在学习交换机的基本业务过程,Vlan是L2中有着重要的地位,先需要了解 Vlan技术。
1、VLAN技术
1.1、什么是VLAN
Virtual Local Area Network(虚拟局域网)简称VLAN ,能够将一个物理的LAN在逻辑上划分成多个广播域1。每个VLAN是一个广播域,VLAN内的主机间可以直接通信,而VLAN间则不能直接互通。这样,广播报文就被限制在一个VLAN内。
1.2、为什么需要VLAN
早期以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过二层设备实现LAN互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。举个现实生活的实际例子,比如某公司内所有部门主机同在一个广播域,某主机想广播信息给同一部门的人,又不想让其他部门的人收到;又比如某主机发送的数据帧到达交换机后,在MAC地址表内并没有找到目标MAC地址的表项时,就会进行泛洪2发给其他所有端口,这会增加网络负担。
在这种情况下出现了VLAN技术,这种技术可以把一个LAN划分成多个逻辑的VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,广播报文就被限制在一个VLAN内。
因此,VLAN具备以下优点:
- 限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
- 增强局域网的安全性:不同VLAN内的报文在传输时相互隔离,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
- 提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
- 灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
1.3、802.1Q
广播是在报文的数据链路层,把目标MAC地址设置为全F,交换机收到数据帧后也是根据二层的广播地址进行广播。同样的,VLAN想要划分广播域,要使交换机能够分辨不同VLAN的报文,需要在报文二层数据链路层中添加标识VLAN信息的字段。
IEEE 802.1Q协议规定了Vlan的实现标准。在以太网数据帧的目的MAC地址和源MAC地址之后、协议类型字段之前,加入4个字节的VLAN标签(VLAN Tag),用以标识VLAN信息。
EEE 802.1Q封装的VLAN数据帧格式
-
TPID:Tag Protocol Identifier(标签协议标识符),标识数据帧类型。
根据IEEE 802.1Q标准的定义,取值为0x8100时表示802.1Q Tag(VLAN)帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃
思科有单独的一个类型被称为ISL( 交换链路内协议)
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时, 为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致 -
PRI :Priority,标识帧的QoS优先级,取值范围为0~7,值越大优先级越高,当阻塞时,交换机优先发送优先级高的数据包。如果设置用户优先级,但是没有VID(VLAN ID),则VLAN ID必须设置为0x000
-
CFI:Canonical Format Indicator,标准格式指示 。表示MAC地址是否是标准格式。CFI为0说明是标准格式(以太网帧的MAC地址采用低字节在前),CFI为1表示为非标准格式(以太网帧的MAC地址采用高字节在前)。在以太网中,CFI的值为0
-
VID:VLAN ID,表示该帧所属的VLAN,可配置的VLAN ID取值范围为0~4095。由于协议规定0和4095为保留的VLAN,所以VLAN ID的有效取值范围是1~4094。
1.4、VLAN的接口类型
交换机内部处理的数据帧都带有VLAN标签。而交换机连接的部分设备(如用户主机、服务器)只会收发不带VLAN tag的传统以太网数据帧。因此,在一个VLAN交换网络中,以太网数据帧主要有以下两种形式:
- 无标记帧(Untagged帧):原始的、未加入4字节VLAN标签的帧。
- 有标记帧(Tagged帧):加入了4字节VLAN标签的帧。
要与这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除VLAN标签。添加什么VLAN标签,由接口上的缺省VLAN(Port Default VLAN ID,PVID)决定。
现实网络应用中属于同一个VLAN的用户可能会被连接在不同的交换机上,且跨越交换机的VLAN可能不止一个,如果需要用户间的互通,就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。根据接口连接对象以及对收发数据帧处理的不同,当前有VLAN的多种接口类型,以适应不同的连接和组网。
目前常见的VLAN接口类型有三种,包括:Access、Trunk 和 Hybrid。
1.5、VLAN标签的处理机制
不同厂商对VLAN接口类型的定义以及转发行为可能不同,这里以锐捷设备进行说明
首先,Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器)相连,或者不需要区分不同VLAN成员时使用。
Access接口大部分情况只能收发Untagged帧,且只能为Untagged帧添加唯一VLAN的Tag。交换机内部只处理Tagged帧,所以Access接口需要给收到的数据帧添加VLAN Tag,也就必须配置缺省VLAN。配置缺省VLAN后,该Access接口也就加入了该VLAN。
当Access接口收到带有Tag的帧,并且帧中VID与PVID相同时,Access接口也能接收并处理该帧。
在发送带有Tag的帧前,Access接口会剥离Tag。
而对于Trunk接口,一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的设备终端。它可以允许多个VLAN的帧带Tag通过,但只允许属于缺省VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。
Trunk接口上的缺省VLAN,有的厂商也将它定义为native VLAN。当Trunk接口收到Untagged帧时,会为Untagged帧打上Native VLAN对应的Tag。
最后,Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器)和网络设备(如Hub),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的设备终端、AP。它通过查询tag表和untag表的方式,可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag(即不剥除Tag)、某些VLAN的帧不带Tag(即剥除Tag)。
Hybrid接口和Trunk接口在很多应用场景下可以通用,但在某些应用场景下,必须使用Hybrid接口。比如在灵活QinQ中,服务提供商网络的多个VLAN的报文在进入用户网络前,需要剥离外层VLAN Tag,此时Trunk接口不能实现该功能,因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。
2、什么是Vlan隔离 和 端口隔离
2.1、Vlan隔离
Vlan隔离实际是根据Vlan技术的作用,通过对不同端口、设备终端、用户进行Vlan划分的方式实现业务数据的完全隔离。
另外,Vlan隔离可以基于交换机的端口Vlan划分进行组网隔离,也可以通过基于IP的Vlan划分进行组网隔离
2.2、端口隔离
为了实现接口之间的二层隔离,可以将不同的接口加入不同的VLAN,但这样会浪费有限的VLAN资源。端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。
通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层数据的隔离,使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,增加了网络安全性,提高了网络性能,为用户提供了更安全、更灵活的组网方案。
2.3、Vlan隔离和端口隔离的差异
| 比较项 | Vlan隔离 | 端口隔离 |
|---|---|---|
| 方式 | (端口)加入Vlan组 | (端口)加入隔离组 |
| 结果 | 同一Vlan组中成员可以通信 | 同一隔离组中的成员不能通信 |
| 差异 | 不同Vlan 间数据不互通 | 不同一隔离组中的成员可以通信(相同Vlan) |
| 场景 | 划分Vlan组网,限制广播域 | 有效的阻断各个端口之间的二,三层流量 (包括相同Vlan组内) |
| 范围 | 具有全局性,不同设备的相同Vlan可实现互转 | 具有本地性,不同设备上的端口隔离不能生效 |
437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
