NSX原理与实践----vlan学习

一、初识VLAN
先提一点：交换机分割冲突域，路由器分割广播域，这是很重要的一点，接下来下面所要讲的关于VLAN的知识点都是基于上面的这个原理。VLAN是一个网络用户和网络资源的逻辑编组，VLAN会与管理者定义的交换机端口相连，这样就可以指定交换机端口为不同的子网服务，从而在第二层交换机网络中创建更小的广播域。从这里看的话，VLAN就像是一个独立的子网或广播域，这也就保证了广播只会在同一个VLAN的端口之间交换。在同一个VLAN中，所有的设备都属于同一个广播域，接收这个广播域中的其他设备发出的所有广播，而且这些广播不会通过连接到其他VLAN的交换机端口转发出去。，VLAN还有一个好处，是关于安全方面的，在平面型网络中，用户只需将其工作站连接到集线器，就可以加入到相应的用户组，这样子是不安全的，而VLAN的交换型网络恰恰可以控制每个端口以及通过该端口可以访问的资源。
这里就存在了一个问题，你可能会问那么到底还需要路由器吗？路由器还有没有用？答案是有用的，但是至于是否需要路由器就看具体的情况了，因为正常情况下不同VLAN之间的主机是不能通信的，但是如果需要进行通信，就仍旧需要路由器，因为我之前已经提到过，VLAN划分出来的是广播域，就需要路由器连接。
通过上面的讲解就可以总结出：默认情况下，交换机将广播发送给所有端口，但是如果创建了VLAN，就可以在第二层创建更小的广播域，这也就意味着从一个VLAN中的节点发送的广播不会发送到其他VLAN的端口。这样虽然不能杜绝广播风暴的发生，但是最起码可以将广播风暴限制在当前的VLAN中。通过这样的方法创建出来的小型广播具备的好处就在于我们只需要将交换机端口或用户分配到横跨一台或多台交换机的VLAN分组，就只需将用户加入相应的广播域即可。
**注意：**有一点是我要重点提出的，就是VLAN的编号问题，一般来说我们都是从VLAN2开始进行编号，你可能有一个问题就是为什莫不是从VLAN1开始呢？答案是VLAN1为一个管理VLAN，虽然也可以将其用于工作组，但是建议还是将其用作管理，VLAN1不能被删除，也无法修改其名称。
二、深入了解
接下来我会带着大家了解VLAN的两种创建方式，一种是静态VLAN，光是听名字就可以知道该VLAN是管理员亲自创建的，不具备动态调整的特点；另一种自然就是动态VLAN了，所谓的动态实质上就是在创建时，将所有主机设备的硬件地址都放在数据库中，以便能配置交换机，使其能够动态的将连接到交换机的主机分配给VLAN.
简单的说一说什么是静态的VLAN ，假设VLAN2的网段是172.16.20.0/24，那么如果有一台主机想要加入VLAN2，你就只需给它分配172.16.20.0/24的IP地址就可以，，注意：该操作与设备的物理位置无关。
说完了静态VLAN，再说一说动态VLAN，假设我们将MAC地址输入了一个中央VLAN管理程序，此时将节点连接到一个动态VLAN端口时，VLAN管理数据库将会查找其MAC地址，并将交换机端口分配个正确的VLAN。这里有一点是要注意的，在同一台交换机中，可以同时有动态接入端口和中继端口，但是动态接入端口只能连接到终端和集线器，而不能连接到其他交换机。
交换机的端口为接入端口时，一般来说只能属于一个VLAN（还有一种例外情况就是语音VLAN），而当其为中继端口时，可以属于所有的VLAN。接入端口会以本机格式发送和接收数据流，而不进行VLAN标记。这就话的意思就是接入端口收到数据流后，都会假定它属于该端口所属的VLAN，如果收到有标记的分组，就会将这种分组丢弃。想不想知道为什莫会被丢弃？因为接入端口是不查看源地址的，因此只有中继端口可以转发和接收标记过的数据流。说到中继端口，自然也就就要顺便说一说中继链路，中继链路是一条点到点的链路，位于交换机与交换机之间、交换机与路由器之间或者是交换机与服务器之间，它可以 同时为多个VLAN服务。

看图可以了解到，两个交换机之间使用的是中继链路，为什莫不是用的接入链路呢？因为如果你用的是接入链路，那么此时两个交换机之间的只有一个VLAN可以传输，主机通过接入链路连接到交换机，因此他们只能在所属VLAN内部通信。这也就意味着在没有路由器的情况下，任何主机都无法于其他VLAN中的主机通信。
今天暂且就说到这里，欲知后事如何，请听下回分解。