VLAN基础、接口类型和实验

VLAN的诞生&＃xff1a;

最开始网络中只有集线器&＃xff0c;没有交换机。但是集线器不分割冲突域&＃xff0c;为了减少冲突域&＃xff0c;将集线器进行改进为了网桥&＃xff0c;网桥是通过CPU进行转发数据的&＃xff0c;转发效率不高&＃xff0c;并且接口很少。

随着设备的迭代&＃xff0c;首先增加了接口的数量&＃xff0c;保证在更大的网络环境中可以使用&＃xff0c;然后将由CPU转发改变成了通过硬件转发&＃xff0c;加快了转发的速率&＃xff0c;这样就是最开始的交换机的样式了&＃xff0c;就是所有接口都属于一个广播域。但是这样也出现了问题&＃xff0c;所有接口都在一个广播域&＃xff0c;也就是接入同一个交换机的设备都在一个网段里面&＃xff0c;如果有一个广播报文&＃xff0c;所有接口就会转发&＃xff0c;并且当时链路带宽并不大&＃xff0c;这样就会让正常转发的单播报文很难正常转发&＃xff1b;同时需要进行分离&＃xff08;比如公司的不同部门&＃xff09;能够直接互访&＃xff0c;导致了极大的安全性问题。

为了解决这个问题&＃xff0c;设计人员开始思考。VLAN技术的诞生在最开始就是将不同的VLAN绑定在接口上&＃xff0c;不同的VLAN代表不同的广播域&＃xff0c;这样就可以解决前面的这个问题了&＃xff1a;将不同的用户接入不同的接口&＃xff0c;进入不同的vlan&＃xff0c;也就是在不同的广播域中&＃xff0c;让用户接入更加的灵活&＃xff0c;且能够做到隔离。

创建一个VLAN其实就是将交换机划分为逻辑上的多个交换机&＃xff0c;默认使用的是VLAN 1&＃xff0c;我们每创建一个VLAN&＃xff0c;就相当于在交换机上又虚拟出了一个交换机。这个交换机上最开始没有接口&＃xff0c;如果我们在实际的交换机上将接口允许本vlan的流量通信&＃xff0c;那么就相当于在这个VLAN上添加了对应的接口。并且多个交换机上可以设置同一个VLAN&＃xff0c;不同交换机的同一个VLAN间可以二层通信&＃xff0c;只要中间的链路允许即可。

最开始时&＃xff0c;每条链路只允许一个VLAN通信&＃xff0c;也就是access链路&＃xff0c;但是随着交换机之间需要通信的VLAN的数量不断增加&＃xff0c;又出现了问题&＃xff0c;如果对每个VLAN都用一条链路&＃xff0c;不仅浪费资源而且接口可能不够。这样就诞生了trunk链路&＃xff0c;这个链路允许多个VLAN进行通信。这样的话&＃xff0c;组网就更加的灵活了&＃xff0c;例如同一个部门的人员可以在不同的交换机上接入同一个VLAN进行通信。

根据以上的总结出VLAN特点&＃xff1a;

1. 限制广播域&＃xff1a;广播域被限制在一个VLAN内&＃xff0c;从而节省了带宽、提高了网络处理能力。
2. 增强局域网的安全性&＃xff1a;不同VLAN内的报文在传输时是相互隔离的&＃xff0c;即一个VLAN内的用户不能与其它VLAN内的用户直接通信。
3. 提高了网络的健壮性&＃xff1a;故障被限制在一个VLAN内&＃xff0c;本VLAN内的故障不会影响其他VLAN的正常工作。
4. 灵活构建虚拟工作组&＃xff1a;用VLAN可以划分不同的用户到不同的工作组&＃xff0c;同一工作组的用户也不必局限于某一固定的物理范围&＃xff0c;网络构建和维护更方便灵活。

VLAN帧格式&＃xff1a;

IEEE 802.1Q是虚拟桥接局域网的正式标准&＃xff0c;对Ethernet帧格式进行了修改&＃xff0c;在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。802.1q Tag各字段含义&＃xff1a;

1. TPID&＃xff1a;长度为2字节&＃xff0c;表示帧类型。取值为0x8100时表示802.1q Tag帧。如果不支持802.1Q的设备收到这样的帧&＃xff0c;会将其丢弃。
2. PRI&＃xff1a;Priority&＃xff0c;长度为3比特&＃xff0c;表示帧的优先级&＃xff0c;取值范围为0&＃xff5e;7&＃xff0c;值越大优先级越高。一般情况下&＃xff0c;当交换机部署QoS时&＃xff0c;优先发送优先级高的数据帧。
3. CFI&＃xff1a;Canonical Format Indicator&＃xff0c;长度为1比特&＃xff0c;表示MAC地址是否是经典格式。CFI为0说明是经典格式&＃xff0c;CFI为1表示为非经典格式。用于区分以太网帧、FDDI&＃xff08;Fiber Distributed Digital Interface&＃xff09;帧和令牌环网帧。在以太网中&＃xff0c;CFI的值为0。
4. VID&＃xff1a;VLAN ID&＃xff0c;长度为12比特&＃xff0c;表示该帧所属的VLAN。

每台支持802.1Q协议的交换机都可以发送包含VLAN ID的数据包&＃xff0c;以指明自己属于哪一个VLAN。因此&＃xff0c;在一个VLAN交换网络中&＃xff0c;以太网帧有以下两种形式&＃xff1a;

1. 有标记帧&＃xff08;tagged frame&＃xff09;&＃xff1a;加入了4字节802.1Q Tag的帧。
2. 无标记帧&＃xff08;untagged frame&＃xff09;&＃xff1a;原始的、未加入4字节802.1Q Tag的帧。

三类接口&＃xff1a;

Access端口是交换机上用来连接用户主机的端口&＃xff0c;它只能连接接入链路。有如下特点&＃xff1a;
1.仅仅允许唯一的VLAN ID通过本端口&＃xff0c;这个VLAN ID与端口的PVID&＃xff08;Port Default VLAN ID&＃xff0c;端口缺省的VLAN ID&＃xff09;相同。
2.接收到不带Tag的报文&＃xff0c;则为报文打上接口缺省VLAN标签并接收。
3.接收到带Tag的报文&＃xff0c;判断此tag代表是否和接口PVID相同&＃xff0c;如果相同便接收&＃xff0c;否则丢弃。
4.Access端口发往对端设备的以太网帧永远是不带标签的帧。

Trunk端口是交换机上用来和其他交换机连接的端口&＃xff0c;它只能连接干道链路。有如下特点&＃xff1a;
1.Trunk端口允许多个VLAN的帧&＃xff08;带Tag标记&＃xff09;通过。
2.接收到不带Tag的报文&＃xff0c;则为报文打上接口缺省VLAN标签&＃xff08;该vlan被接口允许则接收&＃xff0c;否则丢弃&＃xff09;。
3.接收到带Tag的报文&＃xff0c;判断此标签代表的vlan是否允许通过&＃xff0c;否则丢弃。
4.如果从Trunk端口发送的帧带Tag&＃xff0c;且Tag与端口缺省的VLAN ID相同&＃xff0c;则交换机会剥掉该帧中的Tag标记。仅在这种情况下&＃xff0c;Trunk端口发送的帧不带Tag。
5.如果从Trunk端口发送的帧带Tag&＃xff0c;但是与端口缺省的VLAN ID不同&＃xff0c;则交换机对该帧不做任何动作&＃xff0c;直接发送带Tag的帧。

Hybrid端口是交换机上既可以连接用户主机&＃xff0c;又可以连接其他交换机的端口&＃xff0c;有如下特点&＃xff1a;
1.Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过&＃xff0c;并可以在出端口方向将某些VLAN帧的Tag剥掉。
2.接收到不带Tag的报文&＃xff0c;则为报文打上接口缺省VLAN标签&＃xff08;该vlan属于untagged或者tag列表则接收&＃xff0c;否则丢弃&＃xff09;。
3.接收到带Tag的报文&＃xff0c;判断此标签是否属于untagged或者tag列表&＃xff0c;如果在则接收&＃xff0c;否则丢弃。
4.如果从Hybrid端口发送的帧带Tag&＃xff0c;且Tag与端口的untagged列表匹配&＃xff0c;则交换机会剥掉该帧中的Tag标记。
5.如果从Hybrid端口发送的帧带Tag&＃xff0c;但Tag与端口的tag列表匹配&＃xff0c;则交换机对该帧不做任何动作&＃xff0c;直接发送带Tag的帧。

个人理解&＃xff1a; 如果通过MAC地址表转化到了出接口&＃xff0c;这个出接口一定是允许次VLAN通过的&＃xff0c;区别是是否去掉对应的Tag&＃xff1b;原因是因为进入了此VLAN的报文会按照此VLAN的MAC地址表转发&＃xff0c;而只有加入&＃xff08;允许&＃xff09;此VLAN的接口才会出在在本VLAN的MAC地址表中&＃xff0c;所以报文到达出接口一定能够将其转发&＃xff0c;而不会和入接口时出现可能丢弃的情况。

总结&＃xff1a;

注意点&＃xff1a;
1.access配置了pvid&＃xff0c;那么access允许通过的vlan列表就只允许其pvid表示的vlan通过了&＃xff0c;默认为1。而trunk口和hybrid口&＃xff0c;默认的pvid是1&＃xff0c;并且默认允许vlan1通的&＃xff0c;但是你修改了pvid的话&＃xff0c;默认是不会像access口一样允许其pvid的接口通过的&＃xff0c;我们需要专门配置允许其通过&＃xff08;对应trunk链路来说就是允许其vlan通过&＃xff0c;对应hybrid接口来说&＃xff0c;就是配置接口发出相应vlan的帧的时候到底不去掉tag或者是去掉tag&＃xff09;。
2.另外&＃xff0c;是trunk接口&＃xff0c;允许所有vlan通过其实只会允许2-4094通过&＃xff0c;因为1是默认的&＃xff0c;如果不允许所有vlan通过&＃xff0c;在命令里其实变成了不允许vlan1通过&＃xff08;vlan 1不能删除&＃xff09;。

实验&＃xff1a;使用hybird接口完成同网段不同VLAN互访

实验拓扑&＃xff1a;

具体配置&＃xff1a;

PC1的IP地址&＃xff1a;

PC2的IP地址&＃xff1a;

Sw1的配置&＃xff1a;
vlan batch 10 20
interface Ethernet0/0/1
port hybrid pvid vlan 10 //接口属于vlan10
port hybrid untagged vlan 10 20 //将vlan10和20的数据帧的tag剥离发出
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094

Sw2的配置&＃xff1a;
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
port hybrid pvid vlan 20
port hybrid untagged vlan 10 20

现象&＃xff1a;现在使用PC1pingPC2&＃xff0c;成功

具体过程分析&＃xff1a;

1.PC1首先发送arp报文到sw1&＃xff0c;进入接口时打上vlan10的tag&＃xff0c;因为是广播报文&＃xff0c;从trunk接口泛洪&＃xff08;trunk接口允许vlan 10通过&＃xff09;pvid为1&＃xff0c;不剥离标签&＃xff1b;
2.然后sw2的trunk接口接收&＃xff0c;进行泛洪操作到E0/0/2口&＃xff0c;接口配置了剥离vlan10的标签&＃xff0c;就会将标签剥离以后发生给PC2&＃xff1b;
3.PC2进行回复时&＃xff0c;同样的过程&＃xff0c;只不过回复的是单播帧&＃xff0c;但是也会进行泛洪&＃xff0c;原因是因为查对应vlan的mac地址表进行转发&＃xff0c;但是vlan20中没有对应的MAC地址&＃xff08;因为arp请求报文过来时交换机已经在学习的MAC地址在vlan10中&＃xff09;。所以依然从trunk口泛洪出去&＃xff0c;到达sw1&＃xff1b;
4.sw1接收了带有tag20的arp回复包&＃xff0c;依然查看MAC地址表&＃xff0c;最后选择泛洪。这样就通过了交换机实现了不同vlan&＃xff0c;相同网段的通信&＃xff1b;

注意&＃xff1a;如果在不同的网段&＃xff0c;是无法实现的&＃xff0c;因为请求的是就是网关的MAC地址&＃xff0c;必须使用三层的转发才行。

参考&＃xff1a;华为培训资料