本文主要知識來源於學校課程,部分知識來自於H3C公司教材,未經許可,禁止轉載。如需轉載,請聯系作者並注明出處。
1. VLAN(Virtual LAN):我們稱之為虛擬局域網,它的作用就是將物理上互連的網絡在邏輯上划分為多個互不相干的網絡,這些網絡之間是無法通訊的,就好像互相之間沒有連接一樣,因此廣播也就隔離開了。
實現原理:通過交換機的控制,某一VLAN成員發出的數據包交換機只發給同一VLAN的其它成員,而不會發給該VLAN成員以外的計算機。簡言之,一個VLAN就是一個廣播域。
為什么需要VLAN?
位於協議第2層的交換機雖然能隔離沖突域,提高每一個端口的性能,但並不能隔離廣播域,不能進行子網划分,不能層次化規划網絡,更無法形成網絡的管理策略,因為這些功能全都屬於網絡的第三層———網絡層。因此,如果只用交換機來構造一個大型計算機網絡,將會形成一個巨大的廣播域,結果是,網絡的性能會降低以至無法工作,網絡的管理束手無策,這樣的網絡是不可想象的。
舉個栗子:傳統的二層交換機所有端口都屬於一個廣播域,這樣就不便於管理和網絡變化,假設一個用戶現在屬於工作組1,與工作組1內的用戶在同一個LAN中,一段時間后要把該用戶划分到工作組2中,要加入到工作組2中的LAN,那么必須重新連線。這種給網絡管理帶來了不方便。這樣就在傳統二層交換機上引入了VLAN(Virtual LAN)。每個VLAN中的所有節點在同一個廣播域,每個VLAN是邏輯LAN,VLAN之間是二層隔離的。
VLAN產生由來:交換機的設計者們借鑒了路由結構中子網的思路,得出了虛網的概念,即通過對網絡中的IP地址或MAC地址或交換端口進行划分,使之分屬於不同的部分,每一個部分形成一個虛擬的局域網絡,共享一個單獨的廣播域。這樣就可以把一個大型交換網絡划分為許多個獨立的廣播域,即VLAN。
VLAN命令配置:
這么做的好處呢?(摘自H3C公司技術甜甜圈)
(1). 廣播域被限制在一個VLAN內,節省了帶寬,提高了網絡處理能力
(2). 增強局域網的安全性:VLAN間不能直接通信,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,而需要通過路由器或三層交換機等三層設備
(3). 靈活構建虛擬工作組:用VLAN可以划分不同的用戶到不同的工作組,同一工作組的用戶也不必局限於某一固定的物理范圍,網絡構建和維護更方便靈活
2. 跨設備的VLAN互連與802.1Q協議
跨設備的VLAN成員互連的組網,就必然涉及到不同VLAN流量識別的問題,如下圖。
為了解決VLAN流量識別的問題,思科公司和IEEE分別提出了ISL和802.1Q標准。
交換鏈路內協議(ISL),是思科私有協議,我們在這不詳細談。
想看ISL幀格式我就放個圖好了:封裝以太網幀哦。802.1Q是插入標簽,不是封裝,這是差別。
着重來看一下IEEE 提出的802.1Q標准是怎么解決VLAN流量識別的問題的吧?
802.1Q協議:在跨設備轉發時給報文打上VLAN信息,如打上VLAN標簽,標識報文所屬的VLAN,交換機通過對報文中VLAN信息的識別進行相應的轉發。
IEEE 802.1Q幀格式是在傳統以太網幀格式上定義一個新的以太網幀字段。
上圖中的0x8100為固定字段,英文為Etype。標識報文的封裝類型為以太網的802.1Q封裝。
Pri優先級主要用於當交換機出端口發生擁塞時,交換機通過識別該優先級,優先發送優先級高的數據包。
CFI:規范格式指示器,總是被設置為0. CFI常用於以太網類網絡和令牌環類網絡之間,如果在以太網端口接收的幀具有CFI,那么設置為1,表示該幀不進行轉發(打這條線是因為這知識只作了解即可)
VLAN ID: 該字段為12bit,最大支持4096個VLAN,因為2^12=4096。
關於VLAN ID,下面給出一個具體的表,細節就不贅述了。
覺得還是講講NATIVE VLAN比較好。
Native VLAN:本地VLAN,一個VLAN的幀只能轉發到屬於同一個VLAN的端口或者干道端口。
只有發往干道端口的幀才需要加上VLAN ID。從干道收到的幀中如果沒有VLAN ID,則認為是本地VLAN(Native VLAN),默認為VLAN 1。
ISL就沒有Native VLAN這個概念了。只有IEEE 802.1Q標准才有。