网络基础之VLAN理论基础


网络基础之VLAN理论基础

一、VLAN的引入

1.园区网

园区网通是指大学的校园网及企业的内部网(intranet) 。主要特征是路由结构完全由一个机构来管理。园区网主要由计算机、路由器、三层交换机组成。
在这里插入图片描述园区网也可以简单地理解为在学校的网络,当我们自己的电脑接入校园网以后,我们的电脑就相当于园区网的终端设备;而当我们在学校考完试之后,我们会登录到学校的网址之后进行查分,我们的信息就会保存在数据中心中;我们在家里的时候,我们因为可以登陆到学校的校园网系统中,这些也可以归为移动办公之中;有的学校不仅仅只开在一个地方,也有可能分布在其他地方,也就是上图的分支机构。而这些都是比较直观的。而这里看不到的也就是不直观的东西,像是网络架构以及网络中的各种各样的技术就是我们所需要学习的东西。

2.园区网的种类

园区分类小型园区中型园区大型园区
终端用户数量<200200-100>1000

企业OA网:政府、金融、交通、能源、、、、、、
企业生产网:电力、石油、制造行业、、、、、、
校园网:学校园网
科技园区网:高新科技园、软件园、、、、、、
在这些方面,园区网均有涉及。

3.园区网的组成架构及特点

模块化

在这里插入图片描述
一段网络会分为安全,数通以及IT这三个部分,有这三个部分承载不同的功能。
首先,最基础的部分是数通。数通是实现数据的通信,例如将一段信息从A主机发送到B主机,或者是从A服务器下载到B主机进行数据的传递。数通中占的比重较大的就是路由交换,也有现在常用的无线。无线也是需要路由交换作为基础,如果没有路由交换技术,无线是无法搭载的。在我们的园区网内部进行通信时,我们就不需要数通的出口部分,我们只有在获取园区网内部以外的信息时,我们才用到出口部分,在出口部分我们会使用到网络地址转换以及出口访问结点的一些控制措施。
IT部分也就是数据中心,会涉及到系统安全,网络系统,Linux系统,windows系统等,用这些系统来搭载一些服务器,在这个服务器上给用户提供各种各样的服务,web服务,数据库等等。

层次化

在这里插入图片描述
基于园区网的组网方式决定。内含有模块化的部分,用黄色框起来的部分就是路由交换部分;下面连接着主机,如果主机由无线连接,则还含有无线部分;而用橙色框起来的部分就是出口部分;图片中的对内的服务器,对外的服务器也就是模块化的IT部分;管理区则是对网络的管理以及控制;在接入层的交换机连接的是主机,是终端,是接入层交换机也可以叫做接入型交换机,面向对象主要是用户终端;当用户上网时,流量会经过接入型交换机到达汇聚层的交换机,也就是说接入层的交换机的流量都会汇聚到汇聚层的交换机,也就是汇聚交换机上;流量到达汇聚交换机上后还会继续向上层转发,向上到达核心层的交换机上,核心层的交换机相当于网络中的中心结点,因为流量再向上转发就到达了蓝色框标记的安全模块,向右转发到达数据中心部分,向左转发就到了管理区部分,所以我们整个园区网络要进行通信的话,必须经过核心层的交换机。

高可靠性

继续上图,接入层交换机与上层的汇聚层交换机均有两根线相连,汇聚层交换机与汇聚层交换机也是两根线相连,汇聚层交换机到核心层交换机也是如此,这样就保证了链路的冗余性。保证在数据传输时,链路松动,断裂,不能使用时,我们就可以使用备份链路。而且不光有备份链路,在整个网络中,我们的设备也不会是单一的,所以也有设备的冗余性,当某一设备出现问题时,我们也可以使用备用的设备。这样的话,就保证了园区网的高可靠性。

2.交换机的工作原理

交换机在接受到数据帧时,解封装数据链路层,首先会检查源MAC地址,学习源MAC地址,将其信息和对应接口的对应关系添加到CAM表中,交换机学习源MAC地址的目的就是为了丰富CAM表,其次检查目的MAC地址,最后检查自身的CAM表,将数据帧转发出去,如果CAM表里没有相对应的目的MAC地址信息,就会发生泛洪,也就是复制数据帧,向除了自身接口之外的所有接口转发数据帧。用一句话总结就是学习源MAC地址,根据目的MAC地址转发。
顺便提一下,在网络设备出现之前,还有一个设备叫做集线器(HUB),在集线器的里面只有一根链路,同时扩展了多个接口,而集线器的接口与接口之间都是工作在一个冲突域之中,也就是说,如果两个人在一个集线器中同时进行上网的话,双方的流量就会发生碰撞,就需要使用CSMA/CD(载波监听多路访问/碰撞检测)技术来实现。交换机则不然,交换机都是独立的链路,在交换机上每一个接口就是一个冲突域,接口与接口之间互不干扰,所以说,交换机能够隔离冲突域,但是交换机的所有接口默认都在一个广播域下。广播域通俗的来说就是,在一个教室中,每个学生和每个学生之间都能相互说话,在你说话的同时,你也能听到其他人说话的声音,但是这也不会影响到你和他人的对话,并不是说整个教室某一个人说话的时候,其他人就不能说话了。交换机的接口就是像是班级的每一个成员一样,它也在同一个广播域下,它也能够收发大量的广播报文,广播报文就是发送给每一个成员的数据信息。交换机也是基于广播来进行工作的。

3.为什么需要VLAN?

第一点,交换网络是平面网络结构,必须依赖广播

第二点,广播域过大会导致:

在这里插入图片描述

带宽浪费

如果PC A,PC B,PC C都发送与PC D无关的广播包的话,那么在PC D与交换机的接口上就会充斥大量的广播报文,而这些广播报文对PC D没有用处,就白白的占用了PC D的带宽,实际的可用带宽会大大降低。

安全性降低

如果PC A是具有攻击性的黑客主机,当PC A接到交换机上后发送目的MAC地址为全F的数据帧,即广播数据帧,在数据帧中的数据部分添加病毒,所以在这个交换机接口上的所有设备都会接受到这个数据帧,并处理,这个时候收到带有病毒数据帧的设备就会被病毒所影响。

不易管理

如果PC A、PC B、PC C相当于一个公司的不同部门,我们在不划分广播域的情况下,这几个部门都处于同一个广播域下。将A看作财务部,为了保证安全性,是不希望财务部可以联网;B看作是员工,员工在上班期间也不被允许玩游戏,C看作是公司的老板,监管部门的动向。也就是说我相对不同的部门有不同的管理策略,处于同一个广播域下,也就是同一个网段中,没有办法来区别对待,导致了管理上的问题。
当我们减小广播域之后,比如将PC A和PC B划分到一个广播域下,PC C 和PC D划分到一个广播域下,PC A发送的广播包,PC C和 PC D是接受不到的,也就降低了了带宽浪费的问题。带有病毒的广播包也发送不到PC 和PC D上去了,提高了安全性。将PC A、PC B、PC C和PC D分别划分到不同的广播域下,我们就可以分别对这些部门进行管理,解决了不易管理的问题

分割广播域的方法

第一点,使用路由器连接多个子网

路由器是天生隔绝广播域的设备,因为路由器的每个接口都处于不同的网段,每个网段就是一个广播域。一般一台路由器有两个接口,再想多一点儿的接口,可以添加板卡。
所以当我们将PC A放在一个交换机下,PC C和PC D放在一个交换机下,这两台交换机分别连在路由器的不同接口上,此时PC A和PC C,PC D就分属不同的网段,也就隔离了广播域了。
但是同样会出现一些问题,因为路由器的接口不像交换机那么多,如果广播域太多,由于路由器接口的限制,并不能隔离多个广播域,所以只用路由器来隔绝广播域不太现实。

第二点,使用虚拟局域网VLAN

二、虚拟局域网(Virtual Local Area Network,VLAN)

1.VLAN的概念

位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信,而实际上它们分布在不同的局域网段中
在这里插入图片描述

也就是说,在交换机上划分多个VLAN,再把设备归属于不同的VLAN下。在这里把前两个设备划分到VLAN 10下,后两个设备划分到VLAN 20下,VLAN10发送的广播帧只能被VLAN10中的用户收到,而不能被VLAN20下的用户收到,这样,VLAN10和VLAN20的用户之间就分布在不同的广播域,从而达到了减小广播域的效果。
在这里插入图片描述

默认情况下,只有一个VLAN1,并且所有接口都在VLAN1下。
在这里插入图片描述
在这里插入图片描述

这是将交换机接口1和接口2划分到VLAN10,接口3和接口4划分到VLAN20后的CAM表信息和VLAN 数据库信息。首先需要在交换机里划分VLAN,将某些特定的接口加入到该VLAN下,然后交换机在转发的时候要查询CAM表,VLAN将CAM表进行了分割。

2.VLAN的特点

基于逻辑的分组

就像我们之前所说的,按照一个公司的不同部门来分组;根据宿舍楼的一栋楼,一层楼,一间宿舍来分组,划分VLAN。

不受物理位置的限制

比如说一个教师原来是在一楼的办公室用交换机的属于VLAN10接口1进行上网,被调到五楼后,可以把五楼的交换机的接口五配置成VLAN10,这样,可以继续上网。

在同一VLAN内和真实局域网相同

在同一个交换机上划分不同的VLAN时,相同VLAN间的用户可以相互通信,不同VLAN间在第二层网络上是隔离的,不能通信的。

不同VLAN用户通信需要借助三层设备

	不同的VLAN用户通信需要借助路由器等三层设备才可以通信。

3.VLAN的用途

	 控制不必要的广播报文的扩散;
	 提高网络带宽利用率;
	 划分不同的用户组,对组之间的访问进行控制;
	 增加安全性。

4.VLAN的优点

	限制广播包;
	安全性;
	虚拟工作组;
	减少移动和改变的代价。

三、VLAN的配置

1.VLAN的定义方法

基于端口的VLAN

	根据以太网交换机的端口来划分

基于MAC地址的VLAN

	根据每个主机网卡的MAC地址来划分

基于网络层的VLAN

	根据每个主机的网络层地址或协议类型(如果支持多协议)划分

基于IP组播的VLAN

	一个组播组就是一个VLAN

2.VLAN的编码范围

在这里插入图片描述

3.VLAN知识点小结

一个VLAN中所有设备处于同一个广播域内,不同的VLAN为不同的广播域,一个VLAN一般是一个IP网段,不同的VLAN规划到不同的IP网段;
不同的VLAN之间二层隔离,广播不能跨越VLAN传播,因此不同的VLAN之间的设备无法进行二层通信,需通过三层设备实现互通;
VLAN中成员关系多基于交换机的接口进行静态的分配,划分VLAN就是将交换机的接口添加到特定的VLAN;
VLAN工作于OSI参考模型的第二层,是二层交换机的一个非常根本的工作机制。

4.现网中,VLAN是怎么划分的:

基于地理位置

在这里插入图片描述

基于部门在这里插入图片描述

基于人员属性在这里插入图片描述

5.VLAN的配置

添加或者修改VLAN

[switch]vlan vlan_id #添加一个VLAN
[switch]vlan batch vlan_id1 vlan_id2 #添加多个不连续的VLAN
[switch]vlan batch vlan_id1 to vlan_id2 #添加多个连续的VLAN
[switch-vlan id]description ×××××

在这里插入图片描述
当我们在创建VLAN的时候就会给这个VLAN作一个简要的说明,来说明这个VLAN的功能或者作用,这个时候就会给VLAN添加描述信息。
交换机默认使用vlan1,所有接口默认都属于vlan1。

查看VLAN

[switch]display vlan

在这里插入图片描述

删除VLAN

[switch]undo vlan vlan_id

在这里插入图片描述
不过,就是单纯的对VLAN进行增加,删除,以及添加描述信息等是没有任何意义的,因为即使交换机内增加再多的VLAN,这众多的接口也只属于VLAN1,也就是说,这么多的接口依然处于同一个广播域下。所以,我们还需要把接口添加到相应的VLAN中。

向VLAN内添加端口

将端口分配给一个VLAN

[switch]interface interface_number
[switch-interface_number]port link-type access
[switch-interface_number]port default vlan vlan_id
或者
[switch]interface interface_number
[switch-interface_number]port link-type access
[switch]vlan vlan_id
[switch-vlan vlan_id]port  interface_number
还可以批量将端口添加到VLAN中:	
[switch]port-group  port-group_name #创建一个端口组并命名		
[switch-port-group-port-group_name]group-member interface_number1 to interface_number2 #将端口组的成员添加到端口组中
[switch-port-group-port-group_name]port link-type access  #将这个端口组的成员修改端口类型 access
[switch-port-group-port-group_name]port default vlan vlan_id    # 将这个端口组划分到相应的VLAN下

第一种设置方法

在这里插入图片描述

第二种设置方法

在这里插入图片描述

第三种设置方法

在这里插入图片描述

最终结果

在这里插入图片描述

四、VLAN的通信原理

PVID和access接口

在这里插入图片描述

Access端口是交换机上用来连接用户主机的端口;
它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。
Access端口收发数据帧的规则如下:
	如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
	如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。
		当VLAN ID与该端口的PVID相同时,接收该报文。
		当VLAN ID与该端口的PVID不同时,丢弃该报文。
Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。
Access端口发往对端设备的以太网帧永远是不带标签的帧。

PC1与PC3的通信过程

PC1第一次pingPC3:   
	PC1要封装一个ICMP的数据帧:包括ICMP的数据、源IP地址,目的IP地址,源MAC地址和目的MAC地址;
	当封装目的MAC地址的时候,PC1要查自己的ARP缓存表(通信开始前,ARP的缓存表是空的),不能查到PC3对应的MAC地址
	PC1封装ICMP的数据包失败
	PC1向局域网(vlan10)内发送一个ARP的请求报文(广播)
	PC1的ARP广播报文被交换机G0/0/1接口接收到,G0/0/1的PVID10,会给ARP的广播报文打上一个vlan id= 10 的标签,交换机学习源MAC地址(PC1的MAC地址)与接口的对应关系
	查看目标MAC地址,发现目标MAC地址是全F,则向VLAN10的所有接口泛洪
	当PC3收到ARP的请求报文,解封装数据链路层,解封装ARP的数据部分(携带了关于PC1的IP地址和MAC的对应关系)
	PC3根据ARP请求报文携带的关于PC1的IP地址和MAC地址,生成自己的ARP缓存表
	PC3向PC1发送ARP的回复报文(单播)	
	PC3的ARP回复报文被交换机G0/0/3接口接收到,G0/0/3的PVID10,会给ARP的广播报文打上一个vlan id= 10 的标签,交换机学习源MAC地址(PC3的MAC地址)与接口的对应关系,并通过查询CAM表找到PC1的MAC地址与接口的对应关系将数据包发往接口G0/0/1
	当打了标签的数据帧经过接口G0/0/1的时候,接口G0/0/1将 标签进行剥离,发送给PC1
	PC1收到PC3的ARP回复报文时,PC1根据这个回复报文(PC3的IP地址以及PC3的MAC地址),生成一个ARP缓存表,这样PC1就能够完整封装一个ICMP的数据帧了。
	PC1向PC3发送ICMP数据帧

PVID的概念

当把端口划分到某个VLAN的时候,这个端口就具有了该VLAN的 一个VLAN ID,即PVID。

VLAN帧格式

在这里插入图片描述

vlan的特性:

本地化:同一台交换机,它的PVID只在本地生效,数据帧在离开access接口后,就不属于任何的vlan了,当被下一台交换机接收到以后,从哪个接口进入的,则就会打上这个接口对应的PVID的标签。
相关推荐
©️2020 CSDN 皮肤主题: 游动-白 设计师:白松林 返回首页