交换机-VLAN技术

交换机-VLAN技术

一.概述

VLAN:虚拟局域网技术,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

二.优点

• 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
• 增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
• 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
• 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

三.实验拓扑

交换价查看mac表,默认所有的交换机的接口都在vlan1里

[Huawei]dis mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-9833-7ae0 1           -      -      GE0/0/1         dynamic   0/-         
5489-98f2-12c6 1           -      -      GE0/0/2         dynamic   0/-         
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2 

实验1

步骤
1.交换机上创建vlan  (如图所示,我有2个vlan,所以需要创建2个) vlan编号范围1-4094,默认1被使用
vlan 10   # 创建vlan 10
vlan 20   # 创建vlan 20
vlan batch 10 20   # 一个命令创建2个vlan

可以使用dis vlan查看当前交换机上的vlan信息
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------

VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(U)      GE0/0/3(U)      GE0/0/4(U)      
                GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      
                GE0/0/9(D)      GE0/0/10(D)     GE0/0/11(D)     GE0/0/12(D)     
                GE0/0/13(D)     GE0/0/14(D)     GE0/0/15(D)     GE0/0/16(D)     
                GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     GE0/0/20(D)     
                GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     GE0/0/24(D)     

10   common  
20   common  

VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------

1    enable  default       enable  disable    VLAN 0001                         
10   enable  default       enable  disable    VLAN 0010                         
20   enable  default       enable  disable    VLAN 0020


2.进入接口 设置接口类型 绑定vlan
[Huawei]int g0/0/1           
[Huawei-GigabitEthernet0/0/1]port link-type access    p l a
[Huawei-GigabitEthernet0/0/1]port default vlan 10     p d v vlan编号
每个接口都需要设置一遍

总结:同一个广播域的主机才能收到广播,不同广播域的主机无法接收广播,不同广播域之间无法通信,如果需要通信,必须借助路由器才能实现

实验2

LSW2

vlan batch 10 20
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 20
int g0/0/3
p l t
p t a v 10 20

LSW3

vlan batch 10 20
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 20
int g0/0/3
p l t
p t a v 10 20

四.VLAN原理

当PC1发送一个arp广播请求数据时,进去到交换机LSW1的0/0/1号口时,由于我们设置了该接口为vlan10,此时数据会被打上标签(id=10),交换机进行广播转发,数据进入到接口0/0/2时,该接口设置为vlan10,允许带有标签为10的数据通过,接口0/0/3和接口0/0/4设置为vlan20,只允许标签为20通过,所以arp广播无法从0/0/3和0/0/4接口出去,0/0/2号口出去前该接口对该数据进行标签剥离,此时数据没有标签,从0/0/2号口出去,达到PC2,PC2进行数据拆包,所有的主机是无法处理带有标签的数据

PC5主机发送数据到交换机LSW1的1号口,会打上id=10标签,经过交换机LSW1的3号口,判断标签允许通过,此时该接口是可以抓包查看到标签,经过交换机LSW2的3号口判断标签允许通过,经过交换机LSW2的1号口进行标签剥离,到达主机PC7

五.接口类型

• Access接口

  Access接口一般用于和不能识别标签的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。但当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。

  如果交换机某个接口设置为access接口,那么该接口只能连用户终端

• Trunk接口

  Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带标签通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

  如果交换机某个接口设置为trunk接口,那么该接口可以连接交换机,路由器,ap

• Hybrid接口

  Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

  Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如在灵活QinQ中，服务提供商网络的多个VLAN的报文在进入用户网络前，需要剥离外层VLAN Tag，此时Trunk接口不能实现该功能，因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。有关灵活QinQ的详细介绍，请参见“QinQ配置”中的“配置灵活QinQ”。

• QinQ接口

  QinQ（802.1Q-in-802.1Q）接口是使用QinQ协议的接口，一般用于私网与公网之间的连接。它可以给帧加上双层Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094×4094个VLAN，满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag，用来标识公网的VLAN；内层Tag通常被称作私网Tag，用来标识私网的VLAN。

  有关QinQ接口和QinQ帧格式的具体描述请参见“基本原理”。

六.VLAN划分方式

如果入方向Untagged帧同时匹配多种划分VLAN的方式，则优先级顺序从高至低依次是：基于匹配策略划分VLAN->基于MAC地址划分VLAN或基于子网划分VLAN->基于协议划分VLAN->基于接口划分VLAN。