VLAN(虛擬局域網)是Virtual Local Area Network的簡稱。VLAN是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術。
1 VLAN特點
(1)限制廣播域:廣播域被限制在一個VLAN內,從而節省了帶寬、提高了網絡處理能力。
(2)增強局域網的安全性:不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能與其它VLAN內的用戶直接通信。
(3)提高了網絡的健壯性:故障被限制在一個VLAN內,本VLAN內的故障不會影響其他VLAN的正常工作。
(4)靈活構建虛擬工作組:用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必侷限於某一固定的物理範圍,網絡構建和維護更方便靈活。
2 VLAN幀格式
VLAN的Tag用來標識幀所屬的VLAN,遵循IEEE 802.1Q標準,支持802.1Q協議的交換機收發幀的時候,標記可有可無,但在交換機內部,數據包一律攜帶幀。
備註:
IEEE 802.1Q:IEEE 802.1Q是虛擬橋接局域網的正式標準,對Ethernet幀格式進行了修改,在源MAC地址字段和協議類型字段之間加入4字節的802.1Q Tag。
802.1q Tag各字段含義:
(1)TPID:長度爲2字節,表示幀類型。取值爲0x8100時表示802.1q Tag幀。如果不支持802.1Q的設備收到這樣的幀,會將其丟棄。
(2)PRI:Priority,長度爲3比特,表示幀的優先級,取值範圍爲0~7,值越大優先級越高。一般情況下,當交換機部署QoS時,優先發送優先級高的數據幀。
(3)CFI:Canonical Format Indicator,長度爲1比特,表示MAC地址是否是經典格式。CFI爲0說明是經典格式,CFI爲1表示爲非經典格式。用於區分以太網幀、FDDI(Fiber Distributed
Digital Interface)幀和令牌環網幀。在以太網中,CFI的值爲0。
(4)VID:VLAN ID,長度爲12比特,表示該幀所屬的VLAN。每臺支持802.1Q協議的交換機都可以發送包含VLAN ID的數據包,以指明自己屬於哪一個VLAN。因此,在一個VLAN交換網絡中,以太網幀有以下兩種形式:
有標記幀(tagged frame):加入了4字節802.1Q Tag的幀。
無標記幀(untagged frame):原始的、未加入4字節802.1QTag的幀。
3 VLAN基本概念-鏈路類型
VLAN中有以下兩種鏈路類型
(1)接入鏈路(Access Link):常用作連接用戶主機和交換機的鏈路。通常情況下,主機並不需要知道自己屬於哪個VLAN,主機硬件通常也不能識別帶有VLAN標記的幀。因此,主機發送和接收的幀一般都是untagged幀。
(2)幹道鏈路(Trunk Link):常用作連接交換機與交換機或交換機與路由器之間的鏈路。幹道鏈路可以承載多個不同VLAN數據,數據幀在幹道鏈路傳輸時,幹道鏈路的兩端設備需要能夠識別數據幀屬於哪個VLAN,所以在幹道鏈路上,一般傳輸的幀都是Tagged幀。
4 VLAN基本概念-端口類型
端口類型:
(1)Access端口是交換機上用來連接用戶主機的端口,它只能連接接入鏈路。有如下特點:
• 僅僅允許唯一的VLAN ID通過本端口,這個VLAN ID與端口的PVID(Port Default VLAN ID,端口缺省的VLAN ID)相同。
• 如果該端口收到的對端設備發送的幀是untagged(不帶VLAN標籤),交換機將強制加上該端口的PVID。
• Access端口發往對端設備的以太網幀永遠是不帶標籤的幀。
(2)Trunk端口通常是交換機上用來和其他交換機連接的端口,它一般用於連接幹道鏈路。有如下特點:
• Trunk端口允許多個VLAN的幀(帶Tag標記)通過。
• 如果從Trunk端口發送的幀帶Tag,且Tag與端口缺省的VLAN ID相同,則交換機會剝掉該幀中的Tag標記。僅在這種情況下,Trunk端口發送的幀不帶Tag。
• 如果從Trunk端口發送的幀帶Tag,但是與端口缺省的VLAN ID不同,則交換機對該幀不做任何動作,直接發送帶Tag的幀。
(3)Hybrid端口是交換機上既可以連接用戶主機,又可以連接其他交換機的端口。
• Hybrid端口既可以連接接入鏈路又可以連接幹道鏈路。Hybrid端口允許多個VLAN的幀通過,並可以在出端口方向將某些VLAN幀的Tag剝掉。
5 VLAN劃分
(1)基於端口劃分VLAN(最常用最基本的方式)
根據交換設備的端口編號來劃分VLAN。
網絡管理員給交換機的每個端口配置不同的PVID,即一個端口缺省屬於的VLAN。
• 當一個數據幀進入交換機端口時,如果沒有帶VLAN標籤,且該端口上配置了PVID,那麼,該數據幀就會被打上端口的PVID。
• 如果進入的幀已經帶有VLAN 標籤,那麼交換機不會再增加VLAN 標籤,對VLAN 幀的處理由端口類型決定。
(2)根據計算機網卡的MAC地址來劃分VLAN。
網絡管理員成功配置MAC地址和VLAN ID映射關係表,如果交換機收到的是untagged(不帶VLAN標籤)幀,則依據該表添加VLAN ID。
(3)基於子網劃分VLAN
如果交換設備收到的是untagged(不帶VLAN標籤)幀,交換設備根據報文中的IP地址信息,確定添加的VLAN ID。
(4)基於協議劃分VLAN
根據接口接收到的報文所屬的協議(族)類型及封裝格式來給報文分配不同的VLAN ID。網絡管理員需要配置以太網幀中的協議域和VLAN ID的映射關係表,如果收到的是untagged(不帶VLAN標籤)幀,則依據該表添加VLAN ID。
目前,支持劃分VLAN的協議有IPV4、IPV6、IPX、AppleTalk(AT),封裝格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP。
(5)基於匹配策略劃分VLAN
基於MAC地址、IP地址、接口組合策略劃分VLAN是指在交換機上配置終端的MAC地址和IP地址,並與VLAN關聯。只有符合條件的終端才能加入指定VLAN。符合策略的終端加入指定VLAN後,嚴禁修改IP地址或MAC地址,否則會導致終端從指定VLAN中退出。
匹配優先級:基於匹配策略>基於MAC地址和基於子網>基於協議>基於端口
6 VLAN基本通信原理
不同VLAN間默認無法直接通信;可以通過配置vlan-if接口實現VLAN之間的互相通信:
三層交換機通過路由表傳輸第一個數據包之後,會產生一個同時包含MAC地址與IP地址的數據轉發映射表。當同樣的數據流再次通過時,直接使用二層轉發。
拓撲描述
在交換機上劃分了2個VLAN:VLAN2和VLAN3。可通過如下配置實現VLAN間互通。
• 在S1上創建2 個vlan-if接口並配置vlan-if接口的IP地址,從而保證兩個vlan-if接口對應的IP地址路由可通。
• 將用戶設備的缺省網關設置爲所屬VLAN對應vlan-if接口的IP地址。
PC1和PC2的通信過程如下:
• PC1將PC2的IP地址和自己所在網段進行比較,發現PC2和自己不在同一個子網。
• PC1發送ARP請求給自己的網關S1,請求網關的MAC地址。
• S1收到該ARP請求後,返回ARP應答報文,報文中源MAC地址爲VLANIF2的MAC地址。
• PC1學習到網關的MAC地址。
• PC1向網關發送目的MAC爲VLANIF2接口MAC 地址、目的IP爲PC2的IP地址的報文。
• S1收到該報文後進行三層轉發,發現PC2的IP地址爲直連路由,報文將通VLANIF3 接口進行轉發。
• S1作爲VLAN3內主機的網關,向VLAN3內發送一個ARP廣播,請求PC2的MAC地址。
• PC2收到網關發送的ARP廣播後,對此請求進行ARP應答
• 網關收到PC2的應答後,就把PC1的報文發送給PC2。PC1之後要發給PC2的報文將由交換機S1做三層交換。