本文深入解析VLAN概念、划分方法及链路类型,探讨VLAN在隔离广播域、提高网络安全性与灵活性方面的作用。并详细介绍VLAN间路由、扩展VLAN技术如MUX VLAN、QinQ、Super VLAN与VLAN Mapping,以及各种接口类型的应用。
目录
一.什么是VLAN ?VLAN的作用?
VLAN(Virtual Local Area Network)即虚拟局域网
是将一个物理的局域网在逻辑上划分成多个广播域的技术。
通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。
VLAN最主要的作用:
1.限制广播域:实现相同的vlan在同一广播域
2.提高网络安全性:实现不同vlan内的报文在数据传输时是相互隔离的,不同的vlan在二层不能相互影响
3.提高了网络灵活性:用VLAN可以划分不同的用户使用不同的网段,网络构建和维护更方便灵活,便于流量管理
二.VLAN链路和VLAN接口
1.VLAN链路分为两种类型:Access链路和Trunk链路。
(1)接入链路(Access Link):连接用户主机和交换机的链路称为接入链路。
(2)干道链路(Trunk Link):连接交换机和交换机的链路称为干道链路。
补充:PVID表示端口在缺省情况下所属的VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag。
缺省情况下,X7系列交换机每个端口的PVID是1。
2.VLAN的三种接口类型:
(1)Access接口:
access接口一般用于接入用户主机、服务器等用户终端设备(云平台服务器、虚拟化接入要起trunk)的下联接口,主要是不能识别tag的终端设备。
(2)Trunk接口:
trunk接口一般用于连接交换机、路由器、ap等可识别tag的设备,主要作用于级联端口,可以传递不同vlan信息,可属于多个vlan。
Trunk的转发原理:
当Trunk端口收到帧时,如果该帧不包含Tag,将打上端口的PVID(vlan1);如果该帧包含Tag(vlan20),则不改变。
当Trunk端口发送帧时,该帧的VLAN ID在Trunk的允许发送列表中:若与端口的PVID相同时,则剥离Tag发送(vlan1,本征vlan);若与端口的PVID不同时,则直接发送(vlan 20,已打tag)。
华为trunk转发原理:
发送 :先查看是否允许这个vlan是否通过 allow pass (没有允许丢弃) 查看(通过的vlan)是否pvid相同
(不一样携带10转发 一样剥离转发)
接收 : 没有tag,打上pvid转发 携带(10)标签 查看pvid是否一致 (一样剥离 不一样带标签转发)
(3)Hybrid接口:
hybrid接口是混合端口,可以连接用户主机等不识别tag的设备,也可以用于级联等识别tag的设备。(注意:cisco设备不支持此接口)
/如果使用hybrid接口,建议所有的接口配置全部用hybrid。即使用access trunk接口,则不使用hybrid/
入方向:收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入,如果可以则转发,否则丢弃。port hybrid pvid vlan 10 //为进来的数据包打上vlan10标签
出方向:判断该VLAN在本端口的属性,如果是untag则剥离VLAN信息,再发送,如果是tag则比较端口的PVID和将要发送报文的VLAN信息。如果两者相等则剥离VLAN信息,再发送,否则报文将携带原有的VLAN标记进行转发。 port hybrid untagged vlan 10 40 //将接口以untagged方式加入vlan10和vlan40,允许vlan10和vlan40成员脱标签
---------------就是一个控制作用 tag 就是允许的trunk通过
----区别:tag放行进入端口的带有该tag的数据包,untag去除掉流出端口的该tag的标签。(方向也是不一样,tag类似trunk、untag类似access但又不同)
三.VLAN的划分
划分包括如下5种方法:
1.基于端口划分:根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。初始情况下,X7系列交换机的端口处于VLAN1中。此方法配置简单,但是当主机移动位置时,需要重新配置VLAN。
2.基于MAC地址划分:根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。
3.基于IP子网划分:交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。
4.基于协议划分:根据数据帧的协议类型(或协议族类型)、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。
5.基于策略划分:使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。另外,针对每一条策略都是需要手工配置的。
port-group group-member e0/0/10 to Ethernet 0/0/11--等同于思科的int range 命令,实际上现在5700以上的交换机也支持interface range
四.VLAN间路由
由于在二层vlan间通信被隔离,不同间vlan终端无法直接通信,我们就可以借助三层设备实现在vlan间的通信
1.借助路由器的vlan通信-单臂路由
2.借助三层交换机的vlan通信-在三层交换机直接起vlanif
五.扩展VLAN
1.MUX VLAN(同CISCO-PVLAN技术)
作用是提供了一种在vlan的端口间进行二层流量隔离的机制
MUX VLAN 分为主VLAN 和从VLAN,从VLAN 又分为互通型从VLAN 和隔离型从VLAN。(只能在交换机内部使用)
主VLAN与从VLAN之间可以相互通信;互通型从VLAN内的端口之间可以互相通信,隔离型从VLAN内的端口之间不能互相通信,不同从VLAN之间不能互相通信。
2.QinQ (同CISCO- tunneling技术)
基于802.1 Q封装的隧道协议
报文封装双层VLAN Tag
纯二层运营商(做好之后相当于一个二层互联 但不可以直接做别的二层协议 如果需要运营商做【cdp vtp stp】 需要做透传才可以做)
QinQ优点
(1)解决日益紧缺的公网VLAN ID资源问题
(2)用户可以规划自己的私网VLAN ID
(3)提供一种较为简单的二层VPN解决方案
(4)使用户网络具有较高的独立性
根据QinQ的具体实现方式,通常分为如下几类:
(1)基于端口的QinQ
(2)基于端口的基本QinQ
(3)灵活QinQ
VLAN Stacking
基于流的灵活QinQ
基于ACL的灵活QinQ
3.Super VLAN
又称VLAN聚合,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。
Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。 当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,
通过ARP 代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通 。这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
Super VLAN只建立三层接口,不包含物理端口,可以看到成是一个逻辑的三层接口,若干sub-VLAN的集合。
4.VLAN-mapping
也叫做VLAN Translation或VLAN映射,它通过替换数据帧中的内外层VLAN Tag来实现用户VLAN与运营商VLAN的相互映射,使用户业务按照运营商的网络规划进行传输。
要想借助VLAN Mapping实现两个VLAN内设备互相通信,这两个VLAN内设备的IP地址还必须处于同一网段。
如果两个VLAN内设备的IP地址不在同一网段,那么设备间的互通需要依赖三层路由实现,这样就失去了VLAN Mapping的意义。
扫一扫
3467
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
