunk端口是交换机上用于与其他的交换机连接的端口，Trunk端口允许多个VLAN的帧（带有tag）通过。
Trunk端口收发数据规则如下：
1）当接收到对端设备发送的不带标签（untag port）时，会添加该端口PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。当接收到对端设备发送带有标签（tag），会检查标签（tag）是否在允许通过的VLAN ID中，如果是则接收该报文，如果不是则丢弃该报文。
2）端口发送帧时，当VLAN ID与接口的PVID相同，且该端口标签在允许通过的VLAN ID时，去掉tag，并发送报文。当VLAN ID与接口的PVID不同时，且该端口在允许通过的VLAN ID时，保留tag，并发送报文。
在本示例中，SWA和SWB连接主机的端口为Access端口，PVID如图所示。SWA和SWB互连的端口为Trunk端口，PVID都为1，此Trunk链路允许所有VLAN的流量通过。当SWA转发VLAN1的数据帧时会剥离VLAN标签，然后发送到Trunk链路上。而在转发VLAN20的数据帧时，不剥离VLAN标签直接转发到Trunk链路上。

Hybrid端口

Access端口都是发往其他的端口，都是UNtagged数据帧，Trunk端口仅一种特定情况下去掉tag，发出untagged数据帧，其他情况都是发送带有tag标签的数据帧。
Hybrid端口是交换机上既可以连接其他交换机端口，也可以连接用户主机的端口，Hybrid端口既可以做接入链路，也可以做干道链路。Hybrid端口允许多个VLAN通过，并端口可以剥离部分VLAN的tag，华为设备默认端口类型是Hybrid。
在这里插入图片描述
Hybrid端口收发数据帧规则如下：
1）当接收到对端设备发送的不带标签的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID中，则接收数据帧，否则丢弃该报文；当接收的对端设备发送的带标签的数据帧时，会检查tag是否在允许通过的VLAN ID中，如果是则接收数据帧，否则丢弃数据帧。
2）Hybrid端口发送数据帧时，会检查tag是否在允许通过VLAN ID中，如果是则根据命令配置是否要携带tag发送。

port hybrid tagged vlan vlan-id    //在接口下配置，如果配置此命令，则不剥离tag，直接发送报文
port bybrid untagged vlan vlan-id  //在接口下配置，如果配置此命令，则会剥离tag，然后发送报文

本例介绍了主机A和主机B发送数据给服务器的情况。在SWA和SWB互连的端口上配置了port hybrid tagged vlan 2 3 100命令后，SWA和SWB之间的链路上传输的都是带Tag标签的数据帧。在SWB连接服务器的端口上配置了port hybrid untagged vlan 2 3，主机A和主机B发送的数据会被剥离VLAN标签后转发到服务器。

VLAN划分

VLAN的划分包括如下5种方法：
1）基于端口划分：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机的端口处于VLAN1中。此方法配置简单，但是当主机移动位置时，需要重新配置VLAN。
2）基于MAC地址划分：根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。
3）基于IP子网划分：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签。
4）基于协议划分：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。
5）基于策略划分：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都是需要手工配置的。

配置命令

在这里插入图片描述
VLAN创建

[SWA]  vlan batch 2 3 // 创建vlan ID 2 3

Access端口建立

[SWA] int g 0/0/0     //进入接口视图
[SWA-GigabitEthernet0/0/0]port link-type Access //选择链路类型
[SWA-GigabitEthernet0/0/0]port default vlan 2   // 允许通过的VLAN ID 2 ,只允许填一个VLAN ID
[SWA-GigabitEthernet0/0/0]quit  //退出当前视图

Trunk端口建立

[SWA] int g 0/0/1     //进入接口视图
[SWA-GigabitEthernet0/0/1]port link-type Trunk   //选择链路类型
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3  // 允许通过的VLAN ID 2 3，可以填多个，允许多个VLAN ID通过
[SWA-GigabitEthernet0/0/1]quit  //退出当前视图

Hybrid端口建立

[SWA] int g 0/0/1    //进入接口视图
[SWA-GigabitEthernet0/0/1]port link-type Hybrid //选择链路类型
[SWA-GigabitEthernet0/0/1]port Hybrid tagged vlan 2 3  // 允许通过的VLAN ID 2 3，发送时需要带标签
[SWA-GigabitEthernet0/0/1]port Hybrid untagged vlan 2 3  //允许通过的VLAN ID 2 3，发送时剥离标签
[SWA-GigabitEthernet0/0/1]quit  //退出当前视图

darkqaz

关注

0
点赞
踩
7

收藏

觉得还不错? 一键收藏
打赏
0
评论
VLAN工作原理与VLAN路由

文章目录前言一、VLAN技术PVIDAccess端口Trunk端口前言随着网络中计算机的数量越来越多，传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。 VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。一、VLAN技术 VLAN
复制链接

扫一扫