第三节VLAN

背景

• 以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

  在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

概述

• VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。

• 一个交换机的物理接口默认都处于同一个广播域中，同一个VLAN中，且VLAN编号为1；

• VLAN编号:

  • 1：默认所有物理接口都在1号口中;
  • [2,4094]:自定义范围;

• VLAN编号相同，则处于同一个广播域中，可以进行通信，不同，则处于不同的广播域中，不能直接通信，需要借助路由转发;

• 优势:

  • 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
  • 增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
  • 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
  • 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

分类

静态VLAN

• 基于接口划分VLAN

• 优点:

  • 定义成员简单

• 缺点:

  • 成员移动需要重新配置VLAN=

动态VLAN

• 基于MAC地址、子网、协议、策略划分

• 优点:

  • 当用户的物理位置发生改变，不需要重新配置VLAN，提高了用户的安全性和接入的灵活性;

• 缺点:

  • 需要预先定义网络中所有成员;

推荐

• 基于接口划分VLAN优先级最低，但也是最常用的划分方式。

命令

创建VLAN

1. vlan 编号
2. vlan batch 编号1 编号2 ......
3. vlan batch 起始编号 to 结束编号

• 查看所有VLAN

1. dis vlan

• 查看指定编号vlan

1. dis vlan 编号

• 将物理接口加入到vlan中

1. #进入物理接口视图
2. int g编号
3. #设置接口链路类型为接入类型，可简写 p l a
4. port link-type access
5. #设置接口默认VLAN编号，可简写p d v 编号
6. port default vlan 编号

案例

1. LSW2:
2. sys
3. vlan batch 10 20
4. int g0/0/2
5. port link-type access
6. port default vlan 10
7. int g0/0/3
8. p l a
9. p d v 20
10. int g0/0/4
11. p l a
12. p d v 20
13. int g0/0/5
14. p l a
15. p d v 10
    LSW1
16. LSW1:
17. sys
18. vlan batch 10 20
19. int g0/0/1
20. p l a
21. p d v 10
22. int g0/0/2
23. p l a
24. p d v 20
25. int g0/0/3
26. port link-type trunk
27. port trunk allow-pass vlan 10 20
29. LSW2:
30. int g0/0/1
31. p l t
32. p t a v 10 20

链路类型

接入链路

• 接入链路只可以承载1个VLAN的数据帧，用于连接交换机和用户终端（如用户主机、服务器、傻瓜交换机等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。

干道链路

• 干道链路可以承载多个不同VLAN的数据帧，用于交换机间互连或连接交换机与路由器。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。

接口类型

Access接口

• Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。但当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。

Trunk接口

• Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

Hybrid接口

• Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

工作原理

相同交换机的相同VLAN

• PC3向PC6的VLAN通讯过程:
• PC3将数据包发送给LSW2的2号物理接口;
• LSW2的2号物理接口收到数据包后，会为当前数据包打上标签(Tag,vlan 10)；
• LSW2查看MAC表，找到对应目标MAC的物理接口，将数据包转发到对应物理接口(g0/0/5);
• LSW2的5号物理接口收到数据包后，查看标签(Tag)的vlan id，是否与当前物理接口的PVID一致，如果一致，则剥离标签(Tag)，将数据包发送给PC6，如果不一致，则丢包;

不同交换机的相同VLAN

• PC1与PC3的VLAN通讯过程:
• PC1将数据包发送给LSW1的1号物理接口;
• LSW1的1号物理接口收到数据包后，会为当前数据包打上标签(Tag,vlan 10)；
• LSW1查看MAC表，找到对应目标MAC的物理接口，将数据包转发到对应物理接口(g0/0/3);
• LSW1的3号口接收到数据包后，查看标记(Tag)携带的vlan编号是否属于当前接口可承载VLAN流量，如果是，则保留标记将数据转发到LSW2的1接口，否则，丢包;
• LSW2的1接口收到数据包后，查看标记(Tag)携带的vlan编号是否属于当前接口可承载VLAN流量，如果是，则保留标记将数据转发到LSW2的2接口，否则，丢包;
• LSW2的2号口收到数据包后，查看标签(Tag)的vlan id，是否与当前物理接口的PVID一致，如果一致，则剥离标签(Tag)，将数据包发送给PC3，如果不一致，则丢包;