VLAN的概念及优势

IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。

物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 image.png

控制广播

限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。

增强网络安全性

增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。

VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。

VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。

简化网络管理

借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。

静态VLAN

静态 VLAN 是基于端口划分的VLAN,它的实现方式也是最常见的。在基于端口的VLAN中。端口到VLAN的映射是手工一一配置的,指定了哪些端口与特定的VLAN相关联。这就直接在每个交换机上实现了端口和VLAN的映射。这种端口和VLAN的映射只有本地有效的,交换机之间不共享这一信息。 image.png

VLAN的范围

共4096个VLANID 华为的VLAN范围0,4095一样都做保留仅限系统使用,用户不能查看和使用这些VLAN;1为默认VLAN用户可以使用,同时也可以删除,2-4094正常可用,可删除

接口类型

access 接入链路 用于连接计算机或者路由器的接口
trunk 中继 一般用于连接交换机与交换机之间的接口
hybrid 华为私有协议 华为交换机接口上默认的接口类型

access作用:数据进入交换机时打上vlan标签,出交换机时脱掉vlan标签

trunk作用:用于识别可放行的vlan标签

VLAN Trunk

为每一个vlan提供一条链路 image.png

VLAN的标识

image.png IEEE 802.1q 的帧标识(4字节) : 2字节标识协议标识符(TPID)包含一个0x8100的固定值,这个特定的TPID值指明了该帧带有IEEE 802.1q 的标识信息。 2字节标识控制信息(TCI)包含了下面的3个元素: ●3位的用户优先级(Priority) : IEEE 802.1q不使用该字段。 ●1位的规范格式标识符(CFI) : CFI常用于以太网和令牌环网。在以太网中,CFI的值通常设置为0。 ●12位VLAN标识符(VLAN ID) :该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一地标识4096个VLAN, 但VLAN 0和VLAN 4095是被保留的。

hybrid接受发送流程

image.png Hybrid接口作为华为交换机的特有属性接口,主要特点有: 华为交换机接口默认为Hybrid模式: 既可以实现Access接口的功能,也可以实现Trunk接口的功能; 不借助三层设备即可实现跨VLAN通信和访问控制; 相对于Access接口和Trunk接口具有更高的灵活性与可控性。 Hybrid可以根据需要以tagged或者untagged方式加入某个VLAN或者多个VLAN. 心法口诀: 数据帧出口检查:查untag表, 有标时,脱标:无标时,查tag表,有则放通,无则丢掉 数据帧进口检查:先查有无标签,有标时,查tag表,有则放通,无标则丢弃; 无标时,打上PVID后,放通

VLAN和VLAN Trunk配置命令

VLAN配置命令

[SW1-vlan10]q 批量添加 [SW1]vlan batch 20 30 40 删除 [SW1]undo vlan 10 ###将端口加入VLAN,Access口只能属于1个VLAN,一般用于连接计算机端口。 [Huawei]int e0/0/0 (进入接 口模式) [Huawei -Ethernet0/0/0]port link- type access (定义二层端口为access模式) [Huawei - Ethernet0/0/0]port default vlan 10 (将端口加入到vlan中) [Huawei- Ethernet0/0/0]undo shutdown 将端口从vlan删除 [Huawei- Ethernet0/0/0]undo port default vlan [Huawei -Ethernet0/0/0]port link-type hybrid (将端口类型恢复成默认的hybrid模式) 查看当前端口模式、状态 [Huawei-Ethernet0/0/0]dis this 同时将多个端口加入VLAN [Huawei]port-group 1 ( 新增组1) [Huawei- port-group-11group member Ethernet 0/0/1 to Ethernet 0/0/20 ( 组1的成员是e0/0/1到e0/0/20) [Huawei -port-group-1]port link-type access [Huawei -port-group-1]port default vlan 30 端口恢复默认配置,注意,执行完命令后,接口会被shutdown [Huawei]clear configuration interface e0/0/1 查看指定VLAN信息 [Huawei] dis vlan 10

VLAN Trunk配置命令

#####Trunk类型端口: 可以允许多个VLAN通过,可以接收和发送多个VLAN报文,一般用于交换机与交换机相关的接口。 [Huawei] int e0/0/0 [Huawei -Ethernet0/0/0]port link-type trunk (定义二层端口为trunk模式) [Huawei - Ethernet0/0/0]port trunk allow-pass vlan 10 20 30 (配置Trunk端口允许通过的vlan) [Huawei -Ethernet0/0/0] undo shutdown 禁止Trunk传送某个VLAN的数据,删除这个VLAN [Huawei -Ethernet0/0/0]undo port trunk allow-pass vlan 10