概述介绍
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image.png)
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
一个VLAN中所有设备都是在同一广播域内,不同的VLAN为不同的广播域。
VLAN内的设备间可以直接通信,而VLAN间不能直接互通。
VLAN之间互相隔离,不同VLAN间需通过三层设备实现相互通信。
一个VLAN一般为一个逻辑子网。
VLAN中成员多基于交换机的端口分配,所谓的VLAN划分,通常指的是将交换机的接口添加到特定的VLAN中,从而该接口所连接的设备也加入到了该VLAN。
PVID, Port VLAN ID
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image002.png)
PVID,Port VLAN ID,端口 VLAN ID 值,即端口默认所属的 VLAN ID(比如 Huawei X7 系列交换机,默认每个端口的 PVID 是 1,即默认为 VLAN 1)
如果想将 Host 加入某个 VLAN 中,则需要修改端口的 PVID 值;Switch 之间是 Trunk 干道,因此无需设置 PVID 值。
所有的二层接口无论其类型如何,都有一个缺省VLAN ID,这个缺省VLAN ID被称为PVID(Port Default VLAN ID),在华为的交换机上,PVID缺省为1。另外,出于提高数据帧处理效率的考虑,在交换机内部,数据帧一律携带Tag。
Link Type
链路类型
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image001.png)
Access:Host 与 Switch 之间的链路为接入链路(Access)
Trunk:Switch 与 Switch 之间链路类型为干道链路(Trunk)
Port Type
端口类型(Port Type)与链路类型相对应。
Access Port(接入端口)
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image003.png)
特征:
1)仅能收发无标记(或与当前 VLAN 相同)的数据帧;
2)Access Port 只能加入某个 VLAN 中;
场景:
1)常用来连接用户PC、服务器等终端设备的接口。
当 Access Port 收到数据时:
—- 如果 Host 发来的数据,未添加 VLAN Tag 信息:
——– 则 Switch 将会添加 VLAN Tag,且其 VLAN ID 与 端口 PVID 相同;
—- 如果 Host 发来的数据,已添加 VLAN Tag 信息:
——– 则 Switch 不再添加 VLAN Tag,并进行 PVID 检查:
———— 若其与端口 PVID 一致,则转发;
———— 若其与端口 PVID 不同,则丢弃数据帧;
当 Access Port 转发数据时:
—- 帧的 VLAN ID 要与端口的 PVID 相同,才会被从 Access Port 中转发出去;
—- 并移除 VLAN Tag 信息;
Trunk Port(中继接口)
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image004.png)
特征:
1)允许多个 VLAN 数据帧通过,但是都携带 VLAN Tag 部分;
2)允许默认 VLAN 数据帧通过,但是不携带 VLAN Tag 部分;
场景:
1)多用于交换机互联;
2)也能连接路由器,形成单臂路由;
当 Trunk Port 发送数据帧时(鉴于是交换机内部,必然已经携带 Tag 信息):
—- 该帧的 VLAN ID 不含在 Trunk 的允许发送列表中:
——– 则直接丢弃该帧;
—- 该帧的 VLAN ID 包含在 Trunk 的允许发送列表中:
——– 如果与端口的 PVID 相同,则剥离 VLAN Tag 进行发送;
——– 如果与端口的 PVID 不同,则直接发送而不处理;
当 Trunk Port 收到数据帧时:
—- 如果该帧不含 VLAN TAG,则打上端口的 PVID;
—- 如果该帧包含 VLAN TAG,则检查允许转发列表:
——– 如果该帧的 VLAN TAG 在允许转发列表中,则能够进行转发;
——– 则不改变,并进行转发;
Q:如果 PVID 未包含在允许发送列表中,则 Trunk 是否会转发?
A:在华为交换机中,默认 VLAN 1,并会被添加到允许转发列表;
Hybrid Port(混合端口)
/2_Frame_Switching_(L2,_Switching)/2.NETWORK-LAYER-2-PROTOCOLS/VLAN,_Virtual_LAN/1.Terms_and_Fundamentals/pasted_image005.png)
特征:
1)该端口类型能够连接 Host 设备,也能够连接 Switch 设备;
2)能以 Tagged 或 Untagged 方式加入 VLAN 中;
3)用户能够灵活指定 Hybrid 接口在发送 VLAN 数据帧时是否携带 VLAN Tag 部分;
—- 所谓 Tag 与 Untag 操作,是指交换机发送数据时的动作;
当 Hybrid Port 收到数据帧时:
—- 如果 Host 发来的帧,未添加 VLAN Tag 信息:
——– 则添加 VLAN Tag 信息,其中 VLAN ID 与 PVID 保持一致;
—- 如果 Host 发来的帧,已添加 VLAN Tag 信息:
——– 该帧的 VLAN ID 包含在允许发送列表中,则转发,否则丢弃;
当 Hybrid Port 发送数据帧时:
—- 如果帧的 VLAN ID 与 PVID 相同
——– 则去除 WLAN Tag 信息,然后再进行转发;
—- 允许通过
——– 并允许携带 VLAN Tag 信息,则直接转发(不做其他处理);
——– 但禁止携带 VLAN Tag 信息,则以去除 VLAN Tag 再转发帧;
—- 禁止通过
——– 直接丢弃该帧;
在这种场景中,Host A 与 Host B 属于不同的 VLAN 内,但是都能与 Server 进行通信(这种需求无法通过 Access 与 Trunk 实现)。
划分方式总览
基于 交换机端口 划分(极其常用)
1)不同的交换机端口,接入到不同 VLAN 中,是最常用的划分方法。
基于 主机物理地址 划分(较少使用)
根据数据帧的源MAC地址来划分VLAN。适用于用户位置经常移动但网卡不经常更换的小型网络。
基于 IP Subnet 划分
根据数据帧中的源IP地址来划分VLAN。适用于对安全需求不高、对移动性和简易管理需求较高的场景。
基于 协议 划分(较少使用)
根据数据帧所属的协议(族)类型及封装格式来划分VLAN。适用于需要同时运行多协议的网络。
基于 策略 划分(较少使用)
1)将上面的划分方法组合使用(MAC地址、IP地址、接口)
根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。适用于需求比较复杂的环境。