VLAN技术详细解析

——VirtualLAN、GVRPPVLAN概念的提出某单位内部网络情况如上图，其中有3个部门：工程部；销售部；财务部。现要实现各个部门之间不能互相访问，但部门内部又可以互相访问，而且这些电脑又要分别组成一个小局域网（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地，而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。（续）VLAN允许管理员创建基于功能或者部门的网络段，而不必受到地理位置的限制。一个VLAN就是一个广播域。每个VLAN都有一个VLANID，在整个局域网中可以唯一的标识该VLAN。VLAN的目的是为了分隔不同类型的网络流量。VLAN间的通信需要通过三层路由引擎或路由软件模块来实现。的好处共用物理的交换机设备虚拟工作组，管理上的便利性实现端口逻辑上的隔离，增强网络安全性限制广播报文在整个网络中泛洪，控制广播风暴减少网络移动和改变的代价，节省成本的作用每一个逻辑上的VLAN相当于一个物理上的一个交换机或者网桥VLAN可以跨越多个交换机Trunk可以承载多个VLAN信息SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLANTrunkFastEthernet的种类基于端口的VLAN基于MAC的VLAN基于IP的VLAN基于协议的VLAN的VLAN表优点:配置简单缺点:当连接的网络设备改变时需要对端口进行重新配置优点:随意改变网络设备的位置缺点:交换机管理能力要求高Host-1Host-2Host-3Host-4Host-5Host-6Host-7Host-8BDCOMSwitchHost-9VLAN2VLAN4VLAN3Host-10BDCOMSwitchSniffer优点:容易管理缺点:需要检查每个ip包的三层报头优点:基于应用的，可随意改变网络设备的位置缺点:需要查看数据包的三层报文头、PVLANPortprotectGMRP、GVRPPVLAN帧格式IEEE802.1Q:是国际标准协议，被几乎所有的网络设备生产商所共同支持；上层数据包DestinationAddressSourceAddressSFDPreamble802.1QTagTypeTAGControlInformationMACLength/TypeFCS7octets1octet6octets6octets2octets2octets2octets4octets42-1500octets以太网帧长度范围:64-1518bytesVLAN帧长度范围:64-1522bytes前置位帧开始标志目的地址源地址81-00TCI优先级(3bits)VLANID(12bits)CFI(1bit)标签头TagProtocolIdentifier（TPID）801.1Q标签帧标识，值为0x8100TagControlInformation（TCI）标签控制信息，包含：VLANIdentified（VLANID）CanonicalFormatIndicator（CFI）Priority优先级(3bits)VLANID(12bits)CFI(1bit)标签头VLANIdentified（VLANID）：这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己所属的VLANCanonicalFormatIndicator（CFI）：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式Priority：这3位指明帧的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送优先级高的数据包:2,Name:VLAN0002Mode:Static,TotalPorts:8InterfaceAtttributesF0/4Trunk,TaggedF0/5Trunk,TaggedF0/6AccessF0/7AccessF0/8AccessF0/9AccessF0/10AccessF0/11AccessF0/12AccessF0/13AccessF0/14AccessF0/15AccessF0/16AccessSwitch_config#showvlanid1VLANid:1,Name:DefaultMode:Static,TotalPorts:18InterfaceAtttributesF0/1AccessF0/2AccessF0/3AccessF0/4Trunk,unTagged,PVIDF0/5Trunk,unTagged,PVIDF0/17AccessF0/18AccessF0/19AccessF0/20AccessF0/21AccessF0/22AccessF0/23AccessF0/24Access名词解释access接口和trunk口Tagged帧和untagged帧交换机端口处理报文的流程(续)是否有VLAN信息打上端口PVIDN转发Istrunkallow?YYN丢弃Trunk口收报文Trunk口发报文端口的PVID和将要发送报文的VLAN信息是否相等Y剥离VLAN信息转发NTrunk口一般用于VLAN交换机之间的级联数据是否携带VLAN信息加上端口缺省PVID转发NYuntagIstrunkallow?Y丢弃N加上端口缺省PVID端口接受数据端口发送数据端口缺省PVID是否等于发送的数据包所含的PVID转发去掉VLAN标记YNtagged一般用于VLAN交换机之间的级联untagged则用于连接PCVLANtrunk：在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。1234567812345678VLAN2VLAN3服务器CDNMHGSwitchASwitchB、GVRPPVLAN删除VLAN该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#novlan2novlanvlan_id分配交换机端口到VLAN中以下命令在端口模式Switch_config_fsoltnum/portnum#Switch_config_fsoltnum/portnum#Switch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportmodeaccessSwitch_config_f0/2#switchportpvid2Switchportmode[trunk|access]Switchportpvidvlan_id的方式来隔离交换机中的广播，并且提高局域网的安全性需求：1.PC1所在的部门是sale，PC2所在的部门是Engineering2.PC1和PC2在不同的广播域3.PC1和PC2不能互相访问查看VLAN信息Switch#showvlanVLANStatusNamePorts----------