VLAN
VLAN 可讓網絡管理員建立多組邏輯上聯網的設備,即使這些設備與其它 VLAN 共享相同的基礎架構,它們也能像在獨立的網絡中一樣運作。
- VLAN 是一個邏輯上獨立的 IP 子網。
- VLAN不管實際上的物理位置
- VLAN隔離了廣播域
- 通過交換機
優點
- 安全
- 成本降低
- 廣播風暴防范 - 將網絡划分為多個 VLAN 可減少參與廣播風暴的設備數量。在“配置交換機”一章我們討論過,LAN 划分可以防止廣播風暴波及整個網絡。如圖所示,我們可以看到,雖然該網絡中有六台計算機,但是只有三個廣播域:Faculty、Student 和 Guest。
- 提高 IT 員工效率 - VLAN 為管理網絡帶來了方便,因為有相似網絡需求的用戶將共享同一個 VLAN。當您為特定 VLAN 設置新的交換機時,之前為該 VLAN 配置的所有策略和規程均會在指定新交換機端口后應用到端口上。另外,通過為 VLAN 設置一個適當的名稱,IT 員工很容易就知道該 VLAN 的功能。在右圖中,為了便於識別,我們將 VLAN 20 命名為 Student,將 VLAN 10 命名為 Faculty,將 VLAN 30 命名為 Guest。
- 簡化項目管理或應用管理
特征
VLAN中繼
中繼是兩台網絡設備之間的點對點鏈路,負責傳輸多個 VLAN 的流量。
VLAN 中繼不屬於具體某個 VLAN,而是作為 VLAN 在交換機或路由器之間的管道。
標記
交換機屬於第 2 層設備。它只根據以太網幀頭信息來轉發數據包。幀頭本身並不包含到底太網幀應該屬於哪個 VLAN 的相關信息。因此,當以太網幀進入中繼后,以太網幀需要額外的信息來標識自己屬於哪個 VLAN。
VLAN 標記字段詳細信息
VLAN 標記字段包含一個 EtherType(以太類型)字段、一個標記控制信息字段和 FCS 字段。
EtherType 字段
此字段設置為十六進制值 0x8100。此值也稱為標記協議 ID (TPID) 值。通過將 EtherType 字段設置為 TPID 值,收到幀的交換機便知道去查找標記控制信息字段中的信息。
標記控制信息字段
標記控制信息字段包含:
3 位的用戶優先級 - 用於 802.1p 標准,此標准指出如何加速第 2 層幀的傳輸。對 IEEE 802.1p 的說明已超出本課程的范圍,但是在前面的語音 VLAN 的討論過程中我們稍微了解了這個標准。
1 位的規范格式標識符 (CFI) - 使令牌環幀輕松地通過以太網鏈路傳送。
12 位的 VLAN ID (VID) - VLAN 標識號,最多支持 4096 個 VLAN ID。
FCS 字段
交換機插入 EtherType 字段和標記控制信息字段后,它會重新計算 FCS 值並將結果插入幀中。
VLAN通信
通過交換機和路由器控制廣播域
VLAN 內通信
如圖所示,PC1 要與另一台設備 PC4 通信。PC1 和 PC4 二者均位於 VLAN 10。在同一個 VLAN 中與某台設備通信稱為 VLAN 內通信。下面說明如何完成這一過程:
步驟 1. VLAN 10 中的 PC1 將自己的 ARP 請求幀發送給交換機 S2(廣播)。交換機 S2 和 S1 將該 ARP 請求幀從 VLAN 10 上的所有端口發送出去。然后交換機 S3 將該 ARP 請求從端口 F0/11 發送給 VLAN 10 中的 PC4。
步驟 2. 網絡中的交換機將 ARP 應答幀從所有配置為屬於 VLAN 10 的端口轉發出去(單播)。PC1 會收到應答幀,該幀包含 PC4 的 MAC 地址。
步驟 3. PC1 現在有了 PC4 的目的 MAC 地址,然后據此創建以 PC4 的 MAC 地址作為目的地址的單播幀。交換機 S2、S1 和 S3 會將該幀傳送給 PC4。
單擊“VLAN 間通信”按鈕,並單擊“播放”圖標開始動畫演示。
VLAN 間通信
如圖所示,VLAN 10 中的 PC1 要與 VLAN 20 中的 PC5 通信。與另一個 VLAN 中的設備通信稱為 VLAN 間通信。
注:交換機 S1 與路由器之間有兩條連接:一條用於將 VLAN 10 上的流量傳輸到達路由器接口,另一條用於傳輸 VLAN 20 的流量傳輸到路由器接口。
下面說明如何完成這一過程:
步驟 1. VLAN 10 中的 PC1 要與 VLAN 20 中的 PC5 通信。PC1 發送一個 ARP 請求幀,請求默認網關 R1 的 MAC 地址。
步驟 2. 路由器 R1 從配置於 VLAN 10 的接口上發出 ARP 應答幀。
所有交換機都會轉發 ARP 應答幀,然后 PC1 收到該幀。ARP 應答中包含默認網關的 MAC 地址。
步驟 3. PC1 隨后創建一個包含默認網關 MAC 地址的以太網幀。該幀會從交換機 S2 發送到 S1。
步驟 4. 路由器 R1 往 VLAN 20 上發送 ARP 請求幀,以此確定 PC5 的 MAC 地址。交換機 S1、S2、S3 將 ARP 請求幀從配置為支持 VLAN 20 的端口上轉發出去。VLAN 20 上的 PC5 收到來自路由器 R1 的 ARP 請求幀。
步驟 5. VLAN 20 中的 PC5 將一個 ARP 應答幀發送給交換機 S3。交換機 S3 和 S1 根據路由器 R1 接口 F0/2 的目的 MAC 地址將 ARP 應答幀轉發給路由器 R1。
步驟 6. 路由器 R1 將來自 PC1 的幀通過 S1 和 S3 發送至 VLAN 20 上的 PC5。
通過 VLAN 和第 3 層轉發來控制廣播域
SVI
SVI 是針對特定 VLAN 配置的邏輯接口。如果您想要在 VLAN 之間路由或想使 IP 主機連接至交換機,則需要配置 SVI。默認情況下會為默認 VLAN (VLAN 1) 創建一個 SVI,以方便遠程管理交換機。
單擊圖中的“第 3 層轉發示例”按鈕觀看動畫,觀看第 3 層交換機如何控制廣播域的簡化演示。
第 3 層轉發
第 3 層交換機能夠在 VLAN 之間路由數據傳輸。其過程類似於使用單獨路由器的 VLAN 間通信,只不過是由 SVI 充當路由器接口來路由 VLAN 之間的數據。圖中的動畫演示了這一過程。
在動畫中,PC1 要與 PC5 通信。下面是通過第 3 層交換機 S1 進行通信的簡要步驟:
步驟 1. PC1 往 VLAN 10 上發送 ARP 請求廣播。S2 將此 ARP 請求從所有配置為支持 VLAN 10 的端口上轉發出去。
步驟 2. 交換機 S1 將 ARP 請求從配置為支持 VLAN 10 的所有端口(包括 VLAN 10 SVI)轉發出去。交換機 S3 將此 ARP 請求從所有配置為支持 VLAN 10 的端口上轉發出去。
步驟 3. 交換機 S1 中的 VLAN 10 SVI 知道 VLAN 20 的位置。該 SVI 會向 PC1 發回一個包含此位置信息的 ARP 應答。
步驟 4. PC1 以單播幀形式發送數據(目的地為 PC5),此數據通過交換機 S2 到達交換機 S1 中的 VLAN 10 SVI。
步驟 5. 用於 VLAN 20 的 SVI 從所有配置為支持 VLAN 20 的交換機端口上發送 ARP 請求廣播。交換機 S3 將此 ARP 請求廣播從所有配置為支持 VLAN 20 的交換機端口上發送出去。
步驟 6. VLAN 20 中的 PC5 發送一個 ARP 應答。交換機 S3 將此 ARP 應答發送給 S1。交換機 S1 再將此 ARP 應答轉發給用於 VLAN 20 的 SVI。
步驟 7. 根據步驟 6 中獲得的 ARP 應答中的目的地址,用於 VLAN 20 的 SVI 會將從 PC1 收到的數據以單播幀的形式發送給 PC5。
配置
檢驗
配置VLAN
配置交換機端口
配置中繼
檢驗
刪除/管理
VLAN間路由
我們將 VLAN 間路由定義為使用路由器從一個 VLAN 向另一個 VLAN 轉發網絡流量的過程。
單臂路由
“單臂路由器”是通過單個物理接口在網絡中的多個 VLAN 之間發送流量的路由器配置。如圖所示,路由器與交換機 S1 通過單一的物理網絡連接相連。
路由器接口被配置為中繼鏈路,並以中繼模式連接到交換機端口。通過接收中繼接口上來自相鄰交換機的 VLAN 標記流量,以及通過子接口在 VLAN 之間進行內部路由,路由器便可實現 VLAN 間路由。隨后,路由器會將發往目的 VLAN 的 VLAN 標記流量從同一物理接口轉發出去。
子接口配置
三層交換機
- VLAN10 中的 PC1 通過交換機 S1 上為各 VLAN 配置的 VLAN 接口,與 VLAN30 中的 PC3 通信。
- PC1 將它的單播流量發送到交換機 S2。
- 交換機 S2 將該單播流量標記為來源於 VLAN10,並將其從中繼鏈路轉發到交換機 S1。
- 交換機 S1 將 VLAN 標記刪除后,將該單播流量轉發到 VLAN10 接口。
- 交換機 S1 將單播流量發送到它的 VLAN30 接口。
- 交換機 S1 重新將單播流量標記為 VLAN30,並從中繼鏈路轉發回交換機 S2。
- 交換機 S2 將單播幀的 VLAN 標記刪除后,將該幀轉發到端口 F0/6 上的 PC3。