以太網是一種基於CSMA/CD(Carrier Sense Multiple Access/Collision Detect,載波偵聽多路訪問/衝突檢測)的共享通訊介質的數據網絡通訊技術,當主機數目較多時會導致衝突嚴重、廣播氾濫、性能顯著下降甚至使網絡不可用等問題。通過交換機實現LAN互聯雖然可以解決衝突(Collision)嚴重的問題,但仍然不能隔離廣播報文。在這種情況下出現了VLAN(Virtual Local Area Network)技術,這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN,每個VLAN是一個廣播域,VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文被限制在一個VLAN內。同一個VLAN內的主機通過傳統的以太網通信方式進行報文的交互,而不同VLAN內的主機之間則需要通過路由器或三層交換機等網絡層設備進行通信。如圖所示。
VLAN的優點如下:
1) 提高網絡性能。將廣播包限制在VLAN內,從而有效控制網絡的廣播風暴,節省了網絡帶寬,從而提高網絡處理能力。
2) 增強網絡安全。不同VLAN的設備不能互相訪問,不同VLAN的主機不能直接通信,需要通過路由器或三層交換機等網絡層設備對報文進行三層轉發。
3) 簡化網絡管理。同一個虛擬工作組的主機不會侷限在某個物理範圍內,簡化了網絡的管理,方便了不同區域的人建立工作組。
VLAN的劃分不受物理位置的限制,不在同一物理位置範圍的主機可以屬於同一個VLAN;一個VLAN包含的用戶可以連接在同一個交換機上,也可以跨越交換機。本交換機支持的VLAN劃分方式包括802.1Q VLAN、MAC VLAN和協議VLAN三種。MAC VLAN和協議VLAN僅對untag數據包和優先級tag數據包生效,當一個數據包同時滿足802.1Q VLAN、MAC VLAN和協議VLAN時,交換機將按照MAC VLAN、協議VLAN、PVID的順序來處理數據包,在相應VLAN中轉發數據包。
由於普通交換機工作在OSI模型的數據鏈路層,若要交換機能夠識別不同VLAN的數據包,只能對數據包的數據鏈路層封裝進行VLAN識別。因此,VLAN識別字段被添加到數據鏈路層封裝中。
IEEE 802.1Q協議爲了標準化VLAN實現方案,對帶有VLAN標識的數據包結構進行了統一規定。協議規定在目的MAC地址和源MAC地址之後封裝4個字節的VLAN Tag,用以標識VLAN的相關信息,如圖所示。VLAN Tag包含四個字段,分別是TPID(Tag Protocol Identifier,標籤協議標識符)、Priority、CFI(Canonical Format Indicator,標準格式指示位)和VLAN ID。
1) TPID:用來表示本數據幀是帶有VLAN Tag的數據。該字段長度爲16bit。協議規定的缺省取值爲0x8100。
2) Priority:用來表示數據包的傳輸優先級。
3) CFI:以太網交換機中,CFI總被設置爲0。由於兼容特性,CFI常用於以太網類網絡和令牌環類網絡之間,如果在以太網端口接收的幀CFI設置爲1,表示該幀不進行轉發,這是因爲以太網端口是一個無標籤端口。
4) VLAN ID:用來標識該報文所屬VLAN的編號。該字段長度爲12bit,取值範圍爲0~4095。由於0和4095通常不使用,所以VLAN ID的取值範圍一般爲1~4094。VLAN ID簡稱VID。
交換機利用VLAN ID來識別報文所屬的VLAN,當接收到的數據包不攜帶VLAN Tag時,交換機會爲該數據包封裝帶有接收端口缺省VLAN ID的VLAN Tag,將數據包在接收端口的缺省VLAN中進行傳輸。
MAC VLAN
MAC VLAN是VLAN的另一種劃分方法,根據每個主機的MAC地址來劃分VLAN,即對每個主機的MAC地址均劃分到VLAN中。MAC VLAN的優點在於,將MAC地址與VLAN綁定後,該MAC地址對應的設備可以隨意切換端口,只要連接到相應VLAN的成員端口即可,而不必改變VLAN成員的配置。
MAC VLAN中數據包處理有如下特點:
- 當端口收到UNTAG數據包時,首先查看是否創建配置相應的MAC VLAN,若已創建MAC VLAN,則給數據包插入MAC VLAN的TAG;若沒有相應的MAC VLAN,則根據接收端口的PVID值給數據包插入TAG,並將數據包在相應的VLAN中轉發。
- 當端口收到TAG數據包時,交換機按照802.1Q VLAN的方式處理該幀。如果接收端口允許該VLAN的數據包通過,則正常轉發;如果不允許,則丟棄該數據包。
- 將某個主機的MAC劃分到802.1Q VLAN中後,爲了保證該主機能夠在此VLAN內正常通信,請將其接入端口設置成相應的802.1Q VLAN成員。詳情請查看。
協議 VLAN
協議VLAN是按照網絡層協議來劃分VLAN,可分爲IP、IPX、DECnet、AppleTalk、Banyan等VLAN網絡。這種按網絡層協議來組成的VLAN,可使廣播域跨越多個交換機,同時用戶在網絡內部可以自由移動且無須改變其VLAN成員身份。對於希望針對具體應用和服務來管理用戶的網絡管理員,可通過劃分協議VLAN來進行管理。
本交換機可針對常見的協議類型劃分VLAN,常用協議類型值見下表。請根據實際需要創建協議VLAN。
協議類型 | 對應取值 |
ARP | 0x0806 |
IP | 0x0800 |
MPLS | 0x8847/0x8848 |
IPX | 0x8137 |
IS-IS | 0x8000 |
LACP | 0x8809 |
802.1X | 0x888E |
協議VLAN中數據包處理有如下特點:
1.當端口收到UNTAG數據包時,首先查看是否創建配置相應的協議VLAN,若已創建協議VLAN,則給數據包插入協議VLAN的TAG;若沒有相應的協議VLAN,則根據接收端口的PVID值給數據包插入TAG,並將數據包在相應的VLAN中轉發。
2.當端口收到TAG數據包時,交換機按照802.1Q VLAN的方式處理該幀。如果接收端口屬於攜帶該VLAN TAG的數據包通過,則正常轉發;如果不屬於,則丟棄該數據包。
3.劃分了協議VLAN後,爲了保證數據的正常傳輸,請將協議VLAN的使能端口設置爲相應802.1Q VLAN成員。詳情請查看錶 端口類型與VLAN數據處理關係。