VLAN培训

[复制链接]
发表于 : 2015-1-26 09:37:02 最新回复:2018-03-04 05:02:57
4888 5
fcm
fcm  精英

VLAN

VLAN的概念

VLANVirtual Local Area Network)虚拟局域网是一个在物理网络中根据工作组、用途等来逻辑划分的局域网络,VLAN中的用户成员通过局域网交换机进行通信,一个VLAN属于一个广播域,同一个VLAN中的成员可以收到其他成员发出来的广播包。一个VLAN中的成员与另一个VLAN中的成员无法直接通信,需要通过路由支持才能通信。

VLAN的作用

1、 使交换机承担了网络分段的作用,即通过交换机划分出多个广播域,从而将一个物理交换机虚拟为多个逻辑交换机,同时网络分段不再通过路由器来完成,大大节省了组网成本;

2、 由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机,因此减少了数据***的可能性,极大地增强了网络的安全性;

3、 VLAN通过把网络分成不同的广播域,使网络上传送的数据包只在同一个VLAN的端口之间交换,从而消除了传统的桥接/交换网络的固有缺陷——包经常被传送到并不需要它的局域网中,尤其是在支持广播/多播协议应用程序的局域网环境中,通过 VLAN可以轻松地拒绝其他VLAN的包,从而大大减少网络流量。

VLAN划分

VLAN划分有6种形式,包括:按端口划分、按MAC地址划分、按网络协议划分、按IP/IPX划分、按策略划分、按用户定义、非用户授权划分,在业软产品的网络环境中,只涉及到按端口划分的类型,所以本知识点只介绍此类型。

根据端口划分的类型中,以太网端口的链路种类有三种,分别是:AccessTrunkHybrid下面我们来详细介绍这三种类型:

1、 Access类型的端口只能属于1VLAN,一般用于连接计算机的端口;

2、 Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;

3、 Hy brid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。

在这里需要先解释一下什么是端口的缺省VLAN

Access端口只属于1VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;

Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLANVLAN 1

如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。

三种端口类型在收发报文时VLAN的处理情况到底有什么不同呢?

Acess端口收报文:

收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)

Acess端口发报文:

将报文的VLAN信息剥离,直接发送出去

trunk端口收报文:

收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该 VLAN的数据进入:如果可以则转发,否则丢弃

trunk端口发报文:

比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送

hybrid端口收报文:

收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用)

hybrid端口发报文:

1、判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLANuntag 哪些VLANtag

2、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送

VLAN实例及配置

下面结合实际的网络拓扑介绍VLAN的工作情况。

同一个交换机不同VLAN之间不能相互访问

VLAN培训-1342055-1

相同交换机不同VLAN

如上图所示,主机192.168.1.1连接在交换机的端口Eth0/1Eth0/1属于VLAN3。主机192.168.1.2连接在交换机的端口Eth0/2Eth0/2属于VLAN2。尽管192.168.1.1/24192.168.1.2/24在一个网段,但因为它们不在同一个vlan因此互相之间无法连通。

提醒:交换机的不同VLAN可以接入相同IP的网段,不同VLAN只能接入不同IP网段是错误的理解。

华为自研交换机配置如下:

[Switch]int e0/1

[Switch-Ethernet0/1]port default vlan 3

[Switch]int e0/2

[Switch-Ethernet0/2]port default vlan 2

华三交换机配置如下:

[Switch]int e0/1

[Switch-Ethernet0/1]port access vlan 3

[Switch]int e0/2

[Switch-Ethernet0/2]port access vlan 2

 

不同交换机不同VLAN之间不能互相访问

VLAN培训-1342055-2

不同交换机不同VLAN

如上图所示,主机192.168.1.1和主机192.168.1.2所连接的交换机端口属于VLAN3;主机192.168.1.128和主机192.168.1.129所连接的交换机端口属于VLAN2。则主机192.168.1.1192.168.1.2,主机192.168.1.128192.168.1.129可以连通,主机192.168.1.1192.168.1.128192.168.1.129无法连通,主机192.168.1.2同上。

不同交换机不同VLAN之间可以互相访问(Access链路方式连接)

VLAN培训-1342055-3

交换机之间采用Access链路类型连接

如上图所示,主机192.168.1.1、主机192.168.1.2、主机192.168.1.128、主机192.168.1.129之间可以互相连通,具体原因见下节分析。

华为自研交换机配置如下(华三交换机同):

[Switch]vlan 2

[Switch-vlan2]port Eth 0/1 Eth 0/2 Eth 0/24

 

不同交换机之间采用Trunk链路类型连接

VLAN培训-1342055-4

交换机之间采用Trunk链路类型连接

1-2与图1-4表面上的区别就在于交换机之间的连线由两条变成一条,而在配置方面是由两条access链路变成一条trunk链路,如果交换机上有nvlan,现在需求两台交换机上的相同vlan之间能够互通,那么采用access链路类型的时候就需要为每个vlan分配一条连线共计要n根,这对于交换机端口的利用是极大的浪费,Trunk链路类型就很简单地解决了这种问题,只需要一根连线,在这根连线上配置允许透传vlan的信息,两台交换机上相同vlan之间就可以互相访问,即图1-4中的主机192.168.1.1与主机192.168.1.2,主机192.168.1.128与主机192.168.1.129可以互相通信,主机192.168.1.1与主机192.168.1.128192.168.1.129不能通信,主机192.168.1.2同上。

1-3与图1-4表面上组网一模一样,但为什么会有两种截然不同的结果呢?图1-3vlan2中的主机怎么就能和vlan3中的主机通信呢?这里与两种链路类型在数据进出端口时vlan的处理机制有关,结合图中示例来一步步分析。

1-3中,主机192.168.1.1向主机192.168.1.129发起连接,首先进入交换机的端口Eth0/1,这个端口属于vlan2,则数据在进入Eth0/1后被打上vlan2的标记被送到Eth0/24端口,因为Eth0/24属于vlan2,则数据在出Eth0/24时之前打上的vlan2的标记就会被剥掉,这样一个原始干净的数据被送到第二台交换机的Eth0/24端口,这个Eth0/24端口属于vlan3,则数据包进入时被打上vlan3的标记送到Eth0/2,出去时又被剥掉标记,这样主机192.168.1.129就收到一个原始完整的数据。

1-4中主机192.168.1.1向主机192.168.1.129发起连接,进入Eth0/1的步骤与图1-3一样,在送到Eth0/24端口时,因为Eth0/24Trunk端口,那么数据包在出端口时首先会与trunk端口的缺省vlan比较(华为交换机上PVID的值就是缺省vlan,一般默认为1),数据包的vlan id值为3PVID1,则trunk端口对数据不做任何修改直接通过,第二台交换机的Eth0/24收到数据包时,发现数据包头上有vlan3的标记,检查自己的trunk配置是否允许vlan3通过,发现允许后,对数据包不做任何修改让其进入,因为vlan3的数据是无法到达vlan2的,所以主机192.168.1.1与主机192.168.1.129无法通信。

华为自研交换如下(华三交换机配置机同):

[Switch]int e0/24

[Switch-Ethernet0/1]port link-type trunk

[Switch-Ethernet0/1]port trunk permit vlan 2 3

交换机采用Hybrid链路类型连接

VLAN培训-1342055-5

Hybrid方式连接

交换机之间采用hybrid方式连接与trunk方式连接基本类似,但trunk方式只能应用在交换机与交换机(路由器、防火墙)等网络设备相连,hybrid方式还可以用在连接普通主机,结合图1-5讲解一下主机hybrid连接交换机时的数据传输步骤。

主机192.168.1.1发出的数据,由Eth0/1所在的pvid vlan10封装vlan10的标记后送入交换机,交换机发现Eth0/2允许vlan 10的数据通过,于是数据被转发到Eth0/2上,由于Eth0/2vlan 10untagged的,于是交换机去除数据包上vlan10的标记,以普通包的形式发给主机192.168.1.2,此时192.168.1.1->192.168.1.2走的是vlan10

再来分析192.168.1.2192.168.1.1回包的过程,192.168.1.2发出的数据,由Eth0/2所在的pvid vlan20封装vlan20的标记后送入交换机,交换机发现Eth0/1允许vlan 20的数据通过,于是数据被转发到Eth0/1上,由于Eth0/1vlan 20untagged的,于是交换机去除数据包上vlan20的标记,以普通包的形式发给192.168.1.1,此时192.168.1.2->192.168.1.1走的是vlan20

Hybrid链路类型的配置、使用非常灵活,但对于网络规划能力,以及技能的掌握理解有一定的要求,并且在业软的组网环境中很少应用到,在此就不多做介绍了。

华为自研交换配置如下(华三交换机机同):

[Switch]int e0/1

[Switch-Ethernet0/1]port link-type hybrid

[Switch-Ethernet0/1]port hybrid pvid vlan 10

[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged

[Switch] int e0/2

[Switch-Ethernet0/2]port link-type hybrid

[Switch-Ethernet0/2]port hybrid pvid vlan 20

[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged

 

 


  • x
  • 常规:

点评 回复

跳转到指定楼层
fcm
fcm  精英 发表于 2015-1-26 09:37:18 已赞(0) 赞(0)

基础知识培训分享!

  • x
  • 常规:

点评 回复

wu_han_abc
wu_han_abc   发表于 2016-6-8 11:04:51 已赞(0) 赞(0)

基础知识培训分享!
  • x
  • 常规:

点评 回复

zzyaoxuexi
zzyaoxuexi   发表于 2016-10-21 17:33:05 已赞(0) 赞(0)

很详细,谢谢

  • x
  • 常规:

点评 回复

FREETHINK
FREETHINK   发表于 2018-3-3 21:21:10 已赞(0) 赞(0)

基础知识,挺好
  • x
  • 常规:

点评 回复

杨半仙儿
杨半仙儿   发表于 2018-3-4 05:02:57 已赞(0) 赞(0)

很详细很好
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录