VLAN與三層交換機
一、VLAN(虛擬局域網,Virtual Area Network)
1、VLAN概述
虛擬局域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣,由此得名虛擬局域網,由於交換機端口有兩種VLAN屬性,其一是VLANID,其二是VLANTAG,分別對應VLAN對數據包設置VLAN標簽和允許通過的VLANTAG(標簽)數據包,不同VLANID端口,可以通過相互允許VLANTAG,構建VLAN。
用物理分割和邏輯分割的方式分割廣播域。
2、VLAN優勢
(1)防范廣播風暴
限制網絡上的廣播,將網絡划分為多個VLAN可減少參與廣播風暴的設備數量。VLAN分段可以防止廣播風暴波及整個網絡。VLAN可以提供建立防火牆的機制,防止交換網絡的過量廣播。使用VLAN,可以將某個交換端口或用戶賦予某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產生。
(2)安全
增強局域網的安全性'含有敏感數據的用戶組可與網絡的其余部分隔離,從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其他VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設備。
(3)成本降低
成本高昂的網絡升級需求減少,現有帶寬和上行鏈路的利用率更高,因而可節約成本。
(4)性能提升
將第二層平面網絡划分為多個邏輯工作組(廣播域)可以減少網絡上不必要的流量並提高性能。
(5)提高工作效率
VLAN為網絡管理帶來了方便,因為有相似網絡需求的用戶將共享同一個VLAN。
(6)簡化項目管理或應用管理
VLAN將用戶和網絡設備聚合到一起,以支持商業需求或地域上的需求。通過職能划分,項目管理或特殊應用的處理都變得十分方便,例如可以輕松管理教師的電子教學開發平台。此外,也很容易確定升級網絡服務的影響范圍。
(7)增加網絡連接的靈活性
借助VLAN技術,能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境,就像使用本地VLAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業務情況有經常性變動的公司使用了VLAN后,這部分管理費用大大降低。
3、靜態VLAN(Static VLAN)
(1)靜態動態概述
靜態VLAN是基於端口划分的VLAN,它的實現方式也是最常見的。在基於端口的VLAN中。端口到VLAN的映射是手工一一配置的,指定了哪些端口與特定的VLAN相關聯。這就直接在每個交換機上實現了端口和VLAN的映射。這種端口和VLAN的映射只有本地有效的,交換機之間不共享這一信息。
(2)VLAN的范圍
VLAN ID范圍 |
范圍 |
用途 |
0,4095 |
保留 |
僅限系統使用,用戶不能查看和使用這些VLAN |
1 |
正常 |
Cisco默認VLAN,用戶能夠使用該VLAN,但不能刪除它 |
2-1001 |
正常 |
用於以太網的VLAN,用戶可以創建、使用和刪除這些VLAN |
1002-1005 |
正常 |
用於FDDI和令牌環的Cisco默認VLAN,用戶不能查看和使用這些VLAN |
1006-1024 |
保留 |
僅限系統使用,用戶不能查看和使用這些VLAN |
1025-4094 |
擴展 |
僅用於以太網VLAN |
(3)配置靜態VLAN的步驟
①創建VLAN
②將交換機的端口加入到相應的VLAN中
③驗證VLAN的配置
(4)華為交換機的三種端口模式以及配法
①Access模式(接入鏈路)
access鏈路類型端口,一種交換機的主干道模式。2台交換機的2個端口之間是否能夠建立干道連接,取決於這2個端口模式的組合。只允許默認VLAN的以太網幀通過的端口稱為Access鏈路類型端口。Access端口在收到以太網幀后打開VLAN標簽,轉發出端口時剝離VLAN標簽,對終端主機透明,所以通常用來連接不需要識別802.1Q協議(支持隧道技術,它允許服務提供商在VLAN內部傳輸VLAN,從而保留了客戶的VLAN)的設備,如終端主機、路由器等。
Access只能屬於一個VLAN,也只能允許這一個VLAN的流量通過(數據進交換機加標簽,數據出交換機脫標簽)
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port link-type access
[Huawei-GigabitEthernet0/0/0]poat default vlan 10
[Huawei-GigabitEthernet0/0/0]undo shutdown
②Trunk模式(中繼鏈路)
Trunk模式是用來在不同的交換機之間進行連接,以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為Trunk端口。
Trunk可以同時屬於多個VLAN,也能同時允許這些VLAN的流量通過
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port link-type trunk
[Huawei-GigabitEthernet0/0/0]poat trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/0]undo shutdown
③Hybrid模式
Hybrid是華為、H3C交換機的一種端口模式,這個接口也能夠允許多個VLAN幀通過並且還可以指定哪些VLAN數據幀被剝離標簽,主要實現高隔離度的波分和復用。
Hybrid可以根據需要以tagged或者untagged方式加入某個或者多個VLAN。
Hybrid接口是華為設備的特殊的二層接口模式,可以類似於VLAN和Trunk接口,可以對數據幀不打VLAN標簽和不打標簽。
心法口訣:
出口檢查:查untag表,有標脫,無標查tag表,有放通,無丟掉
進口檢查:查看標簽,有標查tag表,有放通,無丟棄或打PVID后放通
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port hybrid pvid vlan 10
[Huawei-GigabitEthernet0/0/0]poat hybrid untagged vlan 10
[Huawei-GigabitEthernet0/0/0]undo shutdown
4、動態VLAN(Dynamic VLAN)
動態VLAN是基於MAC地址划分的VLAN,根據終端用戶的MAC地址,決定屬於哪一個VLAN;VMPS(VLAN 管理策略服務器) 中包含一個文本文件,文件中存有VLAN與MAC地址對應表。交換機對這個文件進行下載,然后對文件中的MAC地址進行校驗。
5、VLAN跨交換機通信過程
交換機給往其他交換機的數據幀打上VLAN標識(中繼鏈路Trunk模式),而在接入鏈路Access中數據進交換機加標簽,數據出交換機脫標簽。
6、中繼封裝標准-IEEE 802.1q
IEEE 802.1q以及VLAN Tagging屬於互聯網下IEEE 802.1的標准規范,允許多個網橋(Bridge)在信息不被外泄的情況下公開的共享同一個實體網上。IEEE 802.1q-英文縮寫寫為dot1q,經常在實現以太網封裝協議的架構下被提及。
IEEE 802.1q定義一個關於VLAN連接介質訪問控制層和IEEE 802.1D生成樹協議的具體概念模型。這個模型允許各個獨立的VLAN與以太網交換機的數據鏈路層或路由器互相連接。
802.1q 並非實際封入原始幀中。相反,在以太網幀格式里,在MAC地址源與以太網類型/長度的原始幀里添加一個32位的域(field)。VLAN標簽領域必須遵守下列格式:
Tag Protocol Identifier |
Priority Code Point |
Canonical Format Indicator |
VLAN Identifier |
16bits |
3bits |
1bit |
12bits |
標簽協議識別符(Tag Protocol Identifier, TPID): 一組16位的域其數值被設置在0x8100,以用來辨別某個IEEE 802.1q的幀成為"已被標注的",而這個域所被標定位置與以太形式/長度與未標簽幀的域相同,這是為了用來區別未標簽的幀。 |
|||
優先權代碼點(Priority Code Point, PCP): 以一組3比特的域當作IEEE 802.1p優先權的參考,從0(最低)到7(最高),用來對數據流(音頻、視頻、文件等等)作傳輸的優先級。 |
|||
標准格式指示(Canonical Format Indicator, CFI): 1比特的域。若是這個域的值為1,則MAC地址則為非標准格式;若為0,則為標准格式;在以太交換器中他通常默認為0。在以太和令牌環中,CFI用來做為兩者的兼容。若幀在以太端中接收數據則CFI的值須設為1,且這個端口不能與未標簽的其他端口橋接。 |
|||
虛擬局域網識別符(VLAN Identifier, VID): 12位的域,用來具體指出幀是屬於哪個特定VLAN。值為0時,表示幀不屬於任何一個VLAN;此時,802.1q標簽代表優先權。12位的值0x000和0xFFF為保留值,其他的值都可用來做為共4094個VLAN的識別符。在橋接器上,VLAN1在管理上做為保留值。這個12位的域可分為兩個6比特的域以延伸目的(Destination)與源(Source)之48位地址,18位的三重標記(Triple-Tagging)可和原本的48位相加成為66比特的地址。 |
二、三層交換機(Three Layer Switch)
1、三層交換技術
三層交換(也稱多層交換技術,或IP交換技術)是相對於傳統交換概念而提出的。眾所周知,傳統的交換技術是在OSI網絡標准模型中的第二層——數據鏈路層進行操作的,而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說,三層交換技術就是:二層交換技術+三層轉發技術。
三層交換技術的出現,解決了局域網中網段划分之后,網段中子網必須依賴路由器進行管理的局面,解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。
2、MLS(多層交換機,MultiLayer Switch)
(1)傳統MLS
使用傳統的MLS時,交換機將流中第一個數據包轉發給第三層引擎,后者以軟件交換的方式對數據包進行過處理,對數據流中的第一個包進行路由處理后,第三層引擎對硬件交換組織進行編程,使之為后續的數據包選擇路由。這個過程被稱為"一次路由多次交換",也就是說交換機的三層引擎只需要處理數據流中的第一個數據包,而后續的數據全部由硬件來執行轉發。這樣實現了三層交換的線速轉發。
(2)基於CEF的MLS
與傳統MLS不同的是,CEF預先根據路由表學習路由信息后,直接儲存在FIB(轉發信息庫)。REF預先根據ARP表生成鄰接表,直接由硬件進行轉發。 傳統MLS至少需要軟件查詢一次路由表后,建立轉發條目,才能使用硬件進行轉發。
工作原理:
①主機A給B發送單播數據包
②交換機查找FIB表,找到下一跳地址
③查找下一跳地址對應的鄰接關系的2層封裝信息
④轉發