目录
一、基本概念
1、什么是vlan
vlan(Virtual LAN 虚拟局域网),一个局域网是由一个或多个计算机组成的网络,而vlan的作用就是可以将一个大的局域网划分为多个局域网,我们通常将这个大的局域网成为一个广播域,即vlan就是用来将一个广播域划分为多个不同的广播域的作用。
为什么不同VLAN间不通过路由就无法通信。是因为在LAN内的通信,必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址,TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法,则是通过广播。也就是说,如果广播报文无法到达,那么就无从解析MAC地址,所以也就无法直接通信了。
2、广播域
广播域是指一个广播帧(目的MAC全为1)在链路上直接传播的范围。二层交换机的所有接口是一个广播域,配置vlan之后可以划分成多个广播域。
3、VLAN划分机制
3.1 未划分vlan
如图,如果PC1只需要和PC3通信,根据数据二层通信而言,PC1需要知道PC3的MAC,所以PC1会发送ARP请求(目的MAC为全1广播包),请求PC3的MAC地址,因为没有划分vlan,交换机的所有接口都在同一个广播域中,所以图中所有的PC都会收到PC1请求PC3MAC地址的arp请求包。PC3收到后会回复ARP应答包给PC1,其他PC则丢弃该请求包。对于一个小的网络来说这点广播包不算什么,但是对于一个大的局域网来说,每个PC都发送arp请求或者其他的广播请求(DHCP、RIP网络环境等),这样不仅会浪费带宽资源,严重还会造成网络拥堵。
使用路由器也可以隔离广播域,但是通常来说路由器的接口是比较少的,交换机接口就很多,路由器更多的是用在网络中起到一个路由转发的作用。
3.2 划分vlan
在交换机上划分两个vlan,红色区域为vlan10 ,橙色区域为vlan20,此时PC1发送广播报文时只有红色区域的PC3可以收到,而PC2发送的广播报文也只有访问橙色区域的PC4可以收到,PC1和PC2处于同交换机的不同vlan,广播包不能转发。隔离的标准就是通过VLAN ID来进行识别的
因为不同广播域之间的连接需要使用路由器,那么要实现不同vlan之间的通信就需要用到路由,也就是通常说的vlan间路由
二、VLAN Tag格式
| 字段 | 长度 | 含义 |
| Type | 2Bytes | 长度为2字节,表示帧的类型,值为0x8100表示为802.1q Tag帧。如果不支持802.1q的设备收到此帧,会直接丢弃 |
| PRI | 3bit | priority优先级,长度为3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高,主要用于当端口阻塞时,优先发送优先级高的数据包,如果设置用户优先级,但是没有VLAN ID,则VLAN ID必须为0x000 |
| CFI | 1bit | Canonical Format Indicator规范的格式指示符,长度为1比特,表示MAC地址是否为经典格式,CFI为0表示标准格式,CFI为1表示非标准格式,在以太网中CFI为0。用于区分以太网帧、FDDI帧和令牌环网帧。 |
| VID | 12bit | VLAN ID表示该数据帧所属的VLAN编号,VLAN的取值范围为0~4095,其中0和4095为保留编号,所以VLAN ID的有效取值范围为1~4094 三种类型:
三个特殊的VID:
|
三、access和trunk
PVID:端口(Port)的VLAN ID,交换机的所有端口都自带PVID属性,默认为1,可修改,以华为交换机为例,access口通过配置vlan来修改PVID(port default vlan 10),trunk口通过命令(port trunk pvid vlan 10)来修改,一般常规环境里,access口用于连接计算机,trunk口用于对接交换机。
1、access口
接收报文:无VID,打上PVID,并接收数据包;有VID,VID和端口本身的PVID一致则接收,不一致则直接丢弃
发送报文:剥离VID,发送
2、trunk口
接收报文:无VID,打上PVID,并接收数据包;有VID,检查VID是否在允许通过的列表内,如果允许则接收,不允许则丢弃
发送报文:如果VID和PVID一致,且在端口允许通过列表内,会去掉vlan标签再发送;如果VID和PVID不一致,且在端口允许通过列表,则会保留vlan标签再发送
SW两个接口都配置access,vlan 2,PC1 ping PC2,在0/0/4口抓包查看数据包是没有vlan标签的,access口发送报文去标签
SW1 0/0/1配置access口,vlan 10,0/0/2配置trunk,允许所有vlan通过;PVID保持默认
SW2 0/0/2配置access口,vlan 10,0/0/1配置trunk,允许所有vlan通过;
在SW1 0/0/2口抓包,查看数据转发。PC1 ping PC2,数据到达SW1,原始数据包没有vlan标签,首先SW1 0/0/1给数据报文打上vlan10 的标签,数据到达0/0/2,查看vlan10 和端PVID不一致,且在允许通过的列表,直接转发,数据到SW2 0/0/1查看vlanID在允许通过列表内,接收数据包,数据到达0/0/2,查看vlanID和端口PVID一致,接收数据包,去标签发送给PC2.
SW1 0/0/2的PVID修改为10,其他配置不变的情况下,PC1 是ping不通PC2的,首先看数据转发,数据到达SW1 0/0/1先打上vlan10 的标签,到达0/0/2,查看VID和PVID一致,所以去标签发送数据包,SW2 0/0/1收到后查看数据包没有VID,打上端口PVID(默认为1),数据到0/0/2,查看VID与端口PVID不一致,丢弃。
需要将SW2的0/0/2口vlan修改为1才可以实现互通,此时在SW1 0/0/2口抓包是不带vlan ID的数据包
到这大概也了解了PVID的作用了。
四、拓展Hybrid
Hybrid接口也可以允许多个VLAN通过,这个和TRUNK模式一样,但是Hybrid还可以指定哪些vlan数据帧被剥离标签发送,而trunk端口只允许缺省vlan的报文不打标签。
Hybrid数据帧发送和接收过程:
实例:
需要实现处于同网段不通vlan的PC2、3都能访问PC1,但PC2、3不能互访
[Huawei]undo info-center enable //关闭info信息提醒
[Huawei]interface Eth 0/0/1
[Huawei-Ethernet0/0/1]port link-type hybrid //设置接口模式为hybrid
[Huawei-Ethernet0/0/1]port hybrid pvid vlan 10 //将端口加入到vlan 10
[Huawei-Ethernet0/0/1]port hybrid untagged vlan 10 //剥离vlan 10标签
[Huawei-Ethernet0/0/1]port hybrid untagged vlan 20 //剥离vlan 20 标签
[Huawei-Ethernet0/0/1]port hybrid untagged vlan 30 //剥离vlan 30 标签
[Huawei]interface Eth 0/0/2 [Huawei-Ethernet0/0/2]port link-type hybrid
[Huawei-Ethernet0/0/2]port hybrid pvid vlan 20
[Huawei-Ethernet0/0/2]port hybrid untagged vlan 20
[Huawei-Ethernet0/0/2]port hybrid untagged vlan 10
[Huawei]interface Eth 0/0/3
[Huawei-Ethernet0/0/3]port link-type hybrid
[Huawei-Ethernet0/0/3]port hybrid pvid vlan 30
[Huawei-Ethernet0/0/3]port hybrid untagged vlan 10
[Huawei-Ethernet0/0/3]port hybrid untagged vlan 30
4258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
