前言
•以太網是一種基于CSMA/CD的數據網絡通信技術,其特征是共享通信介質。當主機數目較多時會導致安全隱患、廣播泛濫、性能顯著下降甚至造成網絡不可用。
•在這種情況下出現了VLAN (Virtual Local Area Network)技術解決以上問題。
•在本課程中,將介紹VLAN技術的相關概念,介紹不同二層接口的工作原理,并且會介紹VLAN的應用及其數據轉發原理和相關配置。
傳統以太網的問題
•廣播域:
?如圖是一個典型的交換網絡,網絡中只有終端計算機和交換機。在這樣的網絡中,如果某一臺計算機發送了一個廣播幀,由于交換機對廣播幀執行泛洪操作,結果所有其他的計算機都會收到這個廣播幀。
?把廣播幀所能到達的整個訪問范圍稱為二層廣播域,簡稱廣播域 (Broadcast Domain)。顯然,一個交換網絡其實就是一個廣播域。
•網絡安全問題和垃圾流量問題:
?如圖:如果PC1向PC2發送了一個單播幀。此時SW1、SW3、SW7的mac地址表中存在關于PC2的MAC地址表項,但SW2和SW5不存在關于PC2的MAC地址表項。那么,SW1和SW3將對該單播幀執行點對點的轉發操作,SW7將對該單播幀執行丟棄操作,SW2和SW5將對該單播幀執行泛洪操作。最后的結果是,PC2雖然收到了該單播幀,但網絡中的很多其他非目的主機,同樣收到了不該接收的數據幀。
•顯然,廣播域越大,網絡安全問題和垃圾流量問題就越嚴重。
•在典型交換網絡中,當某臺主機發送一個廣播幀或未知單播幀時,該數據幀會被泛洪,甚至傳遞到整個廣播域。
•廣播域越大,產生的網絡安全問題、垃圾流量問題,就越嚴重。
虛擬局域網 (VLAN, Virtual LAN)
•為了解決廣播域帶來的問題,人們引入了VLAN (Virtual Local Area Network),即虛擬局域網技術:
?通過在交換機上部署VLAN,可以將一個規模較大的廣播域在邏輯上劃分成若干個不同的、規模較小的廣播域,由此可以有效地提升網絡的安全性,同時減少垃圾流量,節約網絡資源。
•VLAN的特點:
?一個VLAN就是一個廣播域,所以在同一個VLAN內部,計算機可以直接進行二層通信;而不同VLAN內的計算機,無法直接進行二層通信,只能進行三層通信來傳遞信息,即廣播報文被限制在一個VLAN內。
?VLAN的劃分不受地域的限制。
•VLAN的好處:
?靈活構建虛擬工作組:用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必局限于某一固定的物理范圍,網絡構建和維護更方便靈活。
?限制廣播域:廣播域被限制在一個VLAN內,節省了帶寬,提高了網絡處理能力。
?增強局域網的安全性:不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信。
?提高了網絡的健壯性:故障被限制在一個VLAN內,本VLAN內的故障不會影響其他VLAN的正常工作。
•注:二層,即數據鏈路層。
虛擬局域網VLAN可以隔離廣播域。
特點:
不受地域限制。
同一VLAN內的設備才能直接進行二層通信。
如何實現VLAN
•Switch1與Switch2同屬一個企業,該企業統一規劃了網絡中的VLAN。其中VLAN10用于A部門,VLAN20用于B部門。A、B部門的員工在Switch1和Switch2上都有接入。
•PC1發出的數據經過Switch1和Switch2之間的鏈路到達了Switch2。如果不加處理,后者無法判斷該數據所屬的VLAN,也不知道應該將這個數據輸出到本地哪個VLAN中。
VLAN標簽 (VLAN Tag)
•交換機如何識別接收到的數據幀屬于哪個VLAN?
•如圖所示,SW1識別出某個幀是屬于哪個VLAN后,會在這個幀的特定位置上添加一個標簽。這個標簽明確地標明了這個幀是屬于哪個VLAN的。其他交換機(如SW2)收到這個帶標簽的數據幀后,就能輕而易舉地直接根據標簽信息識別出這個幀屬于哪個VLAN。
•IEEE 802.1Q定義了這種帶標簽的數據幀的格式。滿足這種格式的數據幀稱為IEEE 802.1Q數據幀,也稱VLAN數據幀。
VLAN標簽:
•要使交換機能夠分辨不同VLAN的報文,需要在報文中添加標識VLAN信息的字段。
•IEEE 802.1Q協議規定,在以太網數據幀中加入4個字節的VLAN標簽,又稱VLAN Tag,簡稱Tag。
VLAN數據幀
•在一個VLAN交換網絡中,以太網幀主要有以下兩種形式:
?有標記幀(Tagged幀):IEEE 802.1Q協議規定,在以太網數據幀的目的MAC地址和源MAC地址字段之后、協議類型字段之前加入4個字節的VLAN標簽(又稱VLAN Tag,簡稱Tag)的數據幀。
?無標記幀(Untagged幀):原始的、未加入4字節VLAN標簽的數據幀。
•VLAN數據幀中的主要字段:
?TPID:2字節,Tag Protocol Identifier(標簽協議標識符),表示數據幀類型。
?取值為0x8100時表示IEEE 802.1Q的VLAN數據幀。如果不支持802.1Q的設備收到這樣的幀,會將其丟棄。
?各設備廠商可以自定義該字段的值。當鄰居設備將TPID值配置為非0x8100時,為了能夠識別這樣的報文,實現互通,必須在本設備上修改TPID值,確保和鄰居設備的TPID值配置一致。
?PRI:3 bit,Priority,表示數據幀的優先級,用于QoS。
?取值范圍為0~7,值越大優先級越高。當網絡阻塞時,交換機優先發送優先級高的數據幀。
VLAN的實現
•Switch1和Switch2之間的鏈路要承載多個VLAN的數據,需要一種基于VLAN的數據“標記”手段,以便對不同VLAN的數據幀進行區分。
•IEEE 802.1Q標準(也被稱為Dot1Q)定義了該“標記”方法。該標準對傳統的以太網數據幀進行修改,在幀頭中插入802.1Q Tag,而在該Tag中,便可以寫入VLAN信息。
VLAN的劃分方式
整個網絡是如何劃分VLAN的?
|
VLAN劃分方式 |
VLAN 10 |
VLAN 20 |
|
基于接口 |
GE0/0/1,GE0/0/3 |
GE0/0/2,GE0/0/4 |
|
基于MAC地址 |
MAC 1,MAC 3 |
MAC 2,MAC 4 |
|
基于IP子網劃分 |
10.0.1.* |
10.0.2.* |
|
基于協議劃分 |
IP |
IPv6 |
|
基于策略 |
10.0.1.* + GE0/0/1+ MAC 1 |
10.0.2.* + GE0/0/2 + MAC 2 |
基于接口的VLAN劃分
•劃分原則:
?將VLAN ID配置到交換機的物理接口上,從某一個物理接口進入交換機的、由終端計算機發送的Untagged數據幀都被劃分到該接口的VLAN ID所表明的那個VLAN。
•特點:
?這種劃分原則簡單而直觀,實現容易,是目前實際的網絡應用中最為廣泛的劃分VLAN的方式。
?當計算機接入交換機的端口發生了變化時,該計算機發送的幀的VLAN歸屬可能會發生變化。
•缺省VLAN,PVID (Port VLAN ID)
?每個交換機的接口都應該配置一個PVID,到達這個端口的Untagged幀將一律被交換機劃分到PVID所指代的VLAN。
?默認情況下,PVID的值為1。
基于接口的VLAN劃分
•原理
?根據交換機的接口來劃分VLAN。
?網絡管理員預先給交換機的每個接口配置不同的PVID,將該接口劃入PVID對應的VLAN。
?當一個數據幀進入交換機時,如果沒有帶VLAN標簽,該數據幀就會被打上接口指定PVID的Tag,然后數據幀將在指定PVID中傳輸。
•缺省VLAN,PVID
?Port VLAN ID,是接口上的缺省VLAN。
?取值:1~4094。
基于MAC地址的VLAN劃分
SW1的MAC地址與VLAN表
|
MAC地址 |
VLAN ID |
|
MAC 1 |
10 |
|
MAC 2 |
10 |
|
…… |
…… |
•劃分原則:
?交換機內部建立并維護了一個MAC地址與VLAN ID的對應表。當交換機接收到計算機發送的Untagged幀時,交換機將分析幀中的源MAC地址,然后查詢MAC地址與VLAN ID的對應表,并根據對應關系把這個幀劃分到相應的VLAN中。
•特點:
?這種劃分實現稍微復雜,但靈活性得到了提高。
?當計算機接入交換機的端口發生了變化時,該計算機發送的幀的VLAN歸屬不會發生變化(因為計算機的MAC地址沒有變)。
?但這種類型的VLAN劃分安全性不是很高,因為惡意計算機很容易偽造MAC地址。
基于MAC地址的VLAN劃分
•原理
?根據數據幀的源MAC地址來劃分VLAN。
?網絡管理員預先配置MAC地址和VLAN ID映射關系表。
?當交換機收到的是Untagged幀時,就依據該表給數據幀添加指定VLAN的Tag,然后數據幀將在指定VLAN中傳輸。
•映射表
?記錄了MAC地址和VLAN ID的關聯情況。
以太網二層接口類型
接口類型
•Access接口
交換機上常用來連接用戶PC、服務器等終端設備的接口。Access接口所連接的這些設備的網卡往往只收發無標記幀。Access接口只能加入一個VLAN。
•Trunk接口
Trunk接口允許多個VLAN的數據幀通過,這些數據幀通過802.1Q Tag實現區分。Trunk接口常用于交換機之間的互聯,也用于連接路由器、防火墻等設備的子接口。
•Hybrid接口
Hybrid接口與Trunk接口類似,也允許多個VLAN的數據幀通過,這些數據幀通過802.1Q Tag實現區分。用戶可以靈活指定Hybrid接口在發送某個(或某些)VLAN的數據幀時是否攜帶Tag。
Access接口
•上文已經介紹了交換機如何識別數據幀屬于哪個VLAN以及VLAN的劃分方式,那交換機對于Untagged幀和Tagged幀又是如何處理的呢?
•Access接口特點:
?僅允許VLAN ID與接口PVID相同的數據幀通過。
•Access接口接收數據幀:
?當Access接口從鏈路上收到一個Untagged幀,交換機會在這個幀中添加上VID為PVID的Tag,然后對得到的Tagged幀進行轉發操作(泛洪、轉發、丟棄)。
?當Access接口從鏈路上收到一個Tagged幀,交換機會檢查這個幀的Tag中的VID是否與PVID相同。如果相同,則對這個Tagged幀進行轉發操作;如果不同,則直接丟棄這個Tagged幀。
•Access接口發送數據幀:
?當一個Tagged幀從本交換機的其他接口到達一個Access接口后,交換機會檢查這個幀的Tag中的VID是否與PVID相同:
?如果相同,則將這個Tagged幀的Tag進行剝離,然后將得到的Untagged幀從鏈路上發送出去;
?如果不同,則直接丟棄這個Tagged幀。
Trunk接口
•對于Trunk接口,除了要配置PVID外,還必須配置允許通過的VLAN ID列表,其中VLAN 1是默認存在的。
•Trunk接口特點:
?Trunk接口僅允許VLAN ID在允許通過列表中的數據幀通過。
?Trunk接口可以允許多個VLAN的幀帶Tag通過,但只允許一個VLAN的幀從該類接口上發出時不帶Tag(即剝除Tag)。
•Trunk接口接收數據幀:
?當Trunk接口從鏈路上收到一個Untagged幀,交換機會在這個幀中添加上VID為PVID的Tag,然后查看PVID是否在允許通過的VLAN ID列表中。如果在,則對得到的Tagged幀進行轉發操作;如果不在,則直接丟棄得到的Tagged幀。
?當Trunk接口從鏈路上收到一個Tagged幀,交換機會檢查這個幀的Tag中的VID是否在允許通過的VLAN ID列表中。如果在,則對這個Tagged幀進行轉發操作;如果不在,則直接丟棄這個Tagged幀。
•Trunk接口發送數據幀:
?當一個Tagged幀從本交換機的其他接口到達一個Trunk接口后,如果這個幀的Tag中的VID不在允許通過的VLAN ID列表中,則該Tagged幀會被直接丟棄。
?當一個Tagged幀從本交換機的其他接口到達一個Trunk接口后,如果這個幀的Tag中的VID在允許通過的VLAN ID列表中,則會比較該Tag中的VID是否與接口的PVID相同:
?如果相同,則交換機會對這個Tagged幀的Tag進行剝離,然后將得到的Untagged幀從鏈路上發送出去;
?如果不同,則交換機不會對這個Tagged幀的Tag進行剝離,而是直接將它從鏈路上發送出去。
Access接口與Trunk接口舉例
•請描述主機之間數據訪問的全流程。
SW1與SW2的Trunk接口
|
允許通過列表 |
|
|
VLAN ID |
1 |
|
10 |
|
|
20 |
|
•在本例中,SW1和SW2連接主機的接口為Access接口,PVID如圖所示。SW1和SW2互連的接口為Trunk接口,PVID都為1,此Trunk接口的允許通過的VLAN ID列表也如圖所示。
•請描述主機之間數據互訪的全流程。
Hybrid接口
•對于Hybrid接口,除了要配置PVID外,還存在兩個允許通過的VLAN ID列表,一個是Untagged VLAN ID列表,另一個是Tagged VLAN ID列表,其中VLAN 1默認在Untagged VLAN列表中。這兩個允許通過列表中的所有VLAN的幀都是允許通過這個Hybrid接口的。
•Hybrid接口特點:
?Hybrid接口僅允許VLAN ID在允許通過列表中的數據幀通過。
?Hybrid接口可以允許多個VLAN的幀帶Tag通過,且允許從該類接口發出的幀根據需要配置某些VLAN的幀帶Tag、某些VLAN的幀不帶Tag。
?與Trunk最主要的區別就是,能夠支持多個VLAN的數據幀,不帶標簽通過。
•Hybrid接口接收數據幀:
?當Hybrid接口從鏈路上收到一個Untagged幀,交換機會在這個幀中添加上VID為PVID的Tag,然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在,則對得到的Tagged幀進行轉發操作;如果不在,則直接丟棄得到的Tagged幀。
?當Hybrid接口從鏈路上收到一個Tagged幀,交換機會檢查這個幀的Tag中的VID是否在Untagged或Tagged VLAN ID列表中。如果在,則對這個Tagged幀進行轉發操作;如果不在,則直接丟棄這個Tagged幀。
•Hybrid接口發送數據幀:
?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后,如果這個幀的Tag中的VID既不在Untagged VLAN ID列表中,也不在Tagged VLAN ID列表中,則該Tagged幀會被直接丟棄。
?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后,如果這個幀的Tag中的VID在Untagged VLAN ID列表中,則交換機會對這個Tagged幀的Tag進行剝離,然后將得到的Untagged幀從鏈路上發送出去。
?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后,如果這個幀的Tag中的VID在Tagged VLAN ID列表中,則交換機不會對這個Tagged幀的Tag進行剝離,而是直接將它從鏈路上發送出去。
Hybrid接口舉例
•請描述主機訪問服務器的全流程。
•在本例中,SW1和SW2連接主機的接口以及互連的接口均為Hybrid接口,PVID如圖所示,Hybrid接口的允許通過的VLAN ID列表也如圖所示。
•請描述兩個主機互訪服務器的全流程。
交換機1的允許通過列表
交換機2的允許通過列表
小結
