526互联

VLAN原理与配置

发布时间 2023-04-04 15:23:07作者: 52Hertz520

什么是VLAN

传统以太网由于泛洪等操作容易产生网络安全和垃圾流量问题,而且广播域越大,网络安全问题和垃圾流量问题就越严重。为了解决此类问题,人们引入了VLAN——虚拟局域网技术。

通过在交换机上部署VLAN,可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域,由此可以有效地提升网络安全性,减少垃圾流量,节约网络资源。

VLAN的特点:1、一个VLAN就是一个广播域,因此可以将广播报文限制在一个VLAN内。2、VLAN的划分不受地域限制。

VLAN的好处:1、由于不受地域限制,VLAN可以更好的划分不同的用户进入不同的广播域,方便网络构建和维护。2、限制了广播报文,节省带宽。3、不同的VLAN之间无法直接传输报文,提高了安全性。4、故障被限制在一个VLAN中,本VLAN内的故障不会影响其他VLAN的正常工作。

VLAN的基本原理

如何识别VLAN

当不同交换机之间的同一VLAN进行数据传输时,如果不加标识,交换机就无法识别对方传来的数据所属的VLAN,也不知道应该将这个数据输出到本地哪个VLAN中。

IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag,用以标识该数据帧所属VLAN,这种带标签的数据帧称为IEEE 802.1Q数据帧,也称VLAN数据帧。

交换机识别出某个帧是属于哪个VLAN后如何识别?见下文划分VLAN),会在这个帧的特定位置上添加一个标签。这个标签明确地标明这个帧属于哪个VLAN,使得接收到该数据帧的其他交换机能够轻易识别出它的所属VLAN。

在一个VLAN交换网络中,以太网帧主要有以下两种形式:有标记帧(Tagged帧):IEEE 802.1Q协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入Tag的数据帧。无标记帧(Untagged帧):原始的、未加入4字节Tag的数据帧。

VLAN数据帧的组成结构:1、TPID,2字节,标识数据帧类型,0X8100表示VLAN数据帧。2、PRI,3bit,表示数据帧的优先级。3、CFI,1bit,表示MAC地址在不同的传输介质中是否以标准格式进行封装,0表示MAC地址以标准格式进行封装,1表示以非标准格式封装,以太网中为0。4、VID,12bit,表示该数据帧所属VLAN的编号。

计算机无法识别Tagged数据帧,因此计算机处理和发出的都是Untagged数据帧;为了提高处理效率,交换机内部处理的数据帧一律都是Tagged帧(由交换机添加tag)。

划分VLAN

计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说,当计算机发出的Untagged帧一旦进入交换机后,交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。VLAN的划分方式有5种:
一、基于接口划分,使用最广,将接口人为配置PVID(port VLAN ID),划分到某个VLAN,使用该接口的主机将被打上相应VLAN的标签。优点是简单方便,实现容易,缺点是不够灵活,当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属可能会发生变化。每个交换机的接口都应该配置一个PVID,到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。默认情况下,PVID的值为1。
二、基于MAC地址划分,网络管理员预先配置MAC地址和VLAN ID映射关系表。根据数据帧的源MAC地址来划分VLAN。优点是灵活性提高,当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属不会发生变化(因为计算机的MAC地址没有变)。缺点是存在安全性问题,容易伪造MAC地址。
三、基于IP子网划分,网络管理员预先配置IP地址和VLAN ID映射关系表,根据数据帧的源IP地址来划分VLAN。
四、基于协议划分,运营商常用,网络管理员预先配置以太网帧中的协议域和VLAN ID映射关系表,根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
五、基于策略划分,安全性高。将多种条件组合起来,只有全部匹配是才划分到相应VLAN。

二层交换机接口类型

基于接口的VLAN划分依赖于接口类型,以下为交换机的三种接口:

  • Access接口
    特点:仅允许VLAN ID与接口PVID相同的数据帧通过。
    image
  • Trunk接口
    对于Trunk接口,除了要配置PVID外,还必须配置允许通过的VLAN ID列表,其中VLAN 1是默认存在的。Trunk接口特点:Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。Trunk接口可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即当帧的VLAN ID与接口PVID相同时剥除Tag)。
    image
  • Hybrid接口
    对于Hybrid接口,除了要配置PVID外,还存在两个允许通过的VLAN ID列表,一个是Untagged VLAN ID列表,另一个是Tagged VLAN ID列表,其中VLAN 1默认在Untagged VLAN列表中。这两个允许通过列表中的所有VLAN的帧都是允许通过这个Hybrid接口的。与Trunk最主要的区别就是,能够支持多个VLAN的数据帧,不带标签通过。
    image

VLAN 的应用