VLAN
前言以及技术背景
随着网络中计算机的数量越来越多,传统的以太网网络开始面临广播泛滥以及安全性无法保障等各种问题、
VLAN(Virtual Local Area Network) 即虚拟局域网,是一个将物理局域网在逻辑上划分多个广播域的技术。通过在交换机上配置VLAN,以实现在同一个VALN内的用户可以进行二层互访,而不同的VLAN间的用户被二层隔离。这样既可以隔离广播域,又能提升网络的安全性。
- 交换机的所有接口属于同一个广播域,往往也是一个逻辑子网;
- 用户无法根据业务需要灵活的在交换机上进行广播域的隔离;
- 随着网络规模越来越大、数量越来越多,广播风暴将给网络带来重大问题。
- VLAN(Virtual LAN) 技术提供了一种灵活的解决方案;
- 将交换机的接口根据业务需要添加到不同的VLAN中,从而实现二层隔离。
VLAN优点:
- 有效控制广播域范围
- 增加局域网的安全性
- 灵活构建虚拟工作组
- 简化网络管理
VLAN 概述: Virual LAN,虚拟局域网
- 将一个物理局域网在逻辑上划分成多个广播域
- 1VLAN = 1 广播域 = 1 子网
- 广播不会在VLAN之间转发,而是被限制在各自的VLAN中
- 不同VLAN间的设备默认无法通讯,需要第三层设备才能实现互通
VLAN范围: 0 ~ 4095 共 4096 个 ( 0 和 4095 为保留,1为默认)
VLAN 标签介绍:
- IEEE 802.1q:dot1q , 是VLAN 的正式标准,对Ethernet 帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的 802.1q Tag。 每台支持802.1q协议的交换机发送的数据包中都会包含 VLAN ID,以指明交换机属于哪一个VLAN。因此,在一个VLAN交换网络中,以太网帧有以下两种形式:
- 有标记帧(tagged frame) : 加入了4字节 802.1q Tag 的帧
- 无标记帧(untagged frame) : 原始的、未加入4字节 802.1q Tag 的帧
VLAN 链路类型:
| Access Link 接入链路 | 用于连接主机和交换机的链路。 接入链路上传输的帧都是untagged帧。 |
|---|---|
| Trunk Link 干道/中继链路 | 用于交换机间的互连或交换机与路由器之间的链路。 干道链路上传输的帧几乎都是tagged帧用于两端识别。 |
**PVID:**即Port VLAN ID, 代表端口的本征VLAN。
VLAN端口类型:
| Access 接入端口 | 用于连接主机 ;收到数据后会添加VLAN Tag, VLAN ID 和端口的PVID相同;转发数据前会移除VLAN Tag。 |
|---|---|
| 用于连接交换机或路由器: | |
|---|---|
| 收到帧时:★如果该帧不包含Tag,将会打上端口的PVID;★ 如果该帧包含Tag, 则不改变。 | |
| Trunk 干道端口 | 发送帧时:该帧的VLAN ID 在 Trunk 的允许发送列表中:(!!!第一个条件) |
| ★ 若与端口的PVID相同时,则剥离Tag发送 | |
| ★ 若与端口的PVID相同时,则直接发送 | |
| 既可以连接主机,又可以连接其他交换机; | |
|---|---|
| Hybrid 混杂端口 | 既可以连接接入链路又可以连接干道链路 |
| 允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN 帧的Tag剥掉(由命令决定) |
VLAN的转发流程:
VLAN 规划: 基于端口最常见。
VLAN 相关的配置命令:
查看VLAN
VLAN间路由
前言:
部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发,因此必
须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换
机配合路由器来实现,也可以通过三层交换机来实现。
VLAN间通讯限制:
每个VLAN都是一个独立的广播域,不同的VLAN之间二层就已经隔离,因此属于不同VLAN的节点之间(**不同VLAN且不同网段)**是无法直接互访的,所以有了VLAN间路由:
VLAN: 每个VLAN一个物理连接
VLAN: 单臂路由:
-
从子接口的数量就可以看出,专门为VLAN而准备的。(子接口的ID只是名字,尽量给VLAN的ID相同,容易辨认)
-
路由器是三层设备,本身不能识别VLAN。所以需要关联子接口、VLAN,并开启ARP广播功能。
-
在G0/0/2上也要让指定的VLAN通过
VLAN路由–三层交换 (主流)
我们要知道,路由器一般设置在出口位置,如果是园区网等大型网络,则VLAN的网关设置路由的话,会“绕远路”的,所以三层交换来了。
有三层功能的交换机: 跨网段时有自己的路由表进行转发。
交换机上的接口不能直接配地址,配置接口为3层后才能配。
undo portswitch就能配置地址了。(有些设备不支持,改了也配不了,模拟器上的S5700不支持)
交换机的接口类型:
2层物理口
3层物理口
3层虚拟口vlanif
VLAN间路由实验联动OSPF
要求:实现VLAN间通信,三层之间用动态路由协议
整体步骤:
配置二层 - > 配置三层 – > 全网通
- 配置S2为三层交换,实现VLAN10、20互通
sy
sy S2
vlan b 10 20
int vl 10
ip add 192.168.10.254 24
int vl 20
ip add 192.168.20.254 24
int g0/0/1
p l t
p t a v 10 20
sy
sy S1
vlan b 10 20
int e0/0/3
p l t
p t a v 10 20
int e0/0/1
p l a
p d v 10
int e0/0/2
p l a
p d v 20
配置好地址,测试:
二层间实现了VLAN访问
- 配置三层
sy
sy AR1
int g0/0/0
ip add 13.0.0.1 24
int l 0
ip add 1.1.1.1 24
创建虚拟VLAN会更加灵活:
sy
sy S2
vlan 23
int vl 23
ip add 23.0.0.2 24
int g0/0/2
p l a
p d v 23
只有23的标签经过这里,所以接口类型可以选择access:
sy
sy S3
vl 23
int vl 23
ip add 23.0.0.3 24
int g0/0/1
p l a
p d v 23
q
vl 13
int vl 13
ip add 13.0.0.3 24
int g0/0/2
p l a
p d v 13
现在vlan23、13各自VLAN都可以互通。
- 全网通:
跨网段涉及三层涉及路由—> 1.选择动态路由
sy
sy AR1
ospf 1 router-id 1.1.1.1
a 0
network 1.1.1.1 0.0.0.0
network 13.0.0.1 0.0.0.255
sy
sy s3
ospf 1 router-id 3.3.3.3
a 0
network 23.0.0.3 0.0.0.255
network 13.0.0.3 0.0.0.255
sy
sy S2
ospf 1 router-id 2.2.2.2
a 0
network 23.0.0.2 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
宣告路由后等待邻居建立,即可全网Ping通,完成实验。
查看AR1的路由表: