3928 VLAN划分

 3928 VLAN 划分

第 1 章   VLAN 简介

1.1  VLAN 简介

1.1.1   VLAN 概述

传统的以太网是一个广播型网络，网络中的所有主机通过 HUB 或交换机相连，处在同一个广播域中。 HUB 是物理层设备，没有交换功能，接收的报文会向所有端口转发；交换机是链路层设备，具备根据报文的目的 MAC 地址进行转发的能力，但在收到广播报文或未知单播报文（报文的目的 MAC 地址不在交换机 MAC 地址表中）时，也会向除报文入端口之外的所有端口转发。

上述情况使网络中的主机会收到大量并非以自身为目的地的报文，在浪费大量带宽资源的同时，也造成了严重的安全隐患。

隔离广播域的传统方法是使用路由器，但是路由器成本较高，而且端口较少，无法划分细致的网络。

为解决以太网交换机在 LAN 中无法限制广播的问题，出现了 VLAN （ Virtual Local Area Network ，虚拟局域网）技术。

如 图1-1 所示， VLAN 把一个物理上的 LAN 划分成多个逻辑上的 LAN ，每个 VLAN 是一个广播域。 VLAN 内的主机间通信就和在一个 LAN 内一样，而不同 VLAN 内的主机不能直接通信。

图 1-1 VLAN 示例

VLAN 的组成不受物理位置的限制。一个 VLAN 可以在一个交换机内，也可以跨越交换机，甚至可以跨越路由器。同一 VLAN 内的各台计算机无须被放置在同一物理空间里，即这些计算机不一定属于同一个物理网段。

与传统以太网相比， VLAN 具有如下的优点：

l               广播被限制在一个 VLAN 内，节省了带宽，提高了网络处理能力。

l               增强了 LAN 的安全性。 VLAN 间不能直接通信，即一个 VLAN 内的主机无法直接访问另一个 VLAN 内的资源，如果要访问需要通过路由器或三层交换机等三层设备。

l               减少了用户端的网络配置。使用 VLAN 可以划分不同的用户到不同的虚拟工作组中，当用户的物理位置在 VLAN 覆盖范围内移动时，不需要改变其网络的配置。

1.1.2   VLAN 原理

要使交换机能够分辨不同 VLAN 的报文，需要在报文中添加标识 VLAN 的字段。由于交换机工作在第二层（三层交换机不在本章节讨论范围内），只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。

IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 IEEE 802.1Q 协议标准草案，对带有 VLAN 标识的报文结构进行了统一规定。

传统的以太网数据帧在目的 MAC 地址和源 MAC 地址之后封装上层协议的类型字段。如 图1-2 所示

图 1-2 传统以太网帧封装格式

其中 DA 表示目的 MAC 地址， SA 表示源 MAC 地址， Type 表示报文所属协议类型。

IEEE 802.1Q 协议规定在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag ，用以标识 VLAN 的相关信息。

图 1-3 VLAN Tag 的组成字段

如 图1-3 所示， VLAN Tag 包含四个字段，分别是 TPID ， Priority ， CFI 和 VLAN ID 。

l               TPID 用来标识本数据帧是带有 VLAN Tag 的数据，长度为 16bit ，在 Quidway 系列以太网交换机上默认取值为 0x8100 。

l               Priority 表示 802.1P 的优先级，长度为 3bit ，相关内容请参见“ QoS&QoS Profile ”部分的介绍。

l               CFI 字段标识 MAC 地址在不同的传输介质中是否以标准格式进行封装，在本章中不进行具体描述，长度 1bit 。

l               VLAN ID 标识该报文所属 VLAN 的编号，长度为 12bit ，取值范围为 0 ～ 4095 。由于 0 和 4095 通常不使用，所以 VLAN ID 的取值范围一般为 1 ～ 4094 。

交换机利用 VLAN ID 来识别报文所属的 VLAN ，当接收到的报文不携带 VLAN Tag 时，交换机会为该报文封装带有接收端口缺省 VLAN ID 的 VLAN Tag ，将报文划分到接收端口的缺省 VLAN 中传输。有关端口缺省 VLAN 设置的内容，请参见本手册“端口基本配置”部分的介绍。

1.2  基于端口的 VLAN

基于端口的 VLAN 是最简单的一种 VLAN 划分方法。通过将设备上连接用户的端口划分到不同 VLAN ，实现用户间的隔离和虚拟工作组的划分。

这种划分方法具有实现简单，易于管理的优点，适用于连接位置比较固定的用户。

1.3  基于协议的 VLAN

1.3.1   协议 VLAN 概述

基于协议的 VLAN 也称为协议 VLAN ，是区别于基于端口的 VLAN 的另一种 VLAN 划分方法。通过配置基于协议的 VLAN ，交换机可以分析端口上收到的不携带 VLAN Tag 的报文，根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配，自动为匹配成功的报文添加相应的 VLAN Tag ，实现将属于指定协议的数据自动分发到相应的 VLAN 中传输。

此特性主要用于将网络中提供的服务类型与 VLAN 相绑定，方便管理和维护。

1.3.2   以太网数据的封装格式

为清楚的了解交换机对报文协议的识别过程，先简要介绍一下以太网常用的数据封装格式。

1. Ethernet II 与 802.2/802.3 封装

目前链路层的报文封装主要有两种类型，分别为 Ethernet II 型和 802.2/802.3 型。两种报文的封装格式如下：

Ethernet II 型

图 1-4 Ethernet II 型报文封装格式

802.2/802.3 型

图 1-5 802.2/802.3 型报文封装格式

DA 、 SA 分别表示报文的目的 MAC 地址和源 MAC 地址，括号中的数字表示此字段的长度，单位为字节。

由于以太网报文的最大长度为 1500 字节，转换成 16 进制数字为 5DC ，所以 802.2/802.3 型封装的 Length 字段取值范围为 0x0000 ～ 0x05DC 。

而 Ethernet II 型封装中的 Type 字段取值范围为 0x0600 ～ 0xFFFF 。

交换机根据这两个字段的取值范围的不同来区分 Ethernet II 型和 802.2/802.3 型报文。

2. 802.2/802.3 封装的几种格式

802.2/802.3 封装分为 3 种封装格式：

l               802.3 raw 封装：在源、目的地址后只封装 Length 字段，之后即是上层数据，没有类型字段。

图 1-6 802.3 raw 封装格式

目前只有 IPX 协议支持 802.3 raw 封装，用 Length 字段之后两个字节的取值为 0xFFFF 作为标识。

l               802.2 LLC （ Logic Link Control ，逻辑链路控制）封装：在源、目的地址后封装 Length 、 DSAP （ Destination Service Access Point ，目的服务访问点）、 SSAP （ Source Service Access Point ，源服务访问点）和 Control 字段。

图 1-7 802.2 LLC 封装格式

LLC 部分中的 DSAP 和 SSAP 用来标识上层协议的字段。例如这两个字节取值均为 0xE0 ，则表示上层协议为 IPX 。

l               802.2 SNAP （ Sub-Network Access Protocol ，子网接入协议）封装：按 802.2/802.3 型报文进行封装，包含 Length 、 DSAP 、 SSAP 、 Control 、 OUI 及 PID 字段。

图 1-8 802.2 SNAP 封装格式

在 802.2 SNAP 封装中， DSAP 和 SSAP 字段的取值均固定为 AA ， Control 字段取值固定为 3 。

交换机根据 DSAP 和 SSAP 字段的取值区分 802.2 LLC 和 802.2 SNAP 封装

&   说明：

在 802.2 SNAP 封装中，当 OUI 为 00-00-00 时， PID 字段有和 Ethernet II 封装的 Type 字段同样的意义，即被解释为全局唯一的协议号。这种封装称为 SNAP RFC1042 封装，是标准的 SNAP 封装，本文中出现的“ SNAP 封装”就是指“ SNAP RFC1042 封装”。

 

1.3.3   交换机对报文协议的判断过程

图 1-9 交换机对报文协议的判断过程

1.3.4   各种协议支持的封装格式

表 1-1 各种协议支持的封装格式

	Ethernet II	802.3 raw	802.2 llc	802.2 snap	Type 值
IP	支持	不支持	不支持	支持	0x0800
IPX	支持	支持	支持	支持	0x8137
AppleTalk	支持	不支持	不支持	支持	0x809B

 

1.3.5   协议 VLAN 的实现方式

S3900 系列以太网交换机通过协议模板来匹配报文，实现根据协议将报文划分到 VLAN 中。

协议模板是用来匹配报文所属协议类型的标准，协议模板分为标准模板和自定义模板两种：

l               标准模板是指以 RFC 标准规定的报文封装格式和特殊字段数值作为匹配条件的模板。

l               自定义模板是指以用户在命令中指定的封装格式和特殊字段数值作为匹配条件的模板。

配置协议模板完成后，需要为协议 VLAN 添加端口并建立该端口与协议模板的关联。由于协议 VLAN 内的端口需要连接到客户端，普通客户端无法处理携带 VLAN Tag 的报文，而且根据用户的报文协议不同，该端口将为各种报文添加多个 VLAN 的 VLAN Tag 。为使客户端能正常处理此端口发出的报文，需要将协议 VLAN 内的端口配置为 Hybrid 端口，并配置该端口在转发所有 VLAN 的报文时采取去除 VLAN Tag 的操作。

&   说明：

有关 Hybrid 端口在发送报文时去除 VLAN Tag 的操作，请参见本手册“端口基本配置”部分的介绍。

 

第 2 章   VLAN 配置

2.1  VLAN 配置

2.1.1   VLAN 的基本配置

表 2-1 VLAN 的基本配置

操作	命令	说明
进入系统视图	system-view	-
批量创建多个 VLAN	vlan { vlan-id1 to vlan-id2 | all }	可选
创建 VLAN 并进入 VLAN 视图	vlan vlan-id	必选 vlan-id 的取值范围为 1 ～ 4094
指定当前 VLAN 的名称	name text	可选 缺省情况下， VLAN 的名称为该 VLAN 的 VLAN ID
指定当前 VLAN 的描述字符串	description text	可选 缺省情况下， VLAN 的描述字符串为该 VLAN 的 VLAN ID

 

  注意：

当使用 vlan 命令创建 VLAN 时，如果目标 VLAN 已经存在且是动态 VLAN ，将自动将其转换为静态 VLAN ，同时交换机会输出提示信息。

 

2.1.2   VLAN 接口的基本配置

1. 配置准备

配置 VLAN 接口之前，首先要创建 VLAN 。

2. 配置步骤

表 2-2 VLAN 的基本配置

操作	命令	说明
进入系统视图	system-view	-
创建 VLAN 接口并进入 VLAN 接口视图	interface Vlan-interface vlan-id	必选 vlan-id 的取值范围为 1 ～ 4094
指定当前 VLAN 接口的描述字符串	description text	可选 缺省情况下， VLAN 接口的描述字符串为该 VLAN 接口的接口名
关闭 VLAN 接口	shutdown	可选
打开 VLAN 接口	undo shutdown	可选

 

需要注意的是，打开 / 关闭 VLAN 接口的操作对属于该 VLAN 的以太网端口的打开 / 关闭状态没有影响。

缺省情况下， VLAN 接口的管理状态为打开，此时 VLAN 接口物理状态受 VLAN 中端口状态的影响，即：当 VLAN 中所有以太网端口状态为 DOWN 时， VLAN 接口为 DOWN 状态，即关闭状态；当 VLAN 中有一个或一个以上的以太网端口处于 UP 状态，则 VLAN 接口处于 UP 状态。

如果将 VLAN 接口的管理状态设置为关闭，则 VLAN 接口的物理状态始终为 DOWN ，不受 VLAN 中端口状态的影响。

2.1.3   VLAN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 VLAN 后的运行情况。通过查看显示信息，用户可以验证配置的效果。

表 2-3 VLAN 配置显示

操作	命令	说明
显示 VLAN 接口相关信息	display interface Vlan-interface [ vlan-id ]	display 命令可以在任意视图下执行
显示 VLAN 相关信息	display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ]

 

2.2  配置基于端口的 VLAN

2.2.1   配置基于端口的 VLAN

1. 配置准备

配置基于端口的 VLAN 之前，首先要创建 VLAN 。

2. 配置步骤

表 2-4 配置基于端口的 VLAN

配置	命令	说明
进入系统视图	system-view	-
进入 VLAN 视图	vlan vlan-id	-
为指定的 VLAN 增加以太网端口	port interface-list	必选 缺省情况下，所有端口都已加入到系统缺省的 VLAN 中

 

  注意：

以上命令只对 Access 端口有效。将 Trunk 端口和 Hybrid 端口加入 VLAN ，只能通过以太网端口视图下的 port trunk permit vlan 和 port hybrid vlan 命令实现，配置步骤请参见《 Quidway S3900 系列以太网交换机   操作手册》“端口基本配置操作”部分的介绍。

 

2.2.2   基于端口的 VLAN 典型配置举例

1. 组网需求

l               创建 VLAN2 、 VLAN3 ，指定 VLAN2 的描述字符串为 home ；

l               通过配置将端口 Ethernet1/0/1 和 Ethernet1/0/2 加入到 VLAN2 中，将端口 Ethernet1/0/3 和 Ethernet1/0/4 加入到 VLAN3 中。

2. 组网图

图 2-1 VLAN 配置示例图

3. 配置步骤

# 创建 VLAN2 并进入其视图。

<Quidway> system-view

[Quidway] vlan 2

# 指定 VLAN2 的描述字符串为 home 。

[Quidway-vlan2] description home

# 向 VLAN2 中加入端口 Ethernet1/0/1 和 Ethernet1/0/2 。

[Quidway-vlan2] port Ethernet 1/0/1 Ethernet 1/0/2

# 创建 VLAN3 并进入其视图。

[Quidway-vlan2] vlan 3

# 向 VLAN3 中加入端口 Ethernet1/0/3 和 Ethernet1/0/4 。

[Quidway-vlan3] port Ethernet 1/0/3 Ethernet 1/0/4

2.3  配置 基于协议的 VLAN

2.3.1   创建协议 VLAN 的协议模板

1. 配置准备

配置基于协议的 VLAN 之前，首先要创建 VLAN 。

2. 配置步骤

表 2-5 创建 VLAN 的协议类型

操作	命令	说明
进入系统视图	system-view	-
进入 vlan 视图	vlan vlan-id	必选
创建 VLAN 协议模板	protocol-vlan [ protocol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id ssap ssap-id } | snap etype etype-id } }	必选

 

在创建协议 VLAN 的协议模板命令中，使用 at 、 ip 、 ipx 参数来创建标准模板；使用 mode 参数创建自定义模板。

  注意：

l       由于 IP 协议与 ARP 协议关系密切，建议用户在 VLAN 下配置 IP 协议类型时，同时配置 ARP 协议类型，并将这两种协议类型关联到相同的端口，避免因 ARP 报文与 IP 报文未划分到同一 VLAN ，而造成无法解析 IP 地址的情况。

l       由于 mode llc dsap ff ssap ff 的匹配报文格式与 ipx raw 的报文格式相同，而系统优先匹配 ipx raw ，如匹配不成功，则不再继续匹配，故配置 protocol-vlan mode llc dsap ff ssap ff 不会生效。

l       当 dsap-id 和 ssap-id 的取值是 AA 时，报文的封装类型将不再是 llc ，而将变为 snap 。

l       在使用 mode 参数配置协议 VLAN 时，如果将 ethernetii 型报文的 etype 参数值配置为 0x0800 、 0x809b 、 0x8137 ，则分别与 IP 、 IPX 和 AppleTalk 协议的报文格式相同。为避免两条命令对同种协议进行重复设定，交换机将提示用户不能配置 ethernetii 报文的 etype 参数为上述三个数值。

 

2.3.2   创建端口与基于协议 VLAN 的关联

1. 配置准备

l               已经创建协议 VLAN 的协议模板。

l               将端口配置为 Hybrid 类型，并配置在转发协议 VLAN 的报文时去除 VLAN Tag 。

2. 配置步骤

表 2-6 创建端口与基于协议 VLAN 的关联

操作	命令	说明
进入系统视图	system-view	-
进入端口视图	interface interface-type interface-number	必选
创建端口与基于协议的 VLAN 关联	port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-end ] | all }	必选

 

  注意：

有关端口以 untag 方式加入 VLAN 的操作，请参见本手册“端口基本配置”部分的介绍。

 

2.3.3   协议 VLAN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置协议 VLAN 后的运行情况。通过查看显示信息，用户可以验证配置的效果。

表 2-7 VLAN 配置显示

操作	命令	说明
显示协议 VLAN 的基本信息	display vlan [ vlan-id [ to vlan-id ] | all | static | dynamic ]	display 命令可以在任意视图执行
显示指定 VLAN 上配置的协议信息及协议的索引	display protocol-vlan vlan { vlan-id [ to vlan-id ] | all }
显示指定端口上配置的协议信息及协议的索引	display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all }

 

2.3.4   基于协议的 VLAN 典型配置举例

1. 基于标准模板的协议 VLAN 配置举例

(1)         组网需求

l               创建 VLAN 5 ，并配置为基于协议的 VLAN 。创建索引值 1 ，协议类型为 IP 。

l               配置 Ethernet1/0/5 端口与协议 VLAN 相关联，由此端口进入的 IP 数据流自动加上 VLAN 5 的 VLAN 标识，在 VLAN 5 中传输。

(2)         配置步骤

# 创建 VLAN 5 并进入其视图

<Quidway> system-view

[Quidway] vlan 5

[Quidway-vlan5]

# 配置 VLAN 5 的索引值 1 关联的协议类型为 IP

[Quidway-vlan5] protocol-vlan 1 ip

# 进入 Ethernet1/0/5 的端口视图

[Quidway-vlan5] interface Ethernet 1/0/5

# 配置端口为 Hybrid 端口

[Quidway-Ethernet1/0/5] port link-type hybrid

# 将端口加入 VLAN 5 ，并将 VLAN 5 添加到端口允许通过的 untagged VLAN 列表

[Quidway-Ethernet1/0/5] port hybrid vlan 5 untagged

# 将端口与协议 VLAN 的索引值 1 相关联

[Quidway-Ethernet1/0/5] port hybrid protocol-vlan vlan 5 1

2. 基于自定义模板的协议 VLAN 配置举例

(1)         组网需求

l               创建 VLAN 7 为协议 VLAN 。

l               在 VLAN 7 中创建 2 个索引。索引 1 用来匹配 802.2 LLC 封装中 DSAP 与 SSAP 字段取值分别为 01 和 ac 的报文；索引 2 用来匹配 802.2 SNAP 封装中 Type 字段取值为 0xabcd 的报文。

l               将端口 Ethernet1/0/7 与协议 VLAN 7 的两个索引关联。当符合其中一个索引的报文从此端口进入时，自动添加 VLAN 7 的 VLAN Tag 。

(2)         配置步骤

# 创建 VLAN 7 并进入其视图

<Quidway> system-view

[Quidway] vlan 7

[Quidway-vlan7]

# 根据组网需求配置 VLAN 7 的索引值 1

[Quidway-vlan7] protocol-vlan 1 mode llc dsap 01 ssap ac

# 根据组网需求配置 VLAN 7 的索引值 2

[Quidway-vlan7] protocol-vlan 2 mode snap etype abcd

# 进入 Ethernet1/0/7 的端口视图

[Quidway-vlan7] interface Ethernet 1/0/7

# 配置端口为 Hybrid 端口

[Quidway-Ethernet1/0/7] port link-type hybrid

# 将端口加入 VLAN 7 ，并将 VLAN 7 添加到端口允许通过的 untagged VLAN 列表

[Quidway-Ethernet1/0/7] port hybrid vlan 7 untagged

# 将端口与协议 VLAN 7 的两个索引相关联

[Quidway-Ethernet1/0/7] port hybrid protocol-vlan vlan 7 1 to 2