vlan学习
这段时间学习了vlan,这里总结一下,备忘。
1. vlan的概念
首先,我们先要了解一下vlan的用途。vlan的全称是virtual local area network,目的是用来在二层网络分割广播域。
正常在一个二层的物理交换机上,A1电脑发出去的广播包,默认下交换机所有端口下的电脑都可以收到该广播包(A1到A6电脑都可以互相通信)。但是通过划分vlan就可以指定属于同一个vlan下的端口才能收到广播包。也就是如下:
如果A1电脑发的的广播包,只有同一个vlan下的A3和A5电脑才能收到广播包。同理A2电脑发的广播包,只有A4和A5电脑才能收到。所以A1可以和A3,A5通信,但是和A2,A4,A6却是网络隔离的。
2. access端口
上面介绍了vlan的基本功能。下面开始来说一下vlan的实现机制。
vlan主要两种端口模式,一种叫做access端口,一种叫做trunk端口。access端口是最简单的一种模式,所以这里先介绍一下access端口。
access端口比较简单,也容易理解。access端口一般接的都是计算机,该端口接收没有vlan的网络包(frame),但是只发送特定某个vlan的包。例如下面的图,就是红色的端口设置为access 10(PVID设置为10,并且设置access模式),灰色端口设置为access 20(PVID设置为20,并且设置access模式):
A1发送的网络包没有携带vlan,到达access10端口的时候,交换机就会打上vlan 10的标签(vlan tag)。交换机会转发给其他的端口。access 20端口直接丢弃,不转发出去。而access 10端口会剥离vlan 10的标签,然后转发出去。所以A1只能和A3通信,其他的类似。
那么如果是多台交换机呢?也是一样,下面的A1可以和A3,A5通信:
说明:物理交换机2的两个空白端口是默认配置,交换机端口默认PVID=1。
3. trunk端口
上面级联交换机有划分为了vlan,所以用每一个交换机都需要两个级联的端口,分别设置为access10和access20,这个有点浪费。所以就引入了trunk端口。trunk端口允许多个vlan的包通过。所以上面的图可以修改为:
这里需要说明的,就是A1发的包到access10端口时候会加上vlan 10的标签。在从trunk10,20端口出来的时候,网络包还携带着vlan 10标签(和access不一样,access端口会剥掉vlan标签,trunk不会)。直到从A5所在的access10端口出来时候才会剥掉vlan 10标签。
4. PVID介绍
PVID为Port-base Vlan ID,是端口的默认vlan id,每一个端口都有一个可配置的PVID。
PVID的功能是:如果端口收到没有vlan id标签的网络包时候就会PVID作为vlan id给数据包打上via标签。同理,从PVID的端口出去时候,如果数据包的vlan id等于端口的PVID时候就会剥离vlan id标签。所以其实这个和access端口是一样的功能(access 10,实际是先PVID设置为10,然后再把端口设置为access模式),所以PVID这个鬼东西在trunk端口下相当于也有access PVID功能。下面介绍PVID在trunk下的使用。
随着虚拟化的发展,从服务器出物理网口出来可能包含有各种vlan id标签的包,也包含没有vlan id标签的包。这样就需要trunk+PVID了。例如下面:
端口的默认PVID都是1,上面A1对应的交换机端口设置为trunk all,也就是允许所有vlan通过。A2对应的交换机端口都是默认配置,A3对应的交换机端口是access10,A4的对应的交换机端口设置为access20。那么:
1). 从A1到交换机的包如果没有vlan标签,那么到交换机端口会加上vlan id为PVID的标签,可以在A2端口剥离vlan标签出来到A2。
2). 从A1到交换机的包如果有vlan 10标签,那么到交换机端口接受该数据包后,可以在A3端口(access 10)剥离vlan标签出来到A3。
3) 从A1到交换机的包如果有vlan 20标签,那么到交换机端口接受该数据包后,可以在A3端口(access 20)剥离vlan标签出来到A4。
4) A1其他vlan的包那么都是丢弃掉。
说明:有些交换机access vlanid的口也接收有该vlanid的包。