目录
一、VLAN的主要优势
1.限制广播域
广播域被限制在一个VLAN内,VLAN内设备发送的广播流量只能在本VLAN内传播,节省了宝贵的带宽资源,同时也提高了网络性能。
2.可以灵活组建虚拟工作组
VLAN中的用户可以位于网络中不同物理位置,既可以连接在各接入层的交换机上,又可以连接在汇聚层甚至核心交换机上,网络构建更加方便。
3.增强网络安全性
因为不同VLAN内的报文直接在二层隔离,所以虽然主机的IP地址在同意网段,但不同VLAN中的主机是不能直接互访的,安全性得到了增强。
二、VLAN帧格式
1.TPID:标签协议标识
取固定值0x8100,表明是一个携带802.1Q标签的帧,可以有一个或者多个,若不支持802.1Q的设备收到这样的帧,会将其丢弃 。
2.TCI:标签控制信息
分为一下三个部分:
PRI:优先级,取值范围0-7,值越大优先级越高,当交换机阻塞时,优先发送优先级高的数据帧。
CFI:标准格式指示器,表示MAC地址是否以标准格式封装。CFI取0时,MAC地址以标准格式进行封装(低位先传),取1时,按非标准格式封装(高位先传)。用于区分以太网帧、FDDI帧和令牌环网帧。
VLAN ID:VLAN标识符,取值范围0-4095比特,但是0和4095在协议种保留为VLAN ID,不能分配给用户使用。
VLAN帧种的data字段长度范围事不变的,仍为46-1500个字节,由此可以说明VLAN帧比普通的以太网帧要长,VLAN帧种的type字段固定为0x8100代表为IEEE802.1Q tag帧,若不持支IEEE 802.1Q的设备收到这样的帧,会将其丢弃。
3.以太网帧的形式
一般分为有标记帧(taggde),它是加入了一个或多个4字节VLAN标签的帧,无标记帧(untagged)帧,它是原始的、未加入4字节VLAN标签的帧。常用设备中传输的帧类型如下:
(1)用户主机、服务器、Hub、傻瓜交换机(不可管理交换机)只能收发untagged帧
(2)交换机和AP(WLAN访问控制器)既能收发tagged帧,也能收发untagged帧
(3)语音终端可以同时收发一个tagged帧和一个untagged帧。
为了提高处理效率,在支持VLAN的交换机内部处理的数据帧都是tagged帧。
三、交换端口类型
端口类型一共有三种:access、trunk、hybrid。三种交换端口都涉及一种重要的概念——PVID(port VLAN ID,端口VLAN ID)
交换机从对端设备收到的帧有可能是untagged的数据帧,但是所有以太网帧在交换机种都是tagged的形式被处理转发的,因此交换机必须给端口收到的untagged数据帧打上tag。
网络人员必须为交换机配置默认VLAN ID,以便在该端口收到untagged数据帧时,交换机能给它加上默认VLAN ID的VLAN tag。这个默认VLAN ID就是PVID,即在默认情况下端口所属的VLAN。
1.access端口
这个端口一般用于不能识别tag的用户终端(主机、服务器)和网络设备(傻瓜交换机、集线器等)相连,因为access端口发送的数据帧,总是不带VLAN标签的。另外,access端口只允许携带一个指定的VLAN的标签帧通过,即一个access端口只能加入一个VLAN,这个VLAN ID就是该access端口的PVID。
access类型端口可以用于交换机间的连接,实现两个不同的VLAN(但必须在同一IP网段)的直接二层互通,但是只能实现最多两个VLAN间的直接互访,且这两个VLAN必须再不同网段上。
2.Trunk类型端口
Trunk端口一般用于连接交换机、路由器、AP,以及可同时收发tagged帧和untagged帧的语音终端,Trunk端口允许多个VLAN中的帧带tag通过,但仅仅允许帧中tag字段值与端口PVID相同的VLAN中的帧从该类型端口上发出去时去掉VLAN标签。
① 在trunk类型端口中,PVID仅当收到不带标签的帧,或者发送携带有PVID相同的VLAN标签的帧时起作用,其他情况下均不用考虑PVID。
②trunk端口在默认情况下仅允许VLAN 1的帧通过,因为默认PVID为VLAN 1,故发送VLAN 1中的帧时不带标签。
3.Hybrid类型端口
Hybrid端口可以被看作access和trunk端口的混合体,因为它允许端口发送一个或者多个VLAN中的帧时去掉标签,又允许端口发送一个或者多个VLAN中的帧时带上VLAN标签,因此Hybrid类型端口能连接不能识别VLAN标签的用户终端和网络设备,也能用于连接交换机、路由器、AP以及可同时收发带有VLAN标签的帧和不带有VLAN标签的帧的语音终端。
①在Hybrid端口种,PVID仅当收到不带标签的帧时起作用,其他情况下均不用考虑端口PVID。
②Hybrid端口默认情况下仅允许VLAN 1的帧通过,且发送VLAN 1中的帧时是去掉标签发送的。
③在Hybrid端口中,数据帧是否都会去掉标签发送与PVID无关,需要手工指定。
三、VLAN的划分方式
1.基于端口的划分
方法:根据以太网端口进行的LAN划分
有点:配置简单,是最常用的
缺点:不灵活,当VLAN中的成员接口发生变化时需要重新配置VLAN
场景:任何网络,但是网络位置要固定
2.基于MAC地址划分
方法:根据数据帧的源MAC地址划分加入VALN,事先配置MAC地址和VLAN ID的映射关系表,依据该映射表在帧中添加对应得VLAN ID,然后数据帧在指定VLAN中传输。
优点:用户变换物理位置无需重新划分VLAN,提高了终端用户得安全性和灵活性
缺点:工作量大
场景:经常移动位置但是不经常变换网卡得小型网络
3.基于子网划分
方法:根据数据帧中的源IP地址和子网掩码划分VLAN,事先配置IP地址和VLAN ID的映射关系,根据映射表在帧中添加对应的VLAN ID,然后数据帧在指定的VLAN中传输
优点:发生物理位置的改变只需要重新配置VLAN,可以减少网络通信量,使广播域跨越多个交换机
缺点:用户分布需要有规律,且多个用户在同一网段
场景:移动要求高和要求简易管理的
4.基于协议划分VLAN
方法:根据数据帧得协议(族)类型及封装格式来划分VLAN,事先配置以太网帧中得“协议”字段和“VLAN ID”字段得映射关系表,若交换机收到得是untagged帧,则依据该映射表在帧中添加对应得VLAN ID,然后数据帧将在指定VLAN中传输。
优点:方便维护和管理。
缺点:需要对网络中所有得协议类型和VLAN ID的映射关系表进行初始配置;需要分析各种协议的格式并进行相应的转换,这样会消耗交换机过多资源。
场景:同时运行多种协议的网络。
5.基于策略划分VLAN
方法:能实现多种组合的规划方式,包括接口,MAC地址,IP地址等,网络管理员预先配置策略,若收到的是untagged帧,且匹配配置策略时,则数据帧添加指定VLAN的tag,然后数据帧将在指定VLAN中传输。
优点:安全性高,用户不能改变IP地址和MAC地址;网络管理员可根据自己的管理模式或者需求选择划分方式。
缺点:每条策略都要手工配置,在VLAN较多时工作量大。
场景:适用于需求比较复杂的环境。
7763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
