VLAN——原理以及配置详解

VLAN

  • VLAN(Virtual Local Area Network)——虚拟局域网
    • VLAN的作用
      • VLAN间通信
      • VLAN的划分方式
    • 交换机的作用
      • VLAN配置思路
      • MAC表与CAM表
    • VLAN的配置
      • cisco的vlan配置
      • 华为vlan配置
    • 华为vlan接口模式
      • 接口规则
      • 接入模式
      • 中继模式
      • 混杂模式

VLAN(Virtual Local Area Network)——虚拟局域网

虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
就好比宿舍里面组建一个本地的局域网VLAN,然后我们就可以一起愉快地玩游戏了。而我们想要组建这么一个简单的局域网,我们只需要一台交换机即可。

VLAN的作用

简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能听到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。同时, 若没有路由,不同VLAN之间不能相互通信,从而提高了不同工作组之间的信息安全性。网络管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

VLAN间通信

VLAN是广播域。而通常两个广播域之间由路由器连接,广播域之间来往的数据包都是由路由器中继的。因此,VLAN间的通信也需要路由器提供中继服务,这被称作“VLAN间路由”。
VLAN间路由,可以使用普通的路由器,也可以使用三层交换机。大家可以记住不同VLAN间互相通信时需要用到路由功能。

VLAN的划分方式

1、静态VALN

静态VLAN也叫做基于端口的VLAN。从意思也能理解,它是固定不变的,就是明确指定交换机各端口属于哪个VLAN的设定方法。
基于端口的vlan这种方法,主要的优点就是定议vlan的成员很简单明了,思路清楚,直接针对交换机现有的端口设置vlan,哪些端口属于同一个vlan,很清楚的理解。
缺点:
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,计算机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然静态VLAN不适合那些需要频繁改变拓补结构的网络和大型网络。
2、动态VLAN

动态VLAN则是根据每个端口所连的计算机,随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类:

● 基于MAC地址的VLAN(MAC Based VLAN)

● 基于子网的VLAN(Subnet Based VLAN)

● 基于用户的VLAN(User Based VLAN)
1、基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个计算机的MAC地址为“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。
2、基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。只要电脑ip地址不变,那么它的vlan就不变,很方便,计算机可以换交换机端口,也可以MAC地址了,都不影响。
3、基于用户的VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。

交换机的作用

区别集线器(HUB),HUB为物理层设备,只能直接转发发电流;
交换机为数据链路层设备,可以将电流与二进制转换,实现了以下功能:
1、 无限的传输距离
2、 彻底解决了冲突—所有的接口可以同时收发数据
3、 二层单播—物理寻址,在一个交换网络内,实现一对一通讯,保障了数据的安全,减少了垃圾数据量,降低的转发延时;
4、 提高端口密度—可以增加更多的接口

VLAN配置思路

 1、	交换机上创建vlan
 2、	交换机上各个接口划分到对应的vlan中
 3、	trunk干道
 4、	vlan间路由--- 单臂路由(路由器子接口)    三层交换机

MAC表与CAM表

交换机对流量的转发机制:流量进入交换机后,先识别数据帧中的源MAC地址,然后将该MAC地址与该流量的进入接口进行绑定、记录,生成MAC地址表—再转换为CAM表
之后查看数据帧中的目标MAC地址,在CAM表中寻找对应的记录,若存在记录,按记录接口单播转发;
若没有记录将洪泛该流量; 洪泛—除流量的入口外其他所有出口复制;
默认CAM在一个mac最后出现的后300s将被删除;
MAC地址表和CAM的区别— CAM是将MAC表中的MAC地址+接口编号+vlanid转换为hash值,再转换为二进制格式;意义在于识别更快;

VLAN的配置

cisco的vlan配置

1、创建vlan
vlan1 为默认的native vlan,默认的管理vlan;且所有接口默认处于vlan1;

Switch(config)#vlan 2 
Switch(config-vlan)#name classroom1
Switch(config-vlan)#exit
Switch(config)#vlan 3-1015-20  批量创建

2、接口划入vlan

Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access    必须先将接口定义access模式才能进行划分
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/3 -4   批量划分
Switch(config-if-range)#switchport mode access 
Switch(config-if-range)#switchport access vlan 3

3、trunk干道
二层交换机手工配置trunk干道

Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk 

Cisco的二层交换机仅支持802.1q
三层交换机手工配置trunk干道—ISL和802.1q均支持 故配置前必须先定义封装类型

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q 
Switch(config-if)#switchport mode trunk

华为vlan配置

1、创建vlan

 [SWA]vlan 10
 [SWA-vlan10]quit
 [SWA]vlan batch 2 to 3 5 10  批量创建vlan2-3510
批量修改为access
[Huawei]port-group 1
[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access

单个将接口划分到vlan
[SWA]interface GigabitEthernet0/0/5 
[SWA-GigabitEthernet0/0/5]port default vlan 3
Access接口中,划分的vlan就是pvlan
批量将接口划分到vlan2
[Huawei]vlan 2
[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2

2、trunk干道
进入接口后先修改接口类型为trunk模式;再定义该trunk干道可以允许通过的vlan;默认trunk干道的PVLAN-类似cisco的native vlan为vlan1,默认对vlan1 的流量不标记,且其他添加到允许列表也可正常通过(若接口之前是hybrid模式并且已经配置,需要先删除混杂模式中的配置,如删除允许列表的内容,然后更改为truck)

[SWA-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all 允许所有vlan通过
[Huawei-GigabitEthernet0/0/1]port default vlan 3

3、vlan间路由器
单臂路由—子接口—交换机连接路由器的那个交换机接口修改trunk模式
路由器连接交换机的接口:

[RTA]interface GigabitEthernet0/0/1.1
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable
[RTA]interface GigabitEthernet0/0/1.2
[RTA-GigabitEthernet0/0/1.2]dot1q termination vid 3
[RTA-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 
[RTA-GigabitEthernet0/0/1.2]arp broadcast enable

华为vlan接口模式

接口规则

1、	只要流量进入华为的设备将马上打上标签;-- 华为设备内部转发的流量均存在标签
2、	华为设备交换机上所有的接口存在转发允许列表,只有被转发允许列表允许的流量,才能从该接口进入或转出;   
3、	从某个接口转出时,除查看允许列表外,还需要定义是否标记;
4、	若某个流量从交换机某个接口进入时,没有标签,将被标记上该接口pvlan id;
5、	若某个流量从交换机的某个接口进入时,存在标签,将匹配该接口的允许列表,若被允许可以进入,若未被允许将被丢弃;
6、	PC若接收到存在标记的流量,将丢弃;
7、交换机递给pc的流量会进行剥离标签;

接入模式

只能允许一个VLAN通过(允许列表无法直接定义);PVLAN就是允许VLAN;且一定为不标记

[sw1]interface GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access 
[sw1-GigabitEthernet0/0/5]port default vlan 2

中继模式

所有VLAN均可手动添加到允许列表中,默认仅pvlan在允许列表,且pvlan的出规则为不标
记,其他VLAN出规则为标记;

[sw1]interface GigabitEthernet 0/0/6
[sw1-GigabitEthernet0/0/6]port link-type trunk 
[sw1-GigabitEthernet0/0/6]port trunk pvid  vlan 2
[sw1-GigabitEthernet0/0/6]port trunk allow-pass vlan all

混杂模式

所有VLAN均可手动添加到允许列表中,且可以在允许通过时,定义是否标记;
默认PVLAN 为VLAN1,出向规则为不标记;一旦PVLAN被修改,那么需要手工添加该VLAN到允许列表,同时可以定义是否标记;

[sw1]interface GigabitEthernet 0/0/7
[sw1-GigabitEthernet0/0/7]port hybrid tagged vlan 2 to 3
[sw1-GigabitEthernet0/0/7]port hybrid untagged vlan 4 to 5
[sw1]display port vlan active   查看接口的VLAN转发规则;

你可能感兴趣的:(HCIP)