本篇文章带大家介绍一下VLAN的基本概念和原理,并且后面会在思科模拟器上对交换机上划分VLAN进行实验,会对上面讲解的概念作出验证。
一、VlAN 基本概念与基本原理
先说一下,为什么要引入VLAN?
首先说一下传统局域网局限性:
①缺乏流量隔离(当计算机太多时,以太网中会出现大量的广播帧)
②管理用户不便(一个单位的不同部门共享一个局域网时,对信息保密和安全不利)
③路由器成本较高
可以通过虚拟局域网来解决以上问题:
可以把一个局域网分割成一些较小的与地理位置无关的逻辑上的VLAN,而每个VLAN是一个较小的广播域。
1.VLAN介绍
在IEEE 802.1Q标准中对虚拟局域网(Virtual LAN,VLAN)是这样定义的:VLAN是由一些局域网网段构成的与物理位置无关的逻辑组,而这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符,指明发送这个帧的工作站是属于哪一个 VLAN。
图中给出的是使用了三个交换机的网络拓扑。
在传统的局域网中,通常一个工作组是在同一个网段上,每个网段可以是一个逻辑工作组。多个逻辑工作组之间通过交换机(或路由器)等互连设备交换数据。
虚拟局域网VLAN建立在局域网交换机之上,它以软件方式实现逻辑工作组的划分与管理。因此,逻辑工作组的站点组成不受物理位置的限制。
VLAN的优点:
1.减少网络管理开销
VLAN为控制这些改变和减少网络设备的重新配置提供了一个有效的方法。
2.控制广播活动
广播在每个网络中都存在。广播的频率依赖于网络应用类型、服务器类型、逻辑段数目及网络资源的使用方法。
3.提供较好的网络安全性
提高安全性的一个经济实惠和易于管理的技术就是利用VLAN将局域网分成多个广播域。因为一个VLAN上的信息流(不论是单播信息流还是广播信息流)就不会流入另一个VLAN,从而就可以提高网络的安全性。
2.VLAN的组网方法
VLAN的组网方法包括静态VLAN和动态VLAN两种。
1.静态VLAN
静态VLAN就是静态地将以太网交换机上的一些端口划分给一个VLAN。这些端口一直保持这种配置关系直到人工改变它们。
2.动态VLAN
所谓的动态VI AN是指交换机上VLAN端口是动态分配的。通常,动态分配的原则以MAC地址、逻辑地址或数据包的协议类型为基础。
3.支持VLAN的以太网的帧格式
在以太网帧中插入一个4字节的标识符(插入在源地址和类型字段之间),称为VLAN标签,用来指明发送该帧的计算机属于哪个局域网。
VLAN标签中前两个字节置为 0X8100,表示这是一个802.1Q帧。
后两个字节中,前4位没有用,后12位是该VLAN的标识符VID,它标识了该802.1Q帧属于哪个VLAN。
因此太网的最大长度从原来的1518字节,变为1522字节。
4.VLAN的工作流程举例
分析上图:
首先这是一个局域网由两个交换机连接在一起,然后这个局域网中又划分了两个虚拟局域网 VLAN-10 和 VLAN-20(这里面的10,20就是802.1Q帧中的VID字段的值,由交换机管理员设定)。交换机2连接了5台计算机,并与交换机1相连。交换机2中的2台计算机加入VLAN-10,另外3台加入VLAN-20,虽然这两个VLAN都跨越了两个交换机,但各自都是一个广播域。
各个主机并不知道自己的VID值,但是交换机必须知道。
主机与交换机之间交互都是标准以太网帧。
一个VLAN的范围可以跨越不同得交换机,前提是所有的交换机能够识别和处理VLAN。
工作流程(三种情形):在同一VLAN中,在同一交换机中发送:
假定A向B发送帧,交换机1根据帧首部的目的MAC地址,识别B属于本交换机管理的VLAN-10,这种情况就像在普通以太网中那样直接转发帧。
在同一VLAN中,跨交换机发送:
假定A向E发送帧,交换机1必须把帧转发到交换机2,但是在转发前,要插入VLAN标签,否则交换机2不知道应把帧转发给哪个VLAN(在交换机端口之间的链路上传送的帧是 802.1Q帧)。交换机2在向E转发帧之前,要拿走已插入的VLAN标签,因此E收到的帧A发送的标准以太网帧,而不是802.1Q帧。
在不同VLAN发送:
假定A向C发送帧,那么情况就复杂了,因为这是在不同网络之间的通信,虽然A和C都连接到同一个交换机,但是他们已经处在不同得网络中(VLAN-10 和 VLAN-20)。此时需要通过上层的路由器来解决,也可以在交换机中嵌入专用芯片来进行转发,这样就在交换机中实现了第3层的转发功能。
值得注意的是,虚拟局域网知识局域网给用户提供一种服务,并不是一种新型局域网。
二、在Cisco2950交换机上划分VLAN
1.实验内容
本实验的内容是:
①学习如何划分VLAN
②划分VLAN的作用
2.实验步骤
第一步:创建如图所示的局域网拓扑结构(单个交换机)
准备工作:
①创建一个2950交换机和六台终端设备,然后用连接线(选取自动选择连接类型)将终端和交换机连接起来。
②加上标签(右边黄色的文本样式),方便查看每个线路的端口。
③配置每台终端设备的IP地址,子网掩码。其他用不到,暂时不用配置。
第二步:创建PDU然后进行广播,验证交换机上的所有主机都能收到ICMP报文
点击捕获/转发。检查配置的以太网能否正常工作。
第三步:图形化界面配置VLAN
现在可以检验一下,是否划分成功。
创建PDU,然后广播发送,查看是不是只有2 、3端口对应的主机收到广播PDU。
第四步:命令行界面配置VLAN
创建VLAN3,将端口4、5、6加入
按顺序,在命令行中敲下如下命令:
end
exit
enable //进入特权模式
config terminal //进入全局配置模式(以终端的访问进行 terminal)
vlan 3 // 创建VLAN号,VLAN号为3
name VLAN3 //给刚刚创建的VLAN起一个名字
end // 回到特权模式
show vlan brief //输出简单的VLAN汇总信息
config terminal
interface range fastethernet 0/4 - 6 // 一次性添加 4 5 6端口
switchport mode access //指定交换机端口模式
switchport access vlan 3 // 将端口 456 划分给VLAN3
end
show vlan brief
第五步:在192.168.0.4这台主机上创建,然后发送PDU。进行检验
第六步:额外添加一台交换机并在其上面添加主机,如图所示(多个交换机)
将上面的端口号1、2、3中的主机划分到VLAN1中,端口号4、5、6中的主机划分到VLAN2中
第七步:重复第二步(192.168.0.1进行PDU广播)
第八步:发现问题,更改交换机中端口配置(truck)
问题描述:
上面交换机中左边的三台计算机和下面交换机中左边的三台计算机属于同一个VLAN,某个时刻,对于在同一个VLAN中的某个计算机要发出广播信息,处于同一VLAN中的节点都能收到该消息。但是现在只是从端口2、端口3中发出来了,端口7并没有发送该广播信号。想一想这是为什么呢?
问题分析:
这是因为这两台交换机中端口7对它们的端口类型并没有进行端口设置,它们都是采用默认的access类型的,access类型的端口在转发数据帧的时候,它会将数据帧的首部VLAN ID(VLAN号)提取出来,然后和自己相处在VLAN的VLAN号相比对,如果是相等就转发,如果是不相等,就不转发。
按照上面描述的情形:从数据帧提取的VLAN号应该是2,但是端口7还没有给它设置为哪个VLAN,它默认属于VLAN1,所以端口7对应的vlan号应该为1,这个两个VLAN号不相等,所以数据帧就不会从端口7中转发出来。
解决问题:
于是我们把他设置为VLAN2,发现这时选项中只能选择一个VLAN号,这就达不到VLAN3中广播的效果。
其实在交换机之间互连,然后在进行VLAN划分时候呢,他们互连的端口类型一般设置truck类型。
truck类型的端口可以转发所有VLAN上的数据帧,分两种情况进行转发,
①数据帧首部的VLAN号和truck端口本身的VLAN号相等,端口在转发的时候首先会把数据帧首部的VLAN号去掉(去标签),然后再进行转发。
②数据帧首部的VLAN号和truck端口的VLAN号不相等,这个时候,在转发的时候没有去除标签这一动作。
第九步:测试不同VLAN中的主机是否能直接进行访问
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
