大家知道 , 交换机会把广播报文和未知单播报文从所有端口转发出去,这就是广播 。一般交换机会发送很多广播报文 , 如果按照上面的处理方法 , 势必会影响整个网络的通信 。VLAN就是为了划分广播域而产生的 。划分VLAN之后,广播只在一个VLAN内进行,这就大大减少了广播报文对网络性能的影响 。
但是VLAN在实际环境中,尤其在企业级环境中,不可能只是使用一台交换机,而是多台交换机共同作用 。每台交换机都划分VLAN,且这些VLAN可能在多个交换机上是重复的 。举个栗子说,一号交换机中的VLAN100和二号交换机的VLAN100是一个逻辑局域网的 。
那么连接不同交换机的同VLAN段 。为几个VLAN都连接一条物理的链路,只需要用一条中继链路承载所有的VLAN通信 。这种情况下 , VLAN需要通过TRUNK延伸至相邻交换机 。TRUNK能够连接交换机,在网络间传载VLAN信息 。
TRUNK的作用是将VLAN延伸至整个网络 。没有VLAN Trunk,VLAN也不会非常有用 。VLAN Trunk允许VLAN数据流在交换机间传输,所以设备在同一VLAN,但连接到不同交换机,能够不通过路由器来进行通信 。
一、基本原理
传统的以太网交换机在转发数据时,采用源地址学习的方式,自动学习各个端口连接的主机的MAC地址,形成MAC地址表,然后依据此表进行以太网帧的转发 。整个转发的过程自动完成,所有端口都可以互访 , 维护人员无法控制端口之间的转发,例如B主机不能访问A主机就无法实现 。该网络存在如下缺陷:
1.网络的安全性差 。由于各个端口之间可以直接互访 , 降低了网络的安全性 。
2.网络效率低 。用户可能收到大量不需要的报文,例如不必要的广播报文,这些报文同时消耗网络带宽资源和客户主机CPU资源 。
3.业务扩展能力差 。网络设备平等的对待每台主机的报文,无法实现有差别的服务,例如无法优先转发用于网络管理的以太网帧 。
二、VLAN技术目标
VLAN技术把用户划分成多个逻辑的网络(group),组内可以通信,组间不允许通信,二层转发的单播、组播、广播报文只能在组内转发 。同时,VLAN技术可以很容易地实现组成员的添加或删除 。即VLAN技术提供了一种管理手段,控制终端之间的互通 。如上图,组1和组2的PC无法相互通信 。
三、通过标签管理实现VLAN
为了实现转发控制,在待转发的以太网帧中添加VLAN标签,然后设定交换机端口对该帧和标签的处理方式,包括丢弃帧、转发帧、添加标签、移除标签 。
转发帧时 , 检查以太网报文中携带的VLAN标签,是否为该端口允许通过的标签,判断出该以太网帧是否能够从端口转发出去 。上图中,假设有一种方法,SWA将主机A发出的所有以太网帧都加上标签5 , 此后查询二层转发表,根据目的MAC地址将该帧转发到SWB连接的端口 。由于在该端口配置了仅允许VLAN 1通过 , 主机A发的帧将被丢弃 。
即支持VLAN技术的交换机,转发以太网帧时不再仅仅依据目的MAC地址,同时还要考虑该端口的VLAN配置情况,从而实现对二层转发的控制 。
四、划分VLAN的方式
目前常用的是基于端口的划分:网络管理员给交换机的每个端口配置PVID , 即Port VLAN ID , 有些场合称为端口默认VLAN 。如果收到的是untagged帧,则VLAN ID的取值为PVID 。
交换机出现之前,以太网是一种基于载波侦听多路访问/冲突检测CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通讯介质的数据网络通讯技术 。
交换机出现之后,解决冲突(Collision)严重的问题 , 但仍然不能隔离广播报文 。
在这种情况下出现了虚拟局域网VLAN技术,这种技术可以把一个LAN划分成多个逻辑VLAN 。每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通 , 这样,广播报文就被限制在一个VLAN内 。
PC1和PC2、PC3和PC4分属不同vlan,vlan间不能直接互通,广播报文就被限制在一个vlan内 。
对vlan的划分,常用的有几种方式:基于port端口、基于子网、基于协议、基于策略 。最常见的就是基于port端口 , 以华为交换机为例:
五、端口配置
交换机的接口类型:access/trunk/hybrid
access端口:一般用来接用户终端,端口接受到的数据帧默认情况下都是普通的数据帧,即不带vlan标签,将带有vlan标签的数据帧,剥离vlan后发送给用户终端 。
trunk端口:一般用来交换机之间互联,允许某些vlan通过 , 可以接受和发送带vlan标签的报文 , 不做任何处理 。
hybrid端口:trunk端口可以看做是hybrid端口的一个特例,hybrid端口很灵活,可以像trunk端口一样允许某些特定的vlan通过,也可以像access端口一样剥离vlan标签,还可以给普通的数据帧打上vlan标签 。
以本文的拓扑图为例:
PC1:IP 10.10.10.1/24
PC2:IP 10.10.10.2/24
PC3:IP 10.10.10.3/24
PC4:IP 10.10.10.4/24
LSW1和LSW2连接PC端口vlan配置不在赘述 。
LSW1和LSW2的GE0/0/1配置如下
【vlan的概念 基本原理和网络划分】
互联端口配置
用PC1 ping PC2和PC4,不通,因为不在同一个vlan里面,只能和PC3互通 。
不同的小区拥有相同的业务 , 如上网、IPTV、VoIP等业务 , 且各个小区中的用户位于不同的网段 。为了便于管理,各个小区的网络管理者将不同的业务划分到不同的VLAN中,相同的业务划分到同一个VLAN中 。目前存在不同的小区中相同的业务所属的VLAN不相同 , 现需要实现不同VLAN中的用户相互通信 。
