VLAN手艺原理

VLAN手艺原理

内网穿透神器frp推荐!教你如何一劳永逸的对外暴露内网服务

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

Internal

www.huawei.com

DP200007 VLAN手艺原理

ISSUE 1.0

 

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的发生为传统的LAN网络注入了新的活力,引起了LAN应用的一场转变。本课程先容了在交流机中怎样实现VLAN,详细形貌了VLAN数据帧在交流机与交流机之间通报过程中的转变情形,VLAN的动态设置。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

 

学习完此课程,您将会:

形貌VLAN的功效与界说

形貌VLAN的划分方式

形貌VLAN数据帧的转发流程

形貌VLAN间路由的原理与实现

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第1章 VLAN概述

第2章 VLAN的设置与实现

第3章 VLAN路由

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第1章 VLAN概述

1.1 VLAN的发生缘故原由

1.2 VLAN的划分方式

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的发生缘故原由-广播风暴

广 播 域

……

广播

传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。以是传统的局域网是一个扁平的网络,一个局域网属于统一个冲突域。任何一台主机发出的报文都市被统一冲突域中的所有其它机械吸收到。厥后,组网时使用网桥(二层交流机)取代集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。若是一台主机发出广播报文,装备仍然可以吸收到该广播信息,我们通常把广播报文所能传输的局限称之为广播域,网桥在通报广播报文的时刻依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。

 

由于网桥二层网络事情原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一样平常需要将网络举行分段:把一个大的广播域划分成几个小的广播域。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

通过路由器将网络分段

广播域

广播域

……

广播

已往往往通过路由器对LAN举行分段。图中用路由器替换上一图中的中央节点交流机,使得广播报文的发送局限大大减小。这种方案解决了广播风暴的问题,然则用路由器是在网络层上分段将网络隔离,网络计划庞大,组网方式不天真,而且大大增添了治理维护的难度。作为替换的LAN分段方式,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

通过VLAN划分广播域

广播域

广播域

……

广播

Port 1 : VLAN-1

Port 2 : VLAN-2

虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户凭据一定的原则举行划分,把一个物理上现实的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中都使用一个中央交流机,然则左右各属于差别的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。

虚拟局域网将一组位于差别物理网段上的用户在逻辑上划分成一个局域网内,在功效和操作上与传统LAN基本相同,可以提供一定局限内终端系统的互联。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的优点

  • 相对与传统的LAN手艺,VLAN具有如下优势:

隔离广播域,抑制广播报文.

削减移动和改变的价值

确立虚拟事情组,逾越传统网络的事情方式

增强通讯的安全性

增强网络的健壮性

VLAN与传统的LAN相比,具有以下优势:

限制广播包,提高带宽的利用率:

有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,统一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交流机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交流机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节约带宽;

削减移动和改变的价值:

即所说的动态治理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新设置,而是动态的完成,这种动态治理网络给网络治理者和使用者都带来了极大的利益,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种远景是异常美妙的。 固然,并不是所有的VLAN界说方式都能做到这一点;

确立虚拟事情组:

使用VLAN的最终目的就是确立虚拟事情组模子,例如,在企业网中,统一个部门的就好像在统一个LAN上一样,很容易的相互接见,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人若是从一个办公地址换到另外一个地址,而他仍然在该部门,那么,该用户的设置无须改变;同时,若是一个人虽然办公地址没有变,但他替换了部门,那么,只需网络治理员更改一下该用户的设置即可。这个功效的目的就是确立一个动态的组织环境,固然,这只是一个理想的目的,要实现它,还需要一些其他方面的支持。用户不受到物理装备的限制,VLAN用户可以处于网络中的任何地方,VLAN对用户的应用不发生影响;

增强通讯的安全性:

一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;

增强网络的健壮性:

当网络规模增大时,部门网络泛起问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络举行划分,组网方案天真,设置治理简朴,降低了治理维护的成本。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第1章 VLAN概述

1.1 VLAN的发生缘故原由

1.2 VLAN的划分方式

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的划分方式—基于端口的VLAN

主机A

主机B

主机C

主机D

VLAN表

Port 1

Port 2

Port 7

Port 10

这种划分VLAN的方式是凭据以太网交流机的端口来划分,好比交流机的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C。固然,这些属于统一VLAN的端口可以不延续,若何设置,由治理员决议。

图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C毗邻在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。

若是有多个交流机的话,例如,可以指定交流机 1 的1~6端口和交流机 2 的1~4端口为统一VLAN,即统一VLAN可以跨越数个以太网交流机,凭据端口划分是现在界说VLAN的最常用的方式。这种划分的方式的优点是界说VLAN成员时异常简朴,只要将所有的端口都指定一下就可以了。它的瑕玷是若是VLAN A的用户离开了原来的端口,到了一个新的交流机的某个端口,那么就必须重新界说。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的划分方式— 基于mac地址的VLAN

VLAN表

主机A

主机B

主机C

主机D

这种划分VLAN的方式是凭据每个主机的MAC地址来划分,即对所有主机都凭据它的MAC地址设置主机属于哪个VLAN;交流机维护一张VLAN映射表,这个VLAN表纪录MAC地址和VLAN的对应关系。这种划分VLAN的方式的最大优点就是当用户物理位置移动时,即从一个交流机换到其他的交流机时,VLAN不用重新设置,以是,可以以为这种凭据MAC地址的划分方式是基于用户的VLAN。

这种方式的瑕玷是初始化时,所有的用户都必须举行设置,若是用户许多,设置的事情量是很大的。此外这种划分的方式也导致了交流机执行效率的降低,由于在每一个交流机的端口都可能存在许多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常替换,这样,VLAN就必须一直的设置。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的划分方式—基于协议的VLAN

VLAN表

主机A

主机B

主机C

主机D

这种情形是凭据二层数据帧中协议字段举行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。若是一个物理网络中既有IP网络又有IPX等多种协议运行的时刻,可以接纳这种VLAN的划分方式。

这种类型的VLAN在现实应用中用的很少。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

小结

  • VLAN的优点?
  • VLAN的划分方式?

1.VLAN的优点?

答:隔离广播域,抑制广播报文.

削减移动和改变的价值

确立虚拟事情组,逾越传统网络的事情方式

增强通讯的安全性

增强网络的健壮性

 

2.VLAN的划分方式?

答:VLAN的划分方式主要有基于端口,基于MAC地址,基于三层协议以及基于Subnet的划分方式。而现在最为常用的就是基于端口的方式。

 

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第1章 VLAN概述

第2章 VLAN的设置与实现

第3章 GVRP原理与应用

第4章 VLAN路由

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第2章 VLAN的设置与实现

2.1 VLAN链路类型

2.2 VLAN标签

2.3 VLAN数据转发

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的可跨越性

VLAN

3

VLAN

5

VLAN

3

VLAN

5

  • VLAN数据可以跨越多台交流机被转递

SWA

SWB

VLAN信息可以跨越多台交流机被转递到相关的交流机中。

 

如上图的所有VLAN-3的数据都能通过中心的过渡交流机实现通讯,同样VLAN-5的数据也可以相互转递。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的链路类型

接入链路

Access-Link

干道链路

Trunk-Link

SWA

SWB

接入链路指的是用于毗邻主机和交流机的链路。通常情形下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN符号的帧。主机要求发送和吸收的帧都是没有打上符号的帧。

接入链路属于某一个特定的端口,这个端口属于一个而且只能是一个VLAN。这个端口不能直接吸收其它VLAN的信息,也不能直接向其它VLAN发送信息。差别VLAN的信息必须通过三层路由处置才气转发到这个端口上。

干道链路是可以承载多个差别VLAN数据的链路。干道链路通常用于交流机间的互连,或者用于交流机和路由器之间的毗邻。干道链路的英文叫做"trunk link"。

数据帧在干道链路上传输的时刻,交流机必须用一种方式来识别数据帧是属于哪个VLAN的。IEEE 802.1Q界说了VLAN帧花样,所有在干道链路上传输的帧都是打上符号的帧(tagged frame)。通过这些符号,交流机就可以确定哪些帧划分属于哪个VLAN。

和接入链路差别,干道链路是用来在差别的装备之间(如交流机和路由器之间、交流机和交流机之间)承载VLAN数据的,因此干道链路是不属于任何一个详细的VLAN的。通过设置,干道链路可以承载所有的VLAN数据,也可以设置为只能传输指定的VLAN的数据。

干道链路虽然不属于任何一个详细的VLAN,然则可以给干道链路设置一个pvid(port VLAN ID)。当干道链路岂论由于什么缘故原由,trunk链路上泛起了没有带符号的帧,交流机就给这个帧增添带有pvid的VLAN符号,然后举行处置。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

以太网交流机的端口分类

  • Access端口:

一样平常用于接用户计算机的端口,access端口只能属于1个VLAN。

  • Trunk端口:

一样平常用于交流机之间毗邻的端口,trunk端口可以属于多个VLAN,可以吸收和发送多个VLAN的报文。

  • Hybrid端口:

可以用于交流机之间毗邻,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以吸收和发送多个VLAN的报文。

Hybrid端口与Trunk端口的差别之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在统一个交流机上hybrid端口和trunk端口不能并存。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

端口的缺省ID(PVID)

  • Access端口只属于一个VLAN,以是它的缺省ID就是它所在的VLAN,不用设置。
  • Hybrid端口和Trunk端口属于多个VLAN, 以是需要设置缺省VLAN ID,缺省情形下为VLAN 1。

端口缺省的模式为Access端口,缺省所有端口都属于VLAN 1,VLAN 1为缺省VLAN,既不能确立也不能删除。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

Access-Link设置

  • 默认情形下,交流机所有端口都是Access-Link端口,并属于VLAN-1,即PVID (Port VLAN ID)为1

Port-0/1 : VLAN-3

Port-0/2 : VLAN-5

\\设置端口类型

[Switch-Ethernet0/1]port link-type access

[Switch-Ethernet0/2]port link-type access

 

\\确立VLAN,并向VLAN中添加端口

[Switch]vlan 3

[Switch-vlan1]port ethernet 0/1

[Switch]vlan 5

[Switch-vlan2]port ethernet 0/2

 

\\另外的一种向VLAN中添加端口的方式

[Switch-Ethernet0/1]port access vlan 3

[Switch-Ethernet0/2]port access vlan 5

SWA

所有以802.1q为尺度的交流机出厂时所有端口都是Access端口并属于VLAN-1,因此也会把VLAN-1称之为默认VLAN。

 

这里有一个新术语叫PVID,全称叫Port VLAN ID,示意端口所属的VLAN,在Access端口里PVID的数值就代表该端口所属的VLAN,如:PVID=100,即该端口被划分到VLAN100。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

Trunk-Link设置

  • 卖力传输多个VLAN的数据
  • Trunk-Link端口PVID默以为1

\\设置端口类型

[Switch-Ethernet0/3]port link-type trunk

 

\\设置Trunk-Link所允许通报的VLAN

[Switch-Ethernet0/3]port trunk permit vlan all

 

\\设置Trunk-Link端口PVID

[Switch-Ethernet0/3]port trunk pvid vlan 1

SWA

SWB

Trunk端口卖力在交流机与交流机之间通报多个VLAN的数据帧,详细允许通报哪些VLAN的数据帧可以通过下令"port trunk permit vlan [VID]"来实现。

 

这里有条下令"port trunk pvid vlan [VID]"详细作用是为改变Trunk端口的PVID值,Trunk端口PVID值的意义与Access端口PVID的意义有点不一样,在Access里示意端口所属的VLAN,但在Trunk里却示意默认VLAN的值。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第2章 VLAN的设置与实现

2.1 VLAN链路类型

2.2 VLAN标签

2.3 VLAN数据转发

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

IEEE802.1Q概述

VLAN架构

VLAN提供的服务

VLAN涉及的协媾和算法

IEEE 802.1Q

1999年,IEEE颁布了用以尺度化VLAN实现方案的802.1Q协议尺度草案.

IEEE802.1Q是虚拟桥接局域网的正式尺度,界说了VLAN帧花样,这个花样统一了标识VLAN的方式,有利于保证差别厂家装备设置的VLAN可以互通。

IEEE 802.1Q界说了以下内容:

VLAN的架构;

VLAN中所提供的服务;

VLAN实行中涉及的协媾和算法

IEEE802.1Q协议不仅划定VLAN中的MAC帧的花样,而且还制订诸如帧发送及校验、回路检测,对营业质量(QOS)参数的支持以及对网管系统的支持等方面的尺度。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的帧花样

尺度以太网帧

带有IEEE802.1Q符号的以太网帧

这四个字节的802.1Q标签头包罗了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。

TPID(Tag Protocol Identifier)是IEEE界说的新的类型,解释这是一个加了802.1Q标签的帧。TPID包罗了一个牢固的值0x8100。

TCI是包罗的是帧的控制信息,它包罗了下面的一些元素:

Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q尺度使用这三位信息。

Canonical Format Indicator( CFI ):CFI值为0说明是规范花样,1为非规范花样。它被用在令牌环/源路由FDDI介质接见方式中来指示封装帧中所带地址的比特顺序信息。

VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,从0到4095,共4096个,每个支持802.1Q协议的交流机发送出来的数据包都市包罗这个域,以指明自己属于哪一个VLAN。

在一个交流网络环境中,以太网的帧有两种花样:有些帧是没有加上这四个字节标志的,称为未符号的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有符号的帧(tagged frame)。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第2章 VLAN的设置与实现

2.1 VLAN链路类型

2.2 VLAN标签

2.3 VLAN数据转发

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

802.1Q的转发原则—Access-Link

  • 当Access端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,交流机不作处置,直接抛弃。

  • 当Access端口发送帧时

剥离802.1Q tag header,发出的帧为通俗以太网帧

1.主机只能处置尺度以太帧

2.交流机内部的数据帧都是带标签

当Access端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,交流机不作处置,直接抛弃。

当Access端口发送帧时

剥离802.1Q tag header,发出的帧为通俗以太网帧

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

802.1Q的转发原则—Trunk-Link

  • 当Trunk端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,则不改变。

  • 当Trunk端口发送帧时

当该帧的VLAN ID与端口的PVID差别时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header

什么是以太网交换机?以太网交换机的工作原理详解!

当Trunk端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,则不改变。

当Trunk端口发送帧时

当该帧的VLAN ID与端口的PVID差别时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

802.1Q的转发原则—Hybird-Link

  • 当Hybird端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,则不改变。

  • 当Hybird端口发送帧时

判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些 VLAN是untag,哪些VLAN是tag,若是是untag则剥离802.1Q tag header 再发送,若是是tag则直接透传。

Hybird端口收到帧时的动作与Trunk端口相同;

Hybird端口发出帧时首先判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些VLAN是untag,哪些VLAN是tag,若是是untag则剥离802.1Q tag header 再发送,若是是tag则直接透传。

 

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

帧在网络通讯中的转变

  •  

VLAN-2

SWA

SWB

VLAN 2

图中示意一个局域网环境,网络中有两台交流机,而且设置了两个VLAN。主机和交流机之间的链路是接入链路,交流机之间通过干道链路相互毗邻。

对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是untagged的报文;交流机吸收到这样的报文之后,凭据设置规则(如端口信息)判断出报文所属VLAN举行处置。若是报文需要通过另外一台交流机发送,则该报文必须通过干道链路传输到另外一台交流机上。为了保证其它交流机正确处置报文的VLAN信息,在干道链路上发送的报文都带上了VLAN符号。

当交流机最终确定报文发送端口后,将报文发送给主机之前,将VLAN的符号从以太网帧中删除,这样主机吸收到的报文都是不带VLAN的符号的以太网帧。

以是,一样平常情形下,干道链路上传送的都是Tagged Frame,接入链路上传送的都是Untagged Frame。这样做的最终结果是:网络中设置的VLAN可以被所有的交流机正确处置,而主机不需要领会VLAN信息。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

小结

  • VLAN的端口分类有若干种?
  • VLAN数据帧与尺度以太网数据帧有什么区别?
  • 当Trunk端口收到一个没有打标签的数据帧时会怎么办?

1.VLAN的端口分类有若干种?

答:当前VRP支持三种,划分为:Access-Link、Trunk-Link以及Hybrid-Link

 

2.VLAN数据帧与尺度以太网数据帧有什么区别?

答:VLAN数据帧我们也称为802.1q数据帧,这种数据帧与尺度的以太网数据帧最主要的区别在于多出4个字节的802.1q标签,以标识VLAN的信息。

 

3.当Trunk端口收到一个没有打标签的数据帧时会怎么办?

答:若是收到不包罗802.1q标签的数据帧,将打上802.1q标签,而且VID为Trunk的PVID。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第1章 VLAN概述

第2章 VLAN的设置与实现

第3章 VLAN路由

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第3章 VLAN路由

3.1 VLAN 路由原理

3.2 VLAN路由设置与实现

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN的瑕玷

  • VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于差别VLAN的用户不能相互通讯。

Port 1

Port 2

VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于差别VLAN的用户不能相互通讯。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN互通的实现——每个VLAN一个物理毗邻

  • 在二层交流机上设置VLAN,每一个VLAN使用一条独占的物理毗邻毗邻到路由器的一个接口上。

VLAN 100

VLAN 300

Ethernet2

Ethernet0

VLAN 200

Ethernet1

解决VLAN间互通的第一种方式是:为每个VLAN分配一个单独的路由器接口,VLAN间的数据通讯通过路由器举行三层路由,这样我们就可以实现VLAN之间相互通讯。然则,随着每个交流机上VLAN数目的增添,这样做一定需要大量的路由器接口。出于成本的思量,一样平常不能能用这种方案来解决VLAN间路由选路问题。此外,某些VLAN之间可能不需要经常举行通讯,这样导致路由器的接口没被充分利用。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN互通的实现——使用VLAN Trunking

  • 二层交流机上和路由器上设置他们之间相连的端口使用VLAN Trunking,使多个VLAN共享统一条物理毗邻到路由

VLAN 100

VLAN 300

VLAN 200

Trunk

Ethernet0.300

Ethernet0.200

Ethernet0.100

为领会决物理接口需求过大的问题,在VLAN手艺的发展中,泛起了另一种路由器——独臂路由器,用于实现VLAN间通讯的三层网络装备路由器,它只需要一个以太网接口,通过确立子接口可以负担所有VLAN的网关,而在差别的VLAN间转发数据。

如上图所示,路由器仅仅提供一个以太网接口,而在该接口下提供三个子接口划分作为3个VLAN用户的缺省网关,当VLAN100的用户需要与其它VLAN的用户举行通讯时,该用户只需将数据包发送给缺省网关,缺省网关修改数据帧的VLAN标签后再发送至目的主机所在VLAN,即完成了VLAN间的通讯。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

VLAN互通的实现——交流和路由的集成

  • 二层交流机和路由器在功效上的集成构成了三层交流机,三层交流机在功效上实现了VLAN的划分、VLAN内部的二层交流和VLAN间路由的功效。

VLAN 300

二层交流机

三层交流机

第三种解决办法就是三层交流机,它是将路由器和交流机合成的一种装备,融合了路由器和交流机各自的优势

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

三层交流机功效模子

  •  

10.110.0.113/24

 

GW:10.110.0.254

10.110.1.69/24

 

GW:10.110.1.254

10.110.1.88/24

 

GW:10.110.1.254

10.110.2.200/24

 

GW:10.110.2.254

VLAN100

10.110.0.254/24

VLAN200

10.110.1.254/24

VLAN300

10.110.2.254/24

图中的路由器相当于存在与交流机中的一个路由软件模块,它实现三层路由转发;而交流机相当于二层交流模块,它实现VLAN内的二层快速转发。其用户设置的缺省网关就是三层交流机中虚拟VLAN接口的IP地址

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

第3章 VLAN路由

3.1 VLAN 路由原理

3.2 VLAN路由设置与实现

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

单臂路由设置—交流机设置

  •  

[SWA]vlan 100

[SWA-vlan100]port ethernet 0/1

[SWA]vlan 200

[SWA-vlan200]port ethernet 0/2

[SWA]interface ethernet 0/24

[SWA-Ethernet0/24]port link-type trunk

[SWA-Ethernet0/24]port trunk permit vlan all

 

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

单臂路由设置—路由器设置

  •  

[RTA]interface ethernet 0/1.1

[RTA-Ethernet0/1.1]vlan dot1q vid 100

[RTA-Ethernet0/1.1]ip address 192.168.10.1 255.255.255.0

[RTA]interface ethernet 0/1.2

[RTA-Ethernet0/1.2]vlan dot1q vid 200

[RTA-Ethernet0/1.2]ip address 192.168.20.1 255.255.255.0

vlan dot1q vid 下令用来界说以太网子接口或以太网Trunk子接口为VLAN成员,并指定VLAN封装方式。

进入以太网子接口后,必须首先设置VLAN封装,否则不能设置IP地址、MTU等参数。

 

注重:该下令只能在子接口下设置。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

三层交流机设置

  •  

VLAN 100

 

VLAN 200

IP:192.168.20.30

GW:192.168.20.1

IP:192.168.10.10

GW:192.168.10.1

Port 2

Port 1

SWA

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

三层交流机设置—交流机设置

  •  

SWA

[SWA]interface vlan-interface 100

[SWA-Vlan-interface100]ip add 192.168.10.1 255.255.255.0

[SWA]interface vlan-interface 200

[SWA-Vlan-interface200]ip add 192.168.20.1 255.255.255.0

确立VLAN三层接口

interface vlan-interface VLAN-ID下令用于在VLAN确立后进入VLAN接口视图。

VLAN接口的编号必须对应一个已确立的VLAN。

 

VRP以为一旦交流机打开三层VLAN接口后,就开启路由功效,即一旦设置了VLAN三层接口,两VLAN就可以通过各自的VLAN接口作为网关相互通讯。

HUAWEI TECHNOLOGIES CO., LTD.

All rights reserved

小结

  • VLAN路由的目的是什么?
  • 实现VLAN间的通讯有若干种方式?

1.VLAN路由的目的是什么?

答:VLAN的优点是可以隔离广播域,但这也引起另外一个问题,就是广播域之间若是需要通讯的话,那怎么办呢?在这里就提出了VLAN路由的观点,目的就是为了实现差别VLAN间的相互通讯

 

2.实现VLAN间的通讯有若干种方式?

答:若是交流是通俗的二层交流机的话,只能通过路由器设置单臂路由实现VLAN间的通讯;但若是交流是三层交流机,可以通过设置三层VLAN接口实现VLAN间的通讯

谢谢

www.huawei.com

 

传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。以是传统的局域网是一个扁平的网络,一个局域网属于统一个冲突域。任何一台主机发出的报文都市被统一冲突域中的所有其它机械吸收到。厥后,组网时使用网桥(二层交流机)取代集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。若是一台主机发出广播报文,装备仍然可以吸收到该广播信息,我们通常把广播报文所能传输的局限称之为广播域,网桥在通报广播报文的时刻依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。

 

由于网桥二层网络事情原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一样平常需要将网络举行分段:把一个大的广播域划分成几个小的广播域。

已往往往通过路由器对LAN举行分段。图中用路由器替换上一图中的中央节点交流机,使得广播报文的发送局限大大减小。这种方案解决了广播风暴的问题,然则用路由器是在网络层上分段将网络隔离,网络计划庞大,组网方式不天真,而且大大增添了治理维护的难度。作为替换的LAN分段方式,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。

虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户凭据一定的原则举行划分,把一个物理上现实的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中都使用一个中央交流机,然则左右各属于差别的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。

虚拟局域网将一组位于差别物理网段上的用户在逻辑上划分成一个局域网内,在功效和操作上与传统LAN基本相同,可以提供一定局限内终端系统的互联。

VLAN与传统的LAN相比,具有以下优势:

限制广播包,提高带宽的利用率:

有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,统一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交流机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交流机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节约带宽;

削减移动和改变的价值:

即所说的动态治理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新设置,而是动态的完成,这种动态治理网络给网络治理者和使用者都带来了极大的利益,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种远景是异常美妙的。 固然,并不是所有的VLAN界说方式都能做到这一点;

确立虚拟事情组:

使用VLAN的最终目的就是确立虚拟事情组模子,例如,在企业网中,统一个部门的就好像在统一个LAN上一样,很容易的相互接见,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人若是从一个办公地址换到另外一个地址,而他仍然在该部门,那么,该用户的设置无须改变;同时,若是一个人虽然办公地址没有变,但他替换了部门,那么,只需网络治理员更改一下该用户的设置即可。这个功效的目的就是确立一个动态的组织环境,固然,这只是一个理想的目的,要实现它,还需要一些其他方面的支持。用户不受到物理装备的限制,VLAN用户可以处于网络中的任何地方,VLAN对用户的应用不发生影响;

增强通讯的安全性:

一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;

增强网络的健壮性:

当网络规模增大时,部门网络泛起问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络举行划分,组网方案天真,设置治理简朴,降低了治理维护的成本。

这种划分VLAN的方式是凭据以太网交流机的端口来划分,好比交流机的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C。固然,这些属于统一VLAN的端口可以不延续,若何设置,由治理员决议。

图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C毗邻在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。

若是有多个交流机的话,例如,可以指定交流机 1 的1~6端口和交流机 2 的1~4端口为统一VLAN,即统一VLAN可以跨越数个以太网交流机,凭据端口划分是现在界说VLAN的最常用的方式。这种划分的方式的优点是界说VLAN成员时异常简朴,只要将所有的端口都指定一下就可以了。它的瑕玷是若是VLAN A的用户离开了原来的端口,到了一个新的交流机的某个端口,那么就必须重新界说。

这种划分VLAN的方式是凭据每个主机的MAC地址来划分,即对所有主机都凭据它的MAC地址设置主机属于哪个VLAN;交流机维护一张VLAN映射表,这个VLAN表纪录MAC地址和VLAN的对应关系。这种划分VLAN的方式的最大优点就是当用户物理位置移动时,即从一个交流机换到其他的交流机时,VLAN不用重新设置,以是,可以以为这种凭据MAC地址的划分方式是基于用户的VLAN。

这种方式的瑕玷是初始化时,所有的用户都必须举行设置,若是用户许多,设置的事情量是很大的。此外这种划分的方式也导致了交流机执行效率的降低,由于在每一个交流机的端口都可能存在许多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常替换,这样,VLAN就必须一直的设置。

这种情形是凭据二层数据帧中协议字段举行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。若是一个物理网络中既有IP网络又有IPX等多种协议运行的时刻,可以接纳这种VLAN的划分方式。

这种类型的VLAN在现实应用中用的很少。

1.VLAN的优点?

答:隔离广播域,抑制广播报文.

削减移动和改变的价值

确立虚拟事情组,逾越传统网络的事情方式

增强通讯的安全性

增强网络的健壮性

 

2.VLAN的划分方式?

答:VLAN的划分方式主要有基于端口,基于MAC地址,基于三层协议以及基于Subnet的划分方式。而现在最为常用的就是基于端口的方式。

 

VLAN信息可以跨越多台交流机被转递到相关的交流机中。

 

如上图的所有VLAN-3的数据都能通过中心的过渡交流机实现通讯,同样VLAN-5的数据也可以相互转递。

接入链路指的是用于毗邻主机和交流机的链路。通常情形下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN符号的帧。主机要求发送和吸收的帧都是没有打上符号的帧。

接入链路属于某一个特定的端口,这个端口属于一个而且只能是一个VLAN。这个端口不能直接吸收其它VLAN的信息,也不能直接向其它VLAN发送信息。差别VLAN的信息必须通过三层路由处置才气转发到这个端口上。

干道链路是可以承载多个差别VLAN数据的链路。干道链路通常用于交流机间的互连,或者用于交流机和路由器之间的毗邻。干道链路的英文叫做"trunk link"。

数据帧在干道链路上传输的时刻,交流机必须用一种方式来识别数据帧是属于哪个VLAN的。IEEE 802.1Q界说了VLAN帧花样,所有在干道链路上传输的帧都是打上符号的帧(tagged frame)。通过这些符号,交流机就可以确定哪些帧划分属于哪个VLAN。

和接入链路差别,干道链路是用来在差别的装备之间(如交流机和路由器之间、交流机和交流机之间)承载VLAN数据的,因此干道链路是不属于任何一个详细的VLAN的。通过设置,干道链路可以承载所有的VLAN数据,也可以设置为只能传输指定的VLAN的数据。

干道链路虽然不属于任何一个详细的VLAN,然则可以给干道链路设置一个pvid(port VLAN ID)。当干道链路岂论由于什么缘故原由,trunk链路上泛起了没有带符号的帧,交流机就给这个帧增添带有pvid的VLAN符号,然后举行处置。

Hybrid端口与Trunk端口的差别之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在统一个交流机上hybrid端口和trunk端口不能并存。

端口缺省的模式为Access端口,缺省所有端口都属于VLAN 1,VLAN 1为缺省VLAN,既不能确立也不能删除。

所有以802.1q为尺度的交流机出厂时所有端口都是Access端口并属于VLAN-1,因此也会把VLAN-1称之为默认VLAN。

 

这里有一个新术语叫PVID,全称叫Port VLAN ID,示意端口所属的VLAN,在Access端口里PVID的数值就代表该端口所属的VLAN,如:PVID=100,即该端口被划分到VLAN100。

Trunk端口卖力在交流机与交流机之间通报多个VLAN的数据帧,详细允许通报哪些VLAN的数据帧可以通过下令"port trunk permit vlan [VID]"来实现。

 

这里有条下令"port trunk pvid vlan [VID]"详细作用是为改变Trunk端口的PVID值,Trunk端口PVID值的意义与Access端口PVID的意义有点不一样,在Access里示意端口所属的VLAN,但在Trunk里却示意默认VLAN的值。

1999年,IEEE颁布了用以尺度化VLAN实现方案的802.1Q协议尺度草案.

IEEE802.1Q是虚拟桥接局域网的正式尺度,界说了VLAN帧花样,这个花样统一了标识VLAN的方式,有利于保证差别厂家装备设置的VLAN可以互通。

IEEE 802.1Q界说了以下内容:

VLAN的架构;

VLAN中所提供的服务;

VLAN实行中涉及的协媾和算法

IEEE802.1Q协议不仅划定VLAN中的MAC帧的花样,而且还制订诸如帧发送及校验、回路检测,对营业质量(QOS)参数的支持以及对网管系统的支持等方面的尺度。

这四个字节的802.1Q标签头包罗了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。

TPID(Tag Protocol Identifier)是IEEE界说的新的类型,解释这是一个加了802.1Q标签的帧。TPID包罗了一个牢固的值0x8100。

TCI是包罗的是帧的控制信息,它包罗了下面的一些元素:

Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q尺度使用这三位信息。

Canonical Format Indicator( CFI ):CFI值为0说明是规范花样,1为非规范花样。它被用在令牌环/源路由FDDI介质接见方式中来指示封装帧中所带地址的比特顺序信息。

VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,从0到4095,共4096个,每个支持802.1Q协议的交流机发送出来的数据包都市包罗这个域,以指明自己属于哪一个VLAN。

在一个交流网络环境中,以太网的帧有两种花样:有些帧是没有加上这四个字节标志的,称为未符号的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有符号的帧(tagged frame)。

当Access端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,交流机不作处置,直接抛弃。

当Access端口发送帧时

剥离802.1Q tag header,发出的帧为通俗以太网帧

当Trunk端口收到帧时

若是该帧不包罗802.1Q tag header,将打上端口的PVID;若是该帧包罗802.1Q tag header,则不改变。

当Trunk端口发送帧时

当该帧的VLAN ID与端口的PVID差别时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header

Hybird端口收到帧时的动作与Trunk端口相同;

Hybird端口发出帧时首先判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些VLAN是untag,哪些VLAN是tag,若是是untag则剥离802.1Q tag header 再发送,若是是tag则直接透传。

 

图中示意一个局域网环境,网络中有两台交流机,而且设置了两个VLAN。主机和交流机之间的链路是接入链路,交流机之间通过干道链路相互毗邻。

对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是untagged的报文;交流机吸收到这样的报文之后,凭据设置规则(如端口信息)判断出报文所属VLAN举行处置。若是报文需要通过另外一台交流机发送,则该报文必须通过干道链路传输到另外一台交流机上。为了保证其它交流机正确处置报文的VLAN信息,在干道链路上发送的报文都带上了VLAN符号。

当交流机最终确定报文发送端口后,将报文发送给主机之前,将VLAN的符号从以太网帧中删除,这样主机吸收到的报文都是不带VLAN的符号的以太网帧。

以是,一样平常情形下,干道链路上传送的都是Tagged Frame,接入链路上传送的都是Untagged Frame。这样做的最终结果是:网络中设置的VLAN可以被所有的交流机正确处置,而主机不需要领会VLAN信息。

1.VLAN的端口分类有若干种?

答:当前VRP支持三种,划分为:Access-Link、Trunk-Link以及Hybrid-Link

 

2.VLAN数据帧与尺度以太网数据帧有什么区别?

答:VLAN数据帧我们也称为802.1q数据帧,这种数据帧与尺度的以太网数据帧最主要的区别在于多出4个字节的802.1q标签,以标识VLAN的信息。

 

3.当Trunk端口收到一个没有打标签的数据帧时会怎么办?

答:若是收到不包罗802.1q标签的数据帧,将打上802.1q标签,而且VID为Trunk的PVID。

VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于差别VLAN的用户不能相互通讯。

解决VLAN间互通的第一种方式是:为每个VLAN分配一个单独的路由器接口,VLAN间的数据通讯通过路由器举行三层路由,这样我们就可以实现VLAN之间相互通讯。然则,随着每个交流机上VLAN数目的增添,这样做一定需要大量的路由器接口。出于成本的思量,一样平常不能能用这种方案来解决VLAN间路由选路问题。此外,某些VLAN之间可能不需要经常举行通讯,这样导致路由器的接口没被充分利用。

为领会决物理接口需求过大的问题,在VLAN手艺的发展中,泛起了另一种路由器——独臂路由器,用于实现VLAN间通讯的三层网络装备路由器,它只需要一个以太网接口,通过确立子接口可以负担所有VLAN的网关,而在差别的VLAN间转发数据。

如上图所示,路由器仅仅提供一个以太网接口,而在该接口下提供三个子接口划分作为3个VLAN用户的缺省网关,当VLAN100的用户需要与其它VLAN的用户举行通讯时,该用户只需将数据包发送给缺省网关,缺省网关修改数据帧的VLAN标签后再发送至目的主机所在VLAN,即完成了VLAN间的通讯。

第三种解决办法就是三层交流机,它是将路由器和交流机合成的一种装备,融合了路由器和交流机各自的优势

图中的路由器相当于存在与交流机中的一个路由软件模块,它实现三层路由转发;而交流机相当于二层交流模块,它实现VLAN内的二层快速转发。其用户设置的缺省网关就是三层交流机中虚拟VLAN接口的IP地址

 

vlan dot1q vid 下令用来界说以太网子接口或以太网Trunk子接口为VLAN成员,并指定VLAN封装方式。

进入以太网子接口后,必须首先设置VLAN封装,否则不能设置IP地址、MTU等参数。

 

注重:该下令只能在子接口下设置。

interface vlan-interface VLAN-ID下令用于在VLAN确立后进入VLAN接口视图。

VLAN接口的编号必须对应一个已确立的VLAN。

 

VRP以为一旦交流机打开三层VLAN接口后,就开启路由功效,即一旦设置了VLAN三层接口,两VLAN就可以通过各自的VLAN接口作为网关相互通讯。

1.VLAN路由的目的是什么?

答:VLAN的优点是可以隔离广播域,但这也引起另外一个问题,就是广播域之间若是需要通讯的话,那怎么办呢?在这里就提出了VLAN路由的观点,目的就是为了实现差别VLAN间的相互通讯

 

2.实现VLAN间的通讯有若干种方式?

答:若是交流是通俗的二层交流机的话,只能通过路由器设置单臂路由实现VLAN间的通讯;但若是交流是三层交流机,可以通过设置三层VLAN接口实现VLAN间的通讯

Cisco CGMP协议和RGMP协议

分享到 :
相关推荐

发表评论

登录... 后才能评论