什么是Vlan?
vlan是连接到第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个vlan可以在交换机或者跨交换机实现。
为什么要划分Vlan?
c传统的共享介质以太网和交换式的以太网中,所有的用户都在同一个广播域。而我们知道同一个局域网中主机通信是基于ARP表。(可类比路由表,不同的是arp表上是目标IP与mac地址的映射。arp协议就是将mac地址映射成ip地址。)假设同一个局域网中主机A要和主机B通信。主机A的ARP表刚开始是空表,要与主机B通信就会线发送一个广播数据帧,数据帧的内容是:我是主机A,我的IP地址是xxx.xxx.xxx.xxx;我的mac地址是xx-xx-xx-xx-xx-xx;我要和ip是xxx.xxx.xxx.xxx的主机通信。(主机B)处于同一个局域网中的所有主机都会收到这条数据帧,发现ip地址不是自己的,则不予理会,主机B发现是自己则回复一个数据帧给主机A,内容包含了主机B的ip地址和mac地址。
这就产生了一个问题:当处于同一局域网中的主机数量过多,广播的数据帧的数量就会变多,会大大消耗网络带宽产生广播风暴。这个时候就可以通过划分vlan来隔离广播域。
vlan作用:
隔离广播域:交换机的不同端口处于一个vlan,只有属于同一个vlan中的主机才能接收到来自同一个vlan的主机所发送的广播数据帧。不同vlan之间的数据传输是通过第三层也就是网络层的路由实现的,网络管理员可以通过控制交换机的每一个端口来控制网络用户对网络资源的访问。
提高网络安全性:同一个网段里的主机中病毒那这个网段里面的主机都会中病毒,vlan隔离广播域,一个电脑中病毒那么只有在同一个vlan里面的其他主机会中病毒。这样就大大降低了其他主机也中病毒的风险。
vlan划分基本原理:
交换机通过vlan Tag识别不同的vlan报文。Tag标签在数据帧的目的MAC地址之后添加。
划分方式:一般是基于端口划分。(其余比较复杂。)
二层交换机接口类型:access接口(连接用户主机,服务器等终端设备。一个access口只能允许有一个vlan流量通过),trunk接口(连接其他交换机,可以允许多个vlan流量通过),hybrid接口(连接主机和其他交换设备,可以允许多个vlan流量通过)(与trunk接口类似,但是hybird用户可以指定发送的某个vlan的数据帧是否携带Tag。)
具体说明:
当Trunk端口收到数据帧时,如果该帧不包含tag,将添加上端口的PVID;如果该帧包含Tag,则不改变。
当Trunk端口发送帧时,该帧的VLAN ID在Trunk的允许发送列表中:若该帧的VLAN ID与PVID相同,则要移除Tag发送;若端口的PVID不同时,则直接发送。
主机A和主机C属于vlan10,主机B和主机D属于vlan20。
主机A要和主机C通信:首先主机A发送一个数据帧,该帧到达交换机1(左边)的PVID为10的接口时会被打上VLAN ID为10的Tag标签;当数据帧到达出接口的时候,由于该帧的VLAN ID和PVID相同都是10,所以该帧在该出接口的时候会移除VLAN Tag,当该帧到达交换机2(右边)的PVID为10的入接口时候,交换机发现该帧没有Tag标签,就会为其打上默认的PVID10标签(PVID默认一般是1,可以自己设置。)然后从PVID为10的出接口出去的时候,该接口又会把该帧的Tag标签移除。
主机B和主机D通信:主机B发送的数据到达交换机1的PVID为20的入接口时,该接口为该帧打上VLAN ID为10的Tag,但该帧到达PVID为10的时候该接口发现该帧的Tag和自己接口的PVID不一致(数据帧为20,该接口为10)则不做任何处理,直接发送该帧;当该帧到达交换机2的PVID为10的入接口时,发现该帧带有Tag则不做任何改变,将该帧发到对于出接口PVID为20的接口,该帧到达该接口后也要脱去Tag之后才能发送给主机。
注意:
为什么两个交换机之间的PVID为10的链路能够传送vlan20的流量而主机和交换机之间只能传输对应vlan的流量?
因为这两个交换机之间连接的接口是trunk口。前面已经说了,trunk口允许多个vlan流量通过。而主机与交换机之间连接的接口是access口,这种口只能允许一个vlan流量通过。
为什么数据帧在交换机的出接口时候需要移除Tag标签?
原始的以太网数据帧中是没有Tag标签的。如果不去掉Tag标签的话主机就不认识这是一个数据帧,因为不认识就会当作错误包处理,直接丢弃该数据帧。
今天就先讲到这里。后面会写关于如何在华为eNSP上配置vlan...
2095
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
