VLAN原理与配置
什么是VLAN
传统以太网的问题:
在典型交换网络中,但主机发送广播或未知单播帧时,交换机会泛洪至整个广播域中,广播域越大,产生的网络安全问题、垃圾流量等越严重
虚拟局域网
VLAN (Virtual Local Area Network):虚拟局域网技术,通过在交换机上部署VLAN,将一个规模较大的广播域划分成若干个小的广播域,有效提升网络安全问题、减少垃圾流量,节约网络资源
特点:一个VLAN就是一个广播域,所在同一VLAN内,计算机可以直接二层通信;不同VLAN内,计算机无法直接通信,需要进行三层通信
优点:
- 灵活构建虚拟工作组
- 限制广播域
- 增强局域网的安全性
- 不受地域限制
VLAN的基本概念
VLAN Tag
VLAN Tag:VLAN标签,表示接收到数据帧属于哪个VLAN
VLAN数据帧
VLAN数据帧的主要形式:
- 有标记帧(Tagged帧):IEEE802.1Q协议规定,在以太网数据帧的目的MAC和源MAC地址之后,协议类型之前插入4个字节的VLAN标签的数据帧。
- 无标记帧(Untagged帧):原始的、未加入4字节VLAN标签的数据帧。
VLAN数据帧格式
TPID:16 bit,Tag Protocol Identifier(标签协议标识符),表示数据帧类型。
- 取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
PRI:3 bit,Priority,表示数据帧的优先级,用于QoS。 - 取值范围为0~7,值越大优先级越高。当网络阻塞时,交换机优先发送优先级高的数据帧。长度3bit。
CFI:1 bit,Canonical Format Indicator(标准格式指示位),表示MAC地址在不同的传输介质中是否以标准格式进行封装,用于兼容以太网和令牌环网。 - CFI取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装。
- 在以太网中CFI取值为0。
VID:12 bit,VLAN ID,表示该数据帧所属VLAN的编号。 - VLAN ID取值范围是0~4095。由于0和4095为协议保留取值,所以VLAN ID的有效取值范围是1~4094。
- 交换机利用VLAN标签中的VID来识别数据帧所属的VLAN,广播帧只在同一VLAN内转发,这就将广播域限制在一个VLAN内。
如何识别带VLAN标签的数据帧:
- 数据帧的Length/Type = 0x8100。
- 注意:计算机无法识别Tagged数据帧,因此计算机处理和发出的都是Untagged数据帧;为了提高处理效率,交换机内部处理的数据帧一律都是Tagged帧。
VLAN的划分方式
- 基于接口划分:根据交换机的接口来划分VLAN。
- 基于MAC地址划分:根据数据帧的源MAC地址来划分VLAN。
- 基于IP子网划分:根据数据帧中的源IP地址和子网掩码来划分VLAN。
- 基于协议划分:根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
- 基于策略划分:根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。
以太网二层接口类型
Access接口:一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。
- 特点:只允许VLAN ID与交换机接口PVID相同的数据帧通过
Trunk接口:一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。
- 特点:允许VLAN ID在允许通过的列表中的数据帧通过,可以允许多个VLAN帧通过,但只允许一个VLAN帧从该接口上发出时剥离Tag
Hybrid接口:既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。
- 允许VLAN ID在允许通过的列表中的数据帧通过,可以允许多个VLAN帧通过,但只允许一个VLAN帧从该接口上发出时剥离Tag
- 区别:可以支持多个VLAN的数据帧,不带标签通过。
- 华为设备默认的接口类型是Hybrid。
处理VLAN数据帧的方式
Access接口
接收数据帧时:
- 当Access接口从链路上收到一个Untagged帧,交换机会打上接口PVID的Tag,然后对得到的Tagged帧进行转发操作(泛洪、转发、丢弃)。
- 当Access接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同,则对这个Tagged帧进行转发操作;如果不同,则直接丢弃这个Tagged帧。
发送数据帧时:
- 当一个Tagged帧从本交换机的其他接口到达一个Access接口后,交换机会检查这个帧的Tag中的VID是否与PVID相同,
- 如果相同,则将这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
- 如果不同,则直接丢弃这个Tagged帧。
Trunk接口
接收数据帧时:
- 当Trunk接口从链路上收到一个Untagged帧,交换机会打上接口PVID的Tag,然后查看PVID是否在允许通过的VLAN ID列表中。如果在,则对得到的Tagged帧进行转发操作;如果不在,则直接丢弃得到的Tagged帧。
-当Trunk接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否在允许通过的VLAN ID列表中。如果在,则对这个Tagged帧进行转发操作;如果不在,则直接丢弃这个Tagged帧。
发送数据帧时:
- 当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID不在允许通过的VLAN ID列表中,则该Tagged帧会被直接丢弃。
-当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID在允许通过的VLAN ID列表中,则会比较该Tag中的VID是否与接口的PVID相同:- 如果相同,则交换机会对这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
- 如果不同,则交换机不会对这个Tagged帧的Tag进行剥离,而是直接将它从链路上发送出去。
Hybrid接口
接收数据帧时:
- 当Hybrid接口从链路上收到一个Untagged帧,交换机会打上接口PVID的Tag,然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在,则对得到的Tagged帧进行转发操作;如果不在,则直接丢弃得到的Tagged帧。
- 当Hybrid接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否在Untagged或Tagged VLAN ID列表中。如果在,则对这个Tagged帧进行转发操作;如果不在,则直接丢弃这个Tagged帧。
发送数据帧时:
- 当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID既不在Untagged VLAN ID列表中,也不在Tagged VLAN ID列表中,则该Tagged帧会被直接丢弃。
- 当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID在Untagged VLAN ID列表中,则交换机会对这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去。
- 当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID在Tagged VLAN ID列表中,则交换机不会对这个Tagged帧的Tag进行剥离,而是直接将它从链路上发送出去。
VLAN的应用
VLAN规划
VLAN分配原则
按业绩规划:可分为语音、视频和数据等
按部门规划:可分为工程部、市场部、财经部等
按应用规划:可分为服务器、办公、教室等
VLAN分配技巧
VLAN ID的分配在有效范围内,可以随意分配和选取,但是为了提高VLAN ID的连续性,可以采用VLAN ID和子网关联的方式进行分配。
VLAN划分应用场景
基于接口的VLAN划分
基于MAC的VLAN划分
VLAN的配置
(暂略)
1967
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
