一、VLAN基础
1、VLAN的定义
VLAN(Virtual Local Area Network,虚拟局域网)是通过在交换机的内部实现逻辑上的网络划分,而不需要依赖传统的物理位置或设备连接。VLAN的主要目的是提高网络管理的灵活性和安全性,同时减少网络管理的复杂性。
2、VLAN的特点
逻辑划分: VLAN不是基于物理位置或设备连接来划分的,而是基于逻辑上的网络需求。这意味着,即使两台计算机位于不同的物理位置,只要它们属于同一个VLAN,它们就可以像在同一局域网内一样进行通信。
提高安全性: 通过VLAN,可以将敏感或关键的数据流量与其他流量隔离开来,从而提高网络的安全性。例如,可以将财务部门的计算机和服务器划分到同一个VLAN中,然后只允许该VLAN内的设备之间进行通信,从而防止未经授权的访问。
提高灵活性: VLAN允许网络管理员根据组织的需求动态地创建、修改或删除VLAN。这意味着,如果某个部门需要增加新的计算机或服务器,或者某个部门的组织结构发生变化,网络管理员可以轻松地调整VLAN的设置,而不需要重新配置整个网络。
简化网络管理: 通过将网络划分为多个VLAN,网络管理员可以更容易地管理和维护网络。例如,可以使用不同的策略来管理不同的VLAN,包括访问控制、路由和QoS(Quality of Service,服务质量)设置等。
提高性能: VLAN可以减少广播流量和网络拥塞。在一个VLAN中,广播数据包只会发送到该VLAN内的设备,而不会发送到其他VLAN。这可以大大减少不必要的网络流量,提高网络的性能和效率。
二、VLAN的工作原理
1、VLAN Tag
VLAN的工作原理本质是VLAN标签的使用。IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag。这个标签用于识别是否属于同一个VLAN。交换机通过识别这个标签来决定如何处理数据帧,确保只有同一VLAN内的主机能够直接通信,而不同VLAN的主机则不能直接互通,从而限制广播报文在一个VLAN内,提高网络的安全性和性能。
三、VLAN的应用场景
1、企业网络:
VLAN技术可以将企业内部的不同部门或功能划分到不同的VLAN中,实现网络资源的合理分配和隔离。
例如,一个企业可以将财务部门的设备划分到一个VLAN,将市场部门的设备划分到另一个VLAN,从而提高网络安全性和管理效率。
通过这种方式,企业可以简化网络管理,更方便地应用访问控制列表(ACL)、质量服务(QoS)和其他网络服务,同时也可以简化对网络设备的配置和维护。
2、虚拟化数据中心:
在数据中心中,VLAN技术可以用于划分不同的虚拟机、存储和应用,实现资源的隔离和灵活分配。
有助于提高数据中心的运行效率和安全性。
四、接口类型及处理过程
1、access接口
接收数据帧时:
如果是无Tag的数据帧,则接收并打上PVID发出。
如果是有Tagged数据帧,则与PVID比较,相同则接收,不同则丢弃。
发送数据帧时:
将数据帧的VID与PVID比较,如果相同则剥离标签发送;不同则丢弃。
2、trunk接口
接收数据帧时:
如果是无Tag的数据帧,打上PVID,且VID在放行列表中,则接收;VID不在放行列表,则丢弃。
如果是有Tagged数据帧,查看VID是否在放行列表中,在放行列表中,则接收;VID不在放行列表,则丢弃。
发送数据帧时:
如果VID在放行列表中,且VID与PVID一致,则剥离标签发送。
如果VID在放行列表,但VID与PVID不一致,则直接带标签发送。
不在放行列表中,则直接丢弃。
3、hybrid接口
接收数据帧时:
如果是无Tag的数据帧,打上PVID,且VID在放行列表中,则接收;如果VID不在放行列表中,则丢弃。
如果是Tagged数据帧,查看VID是否在放行列表中,在放行列表中,则接收;VID不在放行列表,则丢弃。
发送数据帧时:
VID不在放行列表中,直接丢弃。
VID在Untagged列表中,剥离标签发送。
VID在Tagged列表中,带标签直接发送。