相信搞IT的小伙伴都知道VLAN,这里我就不废话做解释了。VLAN是将一个物理的LAN在逻辑上划分成多个广播域的通信技术,不同VLAN间不能够直接通信。VLAN既能限制广播网络,又可增强局域网的安全性,还提高了网络的健壮性。
VLAN的概念
VLAN特点
1.限制广播域:广播域被限制在一个VLAN内,从而节省了带宽、提高了网络处理能力。
2.增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能与其它VLAN内的用户直接通信。
3.提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
4.灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
vlan帧格式
VLAN Tag
1.标识所属VLAN
2.遵循IEEE 802.1Q标准
3.支持802.1Q协议的交换机既可以发送有标记帧,也可以发送无标记帧
4.交换机内部的数据包一律携带Tag
IEEE 802.1Q
1.IEEE 802.1Q是虚拟桥接局域网的正式标准,对Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。
802.1q Tag各字段含义
1.TPID:长度为2字节,表示帧类型。取值为0x8100时表示802.1q Tag帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
2.PRI:Priority,长度为3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。一般情况下,当交换机部署QoS时,优先发送优先级高的数据帧。(值越大越优)
3.CFI:Canonical Format Indicator,长度为1比特,表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。在以太网中,CFI的值为0。
4.VID:VLAN ID,长度为12比特,表示该帧所属的VLAN。在VRP中,可配置的VLAN ID取值范围为1~4094。0和4095协议中规定为保留的VLAN ID。
每台支持802.1Q协议的交换机发送的数据包都会包含VLAN ID,以指明自己属于哪一个VLAN。因此,在一个VLAN交换网络中,以太网帧有以下两种形式:
1.有标记帧(tagged frame):加入了4字节802.1Q Tag的帧。
2.无标记帧(untagged frame):原始的、未加入4字节802.1Q Tag的帧。
vlan的链路类型
VLAN中有以下两种链路类型
(1)接入链路(Access ):连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧都是untagged帧。
(2)干道链路(Trunk ):连接交换机与交换机或交换机与路由器之间的链路。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上,一般传输的帧都是Tagged帧。
拓扑描述
(1)对于主机来说,它不需要知道VLAN的存在。主机发出的是untagged报文。
(2)交换设备接收到报文后,根据配置规则(如端口信息)判断报文所属的VLAN后,再进行处理。
(3)如果报文需要通过另一台交换机转发,则该报文必须通过干道链路传输到对端交换设备上。为了保证其它交换设备能够正确处理报文中的VLAN信息,在干道链路上传输的报文一般均打上了VLAN标记。
(4)当交换设备最终确定报文出端口后,将报文发送给主机前,需要将VLAN标记从帧中删除,这样主机接收到的报文都是不带VLAN 标记的以太网帧。
vlan的端口类型
VLAN基本概念-端口类型
端口类型用于识别VLAN帧,每种类型均可配置一个缺省VLAN(PVID,默认PVID为vlan1)
(1)Access端口
交换机上用来连接用户主机的端口
(2)Trunk端口
交换机上用来和其他交换机连接的端口
(3)Hybrid端口(华为交换机默认的接口类型)
交换机上既可以连接用户主机,又可以连接其他交换机的端口
端口类型
1.Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路。有如下特点:
(1)仅允许唯一的VLAN ID通过本端口,VLAN ID与端口的PVID(Port Default VLAN ID,端口缺省的VLAN ID)相同。
(2)如果该端口收到的对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
(3)Access端口发往对端设备的以太网帧永远是不带标签的帧。
2.Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。有如下特点:
(1)Trunk端口允许多个VLAN的帧(带Tag标记)通过。
(2)如果从Trunk端口发送的帧带Tag,且Tag与端口缺省的VLAN ID相同,则交换机会剥掉该帧中的Tag标记。仅在这种情况下,Trunk端口发送的帧不带Tag。
(3)如果从Trunk端口发送的帧带Tag,但是与端口缺省的VLAN ID不同,则交换机对该帧不做任何动作,直接发送带Tag的帧。
3.Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。
hybrid口原理及配置
VLAN基本概念-vlan划分
1.基于端口划分VLAN
(1)根据交换设备的端口编号来划分VLAN。
(2)若给交换机的每个端口配置不同的PVID,即一个端口缺省属于的VLAN。
(2.1)当一个数据帧进入交换机端口时,如果没有带VLAN标签,且该端口上配置了PVID,那么,该数据帧就会被打上端口的PVID。(access trunk hybrid)
(2.2)如果进入的帧已经带有VLAN 标签,那么交换机不会再增加VLAN 标签,即使端口已经配置了PVID。(trunk hybrid)
(3)对VLAN帧的处理由端口类型决定。
2.基于MAC划分VLAN
(2)网络管理员成功配置MAC地址和VLAN ID映射关系表,如果交换机收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
[HUAWEI-vlan100] mac-vlan mac-address 22-33-44
3.基于子网划分VLAN
(1)如果交换设备收到的是untagged(不带VLAN标签)帧,交换设备根据报文中的IP地址信息,确定添加的VLAN ID。
[HUAWEI-vlan3] ip-subnet-vlan ip 10.10.10.0 255.255.255.0
4.基于协议划分VLAN
(
1)根据接口接收到的报文所属的协议(族)类型及封装格式来给报文分配不同的
VLAN ID。网络管理员需要配置以太网帧中的协议域和VLAN ID的映射关系表,如果
收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
[HUAWEI-vlan3] protocol-vlan ipv4
5.基于匹配策略划分VLAN
(1)基于MAC地址、IP地址、接口组合策略划分VLAN是指在交换机上配置终端的MAC地址和IP地址,并于VLAN关联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,严禁修改IP地址或MAC地址,否则会导致终端从指定VLAN中退出。
[HUAWEI-vlan2] policy-vlan mac-address 0-1-1 ip 10.1.1.1 interface Gx/x/x
VLAN基本概念-vlan划分匹配优先级
VLAN划分匹配优先级
1.基于匹配策略>基于MAC地址和基于子网>基于协议>基于端口
如果报文同时匹配了基于MAC地址划分VLAN和基于子网划分VLAN,缺省情况下,基于MAC地址划分VLAN优于基于子网划分VLAN。
2.基于MAC地址和基于子网拥有相同的优先级
(1)可以通过命令改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级,从而决定优先划分VLAN的方式(它们的命令后面有个priority)
3.基于端口的优先级最低,但却是最常用的VLAN划分方式。
4.基于匹配策略的优先级最高,但是最不常用的VLAN划分方式。
VLAN通信原理-VLAN内跨设备通信(跨设备同vlan用户如何互通)
vlan内跨设备通信
Trunk link实现相同VLAN内跨设备通信
(1)中继作用,把VLAN报文透传到互联的交换机
(2)干线作用,一条Trunk Link上可以传输多个VLAN的报文。
拓扑描述
1.为了让S1和S2之间的链路既支持VLAN2 内的用户通讯又支持VLAN3内的用户通讯,需要配置连接端口同时加入两个VLAN。即应配置S1的以太网端口Port2和S2的以太网端口Port1允许VLAN2和VLAN3通过。
2.当用户主机PC1发送数据给用户主机PC2时,数据帧的发送过程如下:
(1)数据帧首先到达S1的端口Port4。
(2)端口Port4给数据帧加上Tag,Tag的VID字段填入该端口所属的VLAN的编号2。
(3)S1将帧发送到本交换机上除Port4外的所有属于VLAN2的端口。
(4)端口Port2将帧转发到S2上。
(5)S2收到帧后,会根据帧中的Tag识别出该帧属于VLAN2,于是将该帧发给本交换机上除Port1外所有属于VLAN2的端口。
(6)端口Port3将数据帧发送给主机PC2。
VLAN通信原理-vlan间通信原理(单臂路由)
单臂路由
VLAN间通信原理
(1)默认情况下,不同VLAN之间不能直接通信
(2)可以通过子接口实现不同VLAN相互通信
拓扑描述
1.RTA为支持配置子接口的三层设备,SWA为二层交换设备。LAN通过RTA的以太网接口与SWA的以太网接口相连:
(1)在RTA与SWA相连的以太网接口上创建2个子接口,并配置802.1Q封装与VLAN2和VLAN3 分别对应。
dot1q termination vid命令用来配置子接口Dot1q终结的单层VLAN ID。
(2)配置子接口的IP地址,保证两个子接口对应的IP地址路由可通。
(3)将RTA与SWA相连的以太网接口类型配置为Trunk或Hybrid类型,允许VLAN2和VLAN3的帧通过。
(4)将用户设备的缺省网关设置为所属VLAN对应子接口的IP地址。
2.PCA和PCB的通信过程如下:
(1)PCA将PCB的IP地址和自己所在网段进行比较,发现目的地址与自己不在同一个子网。
(2)PCA发送ARP请求给自己的网关RTA子接口G0/0/1.1,请求网关的MAC地址。
(3)RTA收到该ARP请求后,返回ARP应答报文,报文中子接口G0/0/1.1的MAC地址为VLAN2对应子接口的MAC地址。
(4)PCA学习到网关的MAC地址。
(5)PCA向网关发送目的MAC为子接口MAC 地址、目的IP为PCB的IP地址的报文。
(6)RTA收到该报文后进行三层转发,发现PCA的IP地址为直连路由,报文将通过VLAN3关联的子接口G0/0/1.2进行转发。
(7)RTA作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求PCB的MAC地址。
(8)PCB收到网关发送的ARP广播后,对此请求进行ARP应答。
(9)网关收到PCB的应答后,就把PCA的报文发送给PCB。PCA之后要发给PCB的报文都先发送给网关,由网关做路由转发。
VLAN通信原理-VLAN间通信原理(三层交换机)
VLAN间通信原理
1.可以通过VLANIF接口实现不同VLAN相互通信
(1)三层交换机通过路由表传输第一个数据流后,会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时,直接使用二层转发(一次路由,多次交换)为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。VLANIF接口由此而产生。
拓扑描述
1.在交换机上划分了2个VLAN:VLAN2和VLAN3。可通过如下配置实现VLAN间互通。
(1)在S1上创建2 个VLANIF接口并配置VLANIF接口的IP地址,保证两个VLANIF接口对应的IP地址路由可通。
(2)将用户设备的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。
2.PC1和PC2的通信过程如下:
(1)PC1将PC2的IP地址和自己所在网段进行比较,发现目的地址和自己不在同一个子网。
(2)PC1发送ARP请求给自己的网关S1,请求网关的MAC地址。
(3)S1收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLANIF2的MAC地址。
(4)PC1学习到网关的MAC地址。
(5)PC1向网关发送目的MAC为VLANIF2接口MAC 地址、目的IP为PC2的IP地址的报文。
(6)S1收到该报文后进行三层转发,发现PC2的IP地址为直连路由,报文将通VLANIF3 接口进行转发。
(7)S1作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求PC2的MAC地址。
(8)PC2收到网关发送的ARP广播后,对此请求进行ARP应答。
(9)网关收到PC2的应答后,就把PC1的报文发送给PC2。PC1之后要发给PC2的报文都先发送给网关,由网关做三层转发。
VLAN Aggregation(super vlan)-基本概念
super vlan的基本概念
在交换局域网络中,vlan技术以其对广播域的灵活控制(可跨物理设备)、部署方便得到了广泛的应用,但是在一般的三层交换机中,通常采用一个vlan对应一个接口的方式来实现广播域之间的互通,这在某些情况下导致了对IP地址的较大浪费。此时诞生了super-vlan技术。(即用三层交换机太浪费IP地址资源了)
VLAN聚合,只在super-VLAN 接口上配置IP 地址,而不必为每个sub-VLAN 分配IP地址。所有sub-VLAN 共用IP 网段,解决了IP 地址资源浪费的问题。
VLAN Aggregation(Super VLAN)技术就是在一个物理网络内,用多个VLAN隔离广播域,使不同的VLAN 属于同一个子网。
(1)Super-VLAN:和通常意义上的VLAN不同,它只建立三层vlanif接口,与该子网对应,而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干Sub-VLAN的集合。
(2)Sub-VLAN:只包含物理端口,用于隔离广播域的VLAN,不能建立三层vlanif接口。它与外部的三层交换是靠Super-VLAN的三层接口来实现的。
(3)一个Super-VLAN可以包含一个或多个保持着不同广播域的Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
VLAN Aggregation-通信原理(sub-vlan间三层通信)
sub-vlan间三层通信
Sub-VLAN间三层通信
(1)使能Sub-VLAN间的ARP Proxy功能,实现Sub-VLAN间互通
拓扑描述
1.Super-VLAN(VLAN10)包含Sub-VLAN(VLAN2 和VLAN3)
2.上述拓扑假设S1已经开启了Sub-VLAN间的ARP Proxy功能,通信过程如下:
(1)PC1将PC2的IP 地址(1.1.1.20)和自己所在网段1.1.1.0/24 进行比较,发现PC2和自己在同一个子网,但是PC1的ARP表中无PC2的对应表项。
(2)PC1发送ARP广播,请求PC2的MAC 地址。
(3)PC2并不在VLAN2的广播域内,无法接收到PC1的这个ARP请求。
(4)由于网关上使能Sub-VLAN间的ARP Proxy,当网关收到PC1的ARP请求后,开始在路由表中查找,发现ARP请求中的PC2的IP地址(1.1.1.20)为直连接口路由,则网关向所有其他Sub-VLAN接口发送一个ARP广播,请求PC2的MAC地址。
(5)PC2收到网关发送的ARP广播后,对此请求进行ARP应答。
(6)网关收到PC2的应答后,就把自己的MAC地址当作PC2的MAC地址回应给PC1。
(7)网关和PC1的ARP表项中都存在PC2的对应表项。
(8)PC1之后要发给PC2的报文都先发送给网关,由网关做三层转发。
VLAN Aggregation-通信原理(sub-vlan与外部网络的二层通信)
sub-vlan与外部网络的二层通信
Sub-VLAN与外部网络的二层通信
(1)基于端口的VLAN二层通信中,无论是数据帧进入接口还是从接口发出都不会有针对Super-VLAN的报文
拓扑描述
(1)从PC1侧Port3进入设备S2的帧会被打上VLAN2的Tag,在设备S2中这个Tag不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的Tag。该数据帧从Trunk类型的接口Port3出去时,依然是携带VLAN2的Tag。设备S2本身不会发出VLAN10的报文。就算其他设备有VLAN10的报文发送到该设备上,这些报文也会因为设备S2上没有VLAN10对应物理端口而被丢弃。
Super-VLAN中是不存在物理端口的,这种限制是强制的,表现在:
(1)如果先配置了Super-VLAN,再配置Trunk接口时,Trunk的VLAN allowed表项里就自动滤除了Super VLAN。
(2)如果先配好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因是有物理端口的VLAN都不能被配置为Super VLAN。而允许所有VLAN通过的Trunk端口是所有VLAN的tagged端口,当然任何VLAN 都不能被配置为Super VLAN。
(3)对于设备S2而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发的。
VLAN Aggregation-通信原理(sub-vlan与外部网络的三层通信)
sub-vlan与外部网络的三层通信
拓扑描述
1.S2上配置了Super-VLAN 4,Sub-VLAN 2和Sub-VLAN 3,并配置一个普通的VLAN10;S1上配置两个普通的VLAN 10和VLAN 20。假设Super-VLAN 4中的Sub-VLAN 2下的PC1想访问与S1 相连的主机PC3,假设设S2上已配置了去往1.1.3.0/24网段的路由,S1上已配置了去往1.1.1.0/24网段的路由:
(1)PC1将PC3的IP地址(1.1.3.2)和自己所在网段1.1.1.0/24进行比较,发现PC3和自己不在同一个子网。
(2)PC1发送ARP请求给自己的网关,请求网关的MAC地址。
(3)S2收到该ARP请求后,查找Sub-VLAN和Super-VLAN的对应关系,从Sub-VLAN 2发送ARP应答给PC1。ARP应答报文中的源MAC地址为Super-VLAN 4对应的VLANIF4的MAC地址。
(4)PC1学习到网关的MAC地址(即vlanif4的mac地址)。
(5)PC1向网关发送目的MAC为Super-VLAN 4对应的VLANIF4的MAC、目的IP为1.1.3.2的报文。
(6)S2收到该报文后进行三层转发,下一跳地址为1.1.2.2,出接口为VLANIF10,把报文发送给S1。
(7)S1收到该报文后进行三层转发,通过直连出接口VLANIF20,把报文发送给PC3。
(8)PC3的回应报文,在Switch1上进行三层转发到达Switch2。
(9)Switch2收到该报文后进行三层转发,通过super-VLAN,把报文发送给PC1。
----pc1-supervlan4-vlan10-vlan20-pc3
MUX VLAN
Mux vlan分为主vlan(Principal vlan)和从vlan,从vlan可以分为互通型从vlan(组vlan,group vlan)和隔离型从vlan(separate vlan)。
通信原则:
(1)主vlan和从vlan之间可以相互通信;
(2)互通型从vlan内的端口之间可以互相通信;
(3)隔离型从vlan内的端口之间不能相互通信;
(4)不同从vlan之间不能相互通信(也就是1.不同的隔离型从vlan互不通信;2.互通型从vlan和隔离型从vlan之间不互通通信 3.不同vlan的互通型从vlan互不通信)。
拓扑描述
根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。