簡介
VLAN(Virtual Local Area Network)即虛擬局域網,是將一個物理的LAN在邏輯上划分成多個廣播域的通信技術。每個VLAN是一個廣播域,VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文就被限制在一個VLAN內。
如圖1所示,兩台交換機放置在不同的地點,比如寫字樓的不同樓層,每台交換機分別連接兩台屬於不同企業用戶的計算機,此時就可以將兩台計算機划分到不同的VLAN,實現對不同企業用戶的隔離。
圖1-1 VLAN示意圖
要使交換機能夠分辨不同VLAN的報文,需要在報文中添加標識VLAN信息的字段。IEEE 802.1Q協議規定,在以太網數據幀的目的MAC地址和源MAC地址字段之后、協議類型字段之前加入4個字節的VLAN標簽(又稱VLAN Tag,簡稱Tag),用以標識VLAN信息。VLAN數據幀格式如圖2所示。
圖1-2 VLAN數據幀格式
其中,數據幀中的VID(VLAN ID)字段標識了該數據幀所屬的VLAN,數據幀只能在其所屬VLAN內進行傳輸。
對於交換機來說,其內部處理的數據幀都帶有VLAN標簽,而現網中交換機連接的設備有些只會收發Untagged幀,要與這些設備交互,就需要接口能夠識別Untagged幀並在收發時給幀添加、剝除VLAN標簽。同時,現網中屬於同一個VLAN的用戶可能會被連接在不同的交換機上,且跨越交換機的VLAN可能不止一個,如果需要用戶間的互通,就需要交換機間的接口能夠同時識別和發送多個VLAN的數據幀。
因此,根據接口連接對象以及對收發數據幀處理的不同,華為定義了4種接口的鏈路類型:Access、Trunk、Hybrid和QinQ,以適應不同的連接和組網:
-
Access接口:一般用於和不能識別Tag的用戶終端(如用戶主機、服務器等)相連,或者不需要區分不同VLAN成員時使用。Access接口大部分情況只能收發Untagged幀,且只能為Untagged幀添加唯一的VLAN Tag。
-
Trunk接口:一般用於連接交換機、路由器、AP以及可同時收發Tagged幀和Untagged幀的語音終端。它可以允許多個VLAN的幀帶Tag通過,但只允許一個VLAN的幀從該類接口上發出時不帶Tag(即剝除Tag)。
-
Hybrid接口:既可以用於連接不能識別Tag的用戶終端(如用戶主機、服務器等)和網絡設備(如Hub、傻瓜交換機),也可以用於連接交換機、路由器以及可同時收發Tagged幀和Untagged幀的語音終端、AP。它可以允許多個VLAN的幀帶Tag通過,且允許從該類接口發出的幀根據需要配置某些VLAN的幀帶Tag(即不剝除Tag)、某些VLAN的幀不帶Tag(即剝除Tag)。
使用QinQ(802.1Q-in-802.1Q)協議,一般用於私網與公網之間的連接,也被稱為Dot1q-tunnel接口。它可以給幀加上雙層Tag,即在原來Tag的基礎上,給幀加上一個新的Tag,從而可以支持多達4094×4094個VLAN。有關QinQ具體描述請參見《S12700 V200R013C00 配置指南-以太網交換》中的“QinQ配置”。
VLAN的划分方法有多種,根據不同的場景,可以采用基於接口、MAC地址、子網、網絡層協議、匹配策略方式來划分VLAN,各種VLAN划分方式的介紹及適用場景如表1所示。
表1-1 VLAN划分方式差異表
| 划分方式 | 簡介 | 適用場景 |
|---|---|---|
| 基於接口 | 根據交換機的接口來划分VLAN | 適用於任何大小但位置比較固定的網絡 |
| 基於MAC地址 | 根據數據幀的源MAC地址來划分VLAN | 適用於位置經常移動但網卡不經常更換的小型網絡 |
| 基於子網 | 據數據幀中的源IP地址和子網掩碼來划分VLAN | 適用於對安全需求不高、對移動性和簡易管理需求較高的場景中 |
| 基於網絡層協議 | 根據數據幀所屬的協議(族)類型及封裝格式來划分VLAN | 適用於需要同時運行多協議的網絡 |
| 基於匹配策略 | 根據配置的策略划分VLAN,能實現多種組合的划分方式,包括接口、MAC地址、IP地址等 | 適用於需求比較復雜的環境 |
其中,基於接口划分VLAN是最簡單且最常用的划分VLAN的方式,而不同類型的接口上的配置方式也不相同,詳細配置過程請參見VLAN的划分。
VLAN的作用:
安全性:每一個分組的敏感數據需要與網絡其他部分隔離開,減少保密信息遭到破壞的可能性。如下圖所示,VLAN 10上的教職工主機完全與學生和訪客數據隔離。
節約成本:無需昂貴的網絡升級,並且帶寬及上行鏈路利用率更加有效。
性能提高:將二層網絡划分成多個邏輯工作組(廣播域)減少網絡間不必要的數據流並提升性能。
縮小廣播域:減少一個廣播域上的設備數量。如上圖所示:網絡上有六台主機但有三個廣播域:教職工,學生,訪客。
提升IT管理效率:網絡需求相似的用戶共享同一VLAN,從而網絡管理更為簡單。當添加一個新的交換機,在指定端口VLAN時,所有策略和步驟已配置好。
簡化項目和應用管理:VLAN將用戶和網絡設備匯集起來,以支持不同的業務或地理位置需求。
每一個VLAN對應於一個IP網絡,因此,部署VLAN的時候必須結合考慮網絡地址層級的實現情況。
VLAN廣播屬性
當VLAN的一個端口收到一個廣播報文或收到單播報文,但在MAC地址表中沒有對應目的MAC地址時,該端口將向VLAN內的其他端口廣播該報文。
如果配置了靜態MAC地址表項,或者為了安全需要限制惡意廣播報文,可以禁止在VLAN內廣播收到的報文。
禁止VLAN的MAC地址學習
在配置了靜態MAC地址表的情況下,可以禁止VLAN上的MAC地址學習功能,以提高安全性。啟動VLAN上的MAC地址學習功能時,為了保持轉發效率,可執行以下操作:
- 對MAC地址表中MAC地址的數量進行限制。
- 設置當MAC地址的數量超過限制值時采取的動作,如discard(丟棄)或forward(轉發),或alarm(向網管發送告警)。
VLAN間的通信
划分VLAN后,屬於不同VLAN的計算機之間不能直接進行二層通信。
如果要實現在VLAN間通信,需要建立IP路由。有兩種實施方案。
說明:大多數設備只支持下述兩種方式中的一種,請根據設備的實際情況選擇實施方案。
-
部署路由器
多數情況下,LAN通過交換機的以太網接口(交換式以太網接口)與路由器的以太網接口(路由式以太接口)相連。
-
在交換機上配置VLANIF接口
如果交換機支持IP路由特性,就可以不通過路由器實現VLAN間通信。
interface vlanif命令創建VLANIF接口。VLANIF接口是一種邏輯接口,具有三層屬性。
VLAN Trunk
在交換機上,一般的端口只能屬於一個VLAN,只能識別和發送本VLAN的報文。
當VLAN跨越交換機時,就需要交換機間的端口能夠同時識別和發送多個VLAN的報文。同樣的問題也存在於支持VLAN的交換機和路由器之間。這種能夠識別和發送多個VLAN的報文的鏈路稱為Trunk。
Trunk有兩個作用:
-
中繼作用
把VLAN報文透明傳輸到互聯的交換機或路由器,從而擴展VLAN。
-
干線作用
一條Trunk鏈路上可以傳輸多個VLAN的報文。
實現Trunk的協議常用的是IEEE 802.1Q,它通過VLAN TAG字段識別VLAN。
Trunk(干道)是在兩台路由器之間的一條點到點鏈路,每台路由器的相應端口稱為干道端口。一條干道可以傳輸多個VLAN的數據流,並允許用戶將VLAN的范圍從一台路由器擴展到另一台路由器。
VLAN聚合
為了在交換機上實現VLAN間通信,需要為每個VLANIF接口配置一個IP地址,以實現VLAN間路由。如果VLAN很多,將占用許多IP地址資源。VLAN聚合(VLAN aggregation)可以解決多個VLAN占用多個IP地址的問題。
VLAN聚合是將多個VLAN集中在一起,形成一個super-VLAN。組成super-VLAN的VLAN被稱作sub-VLAN。
可以創建一個VLANIF接口,使其對應一個super-VLAN,只在該接口上配置IP地址,不必為每個sub-VLAN分配IP地址,所有sub-VLAN共用IP網段,從而解決IP地址使用效率的問題。
VLAN Mapping
路由器提供VLAN Mapping功能。
- 當在端口配置了兩個以上的VLAN ID映射后,端口在向外發送本地VLAN的幀時,將幀中的VLAN Tag替換成外部VLAN的VLAN Tag。
- 當接收外部VLAN的幀時,將幀中的VLAN Tag替換成本地VLAN的VLAN Tag,這樣不同VLAN間就實現了互相通信。
此外,要想借助VLAN Mapping實現兩個VLAN內設備互相通信,則這兩個VLAN內設備的IP地址還必須處於同一網段。
VLAN Damping
VLAN Damping功能可以適當延遲向VLANIF接口上報接口Down狀態的時間,從而抑制不必要的路由振盪。
對於VLANIF接口,當VLAN中的最后一個端口狀態變為Down后,VLANIF接口狀態才會變為Down。VLANIF接口的狀態變化會導致整網的路由重新收斂,VLAN Damping功能可以抑制由VLANIF接口導致的路由振盪。
當使能VLANIF的Damping功能時,VLAN中最后一個處於Up狀態的端口變為Down后,會抑制一定時間(抑制時間可配置)再上報給VLANIF接口;如果在抑制時間內VLAN中有端口Up,則VLANIF保持Up狀態不變。
VLAN的端口隔離功能
NE80E/40E提供VLAN內的端口隔離功能,可以隔離VLAN內的一個或一組端口。
對於單個端口的VLAN內隔離,處於隔離狀態的端口間將不能在VLAN內直接進行二層互通。被隔離的端口間要互通必須配置VLAN內的ARP代理。通過這種方式,實現了VLAN內的流量可以通過三層監控。
對於VLAN內端口組的隔離,通過把端口加入不同的隔離組,可以對組間的報文進行隔離。隔離組內的端口間不存在隔離關系,隔離組內的端口與沒有加入任何隔離組的端口也不存在隔離關系。VLAN隔離端口組的功能,可以實現VLAN的靈活規划,主要應用於RRPP環境中,一個VLAN內包含多個RRPP環的情況。將不同的RRPP環的端口加入不同的隔離組,可以防止形成廣播風暴。
創建VLAN(HUAWEI)
-
執行命令
system-view,進入系統視圖。 -
執行命令
vlan vlan-id,創建VLAN並進入VLAN視圖。
- 整機支持4096個VLAN,其中VLAN 0和VLAN 4095為保留VLAN,VLAN 1為缺省VLAN。因此創建VLAN時,可創建2~4094范圍內的任意VLAN。
- 多次使用 vlan 命令創建VLAN,按多次創建的累加結果生效。如果該VLAN已經存在,不會再重新創建,保留原來的VLAN和相關配置。
- 使用
vlan batch命令可以批量創建多個VLAN。如果該VLAN已經存在,不會再重新創建,保留原來的VLAN及其相關配置。多次使用vlan batch命令創建VLAN,配置按多次創建的累加結果生效。
下面這個示例顯示了如何在設備上創建VLAN 100,並查看VLAN是否創建成功。
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] display vlan summary
Static VLAN:
Total 2 static VLAN.
1 100
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.
VLAN的划分
交換機支持基於接口、MAC地址、子網、網絡層協議、匹配策略方式來划分VLAN,這里我們僅介紹最常用的VLAN划分方式:基於接口划分VLAN。
在設備上已經創建了VLAN的前提下,不同類型的接口加入VLAN的方法不同,如下所示:
Access接口
- 執行命令
interfaceinterface-type interface-number,進入需要加入VLAN的以太網接口視圖。 - 執行命令
port link-type access,配置接口類型為access。 - 執行命令
port default vlan vlan-id,配置接口的缺省VLAN並將接口加入到指定VLAN。
下面這個示例顯示了如何將接口GE1/0/1配置為access接口,並將其加入VLAN 100,然后查看配置結果。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type access
[HUAWEI-GigabitEthernet1/0/1] port default vlan 100
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] display port vlan gigabitethernet 1/0/1
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/1 access 100 -
Trunk接口
-
執行命令
interface interface-type interface-number,進入需要加入VLAN的以太網接口視圖。 -
執行命令
port link-type trunk,配置接口類型為trunk。 -
執行命令
port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },將接口加入到指定的VLAN中。 -
(可選)執行命令
port trunk pvid vlan vlan-id,配置Trunk接口的缺省VLAN。
下面這個示例顯示了如何將接口GE1/0/2配置為trunk接口,並將其加入VLAN 100,然后查看配置結果。
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] display port vlan gigabitethernet 1/0/2
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/2 trunk 1 1 100
Hybrid接口
-
執行命令
interface interface-type interface-number,進入需要加入VLAN的以太網接口視圖。 -
執行命令
port link-type hybrid,配置接口類型為hybrid。 -
根據實際需要選擇任一方式將接口加入VLAN:
- 執行命令
port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },將Hybrid接口以Untagged方式加入VLAN,接口在發送幀時將幀中的VLAN Tag去掉。 - 執行命令
port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },將Hybrid接口以Tagged方式加入VLAN,接口在發送幀時不將幀中的VLAN Tag去掉。
- 執行命令
-
執行命令
port hybrid pvid vlan vlan-id,配置Hybrid接口的缺省VLAN。
下面這個示例顯示了如何將接口GE1/0/3配置為hybrid接口,並將其加入VLAN 100,然后查看配置結果。
[HUAWEI] interface gigabitethernet 1/0/3
[HUAWEI-GigabitEthernet1/0/3] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/3] port hybrid tagged vlan 100
[HUAWEI-GigabitEthernet1/0/3] quit
[HUAWEI] display port vlan gigabitethernet 1/0/3
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/3 hybrid 1 100
參考