2 VLAN基本原理

VLAN基本原理2020年2月7日学习内容Vlan工作原理Vlan概述VLAN的划分方式VLAN帧格式VLAN链路类型传统的局域网使用的是HUB，所有的端口处于同一个冲突域，任何一台主机发出的报文都会被同一冲突域中的所有其它机器接收。CSMA/CD冲突检测机制仅降低冲突的可能，不能杜绝冲突的产生。二层交换机的每个端口可以看成是一根单独的总线=冲突域缩小到每个端口+网络中所有端口处于同一个广播域(会泛洪未知目的MAC帧)。VLAN（VitualLocalAreaNetwork）是一种把同一物理网络逻辑划分成多个局域网的技术。每个VLAN都有一个VLAN标识（VID），与物理上形成的LAN有相同的属性。同一个VLAN中的所有广播和单播流量都被限制在该VLAN中，不会转发到其它VLAN中。当不同VLAN的设备要进行通信时，必须经过三层的路由转发。VLAN概述VLAN分类VLAN1VLAN2VLAN3主机AMAC主机BMAC主机CMAC主机DMACVLAN信息表VLAN1VLAN2VLAN31．基于MAC地址的VLAN：根据主机的MAC地址来划分VLAN，即对所有主机都根据它的MAC地址划分主机属于哪个VLAN。VLAN分类VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3端口1端口2端口4端口3VLAN信息表端口1端口2端口3端口42.基于端口的VLAN根据以太网交换机的端口来划分VLAN。这种划分方法的优点是定义VLAN成员时非常简单，只要将交换设备的各个端口分配给不同的VLAN即可。VLAN分类VLAN1VLAN2VLAN3EthernetⅡSNAPLLCVLAN信息表VLAN1VLAN2VLAN33.基于协议的VLAN基于协议的VLAN是根据数据包的网络层封装协议来划分的，相同标签的数据包处于同一个协议VLAN。在端口接收帧时，它所属的VLAN由该数据包中的协议类型决定。VLAN分类VLAN1VLAN2VLAN310.1.1.*10.2.1.*10.3.1.*VLAN信息表VLAN1VLAN2VLAN34.基于子网的VLAN基于子网的VLAN应用于二层VLAN网络环境，实现数据帧转发的灵活配置。它根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN，这样可以将同一个IP子网中的用户划分在一个VLAN内。•区段化•灵活性•安全性3rdfloor2ndfloor1stfloor销售人事工程一个VLAN=一个广播域=一个逻辑子网使用VLAN来分割广播域VLAN10VLAN20VLAN30数据CRC类型TAGNewCRC目的MAC源MACTPID=0x8100PriorityCFIVLANIDTCI2byte802.3标准以太网帧带有802.1Q标记的帧2byte目的MAC源MAC数据类型VLAN帧格式TAGNewCRC目的MAC源MAC数据类型TAGVLAN嵌套使用，QinQ的帧802.1Q标签头包含了2个字节的TPID和2个字节的TCI：TPID：TagProtocolIdentifier协议标志TPID值为0x8100，表明这是一个加了VLAN标签的报文TCI：TagControlInformation控制信息Priority：3bit,帧的优先级,共有8种优先级，0－7CanonicalFormatIndicator(CFI)：CFI值为0说明是规范格式如以太网，1为非规范格式如令牌环VLANIdentified(VLANID):12bit,指明VLAN的ID，范围0~4095IEEE802.1Q(2)不带标签的报文untaggedframe带标签的报文taggedframeMAC数据MAC数据Vlan标识在一个交换网络环境中，以太网的帧有两种格式：报文类型VLAN间路由隔离网络不是建网目的，VLAN隔离只是优化网络VLAN间通信方法：在VLAN之间配置路由器，VLAN内部的流量仍然通过原来的VLAN内部的二层网络进行，从一个VLAN到另外一个VLAN的通信流量，通过路由在三层上进行转发，转发到目的网络后，再通过二层交换网络把报文最终发送给目的主机。常见VLAN间路由多层交换机实现VLAN间路由三层交换机实现VLAN之间路由是通过每一个VLAN对应一个IP网段实现的。在二层上，VLAN之间是隔离的。这一点跟二层交换机中的交换引擎的功能是一模一样的。在VLAN指定路由接口的操作实际上就是为VLAN指定一个IP地址、子网掩码和MAC地址，MAC地址是由设备制造过程中分配的，在配置过程中由交换机自动配置。多层交换机VLAN间路由配置配置步骤：第一步：配置相应的vlanvlan4093exit第二步：将VLAN与接口绑定interfacegei_1/1mcc-vlanid4093switchportmodetrunkswitchporttrunkvlan4093switchporttrunknativevlan4093第三步：将VLAN与IP绑定interfacevlan3001ipaddress192.9.255.250255.255.255.240exit学习内容交换机工作原理Vlan工作原理Vlan概述VLAN的划分方式VLAN帧格式VLAN链路类型VLAN的链路类型TrunkVLAN1VLAN2VLAN3AccessVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3AccessVLAN有三种链路类型：AccessTrunkHybrid（略）Access端口一般用于连接计算机一个Access端口只属于一个VLAN，即一个PVIDAccess端口可以收发untag和tagged报文缺省所有端口都包含在vlan1中，且都是AccessportVLAN1VLAN2VLAN3AccessAccessTrunk端口用于交换机之间、交换机和路由器之间的连接一个Trunk端口除了可以配置一个PVID之外，还可以配置多个TrunkVLANVLAN1VLAN2VLAN3TrunkTrunkVLAN2VLAN3VLAN3VLAN2包含Tag域的以太网帧包含Tag域的以太网帧不含Tag域的以太网帧不含Tag域的以太网帧VLAN帧的转发过程端口的ID(PVID)Access端口只能属于一个VLAN，需要设置pvid，缺省情况下为pvid=1Trunk端口可以属于多个VLAN，所以需要设置nativevlan(即pvid)和trunkvlan，缺省情况下为nativevlan=1注：缺省情况下所有端口都属于VLAN1，VLAN1为缺省VLAN，既不能创建也不能删除1.端口为Access端口的转发原则1.1Access端口的入方向处理：a.该帧为untag时，打上该端口的accessvlan，进入该端口b.该帧所带vlan与端口的accessvlan一样，进入该端口c.该帧所带vlan与端口的accessvlan不一样，不进入该端口1.2Access端口的出方向处理：当且仅当帧所带vlan与端口的accessvlan一致时，才从该端口出去，并且，剥离该vlantag802.1Q的转发原则(1)2.端口为Trunk端口的转发原则2.1Trunk端口的入方向处理：a.该帧为untag时，打上该端口的nativevlan，进入该端口b.该帧所带vlan与trunkvlanxx或者trunknativevlanxx一致，则进入该端口；否则，丢弃2.2Trunk端口的出方向处理：a.报文所带vlan与trunkvlanxx相同时，带着该vlantag，发送报文出端口b.报文所带vlan只与trunk端口的nativevlanxx相同时，剥离该vlantag，发送报文出端口c.报文所带vlan与trunkvlanxx和nativevlanxx都不相同，不从该端口出去802.1Q的转发原则(1)问：在配置6300代替Qx的Ge口，需要配成：switchporttrunkvlanxxxxswitchporttrunknativevlanxxxx按现在的说法，出口的报文是不剥tag的，那电脑的网卡能接收tag报文吗？按照这样配置的话经常出现有些电脑可以网管，有些则不行，难道是有些电脑的网卡能够接收tag帧，有些则不行吗？答：部分PC是千兆网卡，当工作在千兆模式时会自动剥离掉一层tag，这样千兆网卡的能识别。百兆网卡不具备该功能。工程应用遇到了另一种情况，现场的6300只配置了8端口增强型千兆光口板，没有配置电接口板。通过交换机把6300的一个光口转成电口做监控，端口模式选择access模式，正常使用。不过要使用nonegotiationauto关掉自动协商（否则连接不上），使用默认的1000M.参考资料1.C0501-docVLAN专题.doc2.ZXR10_Ⅱ_03_200904VLAN原理与配置.doc