VLAN在企業網、校園網等基礎組網中發揮著重要作用。VLAN 不僅使工程師能夠很好地控制他們的網絡系統,而且提高了網絡的安全性和可擴展性。它是在虛擬化領域提供管理的基礎,即使虛擬機不斷遷移,挑戰網絡管理的基礎。在本教程中,將探討 VLAN 配置、VLAN 標記和 VLAN 間路由等基礎知識。
通過VLAN,可以將局域網網絡劃分為不同的組,A組中的數據不能轉發給B組或其他組,提高了網絡安全性,簡化了管理。如下圖所示。
那么為什么網絡中需要VLAN呢?VLAN 通過將大型網絡邏輯分割成許多較小的網絡來減少獨占廣播,控制廣播流量并提高網絡效率。
您可以在了解虛擬 LAN (VLAN)技術中了解 有關 VLAN 技術的更多信息。
通常,配置 VLAN 有兩種方式——靜態 VLAN 和動態 VLAN。并且配置取決于VLAN的需要。
靜態 VLAN:通過將端口分配給一個 VLAN 來創建。而如果用戶將接入端口更改為VLAN,則需要重新配置端口,對于那些較大的網絡來說,這很難管理。
動態VLAN:比靜態VLAN靈活得多。它通常使用軟件或協議創建。
通常,動態 VLAN 可以分為三類:基于 MAC 的 VLAN、基于 IP 子網的 VLAN 和基于用戶的 VLAN。
| 類型 | 描述 |
|---|---|
| 基于 MAC 的 VLAN | |
| 基于 IP 子網的 VLAN | |
| 基于用戶的 VLAN |
您可以在了解虛擬 LAN (VLAN) 技術中了解 有關 VLAN 類型的更多信息。
談到 VLAN,Trunk 和 Access 鏈路是不容忽視的。在 VLAN 的世界中有兩種類型的接口或鏈路。這些鏈路使管理員能夠將多個交換機連接在一起,或者只是簡單的網絡設備,如將訪問 VLAN 網絡的 PC。
接入鏈路是最常見的鏈路類型,可以在任何 VLAN 交換機上看到。要訪問本地網絡,所有網絡主機都需要連接交換機的訪問鏈路。這些鏈路是每個以太網交換機上的非常普通的端口,并以特殊方式配置。因此,用戶可以插入計算機并訪問網絡。一個 VLAN 交換機上的接入鏈路端口(下圖中的 24x100/1000BASE-T 端口)可以配置為一個或多個 VLAN。
圖 2:FS.COM S5850-48T4Q VLAN 交換機上的訪問端口
與接入鏈路不同,VLAN 中繼鏈路通常配置為承載多個 VLAN。中繼端口通常位于交換機之間的連接中。通過 VLAN 中繼,用戶可以將 VLAN 擴展到整個網絡。例如,有四個用戶(標記為 A、B、C 和 D)位于一棟辦公樓的不同樓層。用戶 A 和 C 屬于一個 VLAN,B 和 D 屬于另一個 VLAN。如何有效地將它們配置在一個 VLAN 中?就是設置一個trunk端口。
圖 3:不同 VLAN 連接的 VLAN 中繼端口
為了區分流量,通過中繼鏈路的所有幀在交換機之間通過時都用特殊標簽進行標記。它稱為 VLAN 標記。在上面的示例中,來自用戶 A 的幀在通過交換機 1 上的中繼端口時將被添加一個特殊標簽。當它到達交換機 2 時,中繼端口識別該特殊標簽并告知它屬于哪個 VLAN。然后特殊標簽將被刪除,幀將被轉發給用戶 C。
這里介紹可以實現交換機間VLAN創建的常用VLAN tagging方法。
IEEE 802.1Q:也稱為“Dot One Q”,它是用于標記 VLAN 中繼上的幀的 IEEE 標準,最多支持 4096 個 VLAN。在這種方法中,在原始幀中插入一個 4 字節的標簽,并在通過中繼鏈路發送幀之前重新計算 FCS(幀校驗序列)。并且在接收端去除標簽,然后將幀發送到分配的VLAN。FS.COM中的所有第 2 層交換機都支持 4096 個 VLAN。
圖 4:VLAN 標記——IEEE 802.1Q
注: TPID 指 Tag Protocol Identifier;TCI 指標簽控制信息。用戶優先級是一個 3 位字段,允許在幀中編碼優先級信息。CFI 是一個 1 位指示器,對于以太網交換機,始終設置為零。VID字段涉及VLAN的標識符。
ISL(Inter-Switch Link): ISL 是一種類似于 IEEE 802.1Q 的協議。它是 Cisco 專有協議,用于互連多個交換機,并在流量在交換機之間傳輸時維護 VLAN 信息。ISL 最多支持 1000 個 VLAN。在 ISL 中,在通過中繼鏈路的幀之前添加了一個額外的報頭。在接收端,標頭被刪除,幀被發送到分配的 VLAN。
圖 5:ISL(交換機間鏈路)
正如我們上面所說的,每個 VLAN 都是獨立的,不同 VLAN 之間的數據是互不干擾的。那么如何實現跨VLAN的信息傳輸呢?這是VLAN間路由。管理員可以通過三層交換機或路由器實現 VLAN 間路由。在接下來的部分中,本文將重點介紹使用路由器進行 VLAN 間路由。
我們知道,每個 VLAN 都是一個唯一的廣播域,當路由器與交換機相連時,各個 VLAN 之間的流量都可以通過路由器進行轉發。為了節省成本和簡化網絡管理,Trunk Link也用于VLAN間路由。這里舉一個例子來說明這個過程是如何工作的。如下圖所示。交換機分為兩個 VLAN,用不同的顏色標記。現在需要計算機 A 和 C 之間的通信。
來自計算機 A 的幀將通過中繼端口并添加屬于 VLAN 1 的特殊標記。標記的幀將被路由器識別,然后由路由器上屬于 VLAN 1 的端口接收。在路由器內部,tagged frame 的目的 MAC 地址會更改為計算機 C 的地址,屬于 VLAN 1 的特殊 tag 會被移除。但是標簽屬于VLAN 2。由于計算機C連接的是公共接入端口,因此幀的標簽將被去除,然后轉發到計算機C。
圖 6:VLAN 間路由
如果 VLAN 間路由在同一個 VLAN 內,則該幀不會通過路由器,路由將在交換機中完成。此外,隨著 VLAN 之間流量的增長,第 3 層交換機因其高性能和容量而成為 VLAN 間路由的更好選擇。
VLAN是當今網絡建設和管理中的一項重要技術。它使網絡用戶在不同的應用程序中相互通信,但連接到同一個物理網絡。而VLAN技術目前還在發展中。