VLAN(Virtual Local Area Network,虛擬局域網)技術的出現,主要爲了解決交換機在進行局域網互聯時無法限制廣播的問題。這種技術可以把一個物理局域網劃分成多個虛擬局域網——VLAN,每個VLAN就是一個廣播域,VLAN內的主機之間通信就和在一個LAN內一樣,而VLAN間的主機則不能直接互通,這樣,廣播數據幀被限制在一個VLAN內。
VLAN技術簡介
廣播風暴
在交換式以太網出現後,同一個交換機下不同的端口處於不同的衝突域,交換式以太網的效率大大增加。但是,在交換式以太網中,由於交換機所有的端口處於一個廣播域內,導致一臺計算機發出的廣播幀,局域網中所有的計算機都能夠接收到,使局域網中的有限網絡資源被無用的廣播信息所佔用。
上圖中,四臺終端主機發出的廣播幀在整個局域網中廣播,假如每臺主機的廣播幀流量是100kbps,則四臺主機達到400kbps;如果鏈路是100Mbps帶寬,則廣播幀佔用帶寬達到0.4%。但如果網絡內主機達到400臺,則廣播流量將達到40Mbps,佔用帶寬達到40%,網絡上到處充斥着廣播流,網絡帶寬資源被極大的浪費。另外,過多的廣播流量會造成網絡設備及主機的CPU負擔過重,系統反應變慢甚至死機。
如何降低廣播域的範圍,提升局域網的性能,是急需解決的問題。
用路由器來隔離廣播
路由器的各個接口處於獨立的廣播域中,終端主機發出的廣播幀在接口被終止。所以,在局域網中使用路由器能夠隔離廣播,減小廣播範圍。
但是,路由器的價格比交換機要高,使用路由器提高了局域網的部署成本。另外,大部分中低端路由器使用軟件轉發,轉發性能不高,容易在網絡中造成性能瓶頸。所以,在局域網中使用路由器來隔離廣播是一個高成本、低性能的方案。
用VLAN隔離廣播
VLAN技術的出現,就是爲了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分多個邏輯的LAN ——VLAN,每個VLAN是一個廣播域,不同VLAN間的設備不能直接互通,只能通過路由器等三層設備而互通。這樣,廣播數據幀被限制在一個VLAN內。
目前,絕大多數以太網交換機都能夠支持VLAN。使用VLAN來減少廣播域的範圍,減少LAN內的廣播流量,是高效率、低成本的方案。
VLAN的優點
VLAN 的劃分不受物理位置的限制。不在同一物理位置範圍的主機可以屬於同一個VLAN:一個VLAN包含的用戶可以連接在同一個交換機,也可以跨越交換機,甚至可以跨越路由器。
VLAN技術的優點如下:
有效控制廣播域範圍:廣播域被限制在一個VLAN內,廣播流量僅在VLAN中傳播,節省了帶寬,提高了網絡處理能力。
增強局域網的安全性:不同VLAN內的報文在傳輸時時相互隔離的,即一個VLAN 內的用戶不能喝其它VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等設備。
靈活構建虛擬工作組:用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必侷限於某一固定的物理範圍,網絡構建和維護更方便靈活。
VLAN類型
基於端口的VLAN
基於端口的VLAN是最簡單、最有效的VLAN劃分方法,它按照端口來定義VLAN成員。將指定端口加入到指定VLAN中之後,該端口就可以轉發指定VLAN的數據幀。
上圖中,交換機端口E1/0/1和E1/0/2被劃分到VLAN10中,端口E1/0/3和E1/0/4被劃分到VLAN20中,則PCA和PCB處於VLAN10中,可以互通;PCC和PCD處於VLAN20中,可以互通。但PCA和PCC處於不同VLAN,它們之間不能互通。
基於MAC地址的VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分。交換機維護一張VLAN映射表,這個VLAN表記錄MAC地址和VLAN的對應關係。這種劃分VLAN的方法其最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以可以認爲這種根據MAC地址的劃分方法是基於用戶的VLAN。
這種方法的缺點是初始配置時,所有的用戶的MAC地址都需要收集,並逐個配置,如果用戶很多,配置的工作量是很大的。此外這種劃分的方法也導致了交換機執行效率的降低,因爲在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播幀。
基於協議的VLAN
基於協議的VLAN是根據端口接收到的報文所屬的協議(族)類型來給報文分配不同的VLAN ID。可用來劃分VLAN的協議族有IP、IPX。
交換機從端口接收到以太網幀後,會根據幀中所封裝的協議類型來確定報文所屬的VLAN,然後將數據幀自動劃分到指定的VLAN中傳輸。
此特性主要用於將網絡中提供的協議類型與VLAN相綁定,方便管理和維護。
基於子網的VLAN
基於IP子網的VLAN是根據報文源IP地址及子網掩碼作爲依據來進行劃分的。設備從端口接收到報文後,根據報文中的源IP地址,找到與現有VLAN的對應關係,然後自動劃分到指定VLAN中轉發。
此特性主要用於將特定網段或IP地址發出的數據在指定的VLAN中傳送。
VLAN技術原理
VLAN標籤
我們知道,以太網交換機根據MAC地址表來轉發數據幀。MAC地址表中包含了端口和端口所連接終端主機MAC地址的映射關係。交換機從端口接收到以太網幀後,通過查看MAC地址表來決定從哪一個端口轉發出去。如果端口收到的是廣播幀,則交換機把廣播幀從除源端口外的所有端口轉發出去。
在VLAN技術中,通過給以太網幀附加一個標籤(Tag)來標記這個以太網幀能夠在哪個VLAN中傳播。這樣,交換機在轉發數據幀時,不僅要查找MAC地址來決定轉發到哪個端口,還要檢查端口上的VLAN標籤是否匹配。
在上圖中,交換機給主機PCA和PCB發來的以太網附加了VLAN10的標籤,給PCC和PCD發來的以太網幀附加VLAN20的標籤,並在MAC地址表中增加關於VLAN標籤的記錄。這樣,交換機在進行MAC地址表查找轉發操作時,會查看VLAN標識是否匹配;如果不匹配,則交換機不會從端口轉發出去。這樣相當於用VLAN標籤把MAC地址表裏的表項區分開來,只有相同VLAN標籤的端口之間能夠互相轉發數據幀。
IEEE在802.1Q中定義了在以太網幀中所附加標籤的格式。
802.1Q幀格式
在傳統的以太網幀中增加了4個字節的802.1Q標籤後,成爲帶有VLAN標籤的幀(Tagged Frame)。而傳統的不攜帶802.1Q標籤的數據幀稱爲未打標籤的幀(untagged Frame)。
802.1Q標籤頭包含了2個字節的標籤協議標識(TPID)和2個字節的標籤控制信息(TCI)。
TPID(Tag Protocol Indentifer)是IEEE定義的新的類型,表明這是一個封裝了802.1Q標籤的幀。TPID包含了一個固定的值0x8100。
TCI(Tag control Information)包含的是幀的控制信息,它包含了下面的一些元素:
Priority:這3位指明數據幀的優先級。一共有8種優先級,0-7。
CFI(Canonical Fromat Indicator):CFI值爲0說明是規範格式,1爲非規範格式。
它被用在令牌環/源路由FDDI介質訪問方法中來封裝幀中所帶地址的比特次序信息。
VLAN ID (VLAN Identifier):共12比特,指明VLAN的編號。VLAN編號一共4096個,每個支持802.1Q協議的交換機發送出來的數據幀都會包含這個域,以指明自己屬於哪一個VLAN。
單交換機VLAN標籤操作
交換機根據數據幀中的標籤來判定數據幀屬於哪一個VLAN,那麼標籤是從哪裏來的呢?VLAN標籤是由交換機端口在數據幀進入交換機時添加的。這樣做的好處是,VLAN對終端主機是透明的,終端主機不需要知道網絡中VLAN是如何劃分的,也不需要識別帶有802.1Q標籤的以太網幀,所有的相關事情由交換機負責。
當終端主機發出的以太網幀到達交換機端口時,交換機檢查端口所屬的VLAN,然後給進入端口的幀打相應的802.1Q標籤。端口所屬的VLAN稱爲端口默認VLAN,又稱爲PVID(Port VLAN ID)。
同樣,爲保持VLAN技術對主機透明,交換機負責剝離出端口的以太網幀的802.1Q標籤。
Access鏈路類型端口
這種只允許默認VLAN的以太網幀通過的端口稱爲Access鏈路類型端口。Access端口在收到以太網幀後打VLAN標籤,轉發出端口時剝離VLAN標籤,對終端主機透明,所以通常用來連接不需要識別802.1Q協議的設備,如終端主機、路由器等。
跨交換機VLAN標籤操作
VLAN技術的很重要的功能是在網絡中構建虛擬工作組,劃分不同的用戶到不同的工作組,同一工作組的用戶也不必侷限於某一固定的物理範圍。通過在網絡中實施跨交換機的VLAN,能夠實現虛擬工作組。
VLAN跨越交換機時,需要交換機之間傳遞的以太網數據幀帶有802.1Q標籤。這樣,數據幀所屬的VLAN信息纔不會丟失。
在上圖中,PCA和PCB所發出的數據幀分別打有VLAN10和VLAN20的標籤,SWA的端口E1/0/24負責對這些帶802.1Q標籤的數據幀進行轉發,並不對其中的標籤進行剝離操作。
Trunk鏈路類型端口
允許多個VLAN幀通過的端口稱爲Trunk鏈路類型端口。Trunk端口可以接收和發送多個VLAN的數據幀,且在接收和發送過程中不對幀中的標籤進行任何操作。
不過,默認VLAN幀是一個例外。在發送幀時,Trunk端口要剝離默認VLAN幀中的標籤;同樣,交換機從Trunk端口收到不帶標籤的幀時,要打上默認VLAN標籤。
Trunk端口一般用於在交換機之間互連。
圖示爲PCA至PCC、PCB至PCD的標籤操作過程。PCA發出以太網幀,到達SWA的E1/0/1端口,端口的默認VLAN是10,所以以太網幀被打上VLAN10標籤;E1/0/24端口時Trunk端口,VLAN10標籤的幀從端口發送至SWB;SWB從幀中的標籤得知它屬於VLAN10,於是轉發至端口E1/0/1,經剝離標籤後到達PCC。PCB發出的幀在E1/0/2端口上被打上VLAN20的標籤;E1/0/24端口時Trunk端口且默認VLAN是20,所以數據幀被剝離標籤後轉發;當未帶標籤的數據幀到達SWB的E1/0/24端口,端口給它打上VLAN20的標籤在轉發到端口E1/0/2,端口E1/0/2剝離標籤後轉發至PCD。
Hybrid鏈路類型端口
除了Access鏈路類型和Trunk鏈路類型端口外,交換機還支持第三種鏈路類型端口,稱爲Hybrid鏈路類型端口。Hybrid端口可以接收和發送多個VLAN的數據幀,同時還能夠指定對任何VLAN幀進行剝離標籤操作。
當網絡中大部分主機之間需要隔離,但這些隔離的主機又需要與另一臺互通時,可以使用Hybrid端口。
在上圖中,PCA發出的以太網幀進入端口時打上VLAN10的標籤,在到達連接PCC的端口時,端口根據設定(Untag:10,20,30)將數據幀中的標籤剝離後發送給PCC,所以PCA與PCC能夠通信;同理,PCB也能與PCC通信。但PCA發出的以太網幀到達連接PCB的端口時,端口上設定(Untag:20,30)表明只對VLAN20、VLAN30的數據幀轉發且剝離標籤,而不允許VLAN10的幀通過,所以PCA與PCB不能互通。
VLAN的基本配置
默認情況下,交換機只有VLAN1,所有的端口都屬於VLAN1且是Access鏈路類型端口。進行VLAN配置的基本步驟如下。
第1步:在系統視圖下創建VLAN並進入VLAN視圖。配置命令爲:
vlan vlan-id
第2步:在VLAN視圖下將指定端口加入到VLAN中。配置命令爲:
port interface-list
配置Trunk端口
Trunk端口能夠允許多個VLAN的數據幀通過,通常用於在交換機之間互連。配置某個端口成爲Trunk端口的步驟如下。
第1步:在以太網端口視圖下指定端口鏈路類型爲Trunk。配置命令爲:
port link-type trunk
第2步:默認情況下,Trunk端口只允許默認VLAN即VLAN1的數據幀通過。所以,需要在以太網端口視圖下指定哪些VLAN幀能夠通過當前Trunk端口。配置命令爲:
port trunk permit vlan {vlan-id-list|all}
第3步:必要時,可以在以太網端口視圖下設定Trunk端口的默認VLAN。配置命令爲:
port trunk pvid vlan vlan-id
注意
默認情況下,Trunk端口的默認VLAN是VLAN1。可以根據實際進行修改默認VLAN,以保證兩端交換機的默認VLAN相同爲原則,否則會發生同一VLAN內的主機跨交換機不能夠通信的情況。
配置Hybrid端口
在某些情況下,需要用到Hybrid端口。Hybrid端口也能夠允許多個VLAN幀通過,並且還可以指定哪些VLAN數據幀被剝離標籤。配置某個端口成爲Hybrid端口的步驟如下。
第1步:在以太網端口視圖下指定端口鏈路類型爲Hybrid。配置命令爲:
port link-type Hybrid
第2步:默認情況下,所有Hybrid端口只允許VLAN1通過。所以,需要在以太網端口視圖下指定哪些VLAN數據幀能夠通過Hybrid端口,並指定是否剝離標籤。配置命令爲:
port Hybrid vlan vlan-id-list {tagged|untagged}
第3步:在以太網端口視圖下設定Hybrid端口的默認VLAN。配置命令爲:
port Hybrid pvid vlan vlan-id
注意
Trunk端口不能直接被設置爲Hybrid端口。只能先設爲Access端口,再設置爲Hybrid端口。
VLAN配置實例
上圖是VLAN的基本配置示例。圖中PCA與PCC屬於VLAN10,PCB與PCD屬於VLAN20,交換機之間使用Trunk端口相連,端口的默認VLAN是VLAN1。
配置SWA:
[SWA]vlan 10
[SWA-vlan10]port Ethernet1/0/1
[SWA]vlan 20
[SWA-vlan20]port Ethernet1/0/2
[SWA]interface Ethernet10/24
[SWA-Ethernet1/0/24]port link-type trunk
[SWA-Ethernet1/0/24]port trunk permit vlan 10 20
配置SWB:
[SWB]vlan 10
[SWB-vlan10]port Ethernet1/0/1
[SWB]vlan 20
[SWB-vlan20]port Ethernet1/0/2
[SWB]interface Ethernet10/24
[SWB-Ethernet1/0/24]port link-type trunk
[SWB-Ethernet1/0/24]port trunk permit vlan 10 20
配置完成後,PCA與PCC能夠互通,PCB與PCD能夠互通;但PCA與PCB,PCC與PCD之間不能夠互通。
VLAN顯示及維護
在任意視圖下可以使用display vlan命令來查看交換機當前啓用的VLAN。
display vlan
由圖中可以看到,目前交換機上有VLAN1、VLAN2、VLAN10存在,VALN1是默認VLAN。
如果要查看某個具體VLAN所包含的端口,可以使用display vlan vlan-id命令。
display vlan vlan-id
由圖中可以看到,VLAN2中包含了Ethernet1/0/1、Ethernet1/0/3和Ethernet1/0/4等3個端口,且VLAN數據幀離開這些端口時需要剝離標籤。
如果要查看具體端口的VLAN信息,可以使用display interface命令。
display interface interface-type interface-number
由圖中可知,端口Ethernet1/0/1的端口鏈路類型爲Access,默認VLAN(Pvid)是VLAN1。如果是Trunk或Hybrid端口,則還會顯示哪些VLAN幀是攜帶標籤通過,哪些VLAN幀需要剝離標籤。