VLAN

VLAN

Scroll Down

一、VLAN

广播域是由一组网络设备组成的区域,区域中所有设备都能接收到域内任何一台设备发出的广播帧。广播帧的边界通常是路由器,这是因为路由器不转发广播数据帧。VLAN是广播域的一个实例,一个广播域通常是一个只包含单个IP子网的2层网络。

VLAN是一个只包含单个IP子网的二层网络

回顾二层交换数据帧转发处理流程:
1st. 查找CAM表:根据以太网帧首部的dst MAC和CAM表中的MAC对比
如果dst MAC = CAM_MAC,则查询对应的接口,学习src MAC并转发
如果dst MAC = ffff:ffff:ffff,则学习src MAC并泛洪
如果dst MAC = 未知单播帧,则执行2nd
2nd. 学习src MAC并泛洪:提取以太网帧首部的src MAC,将src MAC、来源接口、所属VLAN id记录,存入CAM中,然后将该帧复制并泛洪

广播帧是指帧的dst MAC = ffff:ffff:ffff
单播帧是指帧的dst MAC ≠ ffff:ffff:ffff
泛洪是指将数据帧复制并从所有接口发出(除需要泛洪的帧的来源接口),触发泛洪规则:

  • 接收到广播帧
  • 接收到未知单播帧

由于交换机是基于数据帧在物理端口之间交换数据的,因此可以在此基础上对其进行扩展,使其在逻辑上对端口进行分组,每个逻辑端口组叫虚拟局域网(即VLAN)。交换机可以确保来自组内某个端口的流量不会发送到其他端口组中(这属于路由功能)。VLAN可以看作是独立的LAN网段。每个VLAN也是一个独立的广播域,广播帧将发送给相同端口组内的其他所有端口,处于相同VLAN的所有端口同处在同一个广播域下。

VLAN在实际配置时也可叫做端口组

vlan1.png

如图,原本未划分VLAN的时候,四台主机属于同一个交换机的VLAN 1下(即同一个局域网)相互之间可以通信。划分VLAN后,橙色VLAN的主机内部可以通信,但是不能和绿色VLAN中的主机通信。VLAN技术将交换机这个物理二层通过端口组的方式逻辑的分成了不同的二层网络,二层网络之间不通。

VLAN的优点就是增加分段性、灵活性、安全性。VLAN的特点就是默认情况下,所有接口处于同一个广播域,同一个广播域下的所有主机都能通过二层通信,广播不能跨VLAN传递,VLAN之间无法通信(可通过路由技术实现VLAN间互通)。

VLAN是一个单独的广播域,交换机的access模式的接口只能承载单个VLAN的流量,trunk模式的接口可以承载多个VLAN的流量。

二、VLAN通信原理

交换机本地转发遵循二层交换原则,无需考虑VLAN的划分。先了解access端口处理二层数据帧时的操作流程:交换机根据帧的dst MAC和CAM表比对,知道如何转发数据帧。假设存在以下三种情景:

  • 数据帧匹配中CAM表中的一条dst MAC,但是VLAN id不同,数据帧丢弃
  • 数据帧匹配中CAM表中的一条dst MAC,且VLAN id相同,数据帧转发
  • 数据帧未匹配中CAM表中的任何一条dst MAC,执行同广播域泛洪操作

access端口处理以太网帧的时候,不存在打tag行为,也没有所谓的native VLAN的概念

vlan21.png
ethernet帧A进入SW1,根据二层交换流程,查询CAM表转发至VLAN 176的端口上,ethernet帧进入SW2,根据二层交换流程,查询CAM表转发至VLAN 999的端口,完成通信。除非是特殊网络环境,否则不允许这样配置!这就使得SW1认为连接到SW2的链路是一台主机,或者认为该端口下属于局域网VLAN 176。

三、VLAN部署方式

VLAN的部署方式一般分为本地VLAN(VLAN在同一台交换机上)和端到端VLAN(同一个VLAN跨交换机)。

1、本地VLAN

本地VLAN是指某个组织或者单位被划入到同一台交换机的某个VLAN中,不会跨交换机。

2、端到端VLAN

vlan3.png

端到端VLAN是指与多台交换机的端口相关联的某个VLAN。某个VLAN所承载的流量会在整个网络中传输。端到端VLAN特点:

  • 每个VLAN分布在网络中的各个位置
  • 用户可以被划入任意VLAN中,无需考虑物理位置
  • 一个VLAN下的所有设备的IP地址属于同一个IP子网

四、VLAN配置

1、VLAN id

VLAN的正常配置步骤包括:创建VLAN、划分VLAN。VLAN id是唯一标识VLAN的,802.1q支持VLAN id范围1-4094,802.1q默认允许所有标准和扩展VLAN通过trunk链路。部分VLAN id是用于系统使用,VLAN id根据用途分为:

  • 默认:1
  • 正常:2~1005
  • 扩展(仅用于ethernet VLAN):1025~4094
  • 保留:0、4095、1006~1024

1006~1024仅限系统使用,用户无法查看和使用
1002~1005用于令牌环网、FDDI的VLAN,用户无法删除

2、VLAN配置

1st. 创建VLAN

  • 单VLAN:vlan x
  • 批量VLAN:vlan a-b,c,x-y

2nd. VLAN命名(可选)

VLAN命名:name network

退出VLAN配置模式才能创建成功

3rd. 划分VLAN

进入接口配置模式:int g0/0/0
设置接口为访问接口:switchport mode access
设置访问接口所属VLAN:switchport access vlan x

  • 划分VLAN实际上就是在划分端口,将多个端口绑定进一个端口组,所以VLAN也可以被成为端口组
  • 如果先前没有创建相对应的VLAN,那么sw ac vl x命令执行后,会自动的创建相应的VLAN并给出提示

4th. 查看VLAN信息

查看VLAN详细信息:show vlan brief
查看某个接口VLAN配置信息:show run int g0/0/0
查看access接口信息:show run | s access