VLAN(Virtual Local Area Network)即虚拟局域网,是一种将一个物理的局域网(LAN)划分成多个逻辑上独立的虚拟局域网的技术124。通过 VLAN,网络管理员可以根据不同的需求和用户组,将网络中的设备划分到不同的 VLAN 中,实现不同 VLAN 之间的隔离和通信控制。
VLAN 的原理
- 数据帧标记:要使交换机能够分辨不同 VLAN 的报文,需要在报文中添加标识 VLAN 信息的字段。IEEE802.1q 协议规定,在以太网数据帧中加入 4 个字节的 VLAN 标签(VLAN Tag),又称 VLANTag,简称 Tag。
- VLAN 标签的组成:
- TPID(Tag Protocol Identifier):标识数据帧的类型,值为 0x8100 时表示 802.1q 帧。
- PRI(Priority):标识帧的优先级,主要用于 QoS(Quality of Service)。
- CFI(Canonical Format Indicator):在以太网环境中,该字段的值为 0。
- VLAN ID(VLAN Identifier):标识该帧所属的 VLAN,取值范围为 1-4094。
- 数据帧的处理:交换机根据管理员的设定,给数据打上或者剥离指定标签。当数据帧进入交换机时,如果没有带 VLAN 标签,该数据帧就会被打上接口指定 PVID(Port VLAN ID)的 Tag,然后数据帧将在指定 PVID 中传输。当数据帧的 VLAN ID 与接口的 PVID 相同时,首先会剥离该数据帧的 Tag 标签,然后再将其从该接口发送出去;当数据帧的 VLAN ID 与接口的 PVID 不相同时,则禁止该数据帧从此接口发出。
VLAN 的配置
不同厂商的交换机配置命令可能会有所不同,但基本的配置步骤大致相同。下面以华为交换机为例,介绍 VLAN 的配置步骤:
- 创建 VLAN:
- 进入交换机的系统视图。
- 使用命令 “vlan vlan-id” 创建 VLAN,其中 “vlan-id” 是 VLAN 的 ID 号,取值范围为 1-4094。
- (可选)使用命令 “description description-text” 为 VLAN 添加描述信息,其中 “description-text” 是描述信息的内容。
- 配置端口类型:
- 进入要配置的端口视图。
- 使用命令 “port link-type access/trunk/hybrid” 配置端口类型为 access、trunk 或 hybrid。
- 配置端口的 VLAN 属性:
- 如果端口类型为 access,则使用命令 “port default vlan vlan-id” 配置端口的默认 VLAN ID。
- 如果端口类型为 trunk,则使用命令 “port trunk allow-pass vlan {vlan-id1 [to vlan-id2]} | all” 配置允许通过的 VLAN ID 列表。
- 如果端口类型为 hybrid,则使用命令 “port hybrid untagged vlan {vlan-id1 [to vlan-id2]} | all” 和 “port hybrid tagged vlan {vlan-id1 [to vlan-id2]} | all” 配置允许通过的 VLAN ID 列表和是否剥离标签。
- 配置 VLAN 间路由(可选):如果需要实现不同 VLAN 之间的通信,则需要配置 VLAN 间路由。可以使用路由器或三层交换机来实现 VLAN 间路由。
- 保存配置:使用命令 “save” 保存配置。
VLAN 的划分方式
VLAN 的划分方式有多种,常见的有以下几种:
- 基于端口划分:根据交换机的接口来划分 VLAN。网络管理员预先给交换机的每个接口配置不同的 PVID,将该接口划入 PVID 对应的 VLAN。当一个数据帧进入交换机时,如果没有带 VLAN 标签,该数据帧就会被打上接口指定 PVID 的 Tag,然后数据帧将在指定 PVID 中传输。默认情况下,所有的端口都属于 VLAN1。这种划分方式简单直观,实现容易,是目前实际的网络应用中最为广泛的划分 VLAN 的方式。
- 基于 MAC 地址划分:根据数据帧的源 MAC 地址来划分 VLAN。网络管理员预先配置 MAC 地址和 VLANID 映射关系表。当交换机收到的是 untagged 帧时,就依据该表给数据帧添加指定 VLAN 的 Tag,然后数据帧将在指定 VLAN 中传输。
- 基于 IP 子网划分:根据设备的 IP 地址来划分 VLAN。网络管理员预先配置 IP 子网和 VLANID 映射关系表。当交换机收到的是 untagged 帧时,就依据该表给数据帧添加指定 VLAN 的 Tag,然后数据帧将在指定 VLAN 中传输。
- 基于协议划分:根据数据帧所使用的协议来划分 VLAN。网络管理员预先配置协议和 VLANID 映射关系表。当交换机收到的是 untagged 帧时,就依据该表给数据帧添加指定 VLAN 的 Tag,然后数据帧将在指定 VLAN 中传输。
- 基于策略划分:根据用户定义的策略来划分 VLAN。例如,可以根据用户的部门、职位、安全级别等因素来划分 VLAN。这种划分方式比较灵活,可以根据实际需求进行定制。
VLAN 的接口类型
在二层网络中,VLAN 提供了三种不同的接口类型,以实现不同的功能与使用:
- access 接口:access 接口仅允许 VLAN ID 与接口 PVID 相同的数据帧通过。简单讲就是接口配置了 VLAN 后,数据帧进入端口会打上 PVID,转发数据时,只会从相同 PVID 接口转发,就是不同 VLAN 不会转发和泛洪。注意:数据帧在交换机内部都是带有 VLAN Tag 的,只有在发出时才会根据 PVID 进行剥离或者转发。一般用于连接电脑、服务器等终端设备。
- trunk 接口:trunk 接口允许多个 VLAN 的帧带 tag 通过,但只允许一个 VLAN 的帧从该类接口上发出时不带 tag(即剥除 tag)。trunk 口一般用于交换机之间,trunk 接口还可以用于连接无线 AP 实现本地转发,以及通过一些特殊配置实现不同 VLAN 通信。
- hybrid 接口:hybrid 接口结合了 access 接口和 trunk 接口的功能。这种接口模式允许多个 VLAN 的流量通过,并且可以指定哪些 VLAN 的数据帧被剥离标签。与 trunk 最主要的区别就是,能够支持多个 VLAN 的数据帧不带标签通过。hybrid 接口可以允许多个 VLAN 的帧带 tag 通过,且允许从该类接口发出的帧根据需要配置某些 VLAN 的帧带 tag、某些 VLAN 的帧不带 tag。
VLAN 的优点和应用场景
- 优点:
- 逻辑分割:VLAN 允许将大型网络划分成多个较小的虚拟网络,以实现更好的管理和控制。每个 VLAN 可以根据特定的需求进行配置,独立于其他 VLAN,这样可以降低广播流量、提高网络性能,并简化网络管理。
- 广播控制:传统的 LAN 中,广播帧会在整个网络中传播,无法进行精确控制。而 VLAN 通过将广播限制在 VLAN 内部,减少广播流量的传播范围,从而降低网络拥塞和冲突,并提高网络效率。
- 安全隔离:VLAN 可以实现网络的安全隔离,通过划分不同的 VLAN 并设置适当的访问控制列表(ACL)或防火墙规则,可以限制 VLAN 之间的通信,提高网络安全性。不同的用户组、部门或敏感数据可以放置在不同的 VLAN 中,从而实现访问控制和数据保护。
- 简化网络管理:使用 VLAN 可以简化网络管理,特别是在大型网络中。管理员可以根据需求对 VLAN 进行配置和管理,而不必涉及整个物理网络。添加、删除或修改一个 VLAN 的设置不会影响其他 VLAN,这样可以提高网络的可维护性和灵活性。
- 应用场景:
- 企业园区网络:以太网交换技术广泛应用于企业园区网络中,用于连接企业内部的各种设备,实现员工之间的通信和资源共享。
- 数据中心网络:在数据中心网络中,以太网交换技术用于连接服务器、存储设备和网络设备,实现数据的高速传输和处理。
- 校园网络:以太网交换技术也常用于校园网络中,为学生和教师提供网络接入和资源共享服务。
- 城域网:一些城域网也采用以太网交换技术,实现不同区域之间的网络连接和数据传输。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
