VLAN
- VLAN(Virtual Local Area Network,虚拟局域网)技术的出现,主要为了解决交换机在进
行局域网互连时无法限制广播的问题。这种技术可以把一个物理局域网划分成多个虚拟局域网
——VLAN,每个 VLAN 就是一个广播域,VLAN 内的主机间通信就和在一个 LAN 内一样,而
VLAN 间的主机则不能直接互通,这样,广播数据帧被限制在一个 VLAN 内。
一、VLAN技术简介-广播风暴
广播风暴:设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能。
在交换式以太网出现后,同一个交换机下不同的端口处于不同的冲突域中,交换式以太网
的效率大大增加。但是,在交换式以太网中,由于交换机所有的端口都处于一个广播域内,导
致一台计算机发出的广播帧,局域网中所有的计算机都能够接收到,使局域网中的有限网络资
源被无用的广播信息所占用。
上图中,四台终端主机发出的广播帧在整个局域网中广播,假如每台主机的广播帧流量是
100Kbps,则四台主机达到 400Kbps;如果链路是 100Mbps 带宽,则广播帧占用带宽达到 0.4%。
但如果网络内主机达到 400 台,则广播流量将达到 40Mbps,占用带宽达到 40%,网络上到处
充斥着广播流,网络带宽资源被极大的浪费。另外,过多的广播流量会造成网络设备及主机的
CPU 负担过重,系统反应变慢甚至死机。
如何降低广播域的范围,提升局域网的性能,是急需解决的问题。
用路由器来隔离广播?
路由器的各个接口处于独立的广播域中,终端主机发出的广播帧在接口被终止。所以,在
局域网中使用路由器能够隔离广播,减小广播域范围。
但是,路由器的价格比交换机要高,使用路由器提高了局域网的部署成本。另外,大部分
中低端路由器使用软件转发,转发性能不高,容易在网络中造成性能瓶颈。所以,在局域网中
使用路由器来隔离广播是一个高成本、低性能的方案。
二、用VLAN隔离广播
VLAN 技术的出现,就是为了解决交换机在进行局域网互连时无法限制广播的问题。这种
技术可以把一个 LAN 划分多个逻辑的 LAN——VLAN,每个 VLAN 是一个广播域,不同 VLAN
间的设备不能直接互通,只能通过路由器等三层设备而互通。这样,广播数据帧被限制在一个
VLAN 内。
目前,绝大多数以太网交换机都能够支持 VLAN。使用 VLAN 来减小广播域的范围,减少
LAN 内的广播流量,是高效率、低成本的方案。
三、VLAN 技术的优点如下:
有效控制广播域范围:广播域被限制在一个 VLAN 内,广播流量仅在 VLAN 中传播,
节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内
的用户不能和其它 VLAN 内的用户直接通信,如果不同 VLAN 要进行通信,则需要通
过路由器或三层交换机等设备。
灵活构建虚拟工作组:用 VLAN 可以划分不同的用户到不同的工作组,同一工作组的
用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
四、VLAN类型
基于端口的VLAN
基于协议的VLAN
基于子网的VLAN
五、VLAN技术原理
VLAN标签
交换机用VLAN标签来区分不同VLAN的以太网帧
我们知道,以太网交换机根据 MAC 地址表来转发数据帧。MAC 地址表中包含了端口和端
口所连接终端主机 MAC 地址的映射关系。交换机从端口接收到以太网帧后,通过查看 MAC 地
址表来决定从哪一个端口转发出去。如果端口收到的是广播帧,则交换机把广播帧从除源端口
外的所有端口转发出去。
在 VLAN 技术中,通过给以太网帧附加一个标签(Tag)来标记这个以太网帧能够在哪个
VLAN 中传播。这样,交换机在转发数据帧时,不仅要查找 MAC 地址来决定转发到哪个端口,
还要检查端口上的 VLAN 标签是否匹配。
在上图中,交换机给主机 PCA 和 PCB 发来的以太网帧附加了 VLAN10 的标签,给 PCC
和 PCD 发来的以太网帧附加 VLAN20 的标签,并在 MAC 地址表中增加关于 VLAN 标签的记
录。这样,交换机在进行 MAC 地址表查找转发操作时,会查看 VLAN 标签是否匹配;如果不
匹配,则交换机不会从端口转发出去。这样相当于用 VLAN 标签把 MAC 地址表里的表项区分
开来,只有相同 VLAN 标签的端口之间能够互相转发数据帧。
IEEE 在 802.1Q 中定义了在以太网帧中所附加标签的格式。
六、802.1Q帧格式
在传统的以太网帧中添加了 4 个字节的 802.1Q 标签后,成为带有 VLAN 标签的帧(Tagged
Frame)。而传统的不携带 802.1Q 标签的数据帧称为未打标签的帧(Untagged Frame)。
802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
TPID(Tag Protocol Indentifier)是 IEEE 定义的新的类型,表明这是一个封装了 802.1Q
标签的帧。TPID 包含了一个固定的值 0x8100。
TCI(Tag control Information)包含的是帧的控制信息,它包含了下面的一些元素:
Priority:这 3 位指明数据帧的优先级。一共有 8 种优先级,0-7。
CFI (Canonical Format Indicator):CFI 值为 0 说明是规范格式,1 为非规范格
式。它被用在令牌环/源路由 FDDI 介质访问方法中来指示封装帧中所带地址的比特次
序信息。
VLAN ID (VLAN Identifier):共 12 比特,指明 VLAN 的编号。VLAN 编号一共
4096 个,每个支持 802.1Q 协议的交换机发送出来的数据帧都会包含这个域,以指明
自己属于哪一个 VLAN。
七、单交换机VLAN标签操作
在进入交换机端口时,附加缺省VLAN标签
出交换机端口时,去掉VLAN标签
交换机根据数据帧中的标签来判定数据帧属于哪一个 VLAN,那么标签是从哪里来的呢?
VLAN 标签是由交换机端口在数据帧进入交换机时添加的。这样做的好处是,VLAN 对终端主
机是透明的,终端主机不需要知道网络中 VLAN 是如何划分的,也不需要识别带有 802.1Q 标
签的以太网帧,所有的相关事情由交换机负责。
当终端主机发出的以太网帧到达交换机端口时,交换机检查端口所属的 VLAN,然后给进
入端口的帧打相应的 802.1Q 标签。端口所属的 VLAN 称为端口默认 VLAN,又称为 PVID(Port
VLAN ID)。
同样,为保持 VLAN 技术对主机透明,交换机负责剥离出端口的以太网帧的 802.1Q 标签。
八、vlan链路类型端口
(1)Access链路类型端口
只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧
一般用于连接用户设备
这种只允许默认 VLAN 的以太网帧通过的端口称为 Access 链路类型端口。Access 端口在
收到以太网帧后打 VLAN 标签,转发出端口时剥离 VLAN 标签,对终端主机透明,所以通常用
来连接不需要识别 802.1Q 协议的设备,如终端主机、路由器等。
(2)Trunk链路类型端口
允许多个VLAN通过,可以接收和发送多个VLAN的数据帧
缺省VLAN的以太网帧不带标签
一般用于交换机之间连接
允许多个 VLAN 帧通过的端口称为 Trunk 链路类型端口。Trunk 端口可以接收和发送多个
VLAN 的数据帧,且在接收和发送过程中不对帧中的标签进行任何操作。
不过,默认 VLAN 帧是一个例外。在发送帧时,Trunk 端口要剥离默认 VLAN 帧中的标签;
同样,交换机从 Trunk 端口接收到不带标签的帧时,要打上默认 VLAN 标签。
Trunk 端口一般用于在交换机之间互连。
(3)Hybrid链路类型端口
允许多个VLAN通过,可以接收和发送多个VLAN的数据帧
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口允许多个VLAN的以太网帧不带标签
Trunk端口只允许缺省VLAN的以太网帧不带标签
当网络中大部分主机之间需要隔离,但这些隔离的主机又需要与另一台主机互通时,可以
使用 Hybrid 端口。
VLAN显示及维护
<Switch>display vlan 查看交换机当前启用的 VLAN
<Switch> display vlan 2 查看某个具体 VLAN 所包含的端口
<Switch> display interface ethernet 1/0/1 查看具体端口的 VLAN 信息
1008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
