第八章 VLAN原理和配置
8.1背景
- 默认情况下交换机所有接口属于一个广播域(局域网)
- 网络规模的增加,多个交换机互联,广播域变得越来越大,造成以下问题:
- 广播泛滥
- 安全风险
- 设备性能下降
- VLAN技术将一个大的广播域划分成多个小的广播域
8.2 实现方式
8.2.1 实现方式
在数据帧中插入VLAN Tag 形成802.1Q帧:
数据帧结构:目的MAC地址+源MAC地址+VLAN Tag+Type+Data+FCS
交换机根据VLAN Tag来区分广播域,相同的VLAN ID就是相同的广播域。
8.2.2 VLAN Tag字段
VLAN Tag 4B,包含以下字段:
- TPID:标签协议标识符,取值0x8100
- PRI:优先级3bit,用于Qos
- CFI:1bit,标准格式指示符,在以太网中固定为0
- VLAN ID:12bit,VLAN标记的值,取值范围0-4095,0和4095保留不用,默认交换机的所有接口都属于VLAN 1
8.2.3 VLAN划分方式
- 基于接口划分VLAN:收包接口与VLAN绑定
- 基于MAC地址划分VLAN:报文MAC地址与VLAN绑定
- 基于IP子网地址划分VLAN:报文IP地址与VLAN绑定。
- 基于协议:报文的IP协议或者IPV6协议。
- 基于策略:以上四种中部署策略,报文需要满足策略的条件才打上对应的VLAN标签。
8.3 基于接口的VLAN划分方式
接口收到数据帧按照接口的类型对数据帧进行处理,接口类型有以下三种:
- Access接口:
- 接受数据帧:
- 不带标签数据帧:为数据帧打上接口的PVID,接受到交换机内部。
- 带标签数据帧:查看数据帧的VLAN Tag,如果与接口的PVID相同,则带标签接受,如果不同,则丢弃。
- 发送数据帧:
- 查看接口的PVID是否与要发送的数据帧的VLAN Tag相同:
- 如果相同,则剥离标签发送。
- 如果不同,则禁止从该接口发送。
- 查看接口的PVID是否与要发送的数据帧的VLAN Tag相同:
- 总结:Access接口只允许一种VLAN通过(接受则打上标签,发送则剥离标签),接口的PVID对应的VLAN数据帧。
- 接受数据帧:
- Trunk接口类型:Trunk接口处理数据帧需要查看允许通过列表,在允许通过列表,则允许通过,不在允许通过列表,则不允许通过。
- 接受数据帧:接受前提是在允许通过列表中
- 不带标签数据帧:打上接口的PVID,带标签接受
- 带标签数据:查看是否在允许通过列表,带标签接受
- 发送数据帧:发送前提是在允许通过列表中
- 查看接口的PVID与数据帧的VLAN Tag:
- 如果两者相同,则剥离标签发送
- 如果两者不同,则带标签发送
- 查看接口的PVID与数据帧的VLAN Tag:
- 总结:允许一个VLAN剥离标签通过(PVID相同的VLAN),允许多个VLAN带标签通过(与PVID不同的VLAN)
- 接受数据帧:接受前提是在允许通过列表中
- Hybrid接口类型:与trunk接口类型相似,不同的地方发送数据帧的时候。
- 接受数据帧:接受前提是在允许通过列表
- 不带标签数据帧:打上接口的PVID,查看允许通过表,在则接受,不在则丢弃。
- 带标签数据帧:查看允许通过列表,在则接受,不在则丢弃
- 发送数据帧:
- 在允许通过列表的Untagged表,则发送数据剥离发送。
- 在允许通过列表中Tagged表,则发送数据携带原标签发送。
- 不在任何一个表中,则禁止从该接口发送。
- 总结:允许多个VLAN带标签通过,允许多个VLAN剥离标签通过。
- 接受数据帧:接受前提是在允许通过列表
- 三种接口总结:
- 接受不带标签数据帧都是打上接口的PVID。
- 接受带标签数据帧,则查看允许通过列表(Access接口相当于是允许通过列表只有一个VLAN)。
- 发送的时候处理存在区别。
8.4 VLAN 间通信
8.4.1 有三种方式:
- 使用路由器物理接口通信
- 缺点:要消耗物理接口数量
- 利用路由器子接口进行通信
- 每一个子接口对应一个VLAN
- 缺点:路由器相连的链路物理接口带宽会成为网络的转发瓶颈
- 通过VLANIF(三层逻辑接口)
8.4.2 注意:
- 子接口和VLANIF接口:仅是理解方式
- 只能识别对应的VLAN的数据帧:
- 接受报文,去掉标签。
- 发送报文的时候打上标签
- 对标签的处理与物理接口的的处理无关。
- 只能识别对应的VLAN的数据帧: