HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Internal
www.huawei.com
DP200007 VLAN技術原理
ISSUE 1.0
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的產生為傳統的LAN網絡注入了新的活力,引起了LAN應用的一場變革。本課程介紹了在交換機中怎樣實現VLAN,詳細描述了VLAN數據幀在交換機與交換機之間傳遞過程中的變化情況,VLAN的動態配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
學習完此課程,您將會:
描述VLAN的功能與定義
描述VLAN的劃分方法
描述VLAN數據幀的轉發流程
描述VLAN間路由的原理與實現
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置與實現
第3章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
1.1 VLAN的產生原因
1.2 VLAN的劃分方法
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的產生原因-廣播風暴
廣 播 域
……
廣播
傳統的局域網使用的是HUB,HUB只有一根總線,一根總線就是一個沖突域。所以傳統的局域網是一個扁平的網絡,一個局域網屬于同一個沖突域。任何一臺主機發出的報文都會被同一沖突域中的所有其它機器接收到。后來,組網時使用網橋(二層交換機)代替集線器(HUB),每個端口可以看成是一根單獨的總線,沖突域縮小到每個端口,使得網絡發送單播報文的效率大大提高,極大地提高了二層網絡的性能。假如一臺主機發出廣播報文,設備仍然可以接收到該廣播信息,我們通常把廣播報文所能傳輸的范圍稱之為廣播域,網橋在傳遞廣播報文的時候依然要將廣播報文復制多份,發送到網絡的各個角落。隨著網絡規模的擴大,網絡中的廣播報文越來越多,廣播報文占用的網絡資源越來越多,嚴重影響網絡性能,這就是所謂的廣播風暴的問題。
由于網橋二層網絡工作原理的限制,網橋對廣播風暴的問題無能為力。為了提高網絡的效率,一般需要將網絡進行分段:把一個大的廣播域劃分成幾個小的廣播域。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
通過路由器將網絡分段
廣播域
廣播域
……
廣播
過去往往通過路由器對LAN進行分段。圖中用路由器替換上一圖中的中心節點交換機,使得廣播報文的發送范圍大大減小。這種方案解決了廣播風暴的問題,但是用路由器是在網絡層上分段將網絡隔離,網絡規劃復雜,組網方式不靈活,并且大大增加了管理維護的難度。作為替代的LAN分段方法,虛擬局域網被引入到網絡解決方案中來,用于解決大型的二層網絡環境面臨的問題。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
通過VLAN劃分廣播域
廣播域
廣播域
……
廣播
Port 1 : VLAN-1
Port 2 : VLAN-2
虛擬局域網(VLAN——Virtual Local Area Network)邏輯上把網絡資源和網絡用戶按照一定的原則進行劃分,把一個物理上實際的網絡劃分成多個小的邏輯的網絡。這些小的邏輯的網絡形成各自的廣播域,也就是虛擬局域網VLAN。圖中都使用一個中心交換機,但是左右各屬于不同的VLAN,形成各自的廣播域,廣播報文不能跨越這些廣播域傳送。
虛擬局域網將一組位于不同物理網段上的用戶在邏輯上劃分成一個局域網內,在功能和操作上與傳統LAN基本相同,可以提供一定范圍內終端系統的互聯。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的優點
- 相對與傳統的LAN技術,VLAN具有如下優勢:
隔離廣播域,抑制廣播報文.
減少移動和改變的代價
創建虛擬工作組,超越傳統網絡的工作方式
增強通訊的安全性
增強網絡的健壯性
VLAN與傳統的LAN相比,具有以下優勢:
限制廣播包,提高帶寬的利用率:
有效地解決了廣播風暴帶來的性能下降問題。一個VLAN形成一個小的廣播域,同一個VLAN成員都在由所屬VLAN確定的廣播域內,那么,當一個數據包沒有路由時,交換機只會將此數據包發送到所有屬于該VLAN的其他端口,而不是所有的交換機的端口,這樣,就將數據包限制到了一個VLAN內。在一定程度上可以節省帶寬;
減少移動和改變的代價:
即所說的動態管理網絡,也就是當一個用戶從一個位置移動到另一個位置時,他的網絡屬性不需要重新配置,而是動態的完成,這種動態管理網絡給網絡管理者和使用者都帶來了極大的好處,一個用戶,無論他到哪里,他都能不做任何修改地接入網絡,這種前景是非常美好的。 當然,并不是所有的VLAN定義方法都能做到這一點;
創建虛擬工作組:
使用VLAN的最終目標就是建立虛擬工作組模型,例如,在企業網中,同一個部門的就好像在同一個LAN上一樣,很容易的互相訪問,交流信息,同時,所有的廣播包也都限制在該虛擬LAN上,而不影響其他VLAN的人。一個人如果從一個辦公地點換到另外一個地點,而他仍然在該部門,那么,該用戶的配置無須改變;同時,如果一個人雖然辦公地點沒有變,但他更換了部門,那么,只需網絡管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態的組織環境,當然,這只是一個理想的目標,要實現它,還需要一些其他方面的支持。用戶不受到物理設備的限制,VLAN用戶可以處于網絡中的任何地方,VLAN對用戶的應用不產生影響;
增強通訊的安全性:
一個VLAN的數據包不會發送到另一個VLAN,這樣,其他VLAN用戶的網絡上是收不到任何該VLAN的數據包,確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現了信息的保密;
增強網絡的健壯性:
當網絡規模增大時,部分網絡出現問題往往會影響整個網絡,引入VLAN之后,可以將一些網絡故障限制在一個VLAN之內。由于VLAN是邏輯上對網絡進行劃分,組網方案靈活,配置管理簡單,降低了管理維護的成本。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
1.1 VLAN的產生原因
1.2 VLAN的劃分方法
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的劃分方法—基于端口的VLAN
主機A
主機B
主機C
主機D
VLAN表
Port 1
Port 2
Port 7
Port 10
這種劃分VLAN的方法是根據以太網交換機的端口來劃分,比如交換機的1~4端口為VLAN A,5~17為VLAN B,18~24為VLAN C。當然,這些屬于同一VLAN的端口可以不連續,如何配置,由管理員決定。
圖中端口1和端口7被指定屬于VLAN 5,端口2和端口10被指定屬于VLAN10。主機A和主機C連接在端口1、7上,因此它們就屬于VLAN5;同理,主機B和主機D屬于VLAN10。
如果有多個交換機的話,例如,可以指定交換機 1 的1~6端口和交換機 2 的1~4端口為同一VLAN,即同一VLAN可以跨越數個以太網交換機,根據端口劃分是目前定義VLAN的最常用的方法。這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的端口都指定一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口,到了一個新的交換機的某個端口,那么就必須重新定義。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的劃分方法— 基于mac地址的VLAN
VLAN表
主機A
主機B
主機C
主機D
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對所有主機都根據它的MAC地址配置主機屬于哪個VLAN;交換機維護一張VLAN映射表,這個VLAN表記錄MAC地址和VLAN的對應關系。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN。
這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果用戶很多,配置的工作量是很大的。此外這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停的配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的劃分方法—基于協議的VLAN
VLAN表
主機A
主機B
主機C
主機D
這種情況是根據二層數據幀中協議字段進行VLAN的劃分。通過二層數據中協議字段,可以判斷出上層運行的網絡協議,如IP協議或者是IPX協議。如果一個物理網絡中既有IP網絡又有IPX等多種協議運行的時候,可以采用這種VLAN的劃分方法。
這種類型的VLAN在實際應用中用的很少。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小結
- VLAN的優點?
- VLAN的劃分方法?
1.VLAN的優點?
答:隔離廣播域,抑制廣播報文.
減少移動和改變的代價
創建虛擬工作組,超越傳統網絡的工作方式
增強通訊的安全性
增強網絡的健壯性
2.VLAN的劃分方法?
答:VLAN的劃分方法主要有基于端口,基于MAC地址,基于三層協議以及基于Subnet的劃分方法。而目前最為常用的就是基于端口的方法。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置與實現
第3章 GVRP原理與應用
第4章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置與實現
2.1 VLAN鏈路類型
2.2 VLAN標簽
2.3 VLAN數據轉發
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的可跨越性
VLAN
3
VLAN
5
VLAN
3
VLAN
5
- VLAN數據可以跨越多臺交換機被轉遞
SWA
SWB
VLAN信息可以跨越多臺交換機被轉遞到相關的交換機中。
如上圖的所有VLAN-3的數據都能通過中間的過渡交換機實現通信,同樣VLAN-5的數據也可以相互轉遞。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的鏈路類型
接入鏈路
Access-Link
干道鏈路
Trunk-Link
SWA
SWB
接入鏈路指的是用于連接主機和交換機的鏈路。通常情況下主機并不需要知道自己屬于哪些VLAN,主機的硬件也不一定支持帶有VLAN標記的幀。主機要求發送和接收的幀都是沒有打上標記的幀。
接入鏈路屬于某一個特定的端口,這個端口屬于一個并且只能是一個VLAN。這個端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN發送信息。不同VLAN的信息必須通過三層路由處理才能轉發到這個端口上。
干道鏈路是可以承載多個不同VLAN數據的鏈路。干道鏈路通常用于交換機間的互連,或者用于交換機和路由器之間的連接。干道鏈路的英文叫做"trunk link"。
數據幀在干道鏈路上傳輸的時候,交換機必須用一種方法來識別數據幀是屬于哪個VLAN的。IEEE 802.1Q定義了VLAN幀格式,所有在干道鏈路上傳輸的幀都是打上標記的幀(tagged frame)。通過這些標記,交換機就可以確定哪些幀分別屬于哪個VLAN。
和接入鏈路不同,干道鏈路是用來在不同的設備之間(如交換機和路由器之間、交換機和交換機之間)承載VLAN數據的,因此干道鏈路是不屬于任何一個具體的VLAN的。通過配置,干道鏈路可以承載所有的VLAN數據,也可以配置為只能傳輸指定的VLAN的數據。
干道鏈路雖然不屬于任何一個具體的VLAN,但是可以給干道鏈路配置一個pvid(port VLAN ID)。當干道鏈路不論因為什么原因,trunk鏈路上出現了沒有帶標記的幀,交換機就給這個幀增加帶有pvid的VLAN標記,然后進行處理。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
以太網交換機的端口分類
- Access端口:
一般用于接用戶計算機的端口,access端口只能屬于1個VLAN。
- Trunk端口:
一般用于交換機之間連接的端口,trunk端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文。
- Hybrid端口:
可以用于交換機之間連接,也可以用于接用戶的計算機,hybrid端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文。
Hybrid端口與Trunk端口的不同之處在于hybrid端口可以允許多個VLAN的報文不打標簽,而trunk端口只允許缺省VLAN的報文不打標簽。在同一個交換機上hybrid端口和trunk端口不能并存。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
端口的缺省ID(PVID)
- Access端口只屬于一個VLAN,所以它的缺省ID就是它所在的VLAN,不用設置。
- Hybrid端口和Trunk端口屬于多個VLAN, 所以需要設置缺省VLAN ID,缺省情況下為VLAN 1。
端口缺省的模式為Access端口,缺省所有端口都屬于VLAN 1,VLAN 1為缺省VLAN,既不能創建也不能刪除。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Access-Link配置
- 默認情況下,交換機所有端口都是Access-Link端口,并屬于VLAN-1,即PVID (Port VLAN ID)為1
Port-0/1 : VLAN-3
Port-0/2 : VLAN-5
\配置端口類型
[Switch-Ethernet0/1]port link-type access
[Switch-Ethernet0/2]port link-type access
\創建VLAN,并向VLAN中添加端口
[Switch]vlan 3
[Switch-vlan1]port ethernet 0/1
[Switch]vlan 5
[Switch-vlan2]port ethernet 0/2
\另外的一種向VLAN中添加端口的方法
[Switch-Ethernet0/1]port access vlan 3
[Switch-Ethernet0/2]port access vlan 5
SWA
所有以802.1q為標準的交換機出廠時所有端口都是Access端口并屬于VLAN-1,因此也會把VLAN-1稱之為默認VLAN。
這里有一個新術語叫PVID,全稱叫Port VLAN ID,表示端口所屬的VLAN,在Access端口里PVID的數值就代表該端口所屬的VLAN,如:PVID=100,即該端口被劃分到VLAN100。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Trunk-Link配置
- 負責傳輸多個VLAN的數據
- Trunk-Link端口PVID默認為1
\配置端口類型
[Switch-Ethernet0/3]port link-type trunk
\配置Trunk-Link所允許傳遞的VLAN
[Switch-Ethernet0/3]port trunk permit vlan all
\配置Trunk-Link端口PVID
[Switch-Ethernet0/3]port trunk pvid vlan 1
SWA
SWB
Trunk端口負責在交換機與交換機之間傳遞多個VLAN的數據幀,具體允許傳遞哪些VLAN的數據幀可以通過命令"port trunk permit vlan [VID]"來實現。
這里有條命令"port trunk pvid vlan [VID]"具體作用是為改變Trunk端口的PVID值,Trunk端口PVID值的意義與Access端口PVID的意義有點不一樣,在Access里表示端口所屬的VLAN,但在Trunk里卻表示默認VLAN的值。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置與實現
2.1 VLAN鏈路類型
2.2 VLAN標簽
2.3 VLAN數據轉發
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
IEEE802.1Q概述
VLAN架構
VLAN提供的服務
VLAN涉及的協議和算法
IEEE 802.1Q
1999年,IEEE頒布了用以標準化VLAN實現方案的802.1Q協議標準草案.
IEEE802.1Q是虛擬橋接局域網的正式標準,定義了VLAN幀格式,這個格式統一了標識VLAN的方法,有利于保證不同廠家設備配置的VLAN可以互通。
IEEE 802.1Q定義了以下內容:
VLAN的架構;
VLAN中所提供的服務;
VLAN實施中涉及的協議和算法
IEEE802.1Q協議不僅規定VLAN中的MAC幀的格式,而且還制定諸如幀發送及校驗、回路檢測,對業務質量(QOS)參數的支持以及對網管系統的支持等方面的標準。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的幀格式
標準以太網幀
帶有IEEE802.1Q標記的以太網幀
這四個字節的802.1Q標簽頭包含了2個字節的標簽協議標識(TPID)和2個字節的標簽控制信息(TCI)。
TPID(Tag Protocol Identifier)是IEEE定義的新的類型,表明這是一個加了802.1Q標簽的幀。TPID包含了一個固定的值0x8100。
TCI是包含的是幀的控制信息,它包含了下面的一些元素:
Priority:這3 位指明幀的優先級。一共有8種優先級,0-7。IEEE 802.1Q標準使用這三位信息。
Canonical Format Indicator( CFI ):CFI值為0說明是規范格式,1為非規范格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。
VLAN Identified( VLAN ID ): 這是一個12位的域,指明VLAN的ID,從0到4095,共4096個,每個支持802.1Q協議的交換機發送出來的數據包都會包含這個域,以指明自己屬于哪一個VLAN。
在一個交換網絡環境中,以太網的幀有兩種格式:有些幀是沒有加上這四個字節標志的,稱為未標記的幀(ungtagged frame),有些幀加上了這四個字節的標志,稱為帶有標記的幀(tagged frame)。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置與實現
2.1 VLAN鏈路類型
2.2 VLAN標簽
2.3 VLAN數據轉發
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的轉發原則—Access-Link
- 當Access端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,交換機不作處理,直接丟棄。
- 當Access端口發送幀時
剝離802.1Q tag header,發出的幀為普通以太網幀
1.主機只能處理標準以太幀
2.交換機內部的數據幀都是帶標簽
當Access端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,交換機不作處理,直接丟棄。
當Access端口發送幀時
剝離802.1Q tag header,發出的幀為普通以太網幀
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的轉發原則—Trunk-Link
- 當Trunk端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,則不改變。
- 當Trunk端口發送幀時
當該幀的VLAN ID與端口的PVID不同時,直接透傳;當該幀的VLAN ID與端口的PVID相同時,則剝離802.1Q tag header
當Trunk端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,則不改變。
當Trunk端口發送幀時
當該幀的VLAN ID與端口的PVID不同時,直接透傳;當該幀的VLAN ID與端口的PVID相同時,則剝離802.1Q tag header
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的轉發原則—Hybird-Link
- 當Hybird端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,則不改變。
- 當Hybird端口發送幀時
判斷VLAN在本端口的屬性。用"dis interface"可看到該端口對哪些 VLAN是untag,哪些VLAN是tag,如果是untag則剝離802.1Q tag header 再發送,如果是tag則直接透傳。
Hybird端口收到幀時的動作與Trunk端口相同;
Hybird端口發出幀時首先判斷VLAN在本端口的屬性。用"dis interface"可看到該端口對哪些VLAN是untag,哪些VLAN是tag,如果是untag則剝離802.1Q tag header 再發送,如果是tag則直接透傳。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
幀在網絡通信中的變化
VLAN-2
SWA
SWB
VLAN 2
圖中表示一個局域網環境,網絡中有兩臺交換機,并且配置了兩個VLAN。主機和交換機之間的鏈路是接入鏈路,交換機之間通過干道鏈路互相連接。
對于主機來說,它是不需要知道VLAN的存在的。主機發出的報文都是untagged的報文;交換機接收到這樣的報文之后,根據配置規則(如端口信息)判斷出報文所屬VLAN進行處理。如果報文需要通過另外一臺交換機發送,則該報文必須通過干道鏈路傳輸到另外一臺交換機上。為了保證其它交換機正確處理報文的VLAN信息,在干道鏈路上發送的報文都帶上了VLAN標記。
當交換機最終確定報文發送端口后,將報文發送給主機之前,將VLAN的標記從以太網幀中刪除,這樣主機接收到的報文都是不帶VLAN的標記的以太網幀。
所以,一般情況下,干道鏈路上傳送的都是Tagged Frame,接入鏈路上傳送的都是Untagged Frame。這樣做的最終結果是:網絡中配置的VLAN可以被所有的交換機正確處理,而主機不需要了解VLAN信息。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小結
- VLAN的端口分類有多少種?
- VLAN數據幀與標準以太網數據幀有什么區別?
- 當Trunk端口收到一個沒有打標簽的數據幀時會怎么辦?
1.VLAN的端口分類有多少種?
答:當前VRP支持三種,分別為:Access-Link、Trunk-Link以及Hybrid-Link
2.VLAN數據幀與標準以太網數據幀有什么區別?
答:VLAN數據幀我們也稱為802.1q數據幀,這種數據幀與標準的以太網數據幀最主要的區別在于多出4個字節的802.1q標簽,以標識VLAN的信息。
3.當Trunk端口收到一個沒有打標簽的數據幀時會怎么辦?
答:如果收到不包含802.1q標簽的數據幀,將打上802.1q標簽,并且VID為Trunk的PVID。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置與實現
第3章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第3章 VLAN路由
3.1 VLAN 路由原理
3.2 VLAN路由配置與實現
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的缺點
- VLAN隔離了二層廣播域,也就嚴格地隔離了各個VLAN之間的任何流量,分屬于不同VLAN的用戶不能互相通信。
Port 1
Port 2
VLAN隔離了二層廣播域,也就嚴格地隔離了各個VLAN之間的任何流量,分屬于不同VLAN的用戶不能互相通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的實現——每個VLAN一個物理連接
- 在二層交換機上配置VLAN,每一個VLAN使用一條獨占的物理連接連接到路由器的一個接口上。
VLAN 100
VLAN 300
Ethernet2
Ethernet0
VLAN 200
Ethernet1
解決VLAN間互通的第一種方法是:為每個VLAN分配一個單獨的路由器接口,VLAN間的數據通信通過路由器進行三層路由,這樣我們就可以實現VLAN之間相互通信。但是,隨著每個交換機上VLAN數量的增加,這樣做必然需要大量的路由器接口。出于成本的考慮,一般不可能用這種方案來解決VLAN間路由選路問題。此外,某些VLAN之間可能不需要經常進行通信,這樣導致路由器的接口沒被充分利用。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的實現——使用VLAN Trunking
- 二層交換機上和路由器上配置他們之間相連的端口使用VLAN Trunking,使多個VLAN共享同一條物理連接到路由
VLAN 100
VLAN 300
VLAN 200
Trunk
Ethernet0.300
Ethernet0.200
Ethernet0.100
為了解決物理接口需求過大的問題,在VLAN技術的發展中,出現了另一種路由器——獨臂路由器,用于實現VLAN間通信的三層網絡設備路由器,它只需要一個以太網接口,通過創建子接口可以承擔所有VLAN的網關,而在不同的VLAN間轉發數據。
如上圖所示,路由器僅僅提供一個以太網接口,而在該接口下提供三個子接口分別作為3個VLAN用戶的缺省網關,當VLAN100的用戶需要與其它VLAN的用戶進行通信時,該用戶只需將數據包發送給缺省網關,缺省網關修改數據幀的VLAN標簽后再發送至目的主機所在VLAN,即完成了VLAN間的通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的實現——交換和路由的集成
- 二層交換機和路由器在功能上的集成構成了三層交換機,三層交換機在功能上實現了VLAN的劃分、VLAN內部的二層交換和VLAN間路由的功能。
VLAN 300
二層交換機
三層交換機
第三種解決辦法就是三層交換機,它是將路由器和交換機合成的一種設備,融合了路由器和交換機各自的優勢
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三層交換機功能模型
10.110.0.113/24
GW:10.110.0.254
10.110.1.69/24
GW:10.110.1.254
10.110.1.88/24
GW:10.110.1.254
10.110.2.200/24
GW:10.110.2.254
VLAN100
10.110.0.254/24
VLAN200
10.110.1.254/24
VLAN300
10.110.2.254/24
圖中的路由器相當于存在與交換機中的一個路由軟件模塊,它實現三層路由轉發;而交換機相當于二層交換模塊,它實現VLAN內的二層快速轉發。其用戶設置的缺省網關就是三層交換機中虛擬VLAN接口的IP地址
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第3章 VLAN路由
3.1 VLAN 路由原理
3.2 VLAN路由配置與實現
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
單臂路由配置—交換機配置
[SWA]vlan 100
[SWA-vlan100]port ethernet 0/1
[SWA]vlan 200
[SWA-vlan200]port ethernet 0/2
[SWA]interface ethernet 0/24
[SWA-Ethernet0/24]port link-type trunk
[SWA-Ethernet0/24]port trunk permit vlan all
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
單臂路由配置—路由器配置
[RTA]interface ethernet 0/1.1
[RTA-Ethernet0/1.1]vlan dot1q vid 100
[RTA-Ethernet0/1.1]ip address 192.168.10.1 255.255.255.0
[RTA]interface ethernet 0/1.2
[RTA-Ethernet0/1.2]vlan dot1q vid 200
[RTA-Ethernet0/1.2]ip address 192.168.20.1 255.255.255.0
vlan dot1q vid 命令用來定義以太網子接口或以太網Trunk子接口為VLAN成員,并指定VLAN封裝方式。
進入以太網子接口后,必須首先配置VLAN封裝,否則不能配置IP地址、MTU等參數。
注意:該命令只能在子接口下配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三層交換機配置
VLAN 100
VLAN 200
IP:192.168.20.30
GW:192.168.20.1
IP:192.168.10.10
GW:192.168.10.1
Port 2
Port 1
SWA
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三層交換機配置—交換機配置
SWA
[SWA]interface vlan-interface 100
[SWA-Vlan-interface100]ip add 192.168.10.1 255.255.255.0
[SWA]interface vlan-interface 200
[SWA-Vlan-interface200]ip add 192.168.20.1 255.255.255.0
創建VLAN三層接口
interface vlan-interface VLAN-ID命令用于在VLAN創建后進入VLAN接口視圖。
VLAN接口的編號必須對應一個已創建的VLAN。
VRP認為一旦交換機打開三層VLAN接口后,就開啟路由功能,即一旦配置了VLAN三層接口,兩VLAN就可以通過各自的VLAN接口作為網關相互通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小結
- VLAN路由的目的是什么?
- 實現VLAN間的通信有多少種方法?
1.VLAN路由的目的是什么?
答:VLAN的優點是可以隔離廣播域,但這也引起另外一個問題,就是廣播域之間如果需要通信的話,那怎么辦呢?在這里就提出了VLAN路由的概念,目的就是為了實現不同VLAN間的相互通信
2.實現VLAN間的通信有多少種方法?
答:如果交換是普通的二層交換機的話,只能通過路由器配置單臂路由實現VLAN間的通信;但如果交換是三層交換機,可以通過配置三層VLAN接口實現VLAN間的通信
謝謝
www.huawei.com
傳統的局域網使用的是HUB,HUB只有一根總線,一根總線就是一個沖突域。所以傳統的局域網是一個扁平的網絡,一個局域網屬于同一個沖突域。任何一臺主機發出的報文都會被同一沖突域中的所有其它機器接收到。后來,組網時使用網橋(二層交換機)代替集線器(HUB),每個端口可以看成是一根單獨的總線,沖突域縮小到每個端口,使得網絡發送單播報文的效率大大提高,極大地提高了二層網絡的性能。假如一臺主機發出廣播報文,設備仍然可以接收到該廣播信息,我們通常把廣播報文所能傳輸的范圍稱之為廣播域,網橋在傳遞廣播報文的時候依然要將廣播報文復制多份,發送到網絡的各個角落。隨著網絡規模的擴大,網絡中的廣播報文越來越多,廣播報文占用的網絡資源越來越多,嚴重影響網絡性能,這就是所謂的廣播風暴的問題。
由于網橋二層網絡工作原理的限制,網橋對廣播風暴的問題無能為力。為了提高網絡的效率,一般需要將網絡進行分段:把一個大的廣播域劃分成幾個小的廣播域。
過去往往通過路由器對LAN進行分段。圖中用路由器替換上一圖中的中心節點交換機,使得廣播報文的發送范圍大大減小。這種方案解決了廣播風暴的問題,但是用路由器是在網絡層上分段將網絡隔離,網絡規劃復雜,組網方式不靈活,并且大大增加了管理維護的難度。作為替代的LAN分段方法,虛擬局域網被引入到網絡解決方案中來,用于解決大型的二層網絡環境面臨的問題。
虛擬局域網(VLAN——Virtual Local Area Network)邏輯上把網絡資源和網絡用戶按照一定的原則進行劃分,把一個物理上實際的網絡劃分成多個小的邏輯的網絡。這些小的邏輯的網絡形成各自的廣播域,也就是虛擬局域網VLAN。圖中都使用一個中心交換機,但是左右各屬于不同的VLAN,形成各自的廣播域,廣播報文不能跨越這些廣播域傳送。
虛擬局域網將一組位于不同物理網段上的用戶在邏輯上劃分成一個局域網內,在功能和操作上與傳統LAN基本相同,可以提供一定范圍內終端系統的互聯。
VLAN與傳統的LAN相比,具有以下優勢:
限制廣播包,提高帶寬的利用率:
有效地解決了廣播風暴帶來的性能下降問題。一個VLAN形成一個小的廣播域,同一個VLAN成員都在由所屬VLAN確定的廣播域內,那么,當一個數據包沒有路由時,交換機只會將此數據包發送到所有屬于該VLAN的其他端口,而不是所有的交換機的端口,這樣,就將數據包限制到了一個VLAN內。在一定程度上可以節省帶寬;
減少移動和改變的代價:
即所說的動態管理網絡,也就是當一個用戶從一個位置移動到另一個位置時,他的網絡屬性不需要重新配置,而是動態的完成,這種動態管理網絡給網絡管理者和使用者都帶來了極大的好處,一個用戶,無論他到哪里,他都能不做任何修改地接入網絡,這種前景是非常美好的。 當然,并不是所有的VLAN定義方法都能做到這一點;
創建虛擬工作組:
使用VLAN的最終目標就是建立虛擬工作組模型,例如,在企業網中,同一個部門的就好像在同一個LAN上一樣,很容易的互相訪問,交流信息,同時,所有的廣播包也都限制在該虛擬LAN上,而不影響其他VLAN的人。一個人如果從一個辦公地點換到另外一個地點,而他仍然在該部門,那么,該用戶的配置無須改變;同時,如果一個人雖然辦公地點沒有變,但他更換了部門,那么,只需網絡管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態的組織環境,當然,這只是一個理想的目標,要實現它,還需要一些其他方面的支持。用戶不受到物理設備的限制,VLAN用戶可以處于網絡中的任何地方,VLAN對用戶的應用不產生影響;
增強通訊的安全性:
一個VLAN的數據包不會發送到另一個VLAN,這樣,其他VLAN用戶的網絡上是收不到任何該VLAN的數據包,確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現了信息的保密;
增強網絡的健壯性:
當網絡規模增大時,部分網絡出現問題往往會影響整個網絡,引入VLAN之后,可以將一些網絡故障限制在一個VLAN之內。由于VLAN是邏輯上對網絡進行劃分,組網方案靈活,配置管理簡單,降低了管理維護的成本。
這種劃分VLAN的方法是根據以太網交換機的端口來劃分,比如交換機的1~4端口為VLAN A,5~17為VLAN B,18~24為VLAN C。當然,這些屬于同一VLAN的端口可以不連續,如何配置,由管理員決定。
圖中端口1和端口7被指定屬于VLAN 5,端口2和端口10被指定屬于VLAN10。主機A和主機C連接在端口1、7上,因此它們就屬于VLAN5;同理,主機B和主機D屬于VLAN10。
如果有多個交換機的話,例如,可以指定交換機 1 的1~6端口和交換機 2 的1~4端口為同一VLAN,即同一VLAN可以跨越數個以太網交換機,根據端口劃分是目前定義VLAN的最常用的方法。這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的端口都指定一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口,到了一個新的交換機的某個端口,那么就必須重新定義。
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對所有主機都根據它的MAC地址配置主機屬于哪個VLAN;交換機維護一張VLAN映射表,這個VLAN表記錄MAC地址和VLAN的對應關系。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN。
這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果用戶很多,配置的工作量是很大的。此外這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停的配置。
這種情況是根據二層數據幀中協議字段進行VLAN的劃分。通過二層數據中協議字段,可以判斷出上層運行的網絡協議,如IP協議或者是IPX協議。如果一個物理網絡中既有IP網絡又有IPX等多種協議運行的時候,可以采用這種VLAN的劃分方法。
這種類型的VLAN在實際應用中用的很少。
1.VLAN的優點?
答:隔離廣播域,抑制廣播報文.
減少移動和改變的代價
創建虛擬工作組,超越傳統網絡的工作方式
增強通訊的安全性
增強網絡的健壯性
2.VLAN的劃分方法?
答:VLAN的劃分方法主要有基于端口,基于MAC地址,基于三層協議以及基于Subnet的劃分方法。而目前最為常用的就是基于端口的方法。
VLAN信息可以跨越多臺交換機被轉遞到相關的交換機中。
如上圖的所有VLAN-3的數據都能通過中間的過渡交換機實現通信,同樣VLAN-5的數據也可以相互轉遞。
接入鏈路指的是用于連接主機和交換機的鏈路。通常情況下主機并不需要知道自己屬于哪些VLAN,主機的硬件也不一定支持帶有VLAN標記的幀。主機要求發送和接收的幀都是沒有打上標記的幀。
接入鏈路屬于某一個特定的端口,這個端口屬于一個并且只能是一個VLAN。這個端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN發送信息。不同VLAN的信息必須通過三層路由處理才能轉發到這個端口上。
干道鏈路是可以承載多個不同VLAN數據的鏈路。干道鏈路通常用于交換機間的互連,或者用于交換機和路由器之間的連接。干道鏈路的英文叫做"trunk link"。
數據幀在干道鏈路上傳輸的時候,交換機必須用一種方法來識別數據幀是屬于哪個VLAN的。IEEE 802.1Q定義了VLAN幀格式,所有在干道鏈路上傳輸的幀都是打上標記的幀(tagged frame)。通過這些標記,交換機就可以確定哪些幀分別屬于哪個VLAN。
和接入鏈路不同,干道鏈路是用來在不同的設備之間(如交換機和路由器之間、交換機和交換機之間)承載VLAN數據的,因此干道鏈路是不屬于任何一個具體的VLAN的。通過配置,干道鏈路可以承載所有的VLAN數據,也可以配置為只能傳輸指定的VLAN的數據。
干道鏈路雖然不屬于任何一個具體的VLAN,但是可以給干道鏈路配置一個pvid(port VLAN ID)。當干道鏈路不論因為什么原因,trunk鏈路上出現了沒有帶標記的幀,交換機就給這個幀增加帶有pvid的VLAN標記,然后進行處理。
Hybrid端口與Trunk端口的不同之處在于hybrid端口可以允許多個VLAN的報文不打標簽,而trunk端口只允許缺省VLAN的報文不打標簽。在同一個交換機上hybrid端口和trunk端口不能并存。
端口缺省的模式為Access端口,缺省所有端口都屬于VLAN 1,VLAN 1為缺省VLAN,既不能創建也不能刪除。
所有以802.1q為標準的交換機出廠時所有端口都是Access端口并屬于VLAN-1,因此也會把VLAN-1稱之為默認VLAN。
這里有一個新術語叫PVID,全稱叫Port VLAN ID,表示端口所屬的VLAN,在Access端口里PVID的數值就代表該端口所屬的VLAN,如:PVID=100,即該端口被劃分到VLAN100。
Trunk端口負責在交換機與交換機之間傳遞多個VLAN的數據幀,具體允許傳遞哪些VLAN的數據幀可以通過命令"port trunk permit vlan [VID]"來實現。
這里有條命令"port trunk pvid vlan [VID]"具體作用是為改變Trunk端口的PVID值,Trunk端口PVID值的意義與Access端口PVID的意義有點不一樣,在Access里表示端口所屬的VLAN,但在Trunk里卻表示默認VLAN的值。
1999年,IEEE頒布了用以標準化VLAN實現方案的802.1Q協議標準草案.
IEEE802.1Q是虛擬橋接局域網的正式標準,定義了VLAN幀格式,這個格式統一了標識VLAN的方法,有利于保證不同廠家設備配置的VLAN可以互通。
IEEE 802.1Q定義了以下內容:
VLAN的架構;
VLAN中所提供的服務;
VLAN實施中涉及的協議和算法
IEEE802.1Q協議不僅規定VLAN中的MAC幀的格式,而且還制定諸如幀發送及校驗、回路檢測,對業務質量(QOS)參數的支持以及對網管系統的支持等方面的標準。
這四個字節的802.1Q標簽頭包含了2個字節的標簽協議標識(TPID)和2個字節的標簽控制信息(TCI)。
TPID(Tag Protocol Identifier)是IEEE定義的新的類型,表明這是一個加了802.1Q標簽的幀。TPID包含了一個固定的值0x8100。
TCI是包含的是幀的控制信息,它包含了下面的一些元素:
Priority:這3 位指明幀的優先級。一共有8種優先級,0-7。IEEE 802.1Q標準使用這三位信息。
Canonical Format Indicator( CFI ):CFI值為0說明是規范格式,1為非規范格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。
VLAN Identified( VLAN ID ): 這是一個12位的域,指明VLAN的ID,從0到4095,共4096個,每個支持802.1Q協議的交換機發送出來的數據包都會包含這個域,以指明自己屬于哪一個VLAN。
在一個交換網絡環境中,以太網的幀有兩種格式:有些幀是沒有加上這四個字節標志的,稱為未標記的幀(ungtagged frame),有些幀加上了這四個字節的標志,稱為帶有標記的幀(tagged frame)。
當Access端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,交換機不作處理,直接丟棄。
當Access端口發送幀時
剝離802.1Q tag header,發出的幀為普通以太網幀
當Trunk端口收到幀時
如果該幀不包含802.1Q tag header,將打上端口的PVID;如果該幀包含802.1Q tag header,則不改變。
當Trunk端口發送幀時
當該幀的VLAN ID與端口的PVID不同時,直接透傳;當該幀的VLAN ID與端口的PVID相同時,則剝離802.1Q tag header
Hybird端口收到幀時的動作與Trunk端口相同;
Hybird端口發出幀時首先判斷VLAN在本端口的屬性。用"dis interface"可看到該端口對哪些VLAN是untag,哪些VLAN是tag,如果是untag則剝離802.1Q tag header 再發送,如果是tag則直接透傳。
圖中表示一個局域網環境,網絡中有兩臺交換機,并且配置了兩個VLAN。主機和交換機之間的鏈路是接入鏈路,交換機之間通過干道鏈路互相連接。
對于主機來說,它是不需要知道VLAN的存在的。主機發出的報文都是untagged的報文;交換機接收到這樣的報文之后,根據配置規則(如端口信息)判斷出報文所屬VLAN進行處理。如果報文需要通過另外一臺交換機發送,則該報文必須通過干道鏈路傳輸到另外一臺交換機上。為了保證其它交換機正確處理報文的VLAN信息,在干道鏈路上發送的報文都帶上了VLAN標記。
當交換機最終確定報文發送端口后,將報文發送給主機之前,將VLAN的標記從以太網幀中刪除,這樣主機接收到的報文都是不帶VLAN的標記的以太網幀。
所以,一般情況下,干道鏈路上傳送的都是Tagged Frame,接入鏈路上傳送的都是Untagged Frame。這樣做的最終結果是:網絡中配置的VLAN可以被所有的交換機正確處理,而主機不需要了解VLAN信息。
1.VLAN的端口分類有多少種?
答:當前VRP支持三種,分別為:Access-Link、Trunk-Link以及Hybrid-Link
2.VLAN數據幀與標準以太網數據幀有什么區別?
答:VLAN數據幀我們也稱為802.1q數據幀,這種數據幀與標準的以太網數據幀最主要的區別在于多出4個字節的802.1q標簽,以標識VLAN的信息。
3.當Trunk端口收到一個沒有打標簽的數據幀時會怎么辦?
答:如果收到不包含802.1q標簽的數據幀,將打上802.1q標簽,并且VID為Trunk的PVID。
VLAN隔離了二層廣播域,也就嚴格地隔離了各個VLAN之間的任何流量,分屬于不同VLAN的用戶不能互相通信。
解決VLAN間互通的第一種方法是:為每個VLAN分配一個單獨的路由器接口,VLAN間的數據通信通過路由器進行三層路由,這樣我們就可以實現VLAN之間相互通信。但是,隨著每個交換機上VLAN數量的增加,這樣做必然需要大量的路由器接口。出于成本的考慮,一般不可能用這種方案來解決VLAN間路由選路問題。此外,某些VLAN之間可能不需要經常進行通信,這樣導致路由器的接口沒被充分利用。
為了解決物理接口需求過大的問題,在VLAN技術的發展中,出現了另一種路由器——獨臂路由器,用于實現VLAN間通信的三層網絡設備路由器,它只需要一個以太網接口,通過創建子接口可以承擔所有VLAN的網關,而在不同的VLAN間轉發數據。
如上圖所示,路由器僅僅提供一個以太網接口,而在該接口下提供三個子接口分別作為3個VLAN用戶的缺省網關,當VLAN100的用戶需要與其它VLAN的用戶進行通信時,該用戶只需將數據包發送給缺省網關,缺省網關修改數據幀的VLAN標簽后再發送至目的主機所在VLAN,即完成了VLAN間的通信。
第三種解決辦法就是三層交換機,它是將路由器和交換機合成的一種設備,融合了路由器和交換機各自的優勢
圖中的路由器相當于存在與交換機中的一個路由軟件模塊,它實現三層路由轉發;而交換機相當于二層交換模塊,它實現VLAN內的二層快速轉發。其用戶設置的缺省網關就是三層交換機中虛擬VLAN接口的IP地址
vlan dot1q vid 命令用來定義以太網子接口或以太網Trunk子接口為VLAN成員,并指定VLAN封裝方式。
進入以太網子接口后,必須首先配置VLAN封裝,否則不能配置IP地址、MTU等參數。
注意:該命令只能在子接口下配置。
interface vlan-interface VLAN-ID命令用于在VLAN創建后進入VLAN接口視圖。
VLAN接口的編號必須對應一個已創建的VLAN。
VRP認為一旦交換機打開三層VLAN接口后,就開啟路由功能,即一旦配置了VLAN三層接口,兩VLAN就可以通過各自的VLAN接口作為網關相互通信。
1.VLAN路由的目的是什么?
答:VLAN的優點是可以隔離廣播域,但這也引起另外一個問題,就是廣播域之間如果需要通信的話,那怎么辦呢?在這里就提出了VLAN路由的概念,目的就是為了實現不同VLAN間的相互通信
2.實現VLAN間的通信有多少種方法?
答:如果交換是普通的二層交換機的話,只能通過路由器配置單臂路由實現VLAN間的通信;但如果交換是三層交換機,可以通過配置三層VLAN接口實現VLAN間的通信
