今天我们来看看VLAN的划分方式。

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_运维

计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说,当计算机发出的Untagged帧一旦进入交换机后,交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。

VLAN的划分包括如下5种方法:

  • 基于接口划分:根据交换机的接口来划分VLAN。
  • 网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的标签,然后数据帧将在指定VLAN中传输。
  • 基于MAC地址划分:根据数据帧的源MAC地址来划分VLAN。
  • 网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
  • 基于IP子网划分:根据数据帧中的源IP地址和子网掩码来划分VLAN。
  • 网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
  • 基于协议划分:根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
  • 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
  • 基于策略划分:根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。
  • 网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。

基于接口的VLAN划分:

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_数据帧_02

  • 划分原则:
  • 将VLAN ID配置到交换机的物理接口上,从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。
  • 特点:
  • 这种划分原则简单而直观,实现容易,是目前实际的网络应用中最为广泛的划分VLAN的方式。
  • 当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属可能会发生变化。
  • 缺省VLAN,PVID (Port VLAN ID)
  • 每个交换机的接口都应该配置一个PVID,到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。
  • 默认情况下,PVID的值为1。

基于MAC地址的VLAN划分

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_运维_03

  • 划分原则:
  • 交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时,交换机将分析帧中的源MAC地址,然后查询MAC地址与VLAN ID的对应表,并根据对应关系把这个帧划分到相应的VLAN中。
  • 特点:
  • 这种划分实现稍微复杂,但灵活性得到了提高。
  • 当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属不会发生变化(因为计算机的MAC地址没有变)。
  • 但这种类型的VLAN划分安全性不是很高,因为恶意计算机很容易伪造MAC地址

今天我们来看看以太网二层接口类型:

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_普通交换机和vlan交换机的区别_04

  • 基于接口的VLAN划分依赖于交换机的接口类型。
  • Access接口
  • Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。
  • Trunk接口
  • Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。
  • Hybrid接口
  • Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。
  • 华为设备默认的接口类型是Hybrid。

Access接口:

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_网络_05

  • 上文已经介绍了交换机如何识别数据帧属于哪个VLAN以及VLAN的划分方式,那交换机对于Untagged帧和Tagged帧又是如何处理的呢?
  • Access接口特点:
  • 仅允许VLAN ID与接口PVID相同的数据帧通过。
  • Access接口接收数据帧:
  • 当Access接口从链路上收到一个Untagged帧,交换机会在这个帧中添加上VID为PVID的Tag,然后对得到的Tagged帧进行转发操作(泛洪、转发、丢弃)。
  • 当Access接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同,则对这个Tagged帧进行转发操作;如果不同,则直接丢弃这个Tagged帧。
  • Access接口发送数据帧:
  • 当一个Tagged帧从本交换机的其他接口到达一个Access接口后,交换机会检查这个帧的Tag中的VID是否与PVID相同:
  • 如果相同,则将这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
  • 如果不同,则直接丢弃这个Tagged帧。

Trunk接口:

普通交换机和vlan交换机的区别 普通交换机vlan划分方法_服务器_06

  • 对于Trunk接口,除了要配置PVID外,还必须配置允许通过的VLAN ID列表,其中VLAN 1是默认存在的。
  • Trunk接口特点:
  • Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。
  • Trunk接口可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。
  • Trunk接口接收数据帧:
  • 当Trunk接口从链路上收到一个Untagged帧,交换机会在这个帧中添加上VID为PVID的Tag,然后查看PVID是否在允许通过的VLAN ID列表中。如果在,则对得到的Tagged帧进行转发操作;如果不在,则直接丢弃得到的Tagged帧。
  • 当Trunk接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否在允许通过的VLAN ID列表中。如果在,则对这个Tagged帧进行转发操作;如果不在,则直接丢弃这个Tagged帧。
  • Trunk接口发送数据帧:
  • 当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID不在允许通过的VLAN ID列表中,则该Tagged帧会被直接丢弃。
  • 当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID在允许通过的VLAN ID列表中,则会比较该Tag中的VID是否与接口的PVID相同:
  • 如果相同,则交换机会对这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
  • 如果不同,则交换机不会对这个Tagged帧的Tag进行剥离,而是直接将它从链路上发送出去。

本次内容到此结束,下次我们一起看看Hybrid接口,并且和大家总结一下这三个接口类型。