NSX原理與實踐----vlan學習

一、初識VLAN
先提一點：交換機分割衝突域，路由器分割廣播域，這是很重要的一點，接下來下面所要講的關於VLAN的知識點都是基於上面的這個原理。VLAN是一個網絡用戶和網絡資源的邏輯編組，VLAN會與管理者定義的交換機端口相連，這樣就可以指定交換機端口爲不同的子網服務，從而在第二層交換機網絡中創建更小的廣播域。從這裏看的話，VLAN就像是一個獨立的子網或廣播域，這也就保證了廣播只會在同一個VLAN的端口之間交換。在同一個VLAN中，所有的設備都屬於同一個廣播域，接收這個廣播域中的其他設備發出的所有廣播，而且這些廣播不會通過連接到其他VLAN的交換機端口轉發出去。，VLAN還有一個好處，是關於安全方面的，在平面型網絡中，用戶只需將其工作站連接到集線器，就可以加入到相應的用戶組，這樣子是不安全的，而VLAN的交換型網絡恰恰可以控制每個端口以及通過該端口可以訪問的資源。
這裏就存在了一個問題，你可能會問那麼到底還需要路由器嗎？路由器還有沒有用？答案是有用的，但是至於是否需要路由器就看具體的情況了，因爲正常情況下不同VLAN之間的主機是不能通信的，但是如果需要進行通信，就仍舊需要路由器，因爲我之前已經提到過，VLAN劃分出來的是廣播域，就需要路由器連接。
通過上面的講解就可以總結出：默認情況下，交換機將廣播發送給所有端口，但是如果創建了VLAN，就可以在第二層創建更小的廣播域，這也就意味着從一個VLAN中的節點發送的廣播不會發送到其他VLAN的端口。這樣雖然不能杜絕廣播風暴的發生，但是最起碼可以將廣播風暴限制在當前的VLAN中。通過這樣的方法創建出來的小型廣播具備的好處就在於我們只需要將交換機端口或用戶分配到橫跨一臺或多臺交換機的VLAN分組，就只需將用戶加入相應的廣播域即可。
**注意：**有一點是我要重點提出的，就是VLAN的編號問題，一般來說我們都是從VLAN2開始進行編號，你可能有一個問題就是爲什莫不是從VLAN1開始呢？答案是VLAN1爲一個管理VLAN，雖然也可以將其用於工作組，但是建議還是將其用作管理，VLAN1不能被刪除，也無法修改其名稱。
二、深入瞭解
接下來我會帶着大家瞭解VLAN的兩種創建方式，一種是靜態VLAN，光是聽名字就可以知道該VLAN是管理員親自創建的，不具備動態調整的特點；另一種自然就是動態VLAN了，所謂的動態實質上就是在創建時，將所有主機設備的硬件地址都放在數據庫中，以便能配置交換機，使其能夠動態的將連接到交換機的主機分配給VLAN.
簡單的說一說什麼是靜態的VLAN ，假設VLAN2的網段是172.16.20.0/24，那麼如果有一臺主機想要加入VLAN2，你就只需給它分配172.16.20.0/24的IP地址就可以，，注意：該操作與設備的物理位置無關。
說完了靜態VLAN，再說一說動態VLAN，假設我們將MAC地址輸入了一箇中央VLAN管理程序，此時將節點連接到一個動態VLAN端口時，VLAN管理數據庫將會查找其MAC地址，並將交換機端口分配個正確的VLAN。這裏有一點是要注意的，在同一臺交換機中，可以同時有動態接入端口和中繼端口，但是動態接入端口只能連接到終端和集線器，而不能連接到其他交換機。
交換機的端口爲接入端口時，一般來說只能屬於一個VLAN（還有一種例外情況就是語音VLAN），而當其爲中繼端口時，可以屬於所有的VLAN。接入端口會以本機格式發送和接收數據流，而不進行VLAN標記。這就話的意思就是接入端口收到數據流後，都會假定它屬於該端口所屬的VLAN，如果收到有標記的分組，就會將這種分組丟棄。想不想知道爲什莫會被丟棄？因爲接入端口是不查看源地址的，因此只有中繼端口可以轉發和接收標記過的數據流。說到中繼端口，自然也就就要順便說一說中繼鏈路，中繼鏈路是一條點到點的鏈路，位於交換機與交換機之間、交換機與路由器之間或者是交換機與服務器之間，它可以 同時爲多個VLAN服務。

看圖可以瞭解到，兩個交換機之間使用的是中繼鏈路，爲什莫不是用的接入鏈路呢？因爲如果你用的是接入鏈路，那麼此時兩個交換機之間的只有一個VLAN可以傳輸，主機通過接入鏈路連接到交換機，因此他們只能在所屬VLAN內部通信。這也就意味着在沒有路由器的情況下，任何主機都無法於其他VLAN中的主機通信。
今天暫且就說到這裏，欲知後事如何，請聽下回分解。