HCIE课程笔记16-VLAN基础原理
VLAN(虚拟局域网)是Virtual Local Area Network的简称。VLAN是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
1 VLAN特点
(1)限制广播域:广播域被限制在一个VLAN内,从而节省了带宽、提高了网络处理能力。
(2)增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能与其它VLAN内的用户直接通信。
(3)提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
(4)灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
2 VLAN帧格式
VLAN的Tag用来标识帧所属的VLAN,遵循IEEE 802.1Q标准,支持802.1Q协议的交换机收发帧的时候,标记可有可无,但在交换机内部,数据包一律携带帧。
备注:
IEEE 802.1Q:IEEE 802.1Q是虚拟桥接局域网的正式标准,对Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。
802.1q Tag各字段含义:
(1)TPID:长度为2字节,表示帧类型。取值为0x8100时表示802.1q Tag帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
(2)PRI:Priority,长度为3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。一般情况下,当交换机部署QoS时,优先发送优先级高的数据帧。
(3)CFI:Canonical Format Indicator,长度为1比特,表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed
Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0。
(4)VID:VLAN ID,长度为12比特,表示该帧所属的VLAN。每台支持802.1Q协议的交换机都可以发送包含VLAN ID的数据包,以指明自己属于哪一个VLAN。因此,在一个VLAN交换网络中,以太网帧有以下两种形式:
有标记帧(tagged frame):加入了4字节802.1Q Tag的帧。
无标记帧(untagged frame):原始的、未加入4字节802.1QTag的帧。
3 VLAN基本概念-链路类型
VLAN中有以下两种链路类型
(1)接入链路(Access Link):常用作连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧一般都是untagged帧。
(2)干道链路(Trunk Link):常用作连接交换机与交换机或交换机与路由器之间的链路。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上,一般传输的帧都是Tagged帧。
4 VLAN基本概念-端口类型
端口类型:
(1)Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路。有如下特点:
• 仅仅允许唯一的VLAN ID通过本端口,这个VLAN ID与端口的PVID(Port Default VLAN ID,端口缺省的VLAN ID)相同。
• 如果该端口收到的对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
• Access端口发往对端设备的以太网帧永远是不带标签的帧。
(2)Trunk端口通常是交换机上用来和其他交换机连接的端口,它一般用于连接干道链路。有如下特点:
• Trunk端口允许多个VLAN的帧(带Tag标记)通过。
• 如果从Trunk端口发送的帧带Tag,且Tag与端口缺省的VLAN ID相同,则交换机会剥掉该帧中的Tag标记。仅在这种情况下,Trunk端口发送的帧不带Tag。
• 如果从Trunk端口发送的帧带Tag,但是与端口缺省的VLAN ID不同,则交换机对该帧不做任何动作,直接发送带Tag的帧。
(3)Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
• Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。
5 VLAN划分
(1)基于端口划分VLAN(最常用最基本的方式)
根据交换设备的端口编号来划分VLAN。
网络管理员给交换机的每个端口配置不同的PVID,即一个端口缺省属于的VLAN。
• 当一个数据帧进入交换机端口时,如果没有带VLAN标签,且该端口上配置了PVID,那么,该数据帧就会被打上端口的PVID。
• 如果进入的帧已经带有VLAN 标签,那么交换机不会再增加VLAN 标签,对VLAN 帧的处理由端口类型决定。
(2)根据计算机网卡的MAC地址来划分VLAN。
网络管理员成功配置MAC地址和VLAN ID映射关系表,如果交换机收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
(3)基于子网划分VLAN
如果交换设备收到的是untagged(不带VLAN标签)帧,交换设备根据报文中的IP地址信息,确定添加的VLAN ID。
(4)基于协议划分VLAN
根据接口接收到的报文所属的协议(族)类型及封装格式来给报文分配不同的VLAN ID。网络管理员需要配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
目前,支持划分VLAN的协议有IPV4、IPV6、IPX、AppleTalk(AT),封装格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP。
(5)基于匹配策略划分VLAN
基于MAC地址、IP地址、接口组合策略划分VLAN是指在交换机上配置终端的MAC地址和IP地址,并与VLAN关联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,严禁修改IP地址或MAC地址,否则会导致终端从指定VLAN中退出。
匹配优先级:基于匹配策略>基于MAC地址和基于子网>基于协议>基于端口
6 VLAN基本通信原理
不同VLAN间默认无法直接通信;可以通过配置vlan-if接口实现VLAN之间的互相通信:
三层交换机通过路由表传输第一个数据包之后,会产生一个同时包含MAC地址与IP地址的数据转发映射表。当同样的数据流再次通过时,直接使用二层转发。
拓扑描述
在交换机上划分了2个VLAN:VLAN2和VLAN3。可通过如下配置实现VLAN间互通。
• 在S1上创建2 个vlan-if接口并配置vlan-if接口的IP地址,从而保证两个vlan-if接口对应的IP地址路由可通。
• 将用户设备的缺省网关设置为所属VLAN对应vlan-if接口的IP地址。
PC1和PC2的通信过程如下:
• PC1将PC2的IP地址和自己所在网段进行比较,发现PC2和自己不在同一个子网。
• PC1发送ARP请求给自己的网关S1,请求网关的MAC地址。
• S1收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLANIF2的MAC地址。
• PC1学习到网关的MAC地址。
• PC1向网关发送目的MAC为VLANIF2接口MAC 地址、目的IP为PC2的IP地址的报文。
• S1收到该报文后进行三层转发,发现PC2的IP地址为直连路由,报文将通VLANIF3 接口进行转发。
• S1作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求PC2的MAC地址。
• PC2收到网关发送的ARP广播后,对此请求进行ARP应答
• 网关收到PC2的应答后,就把PC1的报文发送给PC2。PC1之后要发给PC2的报文将由交换机S1做三层交换。