三、VLAN技术原理
(1)VLAN标签
以太网交换机根据MAC 地址表来转发数据帧。MAC 地址表中包含了端口和端口所连接终端主机MAC 地址的映射关系。交换机从端口接收到以太网帧后,通过查看MAC 地址表来决定从哪一个端口转发出去。如果端口收到的是广播帧,则交换机把广播帧从除源端口外的所有端口转发出去。
在 VLAN 技术中,通过给以太网帧附加一个标签(Tag)来标记这个以太网帧能够在哪个VLAN 中传播。这样,交换机在转发数据帧时,不仅要查找MAC 地址来决定转发到哪个端口,还要检查端口上的VLAN 标签是否匹配。
在上图中,交换机给主机PCA 和PCB 发来的以太网帧附加了VLAN10 的标签,给PCC和PCD 发来的以太网帧附加VLAN20 的标签,并在MAC 地址表中增加关于VLAN 标签的记录。这样,交换机在进行MAC 地址表查找转发操作时,会查看VLAN 标签是否匹配;如果不匹配,则交换机不会从端口转发出去。这样相当于用VLAN 标签把MAC 地址表里的表项区分开来,只有相同VLAN 标签的端口之间能够互相转发数据帧。
IEEE 在802.1Q 中定义了在以太网帧中所附加标签的格式。
(2)802.1Q帧格式
在传统的以太网帧中添加了4 个字节的802.1Q 标签后,成为带有VLAN 标签的帧(Tagged Frame)。而传统的不携带802.1Q 标签的数据帧称为未打标签的帧(Untagged Frame)。
802.1Q标签头包含了2个字节的标签协议标识(TPID)和2 个字节的标签控制信息(TCI)。
TPID(Tag Protocol Indentifier)是IEEE 定义的新的类型,表明这是一个封装了802.1Q标签的帧。TPID 包含了一个固定的值0x8100。TCI(Tag control Information)包含的是帧的控制信息,它包含了下面的一些元素:
-
Priority:
这3 位指明数据帧的优先级。
一共有8 种优先级,0-7。
-
CFI (Canonical Format Indicator):CFI 值为0 说明是规范格式,1 为非规范格式。它被用在令牌环/源路由FDDI 介质访问方法中来指示封装帧中所带地址的比特次序信息。
-
VLAN ID (VLAN Identifier):共12 比特,指明VLAN 的编号。VLAN 编号一共4096 个,每个支持802.1Q 协议的交换机发送出来的数据帧都会包含这个域,以指明自己属于哪一个VLAN。
(3)单交换机VLAN标签操作
交换机根据数据帧中的标签来判定数据帧属于哪一个VLAN,那么标签是从哪里来的呢?
VLAN 标签是由交换机端口在数据帧进入交换机时添加的。这样做的好处是,VLAN 对终端主机是透明的,终端主机不需要知道网络中VLAN 是如何划分的,也不需要识别带有802.1Q 标签的以太网帧,所有的相关事情由交换机负责。
说明:主机不识别带有802.1Q 标签的以太网帧,所以连接终端的交换机接口类型都是access
当终端主机发出的以太网帧到达交换机端口时,交换机检查端口所属的VLAN,然后给进入端口的帧打相应的802.1Q 标签。端口所属的VLAN 称为端口默认VLAN,又称为PVID(Port VLAN ID)。
同样,为保持VLAN 技术对主机透明,交换机负责剥离出端口的以太网帧的802.1Q 标签。
(4)Access链路类型端口
这种只允许默认VLAN 的以太网帧通过的端口称为Access 链路类型端口。Access 端口在收到以太网帧后打VLAN 标签,转发出端口时剥离VLAN 标签,对终端主机透明,所以通常用来连接不需要识别802.1Q 协议的设备,如终端主机、路由器等。
(5)Trunk链路类型端口
允许多个VLAN 帧通过的端口称为Trunk 链路类型端口。Trunk 端口可以接收和发送多个VLAN 的数据帧,且在接收和发送过程中不对帧中的标签进行任何操作。
不过,默认VLAN 帧是一个例外。在发送帧时,Trunk 端口要剥离默认VLAN 帧中的标签;同样,交换机从Trunk 端口接收到不带标签的帧时,要打上默认VLAN 标签。
Trunk 端口一般用于在交换机之间互连。
图示为PCA 至PCC、PCB 至PCD 的标签操作流程。PCA 发出以太网帧,到达SWA 的E1/0/1 端口,端口的默认VLAN 是10,所以以太网帧被打上VLAN10 标签;E1/0/24 端口是Trunk 端口,VLAN10 标签的帧从端口转发至SWB;SWB 从帧中的标签得知它属于VLAN10,于是转发至端口E1/0/1,经剥离标签后到达PCC。PCB 发出的帧在E1/0/2 端口被打上VLAN20的标签;E1/0/24 端口是Trunk 端口且默认VLAN 是20,所以数据帧被剥离标签后转发;当未带标签的数据帧到达SWB 的E1/0/24 端口后,端口给它打上VLAN20 的标签再转发到端口E1/0/2,端口E1/0/2 剥离标签后转发至PCD。
(6)Hybrid链路类型端口
除了 Access 链路类型和Trunk 链路类型端口外,交换机还支持第三种链路类型端口,称为Hybrid 链路类型端口。Hybrid 端口可以接收和发送多个VLAN 的数据帧,同时还能够指定对任何VLAN 帧进行剥离标签操作。
当网络中大部分主机之间需要隔离,但这些隔离的主机又需要与另一台主机互通时,可以使用Hybrid 端口。
在上图中,PCA 发出的以太网帧进入端口时打上VLAN10 的标签,在到达连接PCC 的端口时,端口根据设定(Untag:10,20,30)将数据帧中的标签剥离后发送给PCC,所以PCA与PCC 能够通信;同理,PCB 也能够与PCC 通信。但PCA 发出的以太网帧到达连接PCB的端口时,端口上的设定(Untag:20,30)表明只对VLAN20、VLAN30 的数据帧转发且剥离标签,而不允许VLAN10 的帧通过,所以PCA 与PCB 不能互通。(通过Hybrid的配置,巧妙的实现了PCA和PCB可以访问PCC,但是PCA、PCB之间不互通。详细配置见实现。)
Hybrid端口和Trunk端口的不同:
Hybrid端口允许多个VLAN的以太网帧不带标签;Trunk端口只允许缺省VLAN的以太网帧不带标签
重点总结:
1. VLAN的作用是限制局域网中广播传送的范围;
2. 通过对以太网帧进行打标签操作,交换机区分不同VLAN的数据帧;
3. 交换机的端口链路类型分为Access、Trunk和Hybrid。
附1:
关注我,加微信,获取此次配置工程、更多配置案例,也可以承接远程调试各厂商交换机、路由器、防火墙等私活,欢迎各位老板加微信私聊。
附2:
有打算考华三IE或者华为IE的兄弟可以加我微信私聊。
1297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
