vlan技术,是一种把局域网(LAN)划分为多个逻辑vlan,每个vlan都是一个广播域。
收益:
限制广播域:广播域限制在一个vlan中,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同vlan之间不能互访。
提高了网络的健壮性:故障被限制在vlan内,不会影响到其他的vlan中。
灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
基本通信原理:
当一个数据进入交换机,如果没有vlan tag,并且接口上配置了pvid(Port Default VLAN ID),数据帧出去的时候就会打印相应的vlan tag。
Access接口的作用:
Access接口一般用于连接不支持802.1q标签的主机和其他非交换机设备,或者在不需要区分VLAN成员的场景中使用
Trunk link的作用:
中继作用:把vlan报文透传到互联的交换机。
干线作用:一条trunk link上可以传输多个vlan的报文。
可以承载多个vlan数据,数据帧在通过trunk链路传输时会被打上标签,接口缺省VLAN的数据帧通过trunk链路时不带标签
Hybrid接口作用:
Hybrid接口用于连接不支持802.1Q标签的设备,可以用于连接交换机、路由器以及IP语音电话、AP等。允许多个vlan的帧以不带标签的方式通过,也可允许多个vlan到标签通过。对应的链路可以是接入链路也可以是干道链路。
Hybrid接口和Trunk接口的特性基本相同,这两种接口在接收数据时,处理方式是一样的,唯一不同处在于发送数据时,hybrid接口可以允许多个vlan 的报文发送时不打标签,而trunk接口只允许缺省vlan 的报文发送时不打标签。
在某些场景下必须使用hybrid接口,比如在使用策略划分vlan 的网络中,交换机的一个接口下可能连接多台属于不同vlan的设备,这些设备发的数据帧都不带标签,交换机接收后需要根据策略给数据帧打不上不同vlan的标签,这时必须要使用hybrid接口。
vlan划分
基于端口划分
原理:交换机端口编号划分vlan,蒋交换机的单个或多个接口划分到某一个vlan,可以不连续,可以位于不同交换机上access接口智能被划分到一个vlan中,trunk和hybrid被划分到多个vlan 中;如果一个数据包进入交换机每有标签就会打上标签,如果有标签就看是否一致。
特点:划分vlan的方式简单,接口配置比较固定,网络运维和管理很方便。缺点时更换设备后需要在新的设备上重新配置端口,移动性支持不好。
基于mac地址划分
原理:需要先配置好mac地址和vlan的对应关系。收到不带标签的数据帧,根据是剧中的源mac地址查找源mac地址和vlan的映射表。
特点:优点是设备在不同物理位置间移动(从接口移动到另一个接口),不要重新配置。缺点就是要收集用户mac地址,然后再配置映射表。使用这种方法会降低网络的性能。再交换机上一个即可可能存在多个vlan用户,但接口可能需要转发多个vlan的广播流量,导致广播流量占用过多的网络资源。如果mac地址不断变化,从而需要频繁更新vlan的配置。
应用在经常移动但网卡不经常更换的小型网络
基于子网划分
原理:这种方式是根据数据帧的源IP地址和子网掩码来划分vlan,需要交换机能够检查到数据帧中的网络层信息,但不是根据路由表来划分vlan,而是根据ip地址和vlan的对应关系表来划分vlan。
特点:用户设备的物理位置发送改变,只要不改变ip地址,就不需要重新划分vlan减轻配置任务,利于管理。缺点是用户数量大而且用户的位置分布没有规律时,ip地址和vlan间映射关系的规划和配置比较麻烦。这种方法需要交换机检查每个数据包的网络层地址,所以需要消耗一定的处理时间和系统资源开销。
基于协议划分vlan
原理:交换机根据以太网数据帧头中的类型字段来辨别该数据的类型。如8x0806是ARP报文,0x0800是IP报文。需要配置好协议类型和vlan的映射表。
特点:将不同服务类型的流量关联到指定的vlan,方便对于各种业务或控制流量的区分和管理。需要对网络中所有的协议类型和vlan id的映射关系表进行初始化配置。西药分享各种协议的格式并进行相应的转换,从而消耗交换机较多的资源,转发效率上稍具劣势。
可以在多个场景中使用,利用这种方法可以很方便地管理各种业务流量
基于策略划分vlan
根据多种划分vlan方式的组合而产生的,策略主要是“基于mac地址+ip地址”和“基于mac地址+ip地址+端口“。第二种是指在交换机上绑定终端的mac地址和ip地址、接口组合的策略划分vlan是指带交换机上绑定终端的mac地址和ip地址或接口并于vlan 关联。符合策略的终端加入指定vlan后,严禁修改ip地址或mac地址,甚至不能改变接入的交换机端口。
特点:对于安全程度要求高的网络中,可以防止用户擅自修改设备的地址,导致管理难度加大。使用地址加端口的绑定方式可以避免未经授权的用户擅自加入网络,给网络的安全带来隐患。
vlan聚合
原因:因为vlan划分多个广播域导致ipi地址过渡的浪费。
实现原理:vlan聚合定义了两层vlan,分别是super-vlan和sub-vlan。每个sub-vlan对应一个广播域,super-vlan是sub-vlan的上级vlan。只需要为super-vlan分配一个ip子网,所有sub-vlan公用。给sub-vlan分配ip地址时,基于整个super-vlan的主机需求来规划,不会造成sub-vlan的地址浪费。这保证每个sub-vlan作为一个独立的广播域实现广播隔离,又节省了ip地址资源。
super-vlan:super-vlan为sub-vlan创建三层接口,从而保证各个sub-vlan之间及与外网的三层通信。super-vlan不属于物理接口,判断super-vlan是否up只要查看sub-vlan是否up就可以了。
sub-vlan:为主机提供接入功能,sub-vlan不能创建三层接口,只是用来隔离二层,sub-vlan不能占用一个独立的子网网段。
因为sub-vlan中都是在同一网段,导致pc1与2、3通信使用的是二层不是三层,又因为划分在了不同sub-vlan所以无法通信,这里需要proxy ARP。
Mux vlan
利用vlan控制网络资源访问的技术。该技术实现了网络隔离,又节省了vlan。可以利用mux vlan技术有效地保障用户数据的安全,同时抑制病毒的泛滥。
实现原理:mux定义了两级vlan,分别为principal vlan(主vlan)和subordinate vlan(从vlan),subordinate vlan分为separate vlan(隔离vlan)和group vlan(互通型vlan)。
这些端口只能拥有一个vlan,必须是access或hubrid untagged类型的,如果是trunk端口或端口上有多个vlan。是不能启动mux vla功能。
主端口、隔离端口和组端口之间的通信规则。
主端口可以和MUX VLAN内的所有端口进行通信。
隔离端口只能和主端口进行通信,和其他类型的端口完全隔离,即使和同VLAN内的其他隔离端口也完全隔离,但跨设备在同Separate VLAN内是可以通信的。
组端口可以和主端口进行通信,在同一组 VLAN内的端口也可互相通信,但不能和其他组VLAN端口或隔离端口通信,但跨设备在同Group VLAN内是可以通信的。
Voice vlan
配置voice vlan,交换机可以识别语音流,将语音流加入到voice vlan中传输。并对其进行的针对性的qos保障,当网络发生拥塞时可以优先保证语音流的传输。
Voice vlan可以通过两种方式来实现对语音数据流的识别。
通过收到报文的源MAC地址,即基于MAC地址的方式
设备根据MAC地址字段来判断是否为语音数据流。源MAC地址设置的语音设备的组织唯一标识符OUI。
通过报文携带的VLAN tag,即基于VLAN方式
有大量的IP电话接入,配置OUI就会非常频繁。可在交换机上配置基于VLAN来提升语音报文的优先级,此时设备会根据进入接口的报文的VLAN ID来判断该数据报文是否为语音报文。
Vlan 1不能指定我为Voice vlan
为保证功能的正常使用,voice vlan、接口的缺省vlan分配不同的vlan id
同一时刻,一个接口只能由一个vlan被设置为voice vlan
使用voice vlan功能的接口上不允许再配置vlan mapping、vlan stacking和应用策略
不能再ip电话上配置vlan id为0
QinQ
QinQ也叫VLAN嵌套。使用QinQ可以将带有私网vlan标签的数据再封装一层公网vlan标签,使报文带上两层vlan标签,外部使运营商的公网vlan标签,内层使用户的私网标签。它是一种简单而且廉价的二层vpn解决方案。
QinQ使得vlan数量扩展到了4096x4096.内外层VLAN标签也可以代表不同的信息,内层vlan标签代表用户,外层标签代表业务,更利于业务的部署。QinQ不需要任何控制协议的支持,通过手工配置即可,而且只需要运营商的网络边缘设备支持QinQ,运营商内部只需要支持802.1Q的设备即可。
实现方式
基本QinQ
再端口被配置成为QinQ的隧道模式后,当该端口接口收到报文,不论报文是否带有vlan标签,设备都会为该报文打上本端口缺省VLAN的标签。
如果接收到的使带有标签vlan的报文,该报文就会具有双标签。
如不带标签的vlan报文,只会被带上端口缺省vlan标签的报文。
灵活QinQ
QinQ基于端口区分和标识不同的用户或用户网络,当多个不同用户以不同的vlan接入到同一个端口时则无法区分用户。灵活QinQ可以为不同的数据流打上不同的外层vlan tag;如果根据用户内层标签的vlan id、802.1p优先级等信息的不同,封装不同的外层标签。
QinQ报文的TPID值
TPID:标签协议标识,表示vlan标签的协议类型,IEEE 802.1Q协议规定该字段的取值为0x8100.
检查对应的TPID值,设备可确定收到的帧承载的是运营商vlan标记还是用户vlan标记。设备将配置的TPID与数据帧中TPID值比较。如果二者匹配该帧承载的是对应的vlan标记。反之则任务该帧没有用户vlan标记。设备认为该帧是untagged报文。
BPDU Tunnel
在QinQ组网中,运营商的网络对客户来说是透明的。客户网络与运营商的连接具有冗余路径时,就会导致客户的二层网络出现环路。
为了切断环路,客户要在自己的网络中开启生成树。使同一客户不同分支网络之间能传递BPDU报文进行生成树计算,必须将客户网络的BPDU报文在运营商网络中透传,这个技术称为layer2 protocol tunnel或者BPDU tunnel。
BPDU tunnel:对BPDU报文进行透明传输,使同一个用户网络的BPDU报文在运营商网络内指定的vlan进行广播,使得在不同地域的同一个用户网络可以跨越运营商网络进行统一的生成树计算。由于不同用户网络的BPDU报文在运营商网络的不同vlan中进行广播,因此不同用户网络的BPDU报文相互隔离,可以独立进行生成树计算。
BPDU Tunnel的实现原理是Tunnel端口收到BPDU后,为了避免客户BPDU报文被运营商网络设备处理,需要给封装的BPDU赋予一个特殊的组播MAC作为目的MAC,把原来目的 MAC (01-80-c2-00-00-00)修改为一个组播MAC (01-00-Oc-cd-cd-d0),并在FCS前插入用户信息等相关标识,组播MAC保证报文在VLAN内广播,同时标识这个报文是个 BPDU-Tunnel报文,交换机在收到这个报文时上送CPU处理,还原其BPDU身份,并根据报文中的用户信息标识部分的内容,把报文送到相应的客户网络。
Vlan Mapping
称为vlan映射,主要功能使将用户报文中的私网vlan tag替换为公网vlan tag,按照公网的网络规划进行传输。
实现原理:
数据报文带Tag,根据配置的 VLAN Mapping方式,决定替换单层、双层或双层中的外层Tag;然后进入 MAC地址学习阶段,根据源MAC地址+映射后的VLAN ID刷新MAC地址表项;根据目的MAC+映射后VLAN ID查找MAC地址表项,如果没有找到,则在 VLAN ID对应的VLAN内广播,反之从表项对应的接口转发。
数据报文不带 Tag,根据配置的 VLAN划分方式决定是否添加VLAN Tag,对于不能加入 VLAN 的数据报文上送CPU 或丢弃,反之添加Tag;然后进入 MAC地址学习阶段,按照二层转发流程进行转发。
2240
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
