HCIP【VLAN技术(详解)】
目录
1 技术背景
2 VLAN的作用特点
2.1 作用
2.2 特点
2.3 优点
3 VLAN实现过程
3.1 同一交换机VLAN内的通信
3.2 跨交换机的同一VLAN的通信
4 VLAN的划分方式
5 VLAN的二层接口类型(基于接口划分)
5.1 Access接口
5.2 Trunk接口
5.3 Hybrid接口
6 VLAN间通信
6.1 路由器的物理接口
6.2 路由器的子接口
6.3 三层交换机和VLANIF接口
6.3.1 VLANIF转发流程
1 技术背景
由于在传统的以太网中,在某些交换网络中,当某台户籍发送一个广播帧或者是未知的单播帧时,该数据帧就会泛洪,在整个广播域中传播;当我们的广播域的范围越大的时候,我们的数据帧泛洪,就有可能出现一些网络安全问题,出现垃圾流量的问题,甚至会造成不必要的网络资源的浪费情况
广播域:也就是我们常说的泛洪范围,或者说是广播帧所能达到的整个访问范围,显然一个交换网络就是一个广播域
2 VLAN的作用特点
2.1 作用
VLAN技术可以将一个规模较大的广播域在逻辑上划分成一个若干个不相等的,规模较小的广播域,由此可以有效提高网络的安全性,同时减少垃圾流量,节约了网络资源。
2.2 特点
一个VLAN就是一个广播域,同一VLAN内部,可以直接通过二层交换机进行通信;而不同的VLAN之间则需要通过三层交换机进行通信,传递信息。
2.3 优点
(1)灵活的构建虚拟工作组:同一VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限在某个固定的物理范围,网络构建的维护就会更加的方便灵活;
(2)限制广播域:广播域被限制在一个VLAN内,就节省了带宽,提高了网络处理能力;
(3)增加局域网的安全性:不同的VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它的VLAN内的用户直接通信;
(4)提高网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
3 VLAN实现过程
3.1 同一交换机VLAN内的通信
工作过程:
PC发送数据帧进入交换机,会被打上VLAN tag;VLAN tag中的VLAN ID就是收到到数据帧接口的所属VLAN;当数据帧被打上VLAN tag之后,该数据帧就变成了802.1Q格式的数据帧;然后交换机会去检查数据帧中去往目的MAC地址的出接口的允许标签列表中是否包含tag中的VLAN ID通过,包含有则数据帧可以转发;否则就丢弃该数据帧。
数据帧从接口发往PC前,会先剥离VLAN tag,还原成为标准的以太网帧格式。
以太网数据帧的结构示意图:
3.2 跨交换机的同一VLAN的通信
工作过程:
数据帧从主机中出来后会进入交换机,交换机会给数据帧打上一个VLAN tag(tag中的VLAN ID就是交换机收到数据帧接口的VLAN ID),数据帧就变成了一个802.1Q的数据帧;
发送802.1Q数据帧离开交换机的时候,会检查接口的VLAN允许列表中,如果允许该VLAN ID通过,则带标签发送,否则就会丢弃该数据帧;
接收端的交换机收到之后,会首先检查去往目标MAC地址的出接口的VLAN ID,如果所属的VLAN ID和802.1Q帧的格式中的VLAN ID一致就会转发该数据帧,否则就丢弃该数据帧。
4 VLAN的划分方式
(1)基于接口的划分
VLAN划分的范围:0~4095,其中0和4095为系统保留,1~4094可用
缺省VLAN中默认PVID为VLAN 1
| VLAN 类型 | 依据 | 优势 | 劣势 |
|---|---|---|---|
| 端口划分 | 交换机物理端口 | 简单易配,通用性好 | 设备移动需手动重新配置 |
| MAC地址划分 | 终端 MAC 地址 | 灵活性高,适合移动场景 | 管理复杂,交换机支持要求高 |
| IP子网划分 | IP 地址/子网 | 规划清晰,适合大网 | 依赖三层设备识别 IP |
| 协议划分 | 上层协议类型 | 多协议隔离 | 使用较少,依赖厂商 |
| 策略/动态 VLAN | 用户/身份/时间 | 动态灵活,安全性高 | 部署复杂,初期成本高 |
5 VLAN的二层接口类型(基于接口划分)
5.1 Access接口
当access的接口从链路中收到一个untagged帧,交换机会在这个帧中添加VID为该端口的PVID的tag,再对该tagged帧进行转发操作(泛洪、转发、丢弃)
当access接口从链路中收到一个tagged帧时,交换机会首先检测tag中的VID是否和接收的接口的PVID相同,相同则对tagged帧进行转发,反之则丢弃
access接口发送数据帧:
5.2 Trunk接口
Trunk接口一般是用来连接交换机之间,交换机与路由器子接口、防火墙的子接口、AP以及可同时收发tagged帧和untagged帧的语音终端
Trunk接口的特点:
(1)Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过
(2)Trunk接口可以允许多个VLAN的帧带tag过,但是只允许一个一个VLAN剥离标签通过
Trunk接口接收数据帧:
当Trunk接口从链路中收到一个untagged帧,交换机就会在这个数据帧中添加上VID为PVID的tag;然后再去查看PVID是否在允许通过的VLAN ID列表中,如果在允许列表中,则对数据帧进行转发,否则就丢弃该数据帧
当Trunk接口从链路中收到一个tagged帧,交换机会去查看PVID是否在允许通过的VLAN ID列表中,如果在允许列表中,则对数据帧进行转发,否则就丢弃该数据帧
Trunk接口发送数据帧:
当一个tagged帧在交换机中从一个Trunk接口到达另一个Trunk接口后,如果这个数据帧的tag中的VID不在允许的VLAN ID列表中,则该tagged帧就会被丢弃;
如果这个数据帧的tag中的VID在允许的VLAN ID列表中,分两种情况
【1】VID与PVID一致,则剥离tag发送
【2】VID与PVID不一致,则直接带tag发送
5.3 Hybrid接口
Hybrid接口既可以连接不能识别tag的用户终端(用户主机、服务器等),也是可以用于连接交换机和路由器,以及可以同时收发tagged帧和untagged帧的语音终端、AP。华为默认使用的就是Hybrid接口
Hybrid接口的特点:
(1)Hybrid接口仅允许VLAN ID在允许通过的列表中的数据帧通过
(2)Hybrid接口也可以允许多个VLAN的帧带tag通过,可以自定义的设置那些VLAN帧带tag标签通过,那些VLAN不带tag通过
(3)与Trunk的区别就是Hybrid接口可以支持多个VLAN的数据帧不带tag通过
Hybrid接口接收数据帧:
Hybrid接口发送数据帧:
6 VLAN间通信
6.1 路由器的物理接口
使用物理接口的缺陷:
6.2 路由器的子接口
特点:
(1)子接口是基于路由器的以太网接口插件的逻辑接口,以物理接口ID+子接口的ID进行标识,子接口同物理接口一样可以进行三层转发
(2)子接口不同于物理接口,可以终结携带VLAN tag的数据帧
(3)基于一个物理接口创建多个子接口,将该物理接口对接到交换机的Trunk接口,即可以实现使用一个物理接口为多个VLAN提供三层转发服务
子接口的配置示例:
6.3 三层交换机和VLANIF接口
特点:
6.3.1 VLANIF转发流程
(1)
(2)
(3)
以上部分图片来之HUAWEI官网教程