|
VLAN在企業(yè)網(wǎng)、校園網(wǎng)等基礎(chǔ)組網(wǎng)中發(fā)揮著重要作用�,VLAN 不僅使工程師能夠很好地控制他們的網(wǎng)絡(luò)系統(tǒng),而且提高了網(wǎng)絡(luò)的安全性和可擴(kuò)展性�。 它是在虛擬化領(lǐng)域提供管理的基礎(chǔ),即使虛擬機(jī)不斷遷移����,也挑戰(zhàn)了網(wǎng)絡(luò)管理的基礎(chǔ)。 在本教程中�����,將探討 VLAN 配置��、VLAN 標(biāo)記和 VLAN 間路由等基本知識���。 什么是 VLAN��,為什么需要它�?通過VLAN,可以將LAN網(wǎng)絡(luò)劃分為不同的組���,A組的數(shù)據(jù)不能轉(zhuǎn)發(fā)到B組或其他組�����,提高了網(wǎng)絡(luò)安全性���,簡化了管理。 如下圖所示: 那為什么網(wǎng)絡(luò)需要VLAN呢�����?VLAN 通過在邏輯上將大型網(wǎng)絡(luò)分割成許多較小的網(wǎng)絡(luò)來減少獨(dú)占廣播�,從而控制廣播流量并提高網(wǎng)絡(luò)效率。 VLAN 配置通常�,VLAN 配置有兩種方式:靜態(tài) VLAN 和動態(tài) VLAN,并且配置取決于VLAN的需要���。 靜態(tài) VLAN:通過將端口分配給一個 VLAN 來創(chuàng)建���,并且如果用戶將接入端口更改為VLAN����,則需要重新配置該端口�����,這對于那些較大的網(wǎng)絡(luò)來說是難以管理的�。 動態(tài)VLAN:比靜態(tài)VLAN靈活很多。它通常使用軟件或協(xié)議創(chuàng)建��。 通常����,動態(tài)VLAN可以分為三類:基于MAC的VLAN���、基于IP子網(wǎng)的VLAN和基于用戶的VLAN��。 基于MAC的VLAN通過驗證主機(jī)源 MAC 地址并將傳入數(shù)據(jù)包源 MAC 映射到 VLAN 來控制網(wǎng)絡(luò)訪問�,也就是說�,在基于 MAC 的 VLAN 中,VLAN 成員資格是基于設(shè)備的 MAC 地址�����,而不是交換機(jī)端口。 基于 IP 子網(wǎng)的 VLAN在基于 IP 子網(wǎng)的 VLAN 中���,IP 子網(wǎng)中的所有終端工作站都分配到同一個 VLAN��。如果IP不改變����,用戶可以移動他們的工作站而無需重新配置他們的網(wǎng)絡(luò)地址���。 基于用戶的VLAN可以根據(jù)用于登錄該設(shè)備的用戶名將交換機(jī)端口分配給一個 VLAN�。 VLAN 連接鏈路類型說到VLAN��,Trunk 和Access Link 是不容忽視的����,在 VLAN 的世界中有兩種類型的接口或鏈路。這些鏈接使管理員能夠?qū)⒍鄠€交換機(jī)連接在一起��,或者只是連接到 VLAN 網(wǎng)絡(luò)的簡單網(wǎng)絡(luò)設(shè)備(如 PC)�。 訪問鏈接接入鏈路是最常見的鏈路類型,可以在任何 VLAN 交換機(jī)上看到。要訪問本地網(wǎng)絡(luò)����,所有網(wǎng)絡(luò)主機(jī)都需要連接交換機(jī)的訪問鏈路。這些鏈路是在每個以太網(wǎng)交換機(jī)上都可以找到的非常普通的端口��,并以特殊方式進(jìn)行配置����。 因此,用戶可以插入計算機(jī)并訪問網(wǎng)絡(luò)��,可以為一個或多個 VLAN 配置一臺 VLAN 交換機(jī)上的接入鏈路端口�����。 中繼鏈路與接入鏈路不同����,VLAN 中繼鏈路通常被配置為承載多個 VLAN��。中繼端口通常位于交換機(jī)之間的連接中�����。 通過 VLAN 中繼,用戶可以將 VLAN 擴(kuò)展到整個網(wǎng)絡(luò)���。例如��,有四個用戶(標(biāo)記為 A��、B�、C 和 D)位于一棟辦公樓的不同樓層���,用戶A和C屬于一個VLAN�,B和D屬于另一個VLAN��。如何有效地將它們配置在一個 VLAN 中�?就是設(shè)置trunk口。 為了區(qū)分流量����,所有通過中繼鏈路的幀在經(jīng)過交換機(jī)之間時都會被標(biāo)記上特殊的標(biāo)簽,它稱為 VLAN 標(biāo)記��。 在上面的例子中��,來自用戶 A 的幀在通過交換機(jī) 1 上的中繼端口時將被添加一個特殊標(biāo)記�,當(dāng)它到達(dá)交換機(jī) 2 時����,中繼端口識別特殊標(biāo)記并告訴它屬于哪個 VLAN�,然后將刪除特殊標(biāo)簽,并將幀轉(zhuǎn)發(fā)給用戶 C��。 VLAN 標(biāo)記下面介紹實(shí)現(xiàn)交換機(jī)間創(chuàng)建VLAN的常用VLAN tagging方法��。 IEEE 802.1Q:也稱為“Dot 1 Q”��,它是在 VLAN 中繼上標(biāo)記幀的 IEEE 標(biāo)準(zhǔn)���,最多支持 4096 個 VLAN��。 在這種方法中���,在通過中繼鏈路發(fā)送幀之前,將一個 4 字節(jié)的標(biāo)記插入到原始幀中并重新計算 FCS(幀校驗序列)�����,并且在接收端去除標(biāo)簽����,然后將幀發(fā)送到指定的VLAN。FS.COM 中的所有第 2 層交換機(jī)都支持 4096 個 VLAN�����。 注: TPID 指標(biāo)簽協(xié)議標(biāo)識符��;TCI 是指標(biāo)簽控制信息���。用戶優(yōu)先級是一個 3 位字段����,允許在幀中編碼優(yōu)先級信息���,CFI 是一個 1 位指示符����,對于以太網(wǎng)交換機(jī)始終設(shè)置為零�。VID 字段涉及 VLAN 的標(biāo)識符。 ISL(Inter-Switch Link): ISL 是一種類似于 IEEE 802.1Q 的協(xié)議�,它是 Cisco 的專有協(xié)議,用于互連多個交換機(jī)并在交換機(jī)之間傳輸流量時維護(hù) VLAN 信息�。 ISL 最多支持 1000 個 VLAN。在 ISL 中�,在通過中繼鏈路的幀之前添加額外的報頭�。在接收端�,頭被移除,幀被發(fā)送到指定的 VLAN�。 VLAN 間路由:不同 VLAN 之間的橋接正如我們上面所說,每個VLAN都是獨(dú)立的��,不同VLAN之間的數(shù)據(jù)是互不干擾的��。 那么如何實(shí)現(xiàn)跨VLAN的信息傳輸呢�? 它是 VLAN 間路由,管理員可以通過三層交換機(jī)或路由器實(shí)現(xiàn)VLAN間路由��。在接下來的部分中�����,該帖子將重點(diǎn)介紹使用路由器進(jìn)行 VLAN 間路由��。 我們知道��,每個VLAN都是一個唯一的廣播域�,當(dāng)路由器與交換機(jī)相連時,各個VLAN之間的流量可以通過路由器進(jìn)行轉(zhuǎn)發(fā)����。為了節(jié)省成本和簡化網(wǎng)絡(luò)管理,VLAN 間路由也采用了Trunk Link�����,這里舉一個例子來說明這個過程是如何工作的��。如下圖所示��,交換機(jī)被劃分為兩個用不同顏色標(biāo)記的 VLAN?����,F(xiàn)在需要計算機(jī) A 和 C 之間的通信����。 來自計算機(jī) A 的幀將通過中繼端口并添加屬于 VLAN 1 的特殊標(biāo)記,標(biāo)記的幀將被路由器識別��,然后被路由器上屬于 VLAN 1 的端口接收�,在路由器內(nèi)部,tagged 幀的目的MAC 地址將變?yōu)橛嬎銠C(jī)C 的地址���,屬于VLAN 1 的特殊標(biāo)簽將被去除�����。 但是標(biāo)簽屬于VLAN 2���,由于計算機(jī)C連接的是普通接入端口��,所以幀的標(biāo)簽將被去除��,然后轉(zhuǎn)發(fā)給計算機(jī)C����。 如果VLAN間路由在同一個VLAN內(nèi)�����,則幀不會經(jīng)過路由器���,路由在交換機(jī)中完成����,此外�����,隨著 VLAN 之間流量的增長,三層交換機(jī)因其高性能和高容量成為 VLAN 間路由的更好選擇���。 總結(jié)VLAN 是當(dāng)今網(wǎng)絡(luò)建設(shè)和管理中的一項重要技術(shù)�����,它使網(wǎng)絡(luò)用戶在不同的應(yīng)用程序中相互通信,但連接到同一個物理網(wǎng)絡(luò),而VLAN技術(shù)目前還在發(fā)展中����。
|
