目錄
前言
隨着網絡中計算機的數量越來越多,傳統的以太網絡開始面臨衝突嚴重、廣播氾濫以及安全性無法保障等各種問題。
VLAN(Virtual Local Area Network)即虛擬局域網,是將一個物理的局域網在邏輯上劃分成多個廣播域的技術。通過在交換機上配置VLAN,可以實現在同一個VLAN內的用戶可以進行二層互訪,而不同VLAN間的用戶被二層隔離。這樣既能夠隔離廣播域,又能夠提升網絡的安全性。
傳統以太網
早期的局域網LAN技術是基於總線型結構的,它存在以下主要問題
1. 若某時刻有多個節點同時試圖發送消息,那麼它們將產生衝突。
2. 從任意節點發出的消息都會被髮送到其他節點,形成廣播。
3. 所有主機共享一條傳輸通道,無法控制網絡中的信息安全。這種網絡構成了一個衝突域,網絡中計算機數量越多,衝突越嚴重,網絡效率越低。
同時,該網絡也是一個廣播域,當網絡中發送信息的計算機數量變多時,廣播流量將會耗費大量帶寬。
因此,傳統局域網不僅面臨衝突域太大和廣播域太大兩大難題,而且無法保障傳輸信息的安全。
4. 爲了擴展傳統LAN,以接入更多計算機,同時避免衝突的惡化,出現了網橋和二層交換機,它們能有效隔離衝突域。
5. 爲限制廣播域的範圍,減少廣播流量,需要在沒有二層互訪需求的主機之間進行隔離。因此,人們設想在物理局域網上構建多個邏輯局域網,即VLAN。
VLAN 技術
VLAN能夠隔離廣播域。
VLAN技術可以將一個物理局域網在邏輯上劃分成多個廣播域,也就是多個VLAN。VLAN技術部署在數據鏈路層,用於隔離二層流量。同一個VLAN內的主機共享同一個廣播域,它們之間可以直接進行二層通信。而VLAN間的主機屬於不同的廣播域,不能直接實現二層互通。這樣,廣播報文就被限制在各個相應的VLAN內,同時也提高了網絡安全性。
本例中,原本屬於同一廣播域的主機被劃分到了兩個VLAN中,即,VLAN1和VLAN2。VLAN內部的主機可以直接在二層互相通信,VLAN1和VLAN2之間的主機無法直接實現二層通信。
VLAN幀格式
通過Tag區分不同VLAN
VLAN標籤長4個字節,直接添加在以太網幀頭中,IEEE802.1Q文檔對VLAN標籤作出了說明。
- TPID:Tag Protocol Identifier,2字節,固定取值,0x8100,是IEEE定義的新類型,表明這是一個攜帶802.1Q標籤的幀。如果不支持802.1Q的設備收到這樣的幀,會將其丟棄。
- TCI:Tag Control Information,2字節。幀的控制信息,詳細說明如下:
- Priority:3比特,表示幀的優先級,取值範圍爲0~7,值越大優先級越高。當交換機阻塞時,優先發送優先級高的數據幀。
- CFI:Canonical Format Indicator,1比特。CFI表示MAC地址是否是經典格式。CFI爲0說明是經典格式,CFI爲1表示爲非經典格式。用於區分以太網幀、FDDI(Fiber Distributed Digital Interface)幀和令牌環網幀。在以太網中,CFI的值爲0。
- VLAN Identifier:VLAN ID,12比特,在X7系列交換機中,可配置的VLAN ID取值範圍爲0~4095,但是0和4095在協議中規定爲保留的VLAN ID,不能給用戶使用。
在現有的交換網絡環境中,以太網的幀有兩種格式:
沒有加上VLAN標記的標準以太網幀(untagged frame);有VLAN標記的以太網幀(tagged frame)。
鏈路類型
用戶主機和交換機之間的鏈路爲接入鏈路,交換機與交換機之間的鏈路爲幹道鏈路
VLAN鏈路分爲兩種類型:Access鏈路和Trunk鏈路。
接入鏈路(Access Link):連接用戶主機和交換機的鏈路稱爲接入鏈路。如本例所示,圖中主機和交換機之間的鏈路都是接入鏈路。
幹道鏈路(Trunk Link):連接交換機和交換機的鏈路稱爲幹道鏈路。如本例所示,圖中交換機之間的鏈路都是幹道鏈路。幹道鏈路上通過的幀一般爲帶Tag的VLAN幀。
PVID
PVID表示端口在缺省情況下所屬的VLAN。
缺省情況下,X7系列交換機每個端口的PVID都是1。
PVID即Port VLAN ID,代表端口的缺省VLAN。
交換機從對端設備收到的幀有可能是Untagged的數據幀,但所有以太網幀在交換機中都是以Tagged的形式來被處理和轉發的,因此交換機必須給端口收到的Untagged數據幀添加上Tag。爲了實現此目的,必須爲交換機配置端口的缺省VLAN。當該端口收到Untagged數據幀時,交換機將給它加上該缺省VLAN的VLAN Tag。
端口類型
Access 端口
Access端口在收到數據後會添加VLAN Tag,VLAN ID和端口的PVID相同。
Access端口在轉發數據前會移除VLAN Tag。
Access端口是交換機上用來連接用戶主機的端口,它只能連接接入鏈路,並且只能允許唯一的VLAN ID通過本端口。
Access端口收發數據幀的規則如下:
- 如果該端口收到對端設備發送的幀是untagged(不帶VLAN標籤),交換機將強制加上該端口的PVID。
- 如果該端口收到對端設備發送的幀是tagged(帶VLAN標籤),交換機會檢查該標籤內的VLAN ID。當VLAN ID與該端口的PVID相同時,接收該報文。當VLAN ID與該端口的PVID不同時,丟棄該報文。
- Access端口發送數據幀時,總是先剝離幀的Tag,然後再發送。Access端口發往對端設備的以太網幀永遠是不帶標籤的幀。
在本示例中,交換機的G0/0/1,G0/0/2,G0/0/3端口分別連接三臺主機,都配置爲Access端口。主機A把數據幀(未加標籤)發送到交換機的G0/0/1端口,再由交換機發往其他目的地。
收到數據幀之後,交換機根據端口的PVID給數據幀打上VLAN標籤10,然後決定從G0/0/3端口轉發數據幀。G0/0/3端口的PVID也是10,與VLAN標籤中的VLAN ID相同,交換機移除標籤,把數據幀發送到主機C。
連接主機B的端口的PVID是2,與VLAN10不屬於同一個VLAN,因此此端口不會接收到VLAN10的數據幀。
Trunk 端口
當Trunk端口收到幀時,如果該幀不包含Tag,將添加上端口的PVID;如果該幀包含Tag,則不改變。
當Trunk端口發送幀時,該幀的VLAN ID在Trunk的允許發送列表中:
1. 若與端口的PVID相同時,則剝離Tag發送;
2. 若與端口的PVID不同時,則直接發送。
Trunk端口是交換機上用來和其他交換機連接的端口,它只能連接幹道鏈路。Trunk端口允許多個VLAN的幀(帶Tag標記)通過。
Trunk端口收發數據幀的規則如下:
- 當接收到對端設備發送的不帶Tag的數據幀時,會添加該端口的PVID,如果PVID在允許通過的VLAN ID列表中,則接收該報文,否則丟棄該報文。當接收到對端設備發送的帶Tag的數據幀時,檢查VLAN ID是否在允許通過的VLAN ID列表中。如果VLAN ID在接口允許通過的VLAN ID列表中,則接收該報文。否則丟棄該報文。
- 端口發送數據幀時,當VLAN ID與端口的PVID相同,且是該端口允許通過的VLAN ID時,去掉Tag,發送該報文。當VLAN ID與端口的PVID不同,且是該端口允許通過的VLAN ID時,保持原有Tag,發送該報文。
![在這裏插入圖片描述]()
在本示例中,SWA和SWB連接主機的端口爲Access端口,PVID如圖所示。SWA和SWB互連的端口爲Trunk端口,PVID都爲1,此Trunk鏈路允許所有VLAN的流量通過。當SWA轉發VLAN1的數據幀時會剝離VLAN標籤,然後發送到Trunk鏈路上。而在轉發VLAN20的數據幀時,不剝離VLAN標籤直接轉發到Trunk鏈路上。
Hybrid 端口
Hybrid端口既可以連接主機,又可以連接交換機。
Hybrid端口可以以Tagged 或Untagged方式加入VLAN 。
Access端口發往其他設備的報文,都是Untagged數據幀,而Trunk端口僅在一種特定情況下才能發出untagged數據幀(當VLAN ID與端口的PVID相同,且是該端口允許通過的VLAN ID時),其它情況發出的都是Tagged數據幀。
Hybrid端口是交換機上既可以連接用戶主機,又可以連接其他交換機的端口。Hybrid端口既可以連接接入鏈路又可以連接幹道鏈路。Hybrid端口允許多個VLAN的幀通過,並可以在出端口方向將某些VLAN幀的Tag剝掉。華爲設備默認的端口類型是Hybrid。
在本示例中,要求主機A和主機B都能訪問服務器,但是它們之間不能互相訪問。此時交換機連接主機和服務器的端口,以及交換機互連的端口都配置爲Hybrid類型。交換機連接主機A的端口的PVID是2,連接主機B的端口的PVID是3,連接服務器的端口的PVID是100。
Hybrid端口收發數據幀的規則如下:
- 當接收到對端設備發送的不帶Tag的數據幀時,會添加該端口的PVID,如果PVID在允許通過的VLAN ID列表中,則接收該報文,否則丟棄該報文。
- 當接收到對端設備發送的帶Tag的數據幀時,檢查VLAN ID是否在允許通過的VLAN ID列表中。如果VLAN ID在接口允許通過的VLAN ID列表中,則接收該報文,否則丟棄該報文。
- Hybrid端口發送數據幀時,將檢查該接口是否允許該VLAN數據幀通過。如果允許通過,則可以通過命令配置發送時是否攜帶Tag。
- 配置port hybrid tagged vlan vlan-id命令後,接口發送該vlan-id的數據幀時,不剝離幀中的VLAN Tag,直接發送。該命令一般配置在連接交換機的端口上。
- 配置port hybrid untagged vlan vlan-id命令後,接口在發送vlan-id的數據幀時,會將幀中的VLAN Tag剝離掉再發送出去。該命令一般配置在連接主機的端口上。
本例介紹了主機A和主機B發送數據給服務器的情況。在SWA和SWB互連的端口上配置了port hybrid tagged vlan 2 3 100命令後,SWA和SWB之間的鏈路上傳輸的都是帶Tag標籤的數據幀。在SWB連接服務器的端口上配置了port hybrid untagged vlan 2 3,主機A和主機B發送的數據會被剝離VLAN標籤後轉發到服務器。
VLAN 劃分方法
基於端口的VLAN劃分方法在實際中最爲常見。
VLAN的劃分包括如下5種方法:
基於端口劃分:根據交換機的端口編號來劃分VLAN。通過爲交換機的每個端口配置不同的PVID,來將不同端口劃分到VLAN中。初始情況下,X7系列交換機的端口處於VLAN1中。此方法配置簡單,但是當主機移動位置時,需要重新配置VLAN。
基於MAC地址劃分:根據主機網卡的MAC地址劃分VLAN。此劃分方法需要網絡管理員提前配置網絡中的主機MAC地址和VLAN ID的映射關係。如果交換機收到不帶標籤的數據幀,會查找之前配置的MAC地址和VLAN映射表,根據數據幀中攜帶的MAC地址來添加相應的VLAN標籤。在使用此方法配置VLAN時,即使主機移動位置也不需要重新配置VLAN。
基於IP子網劃分:交換機在收到不帶標籤的數據幀時,根據報文攜帶的IP地址給數據幀添加VLAN標籤。
基於協議劃分:根據數據幀的協議類型(或協議族類型)、封裝格式來分配VLAN ID。網絡管理員需要首先配置協議類型和VLAN ID之間的映射關係。
基於策略劃分:使用幾個條件的組合來分配VLAN標籤。這些條件包括IP子網、端口和IP地址等。只有當所有條件都匹配時,交換機才爲數據幀添加VLAN標籤。另外,針對每一條策略都是需要手工配置的。
VLAN 配置方法
VLAN配置
[SWA]vlan 10
[SWA-vlan10]quit
[SWA]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.
在交換機上劃分VLAN時,需要首先創建VLAN。在交換機上執行vlan 命令,創建VLAN。
如本例所示,執行vlan 10命令後,就創建了VLAN 10,並進入了VLAN 10視圖。VLAN ID的取值範圍是1到4094。如需創建多個VLAN,可以在交換機上執行vlan batch { vlan-id1 [ to vlan-id2 ] }命令,以創建多個連續的VLAN。也可以執行vlan batch { vlan-id1 vlan-id2 }命令,創建多個不連續的VLAN,VLAN號之間需要有空格。
配置 Access 接口
[SWA]interface GigabitEthernet 0/0/5
[SWA-GigabitEthernet0/0/5]port link-type access
[SWA-GigabitEthernet0/0/5]interface GigabitEthernet 0/0/7
[SWA-GigabitEthernet0/0/7]port link-type access
#添加端口到VLAN
[SWA]vlan 2
[SWA-vlan2]port GigabitEthernet 0/0/7
[SWA-vlan2]quit
[SWA]interface GigabitEthernet0/0/5
[SWA-GigabitEthernet0/0/5]port default vlan 3
配置 Trunk 接口
[SWA-GigabitEthernet0/0/1]port link-type trunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
配置 Hybrid 接口
[SWA-GigabitEthernet0/0/1]port link-type hybrid
[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100
[SWA-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 100
[SWA-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 3 100
[SWB-GigabitEthernet0/0/1]port link-type hybrid
[SWB-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100
[SWB-GigabitEthernet0/0/2]port hybrid pvid vlan 100
[SWB-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 100
在本示例中,要求主機A和主機B都能訪問服務器,但是它們之間不能互相訪問。
此時通過命令port link-type hybrid配置交換機連接主機和服務器的端口,以及交換機互連的端口都爲Hybrid類型。通過命令port hybrid pvid vlan 2配置交換機連接主機A的端口的PVID是2。類似地,連接主機B的端口的PVID是3,連接服務器的端口的PVID是100。
通過在G0/0/1端口下使用命令port hybrid tagged vlan 2 3 100,配置VLAN2,VLAN3和VLAN100的數據幀在通過該端口時都攜帶標籤。在G0/0/2端口下使用命令port hybrid untagged vlan 2 100,配置VLAN2和VLAN100的數據幀在通過該端口時都不攜帶標籤。在G0/0/3端口下使用命令port hybrid untagged vlan 3 100,配置VLAN3和VLAN100的數據幀在通過該端口時都不攜帶標籤。
在SWB上繼續進行配置,在G0/0/1端口下使用命令port link-type hybrid配置端口類型爲Hybrid。
在G0/0/1端口下使用命令port hybrid tagged vlan 2 3 100,配置VLAN2,VLAN3和VLAN100的數據幀在通過該端口時都攜帶標籤。
在G0/0/2端口下使用命令port hybrid untagged vlan 2 3 100,配置VLAN2,VLAN3和VLAN100的數據幀在通過該端口時都不攜帶標籤。