VLAN技术 | 您所在的位置:网站首页 › VLAN的作用有 › VLAN技术 |
大家好,又见面了,我是你们的朋友全栈君。 本文首次发布于 Mlin Blog、简书、CSDN,作者 @木林(Mlin) ,转载请保留原文链接。 前言正文 一、VLAN基本概念 1 VLAN概述2 VLAN帧格式3 VLAN链路类型4 PVID5 VLAN端口类型 5.1 Access端口5.2 Trunk端口5.3 Hybrid端口6 VLAN划分 6.1 VLAN划分方法6.2 VLAN划分匹配优先级二、VLAN通信原理 1 VLAN基本通信原理2 VLAN内跨设备通信3 VLAN间通信 3.1 VLAN间通信——单臂路由3.2 VLAN间通信——三层交换机虚接口三、VLAN Aggregation 1 基本概念2 通信原理 2.1 Sub-VLAN间三层通信2.2 Sub-VLAN与外部网络的二层通信2.3 Sub-VLAN与外部网络的三层通信四、MUX VLAN五、Voice VLAN应用前言虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。 VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。 正文一、VLAN基本概念1 VLAN概述将一个物理的LAN在逻辑上划分成多个广播域的通信技术将广播报文限制在一个VLAN内![]() 本例中,原本属于同一广播域的主机被划分到了两个VLAN中,即,VLAN1和VLAN2。VLAN内部的主机可以直接在二层互相通信,VLAN1和VLAN2之间的主机无法直接实现二层通信。 特点 限制广播域:广播域被限制在一个VLAN内,从而节省了带宽、提高了网络处理能力。增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能与其它VLAN内的用户直接通信。提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。2 VLAN帧格式VLAN Tag 标识所属VLAN遵循IEEE 802.1Q标准支持802.1Q协议的交换机既可以收发有标记帧,也可以收发无标记帧交换机内部的数据包一律携带Tag![]() ![]() ![]() 端口类型用于识别VLAN帧,每种端口类型均可配置一个缺省VLAN 5.1 Access端口Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同。Access端口在转发数据前会移除VLAN Tag。![]() Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。 Access端口收发数据帧的规则如下: 如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时,接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。在本示例中,交换机的G0/0/1,G0/0/2,G0/0/3端口分别连接三台主机,都配置为Access端口。主机A把数据帧(未加标签)发送到交换机的G0/0/1端口,再由交换机发往其他目的地。收到数据帧之后,交换机根据端口的PVID给数据帧打上VLAN标签10,然后决定从G0/0/3端口转发数据帧。G0/0/3端口的PVID也是10,与VLAN标签中的VLAN ID相同,交换机移除标签,把数据帧发送到主机C。连接主机B的端口的PVID是2,与VLAN10不属于同一个VLAN,因此此端口不会接收到VLAN10的数据帧。5.2 Trunk端口当Trunk端口收到帧时,如果该帧不包含Tag,将添加上端口的PVID;如果该帧包含Tag,则不改变。当Trunk端口发送帧时,该帧的VLAN ID在Trunk的允许发送列表中:若与端口的PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送。![]() Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带Tag标记)通过。 Trunk端口收发数据帧的规则如下: 当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文。当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。在本示例中,SWA和SWB连接主机的端口为Access端口,PVID如图所示。SWA和SWB互连的端口为Trunk端口,PVID都为1,此Trunk链路允许所有VLAN的流量通过。当SWA转发VLAN1的数据帧时会剥离VLAN标签,然后发送到Trunk链路上。而在转发VLAN20的数据帧时,不剥离VLAN标签直接转发到Trunk链路上。5.3 Hybrid端口Hybrid端口既可以连接主机,又可以连接交换机。Hybrid端口可以以Tagged 或Untagged方式加入VLAN 。![]() Access端口发往其他设备的报文,都是Untagged数据帧,而Trunk端口仅在一种特定情况下才能发出untagged数据帧,其它情况发出的都是Tagged数据帧。 Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。Hybrid端口收发数据帧的规则如下: 当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。Hybrid端口发送数据帧时,将检查该接口是否允许该VLAN数据帧通过。如果允许通过,则可以通过命令配置发送时是否携带Tag。在本示例中,要求主机A和主机B都能访问服务器,但是它们之间不能互相访问。此时交换机连接主机和服务器的端口,以及交换机互连的端口都配置为Hybrid类型。交换机连接主机A的端口的PVID是2,连接主机B的端口的PVID是3,连接服务器的端口的PVID是100。配置port hybrid tagged vlan vlan-id命令后,接口发送该vlan-id的数据帧时,不剥离帧中的VLAN Tag,直接发送。该命令一般配置在连接交换机的端口上。配置port hybrid untagged vlan vlan-id命令后,接口在发送vlan-id的数据帧时,会将帧中的VLAN Tag剥离掉再发送出去。该命令一般配置在连接主机的端口上。6 VLAN划分6.1 VLAN划分方法![]() ![]() ![]() ![]() ![]() 为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。VLANIF接口由此而产生。 在交换机上划分了2个VLAN:VLAN2和VLAN3。可通过如下配置实现VLAN间互通。 在S1上创建2 个VLANIF接口并配置VLANIF接口的IP地址,保证两个VLANIF接口对应的IP地址路由可通。将用户设备的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。PC1和PC2的通信过程如下: PC1将PC2的IP地址和自己所在网段进行比较,发现PC2和自己不在同一个子网。PC1发送ARP请求给自己的网关S1,请求网关的MAC地址。S1收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLANIF2的MAC地址。PC1学习到网关的MAC地址。PC1向网关发送目的MAC为VLANIF2接口MAC 地址、目的IP为PC2的IP地址的报文。S1收到该报文后进行三层转发,发现PC2的IP地址为直连路由,报文将通VLANIF3 接口进行转发。S1作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求PC2的MAC地址。PC2收到网关发送的ARP广播后,对此请求进行ARP应答。网关收到PC2的应答后,就把PC1的报文发送给PC2。PC1之后要发给PC2的报文将由交换机S1做三层交换。三、VLAN Aggregation1 基本概念VLAN Aggregation使处于相同子网的VLAN实现广播隔离 Super-VLAN,只建立三层接口,不包含物理端口,是若干Sub-VLAN 的集合Sub-VLAN,只包含物理端口,不能创建三层接口,用于隔离广播域的VLAN,通过Super-VLAN与外部实现三层交换![]() VLAN Aggregation(VLAN聚合,也称Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN 属于同一个子网。 Super-VLAN:和通常意义上的VLAN不同,它只建立三层接口,与该子网对应,而且不包含物理端口。可以把它看作一个逻辑的三层概念——若干Sub-VLAN的集合。Sub-VLAN:只包含物理端口,用于隔离广播域的VLAN,不能建立三层VLAN接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。2 通信原理2.1 Sub-VLAN间三层通信使能Sub-VLAN间的ARP Proxy功能,实现Sub-VLAN间互通。![]() ![]() Super-VLAN中是不存在物理端口的,这种限制是强制的,表现在: 如果先配置了Super-VLAN,再配置Trunk接口时,Trunk的VLAN allowed表项里就自动滤除了Super VLAN。如果先配好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因是有物理端口的VLAN都不能被配置为Super VLAN。而允许所有VLAN通过的Trunk端口是所有VLAN的tagged端口,当然任何VLAN 都不能被配置为Super VLAN。对于设备S1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发的。2.3 Sub-VLAN与外部网络的三层通信![]() ![]() MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN: Principal VLAN,所属端口为Principal port,Principal port可以和MUX VLAN内的所有端口进行通信。Subordinate VLAN Separate VLAN,所属端口为Separate port,Separate port只能和Principal port进行通信,和其他类型的端口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。Group vlan,所属端口为Group port,Group port可以和Principal port进行通信,在同一组内的端口也可互相通信,但不能和其他组端口或Separate port 通信。每个Group VLAN必须绑定一个Principal VLAN。拓扑描述 根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。五、Voice VLAN应用通过配置Voice VLAN可以区分语音流量和业务流量,使语音流量优于业务流量,从而为语音流量提供服务保证。![]() 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/169381.html原文链接:https://javaforall.cn |
CopyRight 2018-2019 实验室设备网 版权所有 |