一、定义、作用:

A、前言介绍:

早期的局域网LAN技术是基于总线型结构的,它存在以下主要问题:

  1. 若某时刻有多个节点同时试图发送消息,那么它们将产生冲突。

  2. 从任意节点发出的消息都会被发送到其他节点,形成广播。

  3. 所有主机共享一条传输通道,无法控制网络中的信息安全。这种网络构成了一个冲突域,网络中计算机数量越多,冲突越严重,网络效率越低。
    同时,该网络也是一个广播域,当网络中发送信息的计算机数量变多时,广播流量将会耗费大量带宽。
    因此,传统局域网不仅面临冲突域太大和广播域太大两大难题,而且无法保障传输信息的安全。

  4. 为了扩展传统LAN,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交换机,它们能有效隔离冲突域。

  5. 为限制广播域的范围,减少广播流量,需要在没有二层互访需求的主机之间进行隔离。因此,人们设想在物理局域网上构建多个逻辑局域网,即VLAN。

随着网络中计算机的数量越来越多,传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。

B、定义和格式:

1、概念和作用:

VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域,也就是多个VLAN。VLAN技术部署在数据链路层,用于隔离二层流量。同一个VLAN内的主机共享同一个广播域,它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域,不能直接实现二层互通。这样,广播报文就被限制在各个相应的VLAN内,同时也提高了网络安全性。

Untitled

2、帧格式差异:

在现有的交换网络环境中,以太网的帧有两种格式:没有加上VLAN标记的标准以太网帧(untagged frame);有VLAN标记的以太网帧(tagged frame)。原始的以太网数据帧没有802.1QTag字段,在网络中进行转发的时候能够被主机接收、解封查看。而一但有了802.1Q Tag字段的以太网数据帧,主机即使能接收数据帧,也无法识别数据帧中的内容从而会直接丢弃。

Untitled
Untitled

抓包分析如下:

Untitled

二、原理解析:

A、链路类型和PVID:

用户主机和交换机之间的链路为接入链路,交换机与交换机之间的链路为干道链路。而VLAN链路分为两种类型:Access 链路和 Trunk 链路。

接入链路(Access Link):连接用户主机和交换机的链路称为接入链路。如本例所示,图中主机和交换机之间的链路都是接入链路。
干道链路(Trunk Link):连接交换机和交换机的链路称为干道链路。如本例所示,图中交换机之间的链路都是干道链路。干道链路上通过的帧一般为带Tag的VLAN帧。

Untitled

PVID 即 Port VLAN ID,代表端口的缺省 VLAN。
交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag。PVID表示端口在缺省情况下所属的VLAN。缺省情况下,X7系列交换机每个端口的PVID都是1。

B、端口类型:

1、Access 端口:

Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。Access端口收发数据帧的规则如下:

  1. 如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID,即默认PVID。

  2. 如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时,接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。

  3. Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。

Untitled

2、Trunk 端口

Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带Tag标记)通过。Trunk端口收发数据帧的规则如下:

  1. 当接收到对端设备发送的时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。当接收到对端设备发送的时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。

  2. 端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文。当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。

转发规则总结如下:

当Trunk端口收到帧时,如果该帧不包含Tag,将添加上端口的PVID;如果该帧包含Tag,则不改变。当Trunk端口发送帧时,该帧的VLAN ID在Trunk的允许发送列表中:

  1. 若与端口的PVID相同时,则剥离Tag发送;

  2. 若与端口的PVID不同时,则直接发送。

Untitled

3、Hybrid 端口

Access端口发往其他设备的报文,都是Untagged数据帧,而Trunk端口仅在一种特定情况下才能发出untagged数据帧(当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时),其它情况发出的都是Tagged数据帧。
Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。

Hybrid端口收发数据帧的规则如下:

  1. 当接收到对端设备发送的的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。

  2. 当接收到对端设备发送的的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。

  3. Hybrid端口发送数据帧时,将检查该接口是否允许该VLAN数据帧通过。如果允许通过,则可以通过命令配置发送时是否携带Tag。

  4. 配置port hybrid tagged vlan vlan-id命令后,接口发送该vlan-id的数据帧时,不剥离帧中的VLAN Tag,直接发送。该命令一般配置在连接的端口上。

  5. 配置port hybrid untagged vlan vlan-id命令后,接口在发送vlan-id的数据帧时,会将帧中的VLAN Tag剥离掉再发送出去。该命令一般配置在连接的端口上。

Untitled

Hybrid接口的工作原理涉及及接口的三个属性:
分别为:untag列表,tag列表,PVID(port-base VLAN ID,基于端口的VLAN ID)

  • untag列表:只在接口发送数据帧时起作用,如果需要发送的数据的VLAN标签在接口的untag列表中,那么将去除标签发送数据。

  • tag列表:作用于接受别标记的数据帧和发送数据帧。其作用类似于一个允许的vlan标识列表。当接口接收到带vlan标签的数据帧时,该接口的tag列表相当于vlan的允许列表,不在列表中的数据帧将被丢弃;当接口发送数据帧时,数据的vlan标签在接口的tag列表中,将保持标签发送数据帧,否则丢弃数据帧。

  • PVID:接口默认PVID为vlan1,PVID只在接收未标记帧中起作用。PVID用于接收未标记数据帧时给数据帧打上当前的PVID标记

Untitled
Untitled

C、VLAN 划分方法:

1、划分方法:

VLAN的划分包括如下5种方法:

  1. 基于端口划分:根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。初始情况下,X7系列交换机的端口处于VLAN1中。此方法配置简单,但是当主机移动位置时,需要重新配置VLAN。

  2. 基于MAC地址划分:根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。

  3. 基于IP子网划分:交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。

  4. 基于协议划分:根据数据帧的协议类型(或协议族类型)、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。

  5. 基于策略划分:使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。另外,针对每一条策略都是需要手工配置的

Untitled

2、优先级

VLAN划分方式的匹配优先级

如果入方向 Untagged帧 同时匹配多种划分VLAN的方式,则优先级顺序从高至低依次是:

基于匹配策略划分VLAN>基于MAC地址划分VLAN或基于子网划分VLAN>基于协议划分VLAN>基于接口划分VLAN。

(1)如果报文同时匹配了基于MAC地址划分VLAN和基于子网划分VLAN,缺省情况下,优先:基于MAC地址划分VLAN。可以通过命令改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级,从而决定优先划分VLAN的方式。

(2)基于接口划分VLAN的优先级最低,但却是最常用的VLAN划分方式。

Untitled