VLAN
- 定义
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
- 目的
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了VLAN技术,这种技术可以把一个LAN划分成多个逻辑的VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文就被限制在一个VLAN内。
使用VLAN能给用户带来以下受益: 限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
链路类型
VLAN中有以下两种链路类型:
接入链路(Access Link):用于连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧都是untagged帧。
干道链路(TrunkLink):用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上传输的帧都是Tagged帧。
接口类型
在802.1Q中定义VLAN帧后,将接口分为4类:
- Access接口
如图3所示,Access接口是交换机上用来连接用户主机的接口,它只能连接接入链路。仅仅允许唯一的VLAN ID通过本接口,这个VLAN ID与接口的缺省VLAN ID相同,Access接口发往对端设备的以太网帧永远是不带标签的帧。
- Trunk接口
如图3所示,Trunk接口是交换机上用来和其他交换机连接的接口,它只能连接干道链路,允许多个VLAN的帧(带Tag标记)通过。
- Hybrid接口
如图4所示,Hybrid接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。Hybrid接口允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的Tag剥掉。
图4 接口示意图
- QinQ接口
QinQ(802.1Q-in-802.1Q)接口是使用QinQ协议的接口。QinQ接口可以给帧加上双重Tag,即在原来Tag的基础上,给帧加上一个新的Tag,从而可以支持多达4094×4094个VLAN,满足网络对VLAN数量的需求。
QinQ帧的格式如图5所示。外层的标签通常被称作公网Tag,用来存放公网的VLAN ID。内层标签通常被称作私网Tag,用来存放私网的VLAN ID。
图5 QinQ帧格式
华为交换机的接口有三种模式:Access、Trunk、Hybrid。其中Access、Trunk接口和之前的Cisco技术并无差异。
Hybrid接口是华为设备特有的接口模式。Hybrid接口和Trunk接口相同之处是都可以允许多个Vlan的流量通过并打标签,不同之处在于Hybrid接口可以允许多个Vlan的报文发送时不打标签。
Hybrid接口
- 特性
①华为交换机接口默认为Hybrid
②既可以实现Access接口功能,也可以实现Trunk接口功能
③不借助三层设备既可以实现跨Vlan通信和访问控制
④相当于Access接口和Trunk接口具有更高的灵活性与可控性
- Hybrid接口的作用体现于可以实现二层的流量隔离与互通。
流量隔离:Hybrid接口本身拥有强大的访问控制能力,通过对接口的配置可以隔离来自同一个Vlan的流量,也可以隔离来自于不同Vlan的流量
流量互通:Hybrid接口可以使不同的Vlan之间在二层实现通信。
(二层(OSI)的解决方案永远比三层(OSI)的解决方案要好,因为二层的效率要高于三层。事实上,所涉及的层次(OSI)越高,效率越低。)
- Hybrid接口的工作原理
Hybrid接口能够灵活的控制一个接口上数据帧VLAN标签的添加和移除。
Hybrid接口的工作原理涉及接口的三个属性,分别是untag列表、tag列表及PVID(Port-base VLAN ID,基于端口的VLAN ID)
▲untag列表:只在发送数据帧时起作用,如果需要发送的数据的VLAN标签在接口的untag列表中,那么将去除标签发送数据。
▲tag列表:作用于接收被标记的数据帧和发送数据帧。其作用类似于一个允许的VLAN标识列表。
当接口接收到带有VLAN标签的数据帧时,该接口的tag列表相当于VLAN的允许列表,不在列表中的数据帧将被丢弃;
当接口发送数据帧时,数据的VLAN标签在接口的tag列表中,将保持标签发送数据帧,否则丢弃数据帧。
▲PVID;接口的默认PVID为VLAN1,PVID只在接收未标记帧时起作用。
PVID用于在接收未标记数据帧时给数据帧打上当前的PVID标识
- 根据PVID封装802.1q
(IEEE 802.1q以及VLAN Tagging属于互联网下IEEE 802.1的标准规范,允许多个网桥(Bridge)在信息不被外泄的情况下公开的共享同一个实体网上。IEEE 802.1q-英文缩写写为dot1q,经常在实现以太网封装协议的架构下被提及。
IEEE 802.1q定义一个关于VLAN连接介质访问控制层和IEEE 802.1D生成树协议的具体概念模型。这个模型允许各个独立的VLAN与以太网交换机的数据链路层或路由器互相连接。)
在网络通过VLAN隔离的情况下,可以将流量分为两种类型。一种是标记流量,及通过802.1q打了标签的数据帧;
另一种是未标记流量,也就是原始的以太网帧。通常情况下由终端设备发送和接收的流量为未标记流量。
当交换机接收到一个标记流量时,将通过其802.1q标签来识别其VLAN ID。
当交换机接收到一个未标记流量时,将根据接口PVID对该流量进行802.1q封装。 在华为设备中,每种类型的接口都有默认的PVID。
Access vlan是几就是几
Trunk 默认为vlan1
Hybrid 默认为vlan1
Hybrid接口的PVID默认为Vlan1,意味着所有接口默认都属于Vlan1。
- 根据untag列表和tag列表进行收发
Hybrid接口收到数据帧后,首先检查该数据帧是否携带标签,如果携带标签,则检查本接口tag列表,若tag列表中存在数据帧封装的VLAN ID,则接收,否则丢弃;如果不携带标签,那么根据Hybrid接口的PVID进行标记。
Hybrid接口发送数据帧之前,检查本接口的untag和tag列表,若数据帧封装的vlan ID 存在于untag列表中,则去掉802.1q封装发送原始数据帧;若存在于tag列表中,则保留802.1q封装并发送带标签的数据帧;若两个列表中均无数据帧的VLAN ID,则 不发送。
- Hybird实现不同vlan通信配置口诀
1 所有hybird口,默认PVID全配置untag标签
2 交换机互联的口,要配置untag和tag两个标签
3 其中untag为允许互相通信的VLAN,tag为不允许互相通信的VLAN
- hybird和三层路由实现VLAN间通信的区别
hybird只能实现相同网段,不同vlan之间的通信,如果是不同vlan且不同网段,仍然需要SVI(交换虚拟接口)和vlan间路由来实现
- Hybrid接口配置
port link-type hybrid --配置接口模式为hybrid
port hybrid pvid vlan 1 --配置接口PVID 为1
port hybrid untaged vlan 1 to 2 --配置vlan1 2 加入untag列表
port hybrid taged vlan 3 10 --配置vlan 3 10 加入tag 列表
1112
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
