VLAN主要有兩個作用:
- vlan可以有效的控制廣播域的范圍
- vlan可以分組設備,增強局域網的安全性(業務隔離)
vlan的范圍:
一共有4096個vlan,vlan 1為默認vlan。但其中vlan 0 和 vlan 4095是保留的,故用戶真正可以創建的vlan數為4094.
Cisco交換機中,vlan 1002-1005默認用於 FDDI 和 TOKEN RING
Vlan標簽:
交換機用vlan標簽來區分不同的以太網幀。
Access類型端口:
僅屬於某個特定的vlan
行為總結:“進口打標,出口解標“
Trunk類型的端口:
攜帶vlan標簽的數據幀可以在trunk鏈路(中繼鏈路)上進行透傳。
Trunk端口一般情況下不對數據幀進行打標和解標操作。
Trunk端口允許多個不同的vlan的數據幀通過。
(注意:cisco以及銳捷設備的trunk端口默認屬於所有已存在的vlan,H3C,華為設備的trunk端口默認只屬於本地vlan,本地vlan即vlan 1,它和默認vlan 1不同,本地vlan默認為vlan 1 可以修改------在接口模式下輸入:switchport trunk native vlan ?,同時本地vlan是屬於trunk下的概念,故對華為,H3C的設備需要額外命令配置該trunk端口屬於哪些vlan))
Trunk的分裝格式:ISL(cisco專有) ,dot1.Q(IEEE 802.1Q)國際標准,它們都是為打標簽服務的。
ISL:在以太網報文頭部增加了26byte作為vlan tag,在幀尾加了4個字節的CRC。.
802.1Q:在以太網幀的源mac字段后插入4個byte 的tag幀。
IEEE 802.1Q 標簽幀格式
| DA |
SA |
vlan tag |
Type/Length |
Date |
CRC |
| 6B |
6B |
4B |
2B |
46-1500B |
4B |
Vlan tag:4字節,包含2個字節的標簽協議標識(TPID)和2個字節的標簽控制信息(TCI),TCI字段具體又分為: priorty、CFI、Vlan ID,具體格式如下所示:
| TPID |
User Priority |
CFI |
VID |
| 2B |
3b |
1b |
12b |
n TPID(標簽協議標識):2字節,用於標識幀的類型,其值為0x8100時表示802.1Q/802.1P的幀。設備可以根據這個字段判斷對它接收與否。
n TCI(標簽控制信息字段):2字節,包括用戶優先級(User Priority)、規范格式指示器(Canonical Format Indicator)和 VLAN ID。
l User Priority:3個bti,表示幀的優先級,取值范圍0~7,值越大優先級越高,用於802.1p。
l CFI,1bit,值為0代表MAC地址是以太幀的MAC,值為1代表MAC地址是FDDI、令牌環網的幀。
l VID(VLAN ID):12bit,表示VLAN的值。12bit共可以表示4096個VLAN.
(由於標准以太網幀的長度為64—1518Byte,所以802.1Q幀的長度范圍為68—1522Byte)
ISL標簽幀格式:
l 當一個攜帶了vlan標簽的數據幀被從trunk端口發送出去是,如果標簽中的vlanid與trunk端口的本地vlan相同,則應解掉標簽發送。
l 當一個不攜帶vlan標簽的數據幀從trunk端口進入交換機時,則給該幀打上trunk端口本地的vlanid.
l 除以上兩種情況,trunk對其它情況不打標也不解標。
不同vlan相同IP網段的pc跨廣播通信:
對上圖PC1能ping通PC2.
若上圖sw1的f0/1端口模式和sw2的f0/1的模式未知,其它都如上圖所示,如果要實現PC1能ping通PC2,請問有幾種情況可以實現。
1) sw1的f0/1端口模式設為access,並未其指定vlan ID號為vlan11,sw2的f0/1端口模式也設為access,並未其指定vlan ID號為vlan21。
PC1與PC2的通信過程:pc1首先分裝數據幀,數據幀到達交換機sw1后給數據幀打上vlan11的標簽,交換機查找mac地址表,把數據幀從端口f0/1轉發,端口f0/1給數據幀去標簽,數據幀到達sw2的f0/1后,給數據幀打上vlan21的標簽,sw2查找自己的mac地址表,通過端口f0/2把數據幀轉發給PC2,端口f0/2並對數據幀解標)
原理:access類型端口“進口打標,出口解標“
u 2)sw1的f0/1端口模式設為access,並未其指定vlan ID號為vlan11,sw2的f0/1端口模式設為trunk,並修改該端口的本地vlan為vlan21(默認情況下本地vlan為vlan1)。
PC1與PC2的通信過程:pc1首先分裝數據幀,數據幀到達交換機sw1后給數據幀打上vlan11的標簽,交換機查找mac地址表,把數據幀從端口f0/1轉發,端口f0/1給數據幀去標簽,數據幀到達sw2的f0/1后,給數據幀打上本地vlan標簽即vlan21,sw2查找自己的mac地址表,通過端口f0/2把數據幀轉發給PC2,端口f0/2並對數據幀解標。
原理:access類型端口“進口打標,出口解標“,而對trunk類型端口當一個不攜帶vlan標簽的數據幀從trunk端口進入交換機時,則給該幀打上trunk端口本地的vlanid.
3) sw1的f0/1端口模式設為trunk,並修改該端口的本地vlan為vlan11,sw2的f0/1端口模式也設為trunk,並修改該端口的本地vlan為vlan21。
PC1與PC2的通信過程:pc1首先分裝數據幀,數據幀到達交換機sw1后給數據幀打上vlan11的標簽,交換機查找mac地址表,把數據幀從端口f0/1轉發,端口f0/1比較自己的本地vlanid和數據幀的標簽,發現相同則對它解標,數據幀不帶vlan標簽在trunk鏈路上傳送,到達sw2的f0/1后,給數據幀打上該端口本地vlan標簽即vlan21,sw2查找自己的mac地址表,通過端口f0/2把數據幀轉發給PC2,端口f0/2並對數據幀解標。(可能出現錯誤)
對情況3)弊端或出錯情況介紹:
1、 設備會不斷出現native vlan不匹配的提示,同時如果trunk鏈路兩端設備的nativevlan不一致也將
導致一些二層協議不能正常運行,例如:vtp 、stp等
2、trunk使用的封裝協議必須為802.1q,不能為isl,因為isl對左右vlan都會做vlan標記