文章目錄
一、傳統以太網和虛擬局域網(VLAN)。
1.傳統以太網的問題。
在典型交換網絡中,當某臺主機發送一個廣播幀或未知單播幀時,該數據幀會被泛洪,甚至傳遞到整個廣播域。廣播域越大,產生的網絡安全問題、垃圾流量問題,就越嚴重。
如圖,如果PC4向PC2發送了一個單播幀。此時SW1和SW2不存在關於PC2的MAC地址表項。那麼,SW1和SW2將對該單播幀執行泛洪操作。最後的結果是,PC2雖然收到了該單播幀,但網絡中的很多其他非目的主機,同樣收到了不該接收的數據幀。顯然,廣播域越大,網絡安全問題和垃圾流量問題就越嚴重。
2.虛擬局域網(VLAN)。
爲了解決廣播域帶來的問題,人們引入了VLAN (Virtual Local Area Network),即虛擬局域網技術:通過在交換機上部署VLAN,可以將一個規模較大的廣播域在邏輯上劃分成若干個不同的、規模較小的廣播域,由此可以有效地提升網絡的安全性,同時減少垃圾流量,節約網絡資源。
如圖,將PC4和PC1劃分到同一VLAN1中,其他主機劃分到另外一個VLAN2中,如果PC4向PC2發送了一個單播幀。此時SW1和SW2不存在關於PC2的MAC地址表項。那麼SW1和SW2將對該單播幀執行泛洪操作但是卻只會泛洪到與自己VLAN ID一樣的接口上,所以只有PC1會收到此數據幀,其他主機不會收到。所以劃分VLAN有以下特點和好處:
(1) VLAN的特點:
- 一個VLAN就是一個廣播域,所以在同一個VLAN內部,計算機可以直接進行二層通信;而不同VLAN內的計算機,無法直接進行二層通信,只能進行三層通信來傳遞信息,即廣播報文被限制在一個VLAN內。
- VLAN的劃分不受地域的限制。
(2)VLAN的好處:
- 靈活構建虛擬工作組:用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必侷限於某一固定的物理範圍,網絡構建和維護更方便靈活。
- 限制廣播域:廣播域被限制在一個VLAN內,節省了帶寬,提高了網絡處理能力。
- 增強局域網的安全性:不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信。
- 提高了網絡的健壯性:故障被限制在一個VLAN內,本VLAN內的故障不會影響其他VLAN的正常工作。
二、VLAN數據幀。
VLAN數據幀中的主要字段及其作用:
| 字段 | 作用 |
|---|---|
| TPID | 長度爲2字節,表示幀類型。取值爲0x8100(33024)時表示802.1Q Tag幀。如果不支持802.1Q的設備收到這樣的幀,會將其丟棄。 |
| PRI | Priority,長度爲3比特,表示幀的優先級,取值範圍爲0~7,值越大優先級越高。用於當阻塞時,優先發送優先級高的數據包。如果設置用戶優先級,但是沒有VLAN ID,則VLAN ID必須設置爲0x000。 |
| CFI | CFI (Canonical Format Indicator),長度爲1比特,表示MAC地址是否是經典格式。CFI爲0說明是標準格式,CFI爲1表示爲非標準格式。用於區分以太網幀、FDDI(Fiber Distributed Digital Interface)幀和令牌環網幀。在以太網中,CFI的值爲0。 |
| VID | VLAN Identifier, 長度爲12比特,表示該幀所屬的VLAN。在VRP中,可配置的VLAN ID取值範圍爲1~4094。0和4095協議中規定爲保留的VLAN ID。三種類型:Untagged幀:VID 不計,Priority-tagged幀:VID爲 0x000,VLAN-tagged幀:VID範圍0~4095。三個特殊的VID:0x000:設置優先級但無VID,0x001:缺省VID,0xFFF:預留VID |
三、以太網二層接口及其配置。
1.Access接口。
Access接口一般用於和不能識別Tag的用戶終端(如用戶主機、服務器等)相連,或者不需要區分不同VLAN成員時使用。
| 接口 | 接收 | 發送 |
|---|---|---|
| Access接口 | 當收到Untagged幀,接收該幀,並打上該接口的PVID的Tag。當收到Tagged幀時,如果該幀的VLAN ID與該接口的PVID相同時,接收該幀;如果該幀的VLAN ID與該接口的PVID不同時,丟棄該幀。 | 當幀的VLAN ID與該接口的PVID相同時,剝離掉Tag,然後再將其從該接口發送出去;當幀的VLAN ID與該接口的PVID不同時,禁止在此接口發送。 |
2.Trunk接口。
Trunk接口一般用於連接交換機、路由器、AP以及可同時收發Tagged幀和Untagged幀的語音終端。
| 接口 | 接收 | 發送 |
|---|---|---|
| Trunk接口 | 接口收到Untagged幀時,該幀打上PVID,當PVID在該接口允許通過的VLAN列表裏時接收該幀;當PVID不在允許通過的VLAN列表裏時,丟棄該幀。接口收到Tagged幀時,當該幀的VLAN ID在該接口允許通過的VLAN列表裏時,接收該幀,否則丟棄該幀。 | 幀的VLAN ID與接口PVID相同時,當該幀的VLAN ID在該接口允許通過的VLAN列表中,則將該幀的Tag剝除,然後將其從該接口發送出去;如果VLAN ID不在允許通過的VLAN列表中則禁止將該幀從該接口發出。幀的VLAN ID與接口PVID不同時,當該幀的VLAN ID在該接口允許通過的VLAN列表中,則保留該幀的Tag,然後將其從該接口發送出去;如果VLAN ID不在允許通過的VLAN列表中則禁止將該幀從該接口發出。 |
3.Hybrid接口。
Hybrid接口既可以用於連接不能識別Tag的用戶終端(如用戶主機、服務器等),也可以用於連接交換機、路由器以及可同時收發Tagged幀和Untagged幀的語音終端、AP。華爲設備默認的接口類型是Hybrid。
| 接口 | 接收 | 發送 |
|---|---|---|
| Hybrid接口 | 接口收到Untagged幀時,該幀打上PVID,當PVID在該接口允許通過的VLAN列表裏時接收該幀;當PVID不在允許通過的VLAN列表裏時,丟棄該幀。接口收到Tagged幀時,當該幀的VLAN ID在該接口允許通過的VLAN列表裏時,接收該幀,否則丟棄該幀。 | 幀的VLAN ID是該接口允許通過的VLAN ID時,當管理員通過命令設置發送該VLAN的幀時不攜帶Tag,則將該幀的Tag剝除,然後將其從該接口發送出;當管理員通過命令設置發送該VLAN的幀時攜帶Tag,則保留該幀的Tag,然後將其從該接口發送出去。 |
4.配置示例。
關於三種接口的配置參考以下兩個實驗:
(1)使用eNSP搭建以下拓撲圖,PC1和PC3屬於vlan 2,PC2和PC4屬於vlan 3,相同vlan可以互通,不同vlan不可以。
S1的配置如下,S2類似:
[S1]vlan batch 2 3 批量創建VLAN2和VLAN3
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access 修改接口類型爲access
[S1-GigabitEthernet0/0/1]port default vlan 2 修改access的pvid
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 3
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type trunk 修改接口類型爲Trunk
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3 放行VLAN2和VLAN3
查看S1的vlan信息:
[S1]display vlan
查看各個接口的VALN信息:
[S1]display port vlan active
(2)使用eNSP搭建以下拓撲圖,PC1屬於vlan 10,PC2屬於vlan 20,PC3屬於vlan 30,使用hybrid接口實現vlan 10和vlan 20可以與vlan 30互通,但是vlan 10和vlan 20不能互通。
S1的配置如下:
[S1]vlan batch 10 20 30
[S1]interface Ethernet 0/0/1
[S1-Ethernet0/0/1]port hybrid pvid vlan 10 //默認接口類型就是hybrid,直接修改默認vlan
[S1-Ethernet0/0/1]port hybrid untagged vlan 10 30 //放行vlan 10和30,發出時剝離tag
[S1]interface Ethernet 0/0/2
[S1-Ethernet0/0/1]port hybrid pvid vlan 20
[S1-Ethernet0/0/2]port hybrid untagged vlan 20 30 //放行vlan 20和30,發出時剝離tag
[S1]interface Ethernet 0/0/3
[S1-Ethernet0/0/3]port hybrid tagged vlan 10 20 30 //放行vlan 10、20、30
S2的配置如下:
[S2]vlan batch 10 20 30
[S2]interface Ethernet 0/0/1
[S2-Ethernet0/0/1]port hybrid pvid vlan 30
[S2-Ethernet0/0/1]port hybrid untagged vlan 10 20 30
[S2]interface Ethernet 0/0/3
[S2-Ethernet0/0/3]port hybrid tagged vlan 10 20 30
分別查看S1、S2各個接口的VALN信息:
