前言
VLAN技术是现代企业网络和数据中心网络的核心技术之一。本文将重点针对VLAN技术进行详解。
一.VLAN概述
VLAN(Virtual Local Area Network,虚拟局域网)是一种基于交换机和网络设备的划分技术,可以将不同区域的计算机、服务器和网络设备分成逻辑上的“虚拟”子网,使得不同的虚拟子网在物理上可以处于同一局域网中,但彼此之间相互隔离,从而增强网络的安全性、可管理性和灵活性。
VLAN技术可以通过交换机的端口配置、MAC地址、IP地址、协议类型等多种方式进行划分,从而为网络管理员提供更加细致和灵活的网络管理方式。
作用:
- 隔离广播域,让每个节点(比如电脑、手机)不需要收到太多无关的广播包,从而减少计算性能和网络带宽的无谓消耗。从而保证局域网的性能。
- 隔离常见病毒与攻击,这样即使某个主机感染了arp攻击病毒、dhcp攻击病毒等常见局域网病毒,影响的范围也只限于本vlan,不会影响到其他vlan,可以将故障限制在比较小的范围。一来造成的影响小,二来排查故障也更加容易。
二.VLAN基础认识
VLAN ID:
#查看vlan信息
[Huawei]display vlan
- VID--VLAN ID
IEEE组织将VLAN技术颁布在 802.1Q标准中,该标准中中定义了VID由12位二进制数构成。
其中0和4095不可用于VID ,因此VID的取值范围为:1-4094,设备默认存在 VLAN 1 。
VLAN 执行表格
- 查看 VLAN 执行表格
[LSW1]display port vlan active 
VLAN端口类别
- 交换机的转发原理:
当数据通过交换机的接口进入交换机时,交换机首先查看数据包中的源MAC地址和接口的映射关系 ,同时,记录接口对应的VID。若目标MAC地址在地址表中映射的VID 和源MAC 映射的VID 相同,则进行单播转发,否则,交换机将通过VID 和源MAC地址映射的VID相同的接口泛洪。
- 一层VLAN (物理VLAN):给对应的接口和VLAN ID 作映射
- 二层VLAN:将MAC地址和VLAN ID 作映射
- 三层VLAN;基于数据帧中的类型字段和VID 作映射(例:IPv4属于VID2 IPv6属于VID3)
如上图,LSW 2 为了区分 LSW 1 发送的数据包并将数据包发送到对应的vlan 中(例如:将LSW1 vlan1中的数据传送到 LSW2 中的vlan1),需要将数据帧打上标签Tag。
- 未打标签的数据帧为以太网二进制帧(untagged帧)
- 在以太网二进制帧的源MAC和Type之间打上Tag标签的帧为802.1Q帧(Tag帧)
Tag帧用于交换机之间区分数据来源,而交换机与电脑之间数据帧格式为以太网二进制帧帧格式无需使用Tag帧来区分数据,根据此特点,将交换机的接口分为以下几种类型:
- PVID
接口的VID,反应的接口所属的VLAN ID,PVID默认为1
华为·体系下,所有进入交换机的数据帧必须是tagged帧,因此数据帧在进入交换机之前必须打上进入接口的PVID标签。
- VLAN List
当数据通过该端口进入/出去访问其它VLAN 时,如果该端口的VLAN List 的值中有对应VLAN的VID,则允许访问。
- Access接口
交换机和电脑之间的链路称为Access链路,Access链路对应的交换机接口为Access接口。
特点:
只允许发送和接收未打标记的数据帧,Access端口只属于一个Vlan,且仅向Vid = access端口PVid的VLAN 转发数据帧,故Vlan内所有端口都处于untagged状态。Access端口在从主机接收帧时,给帧加上Tag标签;在向主机发送帧时,将帧中的Tag标签剥掉。
Access接口可以修改PVID,可以修改执行列表中的 VLAN List ,无法修改封装类型
- Trunk接口
交换机和交换机之间的链路称为Trunk链路,Trunk链路对应的交换机接口为Trunk接口。
特点:
Trunk端口允许多个Vlan的带标签帧通过,在收发帧时保留Tag标签。在它所属的这些Vlan中,对于报文中Vid = 转发报文的trunk端口PVid,它处于Untagged port状态,此时针对报文中Tag标签值和Trunk接口PVID相同的,trunk端口发出该报文时将剥离标签转发;对于Vid ≠ 端口PVid的报文,它处于Tagged port状态,不会剥离标签。
Access接口可以修改PVID,可以修改执行列表中的 VLAN List ,Trunk端口对应的执行列表中VLAN List可以存在多个VLAN,但无法修改封装类型 。
- Hybrid接口
交换机上既可连接用户主机又可连接其他交换机的端口,它既可连接接入链路又可连接汇聚链路。Hybrid 端口允许多个Vlan的帧通过,并可在出端口方向将某些Vlan帧的Tag标签剥掉。
Hybrid 接口可以修改PVID,可以修改执行列表中的 VLAN List ,Trunk端口对应的执行列表中VLAN List可以存在多个VLAN,可以修改封装类型 。
案例分析:
判断PC7是否可以正常访问PC8
分析:
当PC7访问PC8时,报文来到LSW 4 的0/0/2 接口时,access类型的端口会给主机发送过来的报文打上标签Tag 2,当报文进入交换机来到LSW4 的0/0/1 接口时,Trunk类型的端口会检查Tag标签值是否和PVID相等,图中Tag=PVID,则剥离标签。
当数据包来到LSW5 的0/0/1接口时,Trunk类型的端口会打上标签Tag=3,数据包进入交换机LSW 5来到接口 0/0/2 时,首先查看VLAN List允许通过的VLAN,接着access类型的端口会将Tag值和PVID比较,相等则剥离标签转发,上图相同,则PC7的数据包可以发送给PC8。
配置命令:
配置要求:
在路由器上配置虚拟接口,子接口0.1允许VLAN 3 流量通过,子接口0.2允许VLAN 2流量通过
其余配置如上图所示,全网可达。
- 关闭配置命令的提示信息
[LSW1]undo info-center enable- 创建VLAN:
[LSW1]vlan 2- 将接口划入VLAN
[LSW1]interface Gigabitethernet 0/0/3
#选择链路类型
[LSW1-GigabitEthernet0/0/3]port link-type access
#上一步已已将0/0/1接口对应的链路设定为access链路
#将0/0/1接口对应的链路划入指定VLAN,指定该链路允许通过的VLAN数据
#原因:access链路仅向指定的VLAN发送数据
[LSW1-GigabitEthernet0/0/3]port default vlan 2
其余配置如上- 创建子接口管理不同VLAN
#创建虚拟接口
[R1]interface GigabitEthernet 0/0/0.1
[R1-GigabitEthernet-0/0/0.1]ip address 192.168.1.254 24
#只有交换机可以识别标签,因此需要设置使子接口能够识别标签
[R1-GigabitEthernet-0/0/0.1]dot1q termination vid 2
#子接口并非真实接口无法回复ARP应答包,需要开启ARP广播
[R1-GigabitEthernet-0/0/0.1]arp broadcast enable
子接口0.2配置如上图- 配置trunk接口
[sw1-GigabitEthernet0/0/2]port link-type trunk
#设置允许通过的VLAN
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 3
- 拓展配置
#批量创建VLAN 1-vlan 5
[LSW1]vlan bantch 1 to 5
#单独创建vlan 1 3 5
[LSW1]vlan batch 1 3 5
#批量删除
[LSW1]undo vlan bantch 1 to 5、
#为了提高效率批量配置,可以创建一个临时接口组,将接口划入到接口组中
[LSW1]port-group group-member GIgabitEthernet 0/0/1 GIgabitEthernet 0/0/2
#进入接口组视图进行批量创建,将0/0/1 和 0/0/2 接口同时划入vlan 2
[LSW1-port-group]port link-type access
[LSW1-port-group]port default vlan 2
#修改PVID
[LSW1-GigabitEthernet0/0/2]port hybrid pvid vlan 2
#设置接口转发数据到指定VLAN时不带标签且修改VLAN List允许指定VLAN的流量通过
[LSW1-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 4三.三层交换机
VLANIF接口(交换机虚拟接口)
作用:
VLANIF接口是一种逻辑接口,用于连接VLAN和物理接口。在华为交换机上,VLANIF接口是通过VLANIF概念来实现的,一般用于VLAN间的通信或者子网间的路由,也可以用于配置VLANIF IP地址和VLANIF的QoS策略。VLANIF接口是通过vlanif命令来创建和配置的,也可以通过web界面或其他管理工具进行配置。在使用VLANIF接口时,需要注意的是,要在物理接口上启用相应的VLAN,并在VLANIF接口上配置IP地址和子网掩码。
VLANIF接口是虚拟局域网(VLAN)接口,它主要用于实现VLAN的隔离和交换,可以将不同的VLAN划分成不同的广播域,通过路由器连接实现互联通信。VLANIF接口可以配置IP地址、子网掩码等网络参数,使得连接在不同VLAN中的主机可以互相通信。同时,它也可以配置各种网络服务,如DHCP、NAT等,为不同VLAN中的主机提供相应的网络服务。因此,VLANIF接口在实现企业网络分层和隔离、提高网络安全性、优化网络性能等方面具有重要作用。
- 创建VLANIF
每个VLAN都可以创建一个VLANIF接口
[LSW1]interface vlanif 2
95
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
