前言
随着网络中计算机的数量越来越多,传统的以太网络开始面临广播泛滥以及安全性无法保障等各种问题。
因此Vlan(Virtual Local Area Network 虚拟局域网)技术开始普及使用
Vlan是将一个物理的局域网在逻辑上划分成多个广播域的技术;通过在交换机上配置Vlan,可以实现在同一个Vlan内的用户可以进行二层互访,而不同Vlan间的用户被二层隔离;这样既能够隔离广播域,又能提升网络的安全性。
Vlan技术背景
由于交换机的所有接口都属于一个广播域,往往也是一个逻辑子网;在这种情况下 用户无法根据业务需要灵活的在交换机上进行广播域的隔离;而随着网络规模越来越大、数量越来越多,广播风暴将会给网络带来极大的影响
因此Vlan技术诞生了
如图所示:所有接口上连接的终端都在同一个局域网,也在同一个广播域
随着网络规模越来越大、数量越来越多,广播风暴将会给网络带来极大的影响
况且在这种情况下:同一个广播域中的任意一台终端被蠕虫感染,其余的终端也无一幸免。
因此引入了Vlan技术:
Vlan技术提供了一种灵活的解决方案:将接交换机的接口根据业务需求添加到不同的Vlan中,不同的Vlan都处于不同的广播域中,从而实现二层隔离
若不同Vlan之间要实现通讯,需要三层的设备或者在交换机中配置三层接口
Vlan技术可以灵活配置,例如:同一个交换机配置Vlan1、Vlan2;因此隔离广播域
也可以交换机A配置:Vlan1、Vlan2;交换机B配置:Vlan1、Vlan2;因此交换机A的Vlan1可以与交换机B的Vlan1互通;交换机A的Vlan2与交换机B的Vlan2互通
Vlan优点
- 有效控制广播域范围
- 增强局域网的安全性
- 灵活构建虚拟工作组
- 简化网络管理
有了Vlan后,即使同一个部门不在同一个地理位置,也能使用Vlan技术进行通信
Vlan概述
- 将一个物理局域网在逻辑上划分成多个广播域
- 可以理解为:1个Vlan=1个广播域=1个子网
- 广播不会在Vlan之间转发,而是被限制在各自的Vlan中
- 不同Vlan间的设备默认无法通讯,需要三层设备才能实现互通
Vlan的范围是:0~4095 共4096个(0和4095为保留、1为默认)
Vlan标签
在配置好Vlan后,交换机需要通过特定的标签来判断流量属于Vlan几 例如:
A在Vlan10;B也在Vlan10
A向B发送报文时,交换机通过数据帧中的标签来判断A属于Vlan10,因此会从Vlan10接口出去传递给也在Vlan10的B
---------------------
携带标签(Tag)的帧,有一个专用的名字:IEEE 802.1q
IEEE 802.1q:简称dot1q 是Vlan的正式标准,对Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入了4字节的802.1q Tag;每台支持802.1q协议的交换机发送的数据包都会包含Vlan ID 用以指明交换机属于哪个Vlan;因此在一个Vlan交换中,以太网帧有以下两种格式:
- 有标记帧(tagged frame)
- 加入了4字节802.1q Tag的帧
- 无标记帧(untagged frame)
- 原始的、未加入4字节802.1q Tag的帧
Vlan链路类型
- Access Link 接入接口
- 用于主机和交换机的链路
- 接入链路上传输的帧都是untagged帧
- Trunk Link 干道/中继链路
- 用于交换机间的互连或交换机与路由器之间的链路
- 干道链路上传输的帧几乎都是tagged帧;由此用于两端识别
接入主机的设备需要使用Access接口的原因是 主机是无法识别带Tag的帧,因此需要将带Tag的帧去除掉 而Access接口恰好满足这一要求
PVID
- PVID即Port Vlan id 它代表端口的缺省Vlan
- X7系列交换机每个接口PVID=1
我们可以通过PVID来识别出此接口属于Vlan几
想要查看接口PVID信息,可以输入这条命令
[]dislpay port vlan
Vlan端口类型
- Access 接入端口
- 用于连接主机
- 收到数据后会添加Vlan Tag,VlanID和端口的PVID相同
- 转发数据前会移除Vlan tag
例如:主机A向主机C发送信息
主机A发送的信息是不带标签的,传到交换机时,交换机会发现此信息从PVID10接口进来,因此打上Tag10标签
然后在转发给主机C时,会将Tag10标签去除再发给主机C
- Trunk 干道端口
- 用于连交换机或路由器
- 路由器或交换机收到该帧时
- 如果该帧不含Tag 那么以PVID为准打上相应标签
- 如果该帧包含Tag 则不会改变帧
- 发送帧时,该帧的Vlan id在Trunk的允许发送列表中时
- 若端口的PVID相同,则去除Tag之后发送
- 若与端口的PVID不同时,则直接发送
例如:
在收到帧的情况下:假设交换机A将信息转发给交换机B
若交换机A传输给交换机B的信息中不带标签,那么交换机B会察觉此信息属于PVID1接口发过来的,因此交换机B会打上Tag1标签
若交换机A将带有Tag的信息转发给交换机B时,交换机B收到后不会改变Tag
由于在配置Trunk时,需要配置允许列表(不在允许列表中的vlan id不允许互相传输)
因此在收到允许列表传过来的帧情况下:假设交换机A将信息转发给交换机B
比如:交换机A发现允许列表中有PVID10 且接口也是PVID10那么交换机会将Tag去除再发给交换机B(因为就算去除Tag 交换机B也能知道信息是从PVID10接口过来的)
比如:交换机A发现允许列表中有PVID10 但接口是PVID20 那么交换机A直接转发给交换机B,这样交换机B才能得知交换机A发过来的帧是属于PVID20
- Hybrid 混杂接口
- 属于华为的专有接口模式
- 既可以连接主机又可以连接其他交换机
- 既可以连接接入链路又可以连接干道链路
- 允许多个Vlan的帧通过,并可以在出接口方向将某些Vlan帧的Tag去除(由命令决定)
Vlan转发流程
Vlan规划
Vlan规划有这几种:
- 基于端口
- 基于Mac地址
- 基于IP子网划分
- 基于协议划分
- 基于策略
其中:对于Vlan的规划方式,基于端口是最为常见的
Vlan配置
以下为Vlan的基本配置
<>system-view []vlan 10 #创建一个Vlan 编号为10 []vlan batch 10 to 20 #创建多个Vlan 编号为:10~20 []dislpay vlan #查看Vlan信息
[g0/0/1]port link-type access #配置接口为access接口
[g0/0/1]port link-type trunk #配置接口为trunk接口
[g0/0/1]port link-type hybrid #配置接口为hybrid接口
[g0/0/1]port default vlan 2 #更改接口的vlan为2(当你的接口是access时)
[]display port vlan #查看接口的类型
如果你的接口是trunk 需要进行允许vlan列表配置
[g0/0/1]port trunk allow-pass vlan 10 #设置接口trunk允许Vlan10通过
如果你的接口是hybrid 可以根据需求进行以下配置
[g0/0/1]port hybrid untagged vlan 10 #设置接口,如果收到vlan10的信息,则将标签剥离
[g0/0/1]port hybrid tagged vlan 10 #设置接口,如果收到vlan10的信息,将打上标签
[g0/0/1]port hybrid pvid 3 #设置hybrid接口的PVID为3
? 记录时间:2023年11月18日 12点20分