以太网是一种基于CSMA/CD的数据网络通信技术,其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。
在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。
1、VLAN快速配置
Vlan:Virtual Local Area Network,虚拟局域网
主要作用:隔离广播提高网络的稳定性和安全性。方便灵活的管理网络。
VLAN配置命令:
(1)创建VLAN 10 20
vlan batch 10 20
(2)接入交换机接口,配置接口类型,把接口划入对应的VLAN
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#多个接口类型一致时,可通过port-group group-member 把连续的接口放到逻辑上的端口组中进行配置,提高配置效率。
port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
port link-type access
port default vlan 20
(3)调试命令
查看VLAN配置--display vlan
vlan 1是设备默认的。
查看接口类型以及pvid-- display port vlan active
华为设备默认接口类型为hybrid。
2、什么是VLAN
2.1传统以太网的问题
在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。
广播域越大,产生的网络安全问题、垃圾流量问题,就越严重。
2.2虚拟局域网 (VLAN, Virtual LAN)
虚拟局域网VLAN可以隔离广播域。
特点:
▫ 不受地域限制。
▫ 同一VLAN内的设备才能直接进行二层通信。
如上图,通过vlan进行划分区域,那么vlan 10的流量就能在同一区域中传播,不会影响到其他区域。
总结:
配置vlan的优点:方便管理,减少”垃圾流量“,让网络更安全更稳定!!
2.3现网中Vlan典型应用
现网中Vlan典型应用(1)
现网中Vlan典型应用(2)
3、VLAN的基本概念
3.1如何实现VLAN
Switch1与Switch2同属一个企业,该企业统一规划了网络中的VLAN。其中VLAN10用于A部门,VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。
PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理,后者无法判断该数据所属的VLAN,也不知道应该将这个数据输出到本地哪个VLAN中。
3.1.1 VLAN标签 (VLAN Tag)
交换机如何识别接收到的数据帧属于哪个VLAN?
通过VLAN标签。
VLAN标签:
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。
IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag。
3.1.2 VLAN数据帧
3.1.3 VLAN 数据帧其他知识
(1)VLAN ID取值范围是0~4095。由于0和4095为协议保留取值,所以VLANID的有效取值范围是1~4094。
(2)交换机利用VLAN标签中的VID来识别数据帧所属的VLAN,广播帧只在同一VLAN内转发,这就将广播域限制在一个VLAN内。
(3)如何识别带VLAN标签的数据帧:数据帧的Length/Type = 0x8100(了解)。
(4)一般情况下,计算机(PC)无法识别Tagged数据帧,因此计算机处理和发出的都是Untagged数据帧;
(5)为了提高处理效率,交换机内部处理的数据帧一律都是Tagged帧。
3.1.4 VLAN的实现
Switch1和Switch2之间的链路要承载多个VLAN的数据,需要一种基于VLAN的数据“标记”手段,以便对不同VLAN的数据帧进行区分。
IEEE 802.1Q标准(也被称为Dot1Q)定义了该“标记”方法。该标准对传统的以太网数据帧进行修改,在帧头中插入802.1Q Tag,而在该Tag中,便可以写入VLAN信息。
3.2VLAN的划分方式
整个网络是如何划分VLAN的?
VLAN划分方式:
基于接口;基于MAC地址;基于IP子网划分;基于协议划分;基于策略。
3.2.1基于接口的VLAN划分
原理:
根据交换机的接口来划分VLAN。
网络管理员预先给交换机的每个接口配置不同的PVID,将该接口划入PVID对应的VLAN。
当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag,然后数据帧将在指定PVID中传输。
缺省VLAN,PVID
Port VLAN ID,是接口上的缺省VLAN。
取值:1~4094。
3.2.2基于MAC地址的VLAN划分
原理:
根据数据帧的源MAC地址来划分VLAN。
网络管理员预先配置MAC地址和VLANID映射关系表。
当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag,然后数据帧将在指定VLAN中传输。
映射表:
记录了MAC地址和VLAN ID的关联情况。
4、以太网二层接口类型
接口类型有Access接口,Trunk接口和Hybrid接口
(1)Access接口
交换机上常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。
(2)Trunk接口
Trunk接口允许多个VLAN的数据帧通过,这些数据帧通过802.1QTag实现区分。Trunk接口常用于交换机之间的互联,也用于连接路由器、防火墙等设备的子接口。
(3)Hybrid接口
Hybrid接口与Trunk接口类似,也允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag。
(4)交换机接口类型总结
Access :接终端 服务器 路由器(非子接口)
Trunk:接交换机 交换机和交换机之间
Hybrid:同时具备access和trunk两种特性,用于基于mac、IP子网、认证策略等划分vlan场景。还可用于Voice vlan等特殊场景。
4.1 Access接口(仅处理PVID)
4.2 Trunk接口
4.3 Access接口与Trunk接口举例
请描述主机之间数据访问的全流程。
如,主机1发送数据到SW1的Access接口,经过处理带上PVID 10的标签,当主机1的数据从SW1经过SW2到达主机3,SW1与SW2互连做了Trunk,PVID 10会经由VLAN List去匹配是否符合条件方行通过,允许列表有VLAN 10,那么PVID 10可以通过抵达主机3完成通信过程。
4.4 Hybrid接口
4.5Hybrid接口举例
请描述主机访问服务器的全流程。
如,主机1发送数据到交换机port 1,交换机的port 1接收到带untagged的数据为其打上PVID 10的标签,经过port 3的VLAN列表,允许其通过,抵达SW2的port 1时,SW2的port 1允许PVID 10通过,发送到Server上就会剥离标签,完成访问。同理,返回的PVID 100到SW1的port 1发出给主机1时会剥离标签,完成访问。
4.6小结
4.7 vlan注意事项
(1)华为交换机默认所有接口都属于vlan 1。
(2)华为交换机接口默认类型为Hybrid/Access。
(3)报文在交换机内部处理时必须含有Vlan tag。
(4)PVID:Port default vlan id,端口默认所属vlan,任何接口有且仅有一个PVID,默认PVID都是1Access 口:pvid 同接口 vlan Trunk口:pvid默认1 Hybrid口:pvid 默认1。
(5)VLAN 主要的目的是来隔离广播(并非单播),缩小广播域。
(6)默认PC 、服务器(非虚拟化环境) 不认识VLAN标签,PC发出的报文不含标签,PC也不能处理带有标签的报文。
(7)Vlan tag 封装在二层以太网报文头部。
(8)默认情况下,路由器三层接口(非子接口)无法处理带有vlan tag的数据帧。
(9)access 接口只能属于一个vlan ,但是trunk接口可允许多个vlan的报文通过。
(10)Hybrid :混合接口,既有Access接口特点同时具备Trunk接口功能。一个接口可以允许多个VLAN通过,且发送数据时允许多个vlan不打标签。适用于Voice vlan、基于MAC、IP子网、策略等方式划分vlan的特殊场景。
(11)通常一个VLAN对应一个网段对应一个广播域。
(12)不同vlan默认无法直接通信,想要通信还需进行vlan间路由(vlanif接口或路由器)。
(13)Access 接口的PVID无法单独配置,PVID就是当前access口配置的vlan。
(14)Hybrid 和trunk区别:Hybrid 在发送数据帧时,无视PVID,允许多个vlan的报文不打标签通过。
