VLAN与三层交换机
一、VLAN(虚拟局域网,Virtual Area Network)
1、VLAN概述
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网,由于交换机端口有两种VLAN属性,其一是VLANID,其二是VLANTAG,分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG(标签)数据包,不同VLANID端口,可以通过相互允许VLANTAG,构建VLAN。
用物理分割和逻辑分割的方式分割广播域。
2、VLAN优势
(1)防范广播风暴
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。VLAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
(2)安全
增强局域网的安全性'含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
(3)成本降低
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因而可节约成本。
(4)性能提升
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
(5)提高工作效率
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
(6)简化项目管理或应用管理
VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。
(7)增加网络连接的灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地VLAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
3、静态VLAN(Static VLAN)
(1)静态动态概述
静态VLAN是基于端口划分的VLAN,它的实现方式也是最常见的。在基于端口的VLAN中。端口到VLAN的映射是手工一一配置的,指定了哪些端口与特定的VLAN相关联。这就直接在每个交换机上实现了端口和VLAN的映射。这种端口和VLAN的映射只有本地有效的,交换机之间不共享这一信息。
(2)VLAN的范围
VLAN ID范围 | 范围 | 用途 |
0,4095 | 保留 | 仅限系统使用,用户不能查看和使用这些VLAN |
1 | 正常 | Cisco默认VLAN,用户能够使用该VLAN,但不能删除它 |
2-1001 | 正常 | 用于以太网的VLAN,用户可以创建、使用和删除这些VLAN |
1002-1005 | 正常 | 用于FDDI和令牌环的Cisco默认VLAN,用户不能查看和使用这些VLAN |
1006-1024 | 保留 | 仅限系统使用,用户不能查看和使用这些VLAN |
1025-4094 | 扩展 | 仅用于以太网VLAN |
(3)配置静态VLAN的步骤
①创建VLAN
②将交换机的端口加入到相应的VLAN中
③验证VLAN的配置
(4)华为交换机的三种端口模式以及配法
①Access模式(接入链路)
access链路类型端口,一种交换机的主干道模式。2台交换机的2个端口之间是否能够建立干道连接,取决于这2个端口模式的组合。只允许默认VLAN的以太网帧通过的端口称为Access链路类型端口。Access端口在收到以太网帧后打开VLAN标签,转发出端口时剥离VLAN标签,对终端主机透明,所以通常用来连接不需要识别802.1Q协议(支持隧道技术,它允许服务提供商在VLAN内部传输VLAN,从而保留了客户的VLAN)的设备,如终端主机、路由器等。
Access只能属于一个VLAN,也只能允许这一个VLAN的流量通过(数据进交换机加标签,数据出交换机脱标签)
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port link-type access
[Huawei-GigabitEthernet0/0/0]poat default vlan 10
[Huawei-GigabitEthernet0/0/0]undo shutdown
②Trunk模式(中继链路)
Trunk模式是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为Trunk端口。
Trunk可以同时属于多个VLAN,也能同时允许这些VLAN的流量通过
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port link-type trunk
[Huawei-GigabitEthernet0/0/0]poat trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/0]undo shutdown
③Hybrid模式
Hybrid是华为、H3C交换机的一种端口模式,这个接口也能够允许多个VLAN帧通过并且还可以指定哪些VLAN数据帧被剥离标签,主要实现高隔离度的波分和复用。
Hybrid可以根据需要以tagged或者untagged方式加入某个或者多个VLAN。
Hybrid接口是华为设备的特殊的二层接口模式,可以类似于VLAN和Trunk接口,可以对数据帧不打VLAN标签和不打标签。
心法口诀:
出口检查:查untag表,有标脱,无标查tag表,有放通,无丢掉
进口检查:查看标签,有标查tag表,有放通,无丢弃或打PVID后放通
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]port hybrid pvid vlan 10
[Huawei-GigabitEthernet0/0/0]poat hybrid untagged vlan 10
[Huawei-GigabitEthernet0/0/0]undo shutdown
4、动态VLAN(Dynamic VLAN)
动态VLAN是基于MAC地址划分的VLAN,根据终端用户的MAC地址,决定属于哪一个VLAN;VMPS(VLAN 管理策略服务器) 中包含一个文本文件,文件中存有VLAN与MAC地址对应表。交换机对这个文件进行下载,然后对文件中的MAC地址进行校验。
5、VLAN跨交换机通信过程
交换机给往其他交换机的数据帧打上VLAN标识(中继链路Trunk模式),而在接入链路Access中数据进交换机加标签,数据出交换机脱标签。
6、中继封装标准-IEEE 802.1q
IEEE 802.1q以及VLAN Tagging属于互联网下IEEE 802.1的标准规范,允许多个网桥(Bridge)在信息不被外泄的情况下公开的共享同一个实体网上。IEEE 802.1q-英文缩写写为dot1q,经常在实现以太网封装协议的架构下被提及。
IEEE 802.1q定义一个关于VLAN连接介质访问控制层和IEEE 802.1D生成树协议的具体概念模型。这个模型允许各个独立的VLAN与以太网交换机的数据链路层或路由器互相连接。
802.1q 并非实际封入原始帧中。相反,在以太网帧格式里,在MAC地址源与以太网类型/长度的原始帧里添加一个32位的域(field)。VLAN标签领域必须遵守下列格式:
Tag Protocol Identifier | Priority Code Point | Canonical Format Indicator | VLAN Identifier |
16bits | 3bits | 1bit | 12bits |
标签协议识别符(Tag Protocol Identifier, TPID): 一组16位的域其数值被设置在0x8100,以用来辨别某个IEEE 802.1q的帧成为"已被标注的",而这个域所被标定位置与以太形式/长度与未标签帧的域相同,这是为了用来区别未标签的帧。 | | | |
优先权代码点(Priority Code Point, PCP): 以一组3比特的域当作IEEE 802.1p优先权的参考,从0(最低)到7(最高),用来对数据流(音频、视频、文件等等)作传输的优先级。 | | | |
标准格式指示(Canonical Format Indicator, CFI): 1比特的域。若是这个域的值为1,则MAC地址则为非标准格式;若为0,则为标准格式;在以太交换器中他通常默认为0。在以太和令牌环中,CFI用来做为两者的兼容。若帧在以太端中接收数据则CFI的值须设为1,且这个端口不能与未标签的其他端口桥接。 | | | |
虚拟局域网识别符(VLAN Identifier, VID): 12位的域,用来具体指出帧是属于哪个特定VLAN。值为0时,表示帧不属于任何一个VLAN;此时,802.1q标签代表优先权。12位的值0x000和0xFFF为保留值,其他的值都可用来做为共4094个VLAN的识别符。在桥接器上,VLAN1在管理上做为保留值。这个12位的域可分为两个6比特的域以延伸目的(Destination)与源(Source)之48位地址,18位的三重标记(Triple-Tagging)可和原本的48位相加成为66比特的地址。 | | | |
二、三层交换机(Three Layer Switch)
1、三层交换技术
三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。众所周知,传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术+三层转发技术。
三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
2、MLS(多层交换机,MultiLayer Switch)
(1)传统MLS
使用传统的MLS时,交换机将流中第一个数据包转发给第三层引擎,后者以软件交换的方式对数据包进行过处理,对数据流中的第一个包进行路由处理后,第三层引擎对硬件交换组织进行编程,使之为后续的数据包选择路由。这个过程被称为"一次路由多次交换",也就是说交换机的三层引擎只需要处理数据流中的第一个数据包,而后续的数据全部由硬件来执行转发。这样实现了三层交换的线速转发。
(2)基于CEF的MLS
与传统MLS不同的是,CEF预先根据路由表学习路由信息后,直接储存在FIB(转发信息库)。REF预先根据ARP表生成邻接表,直接由硬件进行转发。 传统MLS至少需要软件查询一次路由表后,建立转发条目,才能使用硬件进行转发。
工作原理:
①主机A给B发送单播数据包
②交换机查找FIB表,找到下一跳地址
③查找下一跳地址对应的邻接关系的2层封装信息
④转发
