先搞懂以下专业术语:
VLAN(Virtual LAN):虚拟局域网
IEEE 802.1Q:定义带标签的数据帧的格式,满足这种格式的数据帧称为IEEE 802.1Q数据帧,也称VLAN数据帧
Access接口:用于和不能识别Tag的用户终端(如用户主机、服务器等)相连
Trunk接口:用于连接交换机、路由器、AP
Hybrid接口:既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等),也可以用于连接交换机、路由器
一、什么是VLAN?
背景:交换机所连接网络规模越大广播泛滥越严重,通过在交换机上部署VLAN,可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域。
特点:1.不受地域限制
2.同一vlan内的设备才能直接进行二层通信
好处:1.灵活构建虚拟工作组,减小移动和改变的代价
2.隔离广播域,抑制广播报文
3.增强网络的安全性和健壮性
二、VLAN的基本原理
1.实现方式
VLAN标签 (VLAN Tag)IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag。
2.VLAN数据帧
IEEE 802.1Q定义了这种带标签的数据帧的格式,满足这种格式的数据帧称为IEEE 802.1Q数据帧
VLAN ID: 0 4095:保留
1-4094:使用
1:所有交换机默认配置,不可被删除
如何识别带VLAN标签的数据帧:数据帧的Length/Type = 0x8100。
注意:计算机无法识别Tagged数据帧,因此计算机处理和发出的都是Untagged数据帧;为了提高处理效率,交换机内部处理的数据帧一律都是Tagged帧。
三、VLAN的划分方式
计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说,当计算机发出的Untagged帧一旦进入交换机后,交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。
1.基于接口划分(最常用):根据交换机的接口来划分VLAN
划分原则:将VLAN ID配置到交换机的物理接口上,从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。
特点:1.简单而直观,实现容易,是目前实际的网络应用中最为广泛的划分VLAN的方式。
2.当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属可能会发生变化。
2.基于MAC地址划分:根据数据帧的源MAC地址来划分VLAN
划分原则:交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时,交换机将分析帧中的源MAC地址,然后查询MAC地址与VLAN ID的对应表,并根据对应关系把这个帧划分到相应的VLAN中。
特点:
1.稍微复杂,但灵活性得到了提高。
2.当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属不会发生变化(因为计算机的MAC地址没有变)。
3.但这种类型的VLAN划分安全性不是很高,因为恶意计算机很容易伪造MAC地址。
3.基于IP子网划分:根据数据帧中的源IP地址和子网掩码来划分VLAN
4.基于协议划分:根据数据帧所属的协议(族)类型及封装格式来划分VLAN
5.基于策略划分:根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等
四、接口链路类型
基于接口的VLAN划分依赖于交换机的接口类型
1.Access接口
特点:仅允许VLAN ID与接口PVID相同的数据帧通过
接收帧:Untagged帧,加PVID
Tagged帧,等于PVID,透传 ;不等于,丢弃
发送帧:帧VLAN ID与端口PVID相等,剥离转发
帧VLAN ID与端口PVID不相等,丢弃
2.Trunk接口
特点:1.Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。
注意:Trunk接口可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)
接收帧:不带标签,加PVID
带标签 在允许列表,透传;不在,丢弃
发送帧:帧VLAN ID与端口PVID相等,剥离转发
帧VLAN ID与端口PVID不相等 在允许列表,透传;不在,丢弃
3.Hybrid接口(华为设备默认接口类型)
特点:1.Hybrid接口仅允许VLAN ID在允许通过列表中的数据帧通过。
2.Hybrid接口可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag。
注意:与Trunk最主要的区别就是,能够支持多个VLAN的数据帧,不带标签通过。
接收帧:不带标签,加PVID
带标签,在tagged列表,透传;不在tagged列表,丢弃
发送帧:帧VLAN ID在端口untagged列表,剥离转发
帧VLAN ID在tagged列表,透传
既不在tagged列表也不再untagged列表,丢弃
五、VLAN的应用
1.VLAN的规划
分配原则:按业务规划:可分为语音、视频和数据。
按部门规划:可分为工程部、市场部、财经部等。
按应用规划:可分为服务器、办公、教室等。
VLAN分配技巧:VLAN ID的分配在有效范围内,可以随意分配和选取,但是为了提高VLAN ID的连续性,
可以采用VLAN ID和子网关联的方式进行分配。
VLAN规划示例:假设某园区有三栋楼,分别为行政楼、教学楼、办公楼;每栋楼各有1台接入交换机,核心交换机在行政楼;行政楼内有办公室、财务部和教室;办公楼内有办公室和财务部;教学楼内有办公室和教室。
VLAN规划如下:
VLAN |
IP地址段 |
描述 |
1 |
X.16.10.0/24 |
办公室用户所属的VLAN |
2 |
X.16.20.0/24 |
财务部用户所属的VLAN |
3 |
X.16.30.0/24 |
教室用户所属的VLAN |
100 |
Y.16.100.0/24 |
设备管理所属的VLAN |
2.应用场景
- 基于接口的VLAN划分
场景:某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问Internet
划分:为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的网络,每个VLAN就是一个“虚拟工作组”。
- 基于MAC的VLAN划分
场景:某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的主机才可以访问特定网络资源
划分:为了保证非本部门员工不能访问网络资源,可在SW1上配置基于MAC地址划分VLAN。这样,新的主机接入网络,就无法访问公司的网络资源
六、VLAN的配置
1.创建VLAN
vlan X
vlan batch 2 to 5//创建vlan2到5
vlan batch 2 5//创建vlan2和5
2.配置access端口
port link-type access
port default vlan X//把接口加入到vlan X
3.配置trunk端口
port link-type trunk
port trunk pvid vlan X//配置端口的PVID为vlanX
port trunk allow-pass vlan n(all)//允许vlan n(所有vlan)通过
4.配置hybrid端口
port link-type hybrid//Huawei设备默认
port hybrid pvid vlan X//设定端口PVID值
port hybrid tagged vlan n//端口允许透传vlan列表 通常用来连接交换机
port hybrid untagged vlan n//端口剥离相应的vlan标签发送列表 通常用来连接终端