VLAN原理概述
为何引入VLAN?
随着网络环境中,计算机等终端设备的数量越来越多,传统的以太网正在面临冲突严重、广播泛滥以及安全性无法得到保障等各种问题。
VLAN的概述:
VLAN(Vitrual Local Area Network)即虚拟局域网,是将一个物理的局域网在逻辑上划分多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,也能够提升网络的安全性。
传统以太网的弊端以及为何引入VLAN
早期的局域网LAN技术基于总线型结构,存在以下问题:
1、多节点同时发送消息,产生冲突;
2、从任意节点发出的消息都会被发送至其他节点中去,形成广播;
3、所有主机共享一条传输通道,无法控制网络中的信息安全;
4、这种网络既构成了一个冲突域,也构成了一个广播域;
冲突域:网络计算机数量越多,冲突月严重,网络效率越低;
广播域:当网络中发送信息的计算机数量变多时,广播流量将会耗费大量的带宽。
因此,传统局域网不仅面临冲突域太大和广播域太大两大难题,而且无法保障传输信息的安全。
为了扩展传统LAN,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交换机,它们能有效隔离冲突域。网桥和交换机采用交换方式将来自入端口的信息转发到出端口上,克服了共享网络中的冲突问题。但是,采用交换机进行组网时,广播域和信息安全问题依旧存在。
为限制广播域的范围,减少广播流量,需要在没有二层互访需求的主机之间进行隔离。路由器是基于三层IP地址信息来选择路由和转发数据的,其连接两个网段时可以有效抑制广播报文的转发,但成本较高。因此,人们设想在物理局域网上构建多个逻辑局域网,即VLAN。
VLAN技术
VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域,也就是多个VLAN。VLAN技术部署在数据链路层,用于隔离二层流量。同一个VLAN内的主机共享同一个广播域,它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域,不能直接实现二层互通。这样,广播报文就被限制在各个相应的VLAN内,同时也提高了网络安全性。
VLAN帧格式:
通过Tag标签区分不同VLAN
在现有的交换网络环境中,以太网的帧有两种格式:
没有加上VLAN标记的标准以太网帧(untagged frame);
有VLAN标记的以太网帧(tagged frame)
链路类型
VLAN链路分为两种类型:
Access链路和Trunk链路
接入链路(Access Link):连接用户主机和交换机的链路;
干道链路(Trunk Link):连接交换机和交换机的链路;干道链路上通过的帧一般为带Tag的VLAN帧。
PVID
PVID即Port VLAN ID,代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag。
VLAN端口类型
Access:
1、Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同。
2、Access端口在转发数据前会移除VLAN Tag。
Trunk:
1、当Trunk端口收到帧时,如果该帧不包含Tag,将添加上端口的PVID;如果该帧包含Tag,则不改变。
2、当Trunk端口发送帧时,该帧的VLAN ID在Trunk的允许发送列表中:若与端口的PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送。
3、Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带Tag标记)通过。
Hybrid
1、Hybrid端口既可以连接主机,又可以连接交换机。
2、Hybrid端口可以以Tagged 或Untagged方式加入VLAN 。
VLAN划分的方法
1、基于端口划分(最为常见;不足之处:当主机位置移动,需要重新配置VLAN)
2、基于MAC地址划分(即使主机移动位置也不需要重新配置VLAN)
3、基于IP地址划分;
4、基于协议划分(需要配置协议类型和VLAN ID之间的映射关系);
5、基于策略划分(手动配置);
VLAN的配置命令
1、执行vlan 10 命令创建vlan;
2、执行vlan batch 2 to 3 命令连续创建多个vlan ;
3、执行display vlan命令验证配置结果;
4、执行display vlan [ vlan*-id* [ verbose ] ]命令,可以查看指定VLAN的详细信息,包括VLAN ID、类型、描述、VLAN的状态、VLAN中的端口、以及VLAN中端口的模式等;
5、执行displayvlanvlan*-id* statistics命令,可以查看指定VLAN中的流量统计信息。;
6、执行displayvlansummary命令,可以查看系统中所有VLAN的汇总信息。;
配置Access端口
[SWA]interface GigabitEthernet 0/0/5
[SWA-GigabitEthernet0/0/5]port link-type access
[SWA-GigabitEthernet0/0/5]interface GigabitEthernet 0/0/7
[SWA-GigabitEthernet0/0/7]port link-type access
有两种方法可以添加端口到vlan中去 方法一:进入VLAN视图 [SWA]vlan 2 [SWA-vlan2]port GigabitEthernet 0/0/5 方法二:进入接口视图 [SWA]interface GigabitEthernet0/0/5 [SWA-GigabitEthernet0/0/5]port default vlan 2
配置Trunk端口
[SWA-GigabitEthernet0/0/1]port link-type trunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
配置Hybrid端口
[SWA-GigabitEthernet0/0/1]port link-type hybrid
[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100
[SWA-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 100
[SWA-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 3 100
配置Voice VLAN
[SWB]vlan 2
[SWB-vlan2]interface GigabitEthernet 0/0/1
[SWB-GigabitEthernet0/0/1]voice-vlan 2 enable
[SWB-GigabitEthernet0/0/1]voice-vlan mode auto
[SWB-GigabitEthernet0/0/1]quit
[SWB]voice-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000
[SWB]display voice-vlan status
