VLAN
定义:是将一个物理的局域网在逻辑上划分成多个广播域。通过交换机上配置vlan,可以实现同一个VLAN 用户进行二层访问,不同的VLAN间的用户被二层隔离。这样既能够隔离广播域,又能提升网络安全性。
VLAN 帧格式
• VLAN标签长4个字节,直接添加在以大网帧头中,IEEE802.1Q文档对VLAN标签作出了说明.
TPID: Tag Protocol Identifier , 2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
TCI : Tag Control Information ,2字节。帧的控制信息,详细说明如下:
Priority :3比特,表示帧的优先级,取值范国为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧。
CFI : Canonical Format Indicator. 1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式CFI为1表示为非经典格式。用于区分以太网帧、 FDDI ( Fiber Distributed Digital Interface )帧和令牌环网帧。在以大网中,CFI的值为0。
VLAN Identifier : VLAN ID. 12比特,在X7系列交换机中, 可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用。
在现有的交换网络环境中,以太网的帧有两种格式:
没有加上VLAN标记的标准以太网帧( untagged frame ):
有VLAN标记的以太网帧( tagged frame ) .
链路类型和端口类型
链路类型
VLAN链路分为两种类型:Access链路和Trunk链路
接入链路(Access Link ):连接用户主机和交换机的链路称为接入链路。如本例所示,图中主机和交换机之间的链路都是接入链路。
干道链路(Trunk Link):连接交换机和交换机的链路称为干道链路。如本例所示,图中交换机之间的链路都是千道链路。千道链路工通过的帧一般为带Tag的VLAN帧。
PVID
PVID即Port VLAN ID , 代表端口的缺省VLAN。 交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机心须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时 ,交换机将给它加上该缺省VLAN的 VLAN Tag.
端口类型
Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路,并旦只能允许唯一的VLAN ID通过本端口。
Access端口收发数据帧的规则如下:
如果该端口收到对端设备发送的帧是untagged(不带VLAN标签)交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged(带VLAN签),交换机会检查该标签内VLAN iD。当VLAN ID与该端口的PVID相同时接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。
Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以大网帧永远是不带标签的帧。
在本示例中,交换机的G0/0/1,GO/0/2,GO/0/3端口分别连接三台主机,都配置为Access端口。主机A把数据帧(未加标签)发送到交换机的GO/0/1端口,再由交换机发往其他目的地。收到数据帧后,交换机根据端口的PVID给数据帧打VLAN标签10,然后决定从GO/0/3端口转发数据帧。GO/0/3端口的PVID也是10, 与VLAN标签中的VLAN ID相同,交换机移除标签,把数据帧发送到主机C。连接主机B的端口的PVID是2,与VLAN10不属于同个VLAN 因此此端口不会接收到VLAN 10的数据帧。
配置:[Huawei]interface Ethernet0/0/1
[Huawei-Ethernet0/0/1]port link-type access 先将该接口定义为接入模式
[Huawei-Ethernet0/0/1]port default vlan 2 再降该接口划分到对于的vlan中
[Huawei]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4 Ethernet 0/0/10 to Ethernet 0/0/20 批量进入接口,进行批量的划分
Trunk常口是交换机 上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带Tag标记)通过。
Trunk端口收发数据帧的规则如下:
当接收到对端设备发送的不带Tag的敢据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时 ,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN DD在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。
端口发送数据帆时,当VLAN ID与端口的PVID相同 ,且是该端口允许通过的VLAN D时去掉Tag ,发送该报文。当VLAN ID与端口的PVID不同,旦是该端口允许通过的VLAN ID时,保持原有Tag ,发送该报文.
在本示例中,SWA和SWB连接主机的端口为Access端口,PVID如图所示。SWA和SWB互连的端口为Trunk端口,PVID都为1,此Trunk链路允许所有VLAN的流量通过。当SWA转发VLAN1的数据帧时会剥离VLAN标签,然后发送到Trunk链路上。而在转发VLAN20的数据帧时,不剥离VLAN标签直接转发到Trunk链路上。
配置:
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk 定义接口为trunk模式;华为设备,默认trunk干道仅允许VLAN1通过;需要手工添加通过列表
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
Access端口发往其他设备的报文,都是Untagged数据帧,而Trunk端口仅在一种特定情況下才能发出untagged数据帧,其它情况发出的都是Tagged数据帧。
Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。
在本示例中,要求主机^和主机B都能访问服务器,但是它们之间不能互相访问。此时交换机连接主机和服务器的端口 ,以及交换机互连的端口都配置为Hybrid类型。交换机连接主机A的端口的PVID是2,连接主机B的端口的PVID是了,连接服务器的端口的PVID是100。
配置:[sw1]interface Eth0/0/21
[sw1-Ethernet0/0/21]port link-type hybrid
[sw1-Ethernet0/0/21]port hybrid tagged vlan 2 to 3
[sw1-Ethernet0/0/21]port hybrid untagged vlan 4 to 5 允许vlan2、3、4、5进或出;但2/3在出时携带vlan封装,4/5在出时不携带vlan封装;
[sw1-Ethernet0/0/21]port hybrid pvid vlan 2 修改PVID
切记:华为设备中,若路由器上配置了子接口,每个子接口均会定义管理的VID;
若存在子接口的物理接口,接收到数据包中不存在vlan封装,将由物理接口管理;
2588
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
