VLAN虚拟局域网
一、虚拟局域网 VLAN(Virtual Local Area Network)
定义:VLAN 是一种将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。
①VLAN 能够隔离广播域;
②VLAN 内的主机之间可以直接通信,而 VLAN 之间不能直接互通(即不同的 VLAN 之间是二层隔离)。
二、VLAN 的划分
VLAN 可以分为五种:
①基于端口的 VLAN;
根据以太网交换机的端口进行划分,实际上就是某些端口的集合。
- 优点:定义成员简单。
- 缺点:成员移动需要重新配置VLAN。
例如:(如图)
| VLAN 信息表 | |
| VLAN 10 | VLAN 20 |
| Port 1 Port 2 |
Port 3 Port 4 |
②基于 MAC 地址的 VLAN;
根据每个主机网卡的 MAC 地址来划分的,即每个 MAC 地址的主机都被固定地配置属于一个 VLAN。
- 优点:当终端用户的物理位置发生改变,不需要重新配置 VLAN,提高了终端用户的安全性和接入的灵活性。
- 缺点:只适用于网卡不经常更换,网络环境较简单的场景中。另外,还需要预先定义网络中的所有成员。
| VLAN 信息表 | |
| MAC Address | VLAN ID |
| MAC_A(主机A 的 MAC) MAC_B(主机B 的 MAC) MAC_C(主机C 的 MAC) MAC_D(主机D 的 MAC) |
VLAN 10 VLAN 10 VLAN 20 VLAN 20 |
③基于 IP 子网的 VLAN;
根据报文源 IP 地址及子网掩码作为依据来进行划分的。
- 优点:将指定网段或 IP 地址发出的报文在指定的 VLAN 中传输,减轻了网络管理者的任务量,且有利于管理。
- 缺点:网络中的用户分布需要有规律,且多个用户在同一个网段。
例如:(如图)
| VLAN 信息表 | |
| IP 子网 | VLAN ID |
| 172.16.1.0/24 172.16.2.0/24 |
VLAN 10 VLAN 20 |
④基于网路层协议的 VLAN;
交换机从端口接收到以太网帧后,会根据帧中所封装的协议类型来确定报文所属的 VLAN,然后将数据帧自动划分到指定的 VLAN 中传输。
| VLAN 信息表 | |
| Protocol | VLAN ID |
| IP IPX |
VLAN 10 VLAN 20 |
⑤组合。
| VLAN 信息表 | |
| VLAN ID | |
| Port 1+MAC_A+172.16.1.0/24 Port 3+MAC_C+172.16.2.0/24 |
VLAN 10 VLAN 20 |
三、VLAN的链路类型
①干道链路(Trunk):交换机与交换机之间的链路为干线链路(干道链路上通过的帧一般带有 Tag 的 VLAN 帧);
②接入链路(Access):用户主机和交换机之间的链路为接入链路。
1、PVID(Port VLAN ID):代表端口缺省的 VLAN。
(交换机收到的帧有可能是不带标签的数据帧,但所有以太网数据帧在交换机内部,都是以标签的形式来处理接收和转发的,交换机必须为接收到的不代标签的帧添加上标签,为了实现这个目的必须使用 PVID 为端口配置缺省 VLAN,当收到不带标签的 VLAN 时将为数据添加不带标签 VLAN 的标签,缺省 VLAN 也就是 PVID)
①PVID 表示端口所属的 VLAN;
例如:为 VLAN2 配置 PVID 为 2,VLAN3 配置 PVID 为 3;在缺省情况下,交换机每个端口的 PVID 是 1。
②缺省情况下,交换机每个端口的 PVID 是 1;
Access 端口:
Access 端口是交换机上用来连接用户主机的端口,他只能连接接入链路,并且只允许唯一的 VLAN 通过本端口。
①接收:Access 端口在收到数据后会添加 VLAN Tag VLANID 和端口的 PVID 相同;
②发送:Access 端口在转发数据前会移除 VLAN Tag。
Trunk 端口:
①接收:当 Trunk 端口收到帧时,如果该帧不包括 Tag,将打上端口的 PVID,如果该帧包含 Tag则不改变,然后判断是否在允许列表中;
②发送:该帧的 VLAN ID 在 Trunk 的允许发送列表中。若与端口的PVID相同时,则剥离Tag发送,若端口的 PVID 不同时,则直接发送。
VLAN 的局限性:
VLAN 在分割广播域的同时也限制了不同 VLAN 间的主机进行二层通信,分属于不同 VLAN 用户不能相互通信。
实现 VLAN 间的通信主要方式:
①普通路由:在二层交换机上配置 VLAN,每一个 VLAN 使用一条独占的物理链路连接到路由器的一个接口上;
(过程:在每一个路由器上,为每一个 VALN 分配一个单独的接口并使用一条物理链路连接到 二层交换机上,当 VLAN 间的主机需要通信时。)
例如:途中主机 B 发送数据到主机 A,数据首先到达交换机 A,然后通过交换机和路由器之间属于 VLAN3 的物理链路到达路由器 A,经由路由器进行三层路由,通过路由器与交换机之间属于VLAN2 的物理链路到达交换机 A,并被交换机 A 转发到目的 VLAN2 内的目的主机 A 上,这样就可以实现 VLAN 之间的相互通信。
缺点:路由器接口数量有限;
②单臂路由:在交换机和路由器之间仅使用一条物理链路连接;
(过程:在路由器上创建两个子接口分别是 G0/0/1.1和 G0/0/1.2,其中 .1 是 VLAN2 中所有主机的网关,.2 是 VLAN3 中所有主机的网关)
例如:VLAN3 中的主机 B 向 VLAN2 中的主机 A 发送数据,数据首先到达交换机,交换机将数据向路由器转发,由于交换机与路由器相连接的接口是 Trunk 类型的端口,所以发出的数据是带有 VLAN3 标签的数据,当数据到达路由器时,路由器通过 G0/0/1.2 子接口接收这个数据,除掉 VLAN3 这个标签之后,通过查找路由表将数据添加到 VLAN2 的标签后,从 G0/0/1.2 子接口发送到交换机,交换机收到后将数据转发给主机 A。
- 将交换机和路由器之间的链路配置为 Trunk 链路;
- 在路由器上创建子接口以支持 VLAN 路由;
- 将交换机和路由器之间的链路配置为 Trunk 链路,并且在路由器上创建子接口支持 VLAN 路由。
单臂路由的特点:节省了路由器的接口,但是使用单臂路由时,一旦 VLAN 间的数据流量过大,路由器与交换机之间的链路将成为网络的瓶颈。
③三层交换
概念:三层交换机即具有二层交换的功能,又具有三层路由的功能。三层交换机可以理解为二层交换机和路由器在功能上的集成(当然,并不是简单的叠加)
三层交换原理:实现 VLAN 间路由时,在三层交换机上需要配置 VLANIF 接口,来实现 VLAN 间的路由,如果网络上有多个 VLAN,则需要给每一个 VLAN 配置一个 VLANIF 接口,并且要给每一个 VLANIF 接口配置一个 IP 地址,用户设置的缺省网关就是三层交换机中 VLANIF 接口的 IP 地址,三层交换机内有一张 IP 地址与出接口映射的表格,三层交换机刚启动时,表格是空的,三层交换机传输第一个数据流时,
| IP 地址 | 出端口 |
例如:由主机 A 发往主机 B 的数据,三层交换机使用三层路由功能查询到正确的路径信息,从正确的出端口进行数据的转发,同时会产生目的 IP 地址 4.4.4.4 与出端口 Port4 映射关系,当同样的数据流再次通过时
| IP 地址 | 出端口 |
| 4.4.4.4 | Port4 |
比如主机 B 发送数据到主机 D 时,将根据此表从二层直接通过,从而消除了路由功能中进行路由选择所造成的网络延迟,提高数据包转发的效率。这就是三层交换,一次路由多次交换。
四、VLAN 的优点
①限制广播包;
②增进安全性;
③虚拟工作组;
④减少移动和改变的代价。
五、VLAN 的配置
1、基于端口划分 VLAN 主要包括三项配置任务
- 创建所需要的 VLAN;
如:创建VLAN10
- 配置端口类型(Access、Trunk 和 Hybrid 这三种二层以太网端口都可以添加到基于端口划分的 VLAN 中);
- 把端口加入 VLAN 中。
【注】在华为交换机上,可以创建的 VLAN ID 号的范围是 2~4094。在默认情况下,VLAN1 是交换机自动创建的,不可以被删除,并且所有的端口都属于 VLAN1。
六、常见的配置命令
1、在进入到配置界面后最先出现的视图是用户视图:
[Huawei] 系统视图:在系统视图下配置设备的系统参数等;
2、在系统视图下可以进入协议视图和接口视图。
[Huawei-Etherent0/0/1] 接口视图:配置接口参数;
[Huawei-ospf-1] 协议视图:配置路由协议;
通过提示符判断自己所在的视图。
例如:
(1) 如下图是用户视图
(2) 进入系统视图:输入 system-view 命令,点击回车
(3) 返回有两种:①返回上级视图:输入命令 quit
② 返回用户视图:return
(4) 更改设备名称:输入命令 system-view回车
输入命令 sysname 名字
(5) 进入接口视图:输入命令 interface 接口类型接口编号 回车
如:
有的接口需要关闭
关闭接口:输入命令 shutdown 回车
关闭的接口也可以打开:输入命令 undo shutdown 回车
(6) 查看当前配置(在任何视图下都可以进行):输入命令 display current-configuration
可以简写:display cu
(7) 查看已保存的设置(在任何视图下都可以进行):输入命令 display saved-configuration
可以简写:display sa
(8) 查看版本号:在用户视图下输入命令 display version
接下来是几个必须在用户视图下进行的命令:
①保存配置:save
②清除已保存的配置:reset saved-configuration
③重启设备:reboot