HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Internal
www.huawei.com
DP200007 VLAN技术原理
ISSUE 1.0
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的产生为传统的LAN网络注入了新的活力,引起了LAN应用的一场变革。本课程介绍了在交换机中怎样实现VLAN,详细描述了VLAN数据帧在交换机与交换机之间传递过程中的变化情况,VLAN的动态配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
学习完此课程,您将会:
描述VLAN的功能与定义
描述VLAN的划分方法
描述VLAN数据帧的转发流程
描述VLAN间路由的原理与实现
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置与实现
第3章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
1.1 VLAN的产生原因
1.2 VLAN的划分方法
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的产生原因-广播风暴
广 播 域
……
广播
传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的所有其它机器接收到。后来,组网时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。假如一台主机发出广播报文,设备仍然可以接收到该广播信息,我们通常把广播报文所能传输的范围称之为广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。
由于网桥二层网络工作原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个小的广播域。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
通过路由器将网络分段
广播域
广播域
……
广播
过去往往通过路由器对LAN进行分段。图中用路由器替换上一图中的中心节点交换机,使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。作为替代的LAN分段方法,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
通过VLAN划分广播域
广播域
广播域
……
广播
Port 1 : VLAN-1
Port 2 : VLAN-2
虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中都使用一个中心交换机,但是左右各属于不同的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。
虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的优点
隔离广播域,抑制广播报文.
减少移动和改变的代价
创建虚拟工作组,超越传统网络的工作方式
增强通讯的安全性
增强网络的健壮性
VLAN与传统的LAN相比,具有以下优势:
限制广播包,提高带宽的利用率:
有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽;
减少移动和改变的代价:
即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点;
创建虚拟工作组:
使用VLAN的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还需要一些其他方面的支持。用户不受到物理设备的限制,VLAN用户可以处于网络中的任何地方,VLAN对用户的应用不产生影响;
增强通讯的安全性:
一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;
增强网络的健壮性:
当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
1.1 VLAN的产生原因
1.2 VLAN的划分方法
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的划分方法—基于端口的VLAN
主机A
主机B
主机C
主机D
VLAN表
Port 1
Port 2
Port 7
Port 10
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C。当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定。
图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C连接在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。
如果有多个交换机的话,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的划分方法— 基于mac地址的VLAN
VLAN表
主机A
主机B
主机C
主机D
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对所有主机都根据它的MAC地址配置主机属于哪个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。
这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的划分方法—基于协议的VLAN
VLAN表
主机A
主机B
主机C
主机D
这种情况是根据二层数据帧中协议字段进行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候,可以采用这种VLAN的划分方法。
这种类型的VLAN在实际应用中用的很少。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小结
1.VLAN的优点?
答:隔离广播域,抑制广播报文.
减少移动和改变的代价
创建虚拟工作组,超越传统网络的工作方式
增强通讯的安全性
增强网络的健壮性
2.VLAN的划分方法?
答:VLAN的划分方法主要有基于端口,基于MAC地址,基于三层协议以及基于Subnet的划分方法。而目前最为常用的就是基于端口的方法。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置与实现
第3章 GVRP原理与应用
第4章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置与实现
2.1 VLAN链路类型
2.2 VLAN标签
2.3 VLAN数据转发
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的可跨越性
VLAN
3
VLAN
5
VLAN
3
VLAN
5
SWA
SWB
VLAN信息可以跨越多台交换机被转递到相关的交换机中。
如上图的所有VLAN-3的数据都能通过中间的过渡交换机实现通信,同样VLAN-5的数据也可以相互转递。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的链路类型
接入链路
Access-Link
干道链路
Trunk-Link
SWA
SWB
接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。
接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。
干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互连,或者用于交换机和路由器之间的连接。干道链路的英文叫做"trunk link"。
数据帧在干道链路上传输的时候,交换机必须用一种方法来识别数据帧是属于哪个VLAN的。IEEE 802.1Q定义了VLAN帧格式,所有在干道链路上传输的帧都是打上标记的帧(tagged frame)。通过这些标记,交换机就可以确定哪些帧分别属于哪个VLAN。
和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载VLAN数据的,因此干道链路是不属于任何一个具体的VLAN的。通过配置,干道链路可以承载所有的VLAN数据,也可以配置为只能传输指定的VLAN的数据。
干道链路虽然不属于任何一个具体的VLAN,但是可以给干道链路配置一个pvid(port VLAN ID)。当干道链路不论因为什么原因,trunk链路上出现了没有带标记的帧,交换机就给这个帧增加带有pvid的VLAN标记,然后进行处理。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
以太网交换机的端口分类
一般用于接用户计算机的端口,access端口只能属于1个VLAN。
一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。
可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。
Hybrid端口与Trunk端口的不同之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在同一个交换机上hybrid端口和trunk端口不能并存。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
端口的缺省ID(PVID)
端口缺省的模式为Access端口,缺省所有端口都属于VLAN 1,VLAN 1为缺省VLAN,既不能创建也不能删除。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Access-Link配置
Port-0/1 : VLAN-3
Port-0/2 : VLAN-5
\配置端口类型
[Switch-Ethernet0/1]port link-type access
[Switch-Ethernet0/2]port link-type access
\创建VLAN,并向VLAN中添加端口
[Switch]vlan 3
[Switch-vlan1]port ethernet 0/1
[Switch]vlan 5
[Switch-vlan2]port ethernet 0/2
\另外的一种向VLAN中添加端口的方法
[Switch-Ethernet0/1]port access vlan 3
[Switch-Ethernet0/2]port access vlan 5
SWA
所有以802.1q为标准的交换机出厂时所有端口都是Access端口并属于VLAN-1,因此也会把VLAN-1称之为默认VLAN。
这里有一个新术语叫PVID,全称叫Port VLAN ID,表示端口所属的VLAN,在Access端口里PVID的数值就代表该端口所属的VLAN,如:PVID=100,即该端口被划分到VLAN100。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Trunk-Link配置
\配置端口类型
[Switch-Ethernet0/3]port link-type trunk
\配置Trunk-Link所允许传递的VLAN
[Switch-Ethernet0/3]port trunk permit vlan all
\配置Trunk-Link端口PVID
[Switch-Ethernet0/3]port trunk pvid vlan 1
SWA
SWB
Trunk端口负责在交换机与交换机之间传递多个VLAN的数据帧,具体允许传递哪些VLAN的数据帧可以通过命令"port trunk permit vlan [VID]"来实现。
这里有条命令"port trunk pvid vlan [VID]"具体作用是为改变Trunk端口的PVID值,Trunk端口PVID值的意义与Access端口PVID的意义有点不一样,在Access里表示端口所属的VLAN,但在Trunk里却表示默认VLAN的值。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置与实现
2.1 VLAN链路类型
2.2 VLAN标签
2.3 VLAN数据转发
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
IEEE802.1Q概述
VLAN架构
VLAN提供的服务
VLAN涉及的协议和算法
IEEE 802.1Q
1999年,IEEE颁布了用以标准化VLAN实现方案的802.1Q协议标准草案.
IEEE802.1Q是虚拟桥接局域网的正式标准,定义了VLAN帧格式,这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通。
IEEE 802.1Q定义了以下内容:
VLAN的架构;
VLAN中所提供的服务;
VLAN实施中涉及的协议和算法
IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验、回路检测,对业务质量(QOS)参数的支持以及对网管系统的支持等方面的标准。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的帧格式
标准以太网帧
带有IEEE802.1Q标记的以太网帧
这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
TPID(Tag Protocol Identifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
TCI是包含的是帧的控制信息,它包含了下面的一些元素:
Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q标准使用这三位信息。
Canonical Format Indicator( CFI ):CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,从0到4095,共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。
在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有标记的帧(tagged frame)。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第2章 VLAN的配置与实现
2.1 VLAN链路类型
2.2 VLAN标签
2.3 VLAN数据转发
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的转发原则—Access-Link
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,交换机不作处理,直接丢弃。
剥离802.1Q tag header,发出的帧为普通以太网帧
1.主机只能处理标准以太帧
2.交换机内部的数据帧都是带标签
当Access端口收到帧时
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,交换机不作处理,直接丢弃。
当Access端口发送帧时
剥离802.1Q tag header,发出的帧为普通以太网帧
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的转发原则—Trunk-Link
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。
当该帧的VLAN ID与端口的PVID不同时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header
当Trunk端口收到帧时
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。
当Trunk端口发送帧时
当该帧的VLAN ID与端口的PVID不同时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
802.1Q的转发原则—Hybird-Link
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。
判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些 VLAN是untag,哪些VLAN是tag,如果是untag则剥离802.1Q tag header 再发送,如果是tag则直接透传。
Hybird端口收到帧时的动作与Trunk端口相同;
Hybird端口发出帧时首先判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些VLAN是untag,哪些VLAN是tag,如果是untag则剥离802.1Q tag header 再发送,如果是tag则直接透传。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
帧在网络通信中的变化
VLAN-2
SWA
SWB
VLAN 2
图中表示一个局域网环境,网络中有两台交换机,并且配置了两个VLAN。主机和交换机之间的链路是接入链路,交换机之间通过干道链路互相连接。
对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是untagged的报文;交换机接收到这样的报文之后,根据配置规则(如端口信息)判断出报文所属VLAN进行处理。如果报文需要通过另外一台交换机发送,则该报文必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理报文的VLAN信息,在干道链路上发送的报文都带上了VLAN标记。
当交换机最终确定报文发送端口后,将报文发送给主机之前,将VLAN的标记从以太网帧中删除,这样主机接收到的报文都是不带VLAN的标记的以太网帧。
所以,一般情况下,干道链路上传送的都是Tagged Frame,接入链路上传送的都是Untagged Frame。这样做的最终结果是:网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小结
1.VLAN的端口分类有多少种?
答:当前VRP支持三种,分别为:Access-Link、Trunk-Link以及Hybrid-Link
2.VLAN数据帧与标准以太网数据帧有什么区别?
答:VLAN数据帧我们也称为802.1q数据帧,这种数据帧与标准的以太网数据帧最主要的区别在于多出4个字节的802.1q标签,以标识VLAN的信息。
3.当Trunk端口收到一个没有打标签的数据帧时会怎么办?
答:如果收到不包含802.1q标签的数据帧,将打上802.1q标签,并且VID为Trunk的PVID。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第1章 VLAN概述
第2章 VLAN的配置与实现
第3章 VLAN路由
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第3章 VLAN路由
3.1 VLAN 路由原理
3.2 VLAN路由配置与实现
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN的缺点
Port 1
Port 2
VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的实现——每个VLAN一个物理连接
VLAN 100
VLAN 300
Ethernet2
Ethernet0
VLAN 200
Ethernet1
解决VLAN间互通的第一种方法是:为每个VLAN分配一个单独的路由器接口,VLAN间的数据通信通过路由器进行三层路由,这样我们就可以实现VLAN之间相互通信。但是,随着每个交换机上VLAN数量的增加,这样做必然需要大量的路由器接口。出于成本的考虑,一般不可能用这种方案来解决VLAN间路由选路问题。此外,某些VLAN之间可能不需要经常进行通信,这样导致路由器的接口没被充分利用。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的实现——使用VLAN Trunking
VLAN 100
VLAN 300
VLAN 200
Trunk
Ethernet0.300
Ethernet0.200
Ethernet0.100
为了解决物理接口需求过大的问题,在VLAN技术的发展中,出现了另一种路由器——独臂路由器,用于实现VLAN间通信的三层网络设备路由器,它只需要一个以太网接口,通过创建子接口可以承担所有VLAN的网关,而在不同的VLAN间转发数据。
如上图所示,路由器仅仅提供一个以太网接口,而在该接口下提供三个子接口分别作为3个VLAN用户的缺省网关,当VLAN100的用户需要与其它VLAN的用户进行通信时,该用户只需将数据包发送给缺省网关,缺省网关修改数据帧的VLAN标签后再发送至目的主机所在VLAN,即完成了VLAN间的通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
VLAN互通的实现——交换和路由的集成
VLAN 300
二层交换机
三层交换机
第三种解决办法就是三层交换机,它是将路由器和交换机合成的一种设备,融合了路由器和交换机各自的优势
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三层交换机功能模型
10.110.0.113/24
GW:10.110.0.254
10.110.1.69/24
GW:10.110.1.254
10.110.1.88/24
GW:10.110.1.254
10.110.2.200/24
GW:10.110.2.254
VLAN100
10.110.0.254/24
VLAN200
10.110.1.254/24
VLAN300
10.110.2.254/24
图中的路由器相当于存在与交换机中的一个路由软件模块,它实现三层路由转发;而交换机相当于二层交换模块,它实现VLAN内的二层快速转发。其用户设置的缺省网关就是三层交换机中虚拟VLAN接口的IP地址
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
第3章 VLAN路由
3.1 VLAN 路由原理
3.2 VLAN路由配置与实现
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
单臂路由配置—交换机配置
[SWA]vlan 100
[SWA-vlan100]port ethernet 0/1
[SWA]vlan 200
[SWA-vlan200]port ethernet 0/2
[SWA]interface ethernet 0/24
[SWA-Ethernet0/24]port link-type trunk
[SWA-Ethernet0/24]port trunk permit vlan all
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
单臂路由配置—路由器配置
[RTA]interface ethernet 0/1.1
[RTA-Ethernet0/1.1]vlan dot1q vid 100
[RTA-Ethernet0/1.1]ip address 192.168.10.1 255.255.255.0
[RTA]interface ethernet 0/1.2
[RTA-Ethernet0/1.2]vlan dot1q vid 200
[RTA-Ethernet0/1.2]ip address 192.168.20.1 255.255.255.0
vlan dot1q vid 命令用来定义以太网子接口或以太网Trunk子接口为VLAN成员,并指定VLAN封装方式。
进入以太网子接口后,必须首先配置VLAN封装,否则不能配置IP地址、MTU等参数。
注意:该命令只能在子接口下配置。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三层交换机配置
VLAN 100
VLAN 200
IP:192.168.20.30
GW:192.168.20.1
IP:192.168.10.10
GW:192.168.10.1
Port 2
Port 1
SWA
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
三层交换机配置—交换机配置
SWA
[SWA]interface vlan-interface 100
[SWA-Vlan-interface100]ip add 192.168.10.1 255.255.255.0
[SWA]interface vlan-interface 200
[SWA-Vlan-interface200]ip add 192.168.20.1 255.255.255.0
创建VLAN三层接口
interface vlan-interface VLAN-ID命令用于在VLAN创建后进入VLAN接口视图。
VLAN接口的编号必须对应一个已创建的VLAN。
VRP认为一旦交换机打开三层VLAN接口后,就开启路由功能,即一旦配置了VLAN三层接口,两VLAN就可以通过各自的VLAN接口作为网关相互通信。
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
小结
1.VLAN路由的目的是什么?
答:VLAN的优点是可以隔离广播域,但这也引起另外一个问题,就是广播域之间如果需要通信的话,那怎么办呢?在这里就提出了VLAN路由的概念,目的就是为了实现不同VLAN间的相互通信
2.实现VLAN间的通信有多少种方法?
答:如果交换是普通的二层交换机的话,只能通过路由器配置单臂路由实现VLAN间的通信;但如果交换是三层交换机,可以通过配置三层VLAN接口实现VLAN间的通信
谢谢
www.huawei.com
传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的所有其它机器接收到。后来,组网时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。假如一台主机发出广播报文,设备仍然可以接收到该广播信息,我们通常把广播报文所能传输的范围称之为广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。
由于网桥二层网络工作原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个小的广播域。
过去往往通过路由器对LAN进行分段。图中用路由器替换上一图中的中心节点交换机,使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。作为替代的LAN分段方法,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。
虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中都使用一个中心交换机,但是左右各属于不同的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。
虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。
VLAN与传统的LAN相比,具有以下优势:
限制广播包,提高带宽的利用率:
有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽;
减少移动和改变的代价:
即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点;
创建虚拟工作组:
使用VLAN的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还需要一些其他方面的支持。用户不受到物理设备的限制,VLAN用户可以处于网络中的任何地方,VLAN对用户的应用不产生影响;
增强通讯的安全性:
一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;
增强网络的健壮性:
当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本。
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C。当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定。
图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C连接在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。
如果有多个交换机的话,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对所有主机都根据它的MAC地址配置主机属于哪个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。
这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
这种情况是根据二层数据帧中协议字段进行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候,可以采用这种VLAN的划分方法。
这种类型的VLAN在实际应用中用的很少。
1.VLAN的优点?
答:隔离广播域,抑制广播报文.
减少移动和改变的代价
创建虚拟工作组,超越传统网络的工作方式
增强通讯的安全性
增强网络的健壮性
2.VLAN的划分方法?
答:VLAN的划分方法主要有基于端口,基于MAC地址,基于三层协议以及基于Subnet的划分方法。而目前最为常用的就是基于端口的方法。
VLAN信息可以跨越多台交换机被转递到相关的交换机中。
如上图的所有VLAN-3的数据都能通过中间的过渡交换机实现通信,同样VLAN-5的数据也可以相互转递。
接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。
接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。
干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互连,或者用于交换机和路由器之间的连接。干道链路的英文叫做"trunk link"。
数据帧在干道链路上传输的时候,交换机必须用一种方法来识别数据帧是属于哪个VLAN的。IEEE 802.1Q定义了VLAN帧格式,所有在干道链路上传输的帧都是打上标记的帧(tagged frame)。通过这些标记,交换机就可以确定哪些帧分别属于哪个VLAN。
和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载VLAN数据的,因此干道链路是不属于任何一个具体的VLAN的。通过配置,干道链路可以承载所有的VLAN数据,也可以配置为只能传输指定的VLAN的数据。
干道链路虽然不属于任何一个具体的VLAN,但是可以给干道链路配置一个pvid(port VLAN ID)。当干道链路不论因为什么原因,trunk链路上出现了没有带标记的帧,交换机就给这个帧增加带有pvid的VLAN标记,然后进行处理。
Hybrid端口与Trunk端口的不同之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在同一个交换机上hybrid端口和trunk端口不能并存。
端口缺省的模式为Access端口,缺省所有端口都属于VLAN 1,VLAN 1为缺省VLAN,既不能创建也不能删除。
所有以802.1q为标准的交换机出厂时所有端口都是Access端口并属于VLAN-1,因此也会把VLAN-1称之为默认VLAN。
这里有一个新术语叫PVID,全称叫Port VLAN ID,表示端口所属的VLAN,在Access端口里PVID的数值就代表该端口所属的VLAN,如:PVID=100,即该端口被划分到VLAN100。
Trunk端口负责在交换机与交换机之间传递多个VLAN的数据帧,具体允许传递哪些VLAN的数据帧可以通过命令"port trunk permit vlan [VID]"来实现。
这里有条命令"port trunk pvid vlan [VID]"具体作用是为改变Trunk端口的PVID值,Trunk端口PVID值的意义与Access端口PVID的意义有点不一样,在Access里表示端口所属的VLAN,但在Trunk里却表示默认VLAN的值。
1999年,IEEE颁布了用以标准化VLAN实现方案的802.1Q协议标准草案.
IEEE802.1Q是虚拟桥接局域网的正式标准,定义了VLAN帧格式,这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通。
IEEE 802.1Q定义了以下内容:
VLAN的架构;
VLAN中所提供的服务;
VLAN实施中涉及的协议和算法
IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验、回路检测,对业务质量(QOS)参数的支持以及对网管系统的支持等方面的标准。
这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
TPID(Tag Protocol Identifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
TCI是包含的是帧的控制信息,它包含了下面的一些元素:
Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q标准使用这三位信息。
Canonical Format Indicator( CFI ):CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,从0到4095,共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。
在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有标记的帧(tagged frame)。
当Access端口收到帧时
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,交换机不作处理,直接丢弃。
当Access端口发送帧时
剥离802.1Q tag header,发出的帧为普通以太网帧
当Trunk端口收到帧时
如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。
当Trunk端口发送帧时
当该帧的VLAN ID与端口的PVID不同时,直接透传;当该帧的VLAN ID与端口的PVID相同时,则剥离802.1Q tag header
Hybird端口收到帧时的动作与Trunk端口相同;
Hybird端口发出帧时首先判断VLAN在本端口的属性。用"dis interface"可看到该端口对哪些VLAN是untag,哪些VLAN是tag,如果是untag则剥离802.1Q tag header 再发送,如果是tag则直接透传。
图中表示一个局域网环境,网络中有两台交换机,并且配置了两个VLAN。主机和交换机之间的链路是接入链路,交换机之间通过干道链路互相连接。
对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是untagged的报文;交换机接收到这样的报文之后,根据配置规则(如端口信息)判断出报文所属VLAN进行处理。如果报文需要通过另外一台交换机发送,则该报文必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理报文的VLAN信息,在干道链路上发送的报文都带上了VLAN标记。
当交换机最终确定报文发送端口后,将报文发送给主机之前,将VLAN的标记从以太网帧中删除,这样主机接收到的报文都是不带VLAN的标记的以太网帧。
所以,一般情况下,干道链路上传送的都是Tagged Frame,接入链路上传送的都是Untagged Frame。这样做的最终结果是:网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息。
1.VLAN的端口分类有多少种?
答:当前VRP支持三种,分别为:Access-Link、Trunk-Link以及Hybrid-Link
2.VLAN数据帧与标准以太网数据帧有什么区别?
答:VLAN数据帧我们也称为802.1q数据帧,这种数据帧与标准的以太网数据帧最主要的区别在于多出4个字节的802.1q标签,以标识VLAN的信息。
3.当Trunk端口收到一个没有打标签的数据帧时会怎么办?
答:如果收到不包含802.1q标签的数据帧,将打上802.1q标签,并且VID为Trunk的PVID。
VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。
解决VLAN间互通的第一种方法是:为每个VLAN分配一个单独的路由器接口,VLAN间的数据通信通过路由器进行三层路由,这样我们就可以实现VLAN之间相互通信。但是,随着每个交换机上VLAN数量的增加,这样做必然需要大量的路由器接口。出于成本的考虑,一般不可能用这种方案来解决VLAN间路由选路问题。此外,某些VLAN之间可能不需要经常进行通信,这样导致路由器的接口没被充分利用。
为了解决物理接口需求过大的问题,在VLAN技术的发展中,出现了另一种路由器——独臂路由器,用于实现VLAN间通信的三层网络设备路由器,它只需要一个以太网接口,通过创建子接口可以承担所有VLAN的网关,而在不同的VLAN间转发数据。
如上图所示,路由器仅仅提供一个以太网接口,而在该接口下提供三个子接口分别作为3个VLAN用户的缺省网关,当VLAN100的用户需要与其它VLAN的用户进行通信时,该用户只需将数据包发送给缺省网关,缺省网关修改数据帧的VLAN标签后再发送至目的主机所在VLAN,即完成了VLAN间的通信。
第三种解决办法就是三层交换机,它是将路由器和交换机合成的一种设备,融合了路由器和交换机各自的优势
图中的路由器相当于存在与交换机中的一个路由软件模块,它实现三层路由转发;而交换机相当于二层交换模块,它实现VLAN内的二层快速转发。其用户设置的缺省网关就是三层交换机中虚拟VLAN接口的IP地址
vlan dot1q vid 命令用来定义以太网子接口或以太网Trunk子接口为VLAN成员,并指定VLAN封装方式。
进入以太网子接口后,必须首先配置VLAN封装,否则不能配置IP地址、MTU等参数。
注意:该命令只能在子接口下配置。
interface vlan-interface VLAN-ID命令用于在VLAN创建后进入VLAN接口视图。
VLAN接口的编号必须对应一个已创建的VLAN。
VRP认为一旦交换机打开三层VLAN接口后,就开启路由功能,即一旦配置了VLAN三层接口,两VLAN就可以通过各自的VLAN接口作为网关相互通信。
1.VLAN路由的目的是什么?
答:VLAN的优点是可以隔离广播域,但这也引起另外一个问题,就是广播域之间如果需要通信的话,那怎么办呢?在这里就提出了VLAN路由的概念,目的就是为了实现不同VLAN间的相互通信
2.实现VLAN间的通信有多少种方法?
答:如果交换是普通的二层交换机的话,只能通过路由器配置单臂路由实现VLAN间的通信;但如果交换是三层交换机,可以通过配置三层VLAN接口实现VLAN间的通信