VLAN
在二层网络中,相互通信的双方通过MAC地址寻找接受信息对端的方式需要网桥这类设备来完成,网桥和交换机的作用就是先学习报文的SMAC,然后根据DMAC进行二层转发。
VLAN隔离技术用来划分不同的广播域,所以现在二层交换机的MAC表项通常是用MAC+VALN ID的关键词来存储和查找的。
数据帧转发时,进入交换机的报文都要先获取响应的VLAN Tag,然后到交换机的MAC表项里学习报文的SMAC+VLAN ID,再根据DMAC+VLAN ID进行转发,查不到表项默认就向该VLAN内的所有端口广播;响应报文回来时,根据之前学习到的SMAC+VLAN ID转发回去;这就完成了VLAN的广播域隔离和安全组划分。
VLAN内部的转发要有防环协议如STP等规避流量不停转发引起的阻塞。
跨VLAN通信,需要网络层介入。网络层报文中,报文头有源IP地址和目的IP地址、三层QoS使用的TOS字段,并吸取了二层环路的经验添加了三层防环字段TTL,主机通信在同一VLAN内用MAC,不同VLAN之间用IP,形成了接入层、汇聚层和核心层等传统三级层次的网络架构模型。
Private VLAN(PVLAN)
每个PVLAN包含两种VLAN:
- 主VLAN
- 辅助VLAN
辅助VLAN又包含两种:
- 隔离VLAN(Isolated VLAN)
- 团体VLAN(Community VLAN)
支持PVLAN的交换机的物理端口也被分为两类:
- 混杂端口(Promiscuous Port)
- 主机端口(Host Port)
其中主机端口也包含两类:
- 隔离端口(Isolated Port)
- 团体端口(Community Port)
混杂短裤隶属于主VLAN,主机端口隶属于辅助VLAN,隔离端口属于隔离VLAN,团体端口属于团体VLAN。
PVLAN用于解决一个VLAN内部隔离网络流量的需求,这样可以突破VLAN数目4096的限制,减少对STP的依赖,以及减少IP地址的浪费,PVLAN的应用对于保证接入网络数据通信的安全性是非常有效的。
云计算网络租户隔离
云计算中为解决租户VLAN不够的问题,提出了VXLAN、NVGRE、STT和Geneve等技术。随之带来报文头部导致的带宽损耗、ECMP路径选择是HASH值的影响和需要购买新的硬件设备才能支持新标准等影响。
虚拟专用网络
虚拟专用网络是用于连接距离较远的地域的,该服务包括IP-虚拟专用网络和广域以太网。
IP-虚拟专用网络
网络服务上提供一种在IP网络上使用MPLS技术构建虚拟专用网络的服务。其中MPLS(多协议标签交换)在IP包中附加一个叫做标签的信息进行传输控制。每个用户的标签信息不同,所以可以将不同用户的虚拟专用网络信息通过MPLS网加以区分,形成封闭的私有网络,并可以进行用户级别的带宽控制。
企业互联网虚拟专用网络
该方法采用IPSec技术,对虚拟专用网络通信中的IP包进行验证和加密,在互联网上构造一个封闭的私有网络。
广域以太网
服务提供商锁提供的用于连接相距较远的地域的一种服务。在数据链路层的以太网上利用VLAN实现虚拟专用网络技术,只要指定同一个VLAN,无论从哪里都能接入到同一个网络。
图片来自百度图库,侵删。
