VLAN---虚拟局域网
垃圾流量问题
网络安全问题
VLAN特点
一个vlan就是一个广播域,不同vlan内部的数据无法进行跨广播域通讯
vlan的划分不受地域限制
vlan的实现
主机的网卡一般只能发送和接收无标记帧(Untagged Frame)。Tagged Frame --- 标记帧
注意:在交换机内部,所有的数据都是标记帧,原因在于需要区分不同vlan 的数据
vlan标签
IEEE 802.1Q标准 --- 虚拟桥接局域网标准。 --- Dot1Q
vlan的划分方式
基于接口划分 --- 根据交换机的接口来划分vlan
PVID --- 缺省vlan
port vlan ID --- 接口上的缺省VLAN --- 0-4095
配置简单直观,该方式是目前现网环境中应用最广泛的划分VLAN的方式
基于MAC地址划分 --- 根据数据帧的源MAC地址来划分
VLAN映射表 --- 记录了MAC地址与VLAN ID的关联情况
基于IP子网划分 --- 根据数据帧中的源IP地址和子网掩码来划分
基于协议划分 --- 根据数据帧所属的协议类型及封装格式来划分vlan
基于策略的划分 --- 根据配置的策略划分vlan,能够实现多种组合的划分方式
接口划分vlan --- 接口类型
配置
交换机默认存在vlan1,原本说的广播域其实是vlan ID为1的广播域
第一步:创建vlan
第二步:将接口划入vlan
PVID --- 端口的VLAN-id
华为给每一个接口都配置一个PVID,也就是接口所属的VID。每个接口只能有一个PVID值。在默认情况下,PVID为1。
Access类型
Access类型的二层接口通常用于连接终端设备 ---- Access接口所连接的设备网卡只能处理无标记帧
Access接口接收数据帧
当Access接口收到一个Untagged帧 --- 交换机会接收这个数据帧,并将数据帧打上接口缺省vlan的tag
当Access接口收到一个Tagged帧 --- 如果该帧携带的VID与接口的PVID相同,则交换机接收该数据帧,若不相同则丢弃该数据帧
Access接口发送数据帧
该数据一定是携带tag
第三步、配置trunk干道
trunk干道创建时默认放通vlan1,且创建时缺省vlan为vlan1
trunk类型
该接口可以接收或发送多个vlan 的数据帧。所以trunk类型的接口多见于交换机之间互联的接口
Trunk接口接收数据帧
当Trunk接口收到一个Untagged帧 --- 交换机会给该接口打上缺省vlan的tag,并检查该vlan是否属于允许列表中(vlan-list),如果允许,则接收该数据帧,否则丢弃。
当Trunk接口收到一个tagged帧 --- 该帧中的VID若属于允许列表则接收,否则丢弃
Trunk接口发送数据帧
当发送的数据帧的VID与Trunk接口的PVID相同,且在允许列表中 --- 剥离数据帧的vlan-id字段,并发送数据
当发送的数据帧的VID与Trunk接口的PVID不同,且在运行列表中 --- 直接携带vlan-id数值发送
当数据帧的VID不在允许列表中,不管PVID为多少,都拒绝发送数据
修改trunk要将链路两端都修改为trunk
Hybrid --- 混杂接口
该接口类型是华为私有设计的接口类型。华为交换机默认接口类型为Hybrid类型
vlan list --- 允许列表
Access
可以修改PVID,可以修改允许列表,但是PVID和允许列表中必须相同且只能允许一个VLAN通过
出口封装方式只能是不携带标签
Trunk
可以修改PVID,可以修改允许列表
允许列表中可以通过多个vlan流量
出口封装方式仅为携带标签(若PVID在允许列表中,则不携带)
Hybrid
可以修改PVID,修改允许列表
而且允许列表中可以通过多个vlan的流量
可以修改出口的封装方式
Hybrid工作方式
PVID --- 接口缺省vlan
tagged --- 接口允许通过列表,且携带标签
untagged --- 接口允许通过列表,不允许携带标签
Hybrid接口接收数据时
当Hybrid接口接收到一个无标记帧
数据帧被打上PVID的数值
且该PVID在允许列表中,不管是属于U还是T,都会将数据接收
若此PVID不在允许列表中,则丢弃数据
当Hybrid接口接收到一个标记帧
若在允许列表则接收数据
若不在允许列表则丢弃数据
Hybrid接口发送数据时--- 不关注PVID
若数据帧中的VID不在允许列表中则丢弃
若数据帧中的VID在允许列表
若在tagged列表,则携带标签转发
若在untagged列表,则剥离标签转发
