https://m.toutiao.com/is/eLAkKJd/ 

前言

·以太網(wǎng)是一種基于CSMA/CD的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù),，其特征是共享通信介質(zhì),。當(dāng)主機(jī)數(shù)目較多時(shí)會(huì)導(dǎo)致安全隱患、廣播泛濫,、性能顯著下降甚至造成網(wǎng)絡(luò)不可用,。

·在這種情況下出現(xiàn)了VLAN (Virtual Local Area Network)技術(shù)解決以上問(wèn)題。

·在本課程中,，將介紹VLAN技術(shù)的相關(guān)概念,，介紹不同二層接口的工作原理，并且會(huì)介紹VLAN的應(yīng)用及其數(shù)據(jù)轉(zhuǎn)發(fā)原理和相關(guān)配置,。

傳統(tǒng)以太網(wǎng)的問(wèn)題

·在典型交換網(wǎng)絡(luò)中,，當(dāng)某臺(tái)主機(jī)發(fā)送一個(gè)廣播幀或未知單播幀時(shí)，該數(shù)據(jù)幀會(huì)被泛洪,，甚至傳遞到整個(gè)廣播域。

·廣播域越大,，產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題,、垃圾流量問(wèn)題，就越嚴(yán)重,。

虛擬局域網(wǎng) (VLAN, Virtual LAN)

·為了解決廣播域帶來(lái)的問(wèn)題,，人們引入了VLAN (Virtual Local Area Network)，即虛擬局域網(wǎng)技術(shù)：?通過(guò)在交換機(jī)上部署VLAN,，可以將一個(gè)規(guī)模較大的廣播域在邏輯上劃分成若干個(gè)不同的,、規(guī)模較小的廣播域，由此可以有效地提升網(wǎng)絡(luò)的安全性,，同時(shí)減少垃圾流量,，節(jié)約網(wǎng)絡(luò)資源?！?span>VLAN的特點(diǎn)：?一個(gè)VLAN就是一個(gè)廣播域,，所以在同一個(gè)VLAN內(nèi)部，計(jì)算機(jī)可以直接進(jìn)行二層通信,；而不同VLAN內(nèi)的計(jì)算機(jī),，無(wú)法直接進(jìn)行二層通信，只能進(jìn)行三層通信來(lái)傳遞信息,，即廣播報(bào)文被限制在一個(gè)VLAN內(nèi),。?VLAN的劃分不受地域的限制?！?span>VLAN的好處：?靈活構(gòu)建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組,，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活,。?限制廣播域：廣播域被限制在一個(gè)VLAN內(nèi),，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力,。?增強(qiáng)局域網(wǎng)的安全性：不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的,，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。?提高了網(wǎng)絡(luò)的健壯性：故障被限制在一個(gè)VLAN內(nèi),，本VLAN內(nèi)的故障不會(huì)影響其他VLAN的正常工作,?！ぷⅲ憾樱磾?shù)據(jù)鏈路層,。

虛擬局域網(wǎng)VLAN可以隔離廣播域,。

特點(diǎn)：

不受地域限制。

同一VLAN內(nèi)的設(shè)備才能直接進(jìn)行二層通信,。

如何實(shí)現(xiàn)VLAN

·Switch1與Switch2同屬一個(gè)企業(yè),，該企業(yè)統(tǒng)一規(guī)劃了網(wǎng)絡(luò)中的VLAN。其中VLAN10用于A部門(mén),，VLAN20用于B部門(mén),。A、B部門(mén)的員工在Switch1和Switch2上都有接入,。

·PC1發(fā)出的數(shù)據(jù)經(jīng)過(guò)Switch1和Switch2之間的鏈路到達(dá)了Switch2,。如果不加處理，后者無(wú)法判斷該數(shù)據(jù)所屬的VLAN,，也不知道應(yīng)該將這個(gè)數(shù)據(jù)輸出到本地哪個(gè)VLAN中,。

VLAN標(biāo)簽 (VLAN Tag)

·交換機(jī)如何識(shí)別接收到的數(shù)據(jù)幀屬于哪個(gè)VLAN？

VLAN標(biāo)簽：

·要使交換機(jī)能夠分辨不同VLAN的報(bào)文,，需要在報(bào)文中添加標(biāo)識(shí)VLAN信息的字段。

·IEEE 802.1Q協(xié)議規(guī)定,，在以太網(wǎng)數(shù)據(jù)幀中加入4個(gè)字節(jié)的VLAN標(biāo)簽,，又稱VLAN Tag，簡(jiǎn)稱Tag,。

VLAN數(shù)據(jù)幀

·在一個(gè)VLAN交換網(wǎng)絡(luò)中,，以太網(wǎng)幀主要有以下兩種形式：?有標(biāo)記幀（Tagged幀）：IEEE 802.1Q協(xié)議規(guī)定，在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后,、協(xié)議類(lèi)型字段之前加入4個(gè)字節(jié)的VLAN標(biāo)簽（又稱VLAN Tag,，簡(jiǎn)稱Tag）的數(shù)據(jù)幀。?無(wú)標(biāo)記幀（Untagged幀）：原始的,、未加入4字節(jié)VLAN標(biāo)簽的數(shù)據(jù)幀,?！?span>VLAN數(shù)據(jù)幀中的主要字段：?TPID：2字節(jié)，Tag Protocol Identifier（標(biāo)簽協(xié)議標(biāo)識(shí)符）,，表示數(shù)據(jù)幀類(lèi)型,。?取值為0x8100時(shí)表示IEEE 802.1Q的VLAN數(shù)據(jù)幀。如果不支持802.1Q的設(shè)備收到這樣的幀,，會(huì)將其丟棄,。?各設(shè)備廠商可以自定義該字段的值。當(dāng)鄰居設(shè)備將TPID值配置為非0x8100時(shí),，為了能夠識(shí)別這樣的報(bào)文，實(shí)現(xiàn)互通,，必須在本設(shè)備上修改TPID值,，確保和鄰居設(shè)備的TPID值配置一致。?PRI：3 bit,，Priority,，表示數(shù)據(jù)幀的優(yōu)先級(jí)，用于QoS,。?取值范圍為0～7,，值越大優(yōu)先級(jí)越高。當(dāng)網(wǎng)絡(luò)阻塞時(shí),，交換機(jī)優(yōu)先發(fā)送優(yōu)先級(jí)高的數(shù)據(jù)幀,。

VLAN的實(shí)現(xiàn)

·Switch1和Switch2之間的鏈路要承載多個(gè)VLAN的數(shù)據(jù)，需要一種基于VLAN的數(shù)據(jù)“標(biāo)記”手段,，以便對(duì)不同VLAN的數(shù)據(jù)幀進(jìn)行區(qū)分,。

·IEEE 802.1Q標(biāo)準(zhǔn)（也被稱為Dot1Q）定義了該“標(biāo)記”方法。該標(biāo)準(zhǔn)對(duì)傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀進(jìn)行修改,，在幀頭中插入802.1Q Tag,，而在該Tag中，便可以寫(xiě)入VLAN信息,。

VLAN的劃分方式

整個(gè)網(wǎng)絡(luò)是如何劃分VLAN的,？

基于接口的VLAN劃分

基于接口的VLAN劃分

·原理

?根據(jù)交換機(jī)的接口來(lái)劃分VLAN。

?網(wǎng)絡(luò)管理員預(yù)先給交換機(jī)的每個(gè)接口配置不同的PVID,，將該接口劃入PVID對(duì)應(yīng)的VLAN,。

?當(dāng)一個(gè)數(shù)據(jù)幀進(jìn)入交換機(jī)時(shí)，如果沒(méi)有帶VLAN標(biāo)簽,，該數(shù)據(jù)幀就會(huì)被打上接口指定PVID的Tag,，然后數(shù)據(jù)幀將在指定PVID中傳輸。

·缺省VLAN,，PVID

?Port VLAN ID,，是接口上的缺省VLAN。

?取值：1~4094,。

基于MAC地址的VLAN劃分

SW1的MAC地址與VLAN表

·劃分原則：?交換機(jī)內(nèi)部建立并維護(hù)了一個(gè)MAC地址與VLAN ID的對(duì)應(yīng)表,。當(dāng)交換機(jī)接收到計(jì)算機(jī)發(fā)送的Untagged幀時(shí)，交換機(jī)將分析幀中的源MAC地址,，然后查詢MAC地址與VLAN ID的對(duì)應(yīng)表,，并根據(jù)對(duì)應(yīng)關(guān)系把這個(gè)幀劃分到相應(yīng)的VLAN中?！ぬ攸c(diǎn)：?這種劃分實(shí)現(xiàn)稍微復(fù)雜,，但靈活性得到了提高。?當(dāng)計(jì)算機(jī)接入交換機(jī)的端口發(fā)生了變化時(shí),，該計(jì)算機(jī)發(fā)送的幀的VLAN歸屬不會(huì)發(fā)生變化（因?yàn)橛?jì)算機(jī)的MAC地址沒(méi)有變）,。?但這種類(lèi)型的VLAN劃分安全性不是很高，因?yàn)閻阂庥?jì)算機(jī)很容易偽造MAC地址,。

基于MAC地址的VLAN劃分

·原理

?根據(jù)數(shù)據(jù)幀的源MAC地址來(lái)劃分VLAN,。

?網(wǎng)絡(luò)管理員預(yù)先配置MAC地址和VLAN ID映射關(guān)系表。

?當(dāng)交換機(jī)收到的是Untagged幀時(shí),，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的Tag,，然后數(shù)據(jù)幀將在指定VLAN中傳輸。

·映射表

?記錄了MAC地址和VLAN ID的關(guān)聯(lián)情況。

以太網(wǎng)二層接口類(lèi)型

接口類(lèi)型

·Access接口

交換機(jī)上常用來(lái)連接用戶PC,、服務(wù)器等終端設(shè)備的接口,。Access接口所連接的這些設(shè)備的網(wǎng)卡往往只收發(fā)無(wú)標(biāo)記幀。Access接口只能加入一個(gè)VLAN,。

·Trunk接口

Trunk接口允許多個(gè)VLAN的數(shù)據(jù)幀通過(guò),，這些數(shù)據(jù)幀通過(guò)802.1Q Tag實(shí)現(xiàn)區(qū)分。Trunk接口常用于交換機(jī)之間的互聯(lián),，也用于連接路由器,、防火墻等設(shè)備的子接口。

·Hybrid接口

Hybrid接口與Trunk接口類(lèi)似,，也允許多個(gè)VLAN的數(shù)據(jù)幀通過(guò),，這些數(shù)據(jù)幀通過(guò)802.1Q Tag實(shí)現(xiàn)區(qū)分。用戶可以靈活指定Hybrid接口在發(fā)送某個(gè)（或某些）VLAN的數(shù)據(jù)幀時(shí)是否攜帶Tag,。

Access接口

Trunk接口

·對(duì)于Trunk接口,，除了要配置PVID外,，還必須配置允許通過(guò)的VLAN ID列表，其中VLAN 1是默認(rèn)存在的?！runk接口特點(diǎn)：?Trunk接口僅允許VLAN ID在允許通過(guò)列表中的數(shù)據(jù)幀通過(guò),。?Trunk接口可以允許多個(gè)VLAN的幀帶Tag通過(guò)，但只允許一個(gè)VLAN的幀從該類(lèi)接口上發(fā)出時(shí)不帶Tag（即剝除Tag）,?！runk接口接收數(shù)據(jù)幀：?當(dāng)Trunk接口從鏈路上收到一個(gè)Untagged幀，交換機(jī)會(huì)在這個(gè)幀中添加上VID為PVID的Tag,，然后查看PVID是否在允許通過(guò)的VLAN ID列表中,。如果在，則對(duì)得到的Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作,；如果不在,，則直接丟棄得到的Tagged幀。?當(dāng)Trunk接口從鏈路上收到一個(gè)Tagged幀,，交換機(jī)會(huì)檢查這個(gè)幀的Tag中的VID是否在允許通過(guò)的VLAN ID列表中,。如果在，則對(duì)這個(gè)Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作,；如果不在,，則直接丟棄這個(gè)Tagged幀?！runk接口發(fā)送數(shù)據(jù)幀：?當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Trunk接口后,，如果這個(gè)幀的Tag中的VID不在允許通過(guò)的VLAN ID列表中，則該Tagged幀會(huì)被直接丟棄,。?當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Trunk接口后,，如果這個(gè)幀的Tag中的VID在允許通過(guò)的VLAN ID列表中，則會(huì)比較該Tag中的VID是否與接口的PVID相同：?如果相同,，則交換機(jī)會(huì)對(duì)這個(gè)Tagged幀的Tag進(jìn)行剝離,，然后將得到的Untagged幀從鏈路上發(fā)送出去；?如果不同,，則交換機(jī)不會(huì)對(duì)這個(gè)Tagged幀的Tag進(jìn)行剝離,，而是直接將它從鏈路上發(fā)送出去。

Access接口與Trunk接口舉例

·請(qǐng)描述主機(jī)之間數(shù)據(jù)訪問(wèn)的全流程,。

SW1與SW2的Trunk接口

Hybrid接口

·對(duì)于Hybrid接口，除了要配置PVID外,，還存在兩個(gè)允許通過(guò)的VLAN ID列表,，一個(gè)是Untagged VLAN ID列表，另一個(gè)是Tagged VLAN ID列表,，其中VLAN 1默認(rèn)在Untagged VLAN列表中,。這兩個(gè)允許通過(guò)列表中的所有VLAN的幀都是允許通過(guò)這個(gè)Hybrid接口的?！ybrid接口特點(diǎn)：?Hybrid接口僅允許VLAN ID在允許通過(guò)列表中的數(shù)據(jù)幀通過(guò),。?Hybrid接口可以允許多個(gè)VLAN的幀帶Tag通過(guò)，且允許從該類(lèi)接口發(fā)出的幀根據(jù)需要配置某些VLAN的幀帶Tag,、某些VLAN的幀不帶Tag,。?與Trunk最主要的區(qū)別就是，能夠支持多個(gè)VLAN的數(shù)據(jù)幀,，不帶標(biāo)簽通過(guò),。·Hybrid接口接收數(shù)據(jù)幀：?當(dāng)Hybrid接口從鏈路上收到一個(gè)Untagged幀,，交換機(jī)會(huì)在這個(gè)幀中添加上VID為PVID的Tag,，然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在,，則對(duì)得到的Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作,；如果不在，則直接丟棄得到的Tagged幀,。?當(dāng)Hybrid接口從鏈路上收到一個(gè)Tagged幀,，交換機(jī)會(huì)檢查這個(gè)幀的Tag中的VID是否在Untagged或Tagged VLAN ID列表中,。如果在,，則對(duì)這個(gè)Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作；如果不在,，則直接丟棄這個(gè)Tagged幀,。·Hybrid接口發(fā)送數(shù)據(jù)幀：?當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Hybrid接口后,，如果這個(gè)幀的Tag中的VID既不在Untagged VLAN ID列表中,，也不在Tagged VLAN ID列表中，則該Tagged幀會(huì)被直接丟棄,。?當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Hybrid接口后,，如果這個(gè)幀的Tag中的VID在Untagged VLAN ID列表中，則交換機(jī)會(huì)對(duì)這個(gè)Tagged幀的Tag進(jìn)行剝離,，然后將得到的Untagged幀從鏈路上發(fā)送出去,。?當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Hybrid接口后，如果這個(gè)幀的Tag中的VID在Tagged VLAN ID列表中，則交換機(jī)不會(huì)對(duì)這個(gè)Tagged幀的Tag進(jìn)行剝離,，而是直接將它從鏈路上發(fā)送出去,。

Hybrid接口舉例

·請(qǐng)描述主機(jī)訪問(wèn)服務(wù)器的全流程。

交換機(jī)1的允許通過(guò)列表

交換機(jī)2的允許通過(guò)列表

小結(jié)