VLAN的主要优点之一是可以限制广播域。在没有VLAN的网络中,广播帧会在整个网络中传播,导致广播风暴,消耗大量带宽。而在VLAN中,广播帧只会被限制在同一个VLAN内部,从而有效地控制了广播风暴,提高了网络性能。
VLAN的另一个优点是可以提高网络安全性。不同VLAN之间默认是不能直接通信的,这相当于在逻辑上隔离了不同的网络段。如果一个VLAN遭受攻击,不会影响到其他VLAN,从而提高了网络安全性。
VLAN的划分方法有很多种,常见的包括基于端口的VLAN、基于协议的VLAN、基于MAC层分组的VLAN等。其中,基于端口的VLAN是最简单也是使用最广泛的方法。它通过将交换机的端口划分到不同的VLAN中,实现不同设备之间的逻辑隔离。
为了实现跨交换机的VLAN通信,需要使用Trunk技术。Trunk是一种可以承载多个VLAN数据帧的物理链路,通常用于连接交换机之间或交换机与路由器之间。Trunk可以采用两种帧格式,分别是ISL和IEEE 802.1Q。ISL是Cisco专有的协议,而IEEE 802.1Q是国际标准协议,被大多数网络设备生产商所支持。
在VLAN配置中,可以通过设置交换机端口的模式来实现VLAN的划分。如果一个端口的模式是access,则该端口只能属于一个VLAN,通常用于连接终端设备。如果一个端口的模式是trunk,则该端口可以属于多个VLAN,通常用于连接交换机之间或交换机与路由器之间。
通过合理地规划和配置VLAN,可以大大提高网络的性能和安全性,同时也可以更好地满足组织内部不同部门或团队的网络需求。随着网络技术的不断发展,VLAN技术也在不断进化,新的VLAN技术和应用也在不断涌现,为网络管理提供了更多的可能性。
关于VLAN ( Virtual Local Area Networkd )
VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应与OSI模型的第二层网络。
VLAN的划分不受网络端口的实际物理位置的限制;
VLAN有着和普通物理网络同样的属性;
第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。
交换机收到广播帧后,只转发到属于统一vlan的其他端口
由于实现了广播域分隔,VLAN可以将广播风暴控制在一个VLAN内部,划分VLAN后,随着广播域的缩小,网络中广播包消耗的带宽所占的比例大大降低,网络性能得到显著的提高;
不同的VLAN间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络;
同时,由于VLAN是逻辑的而不是物理的,因此在规划网络时可以避免地理位置的限制。
VLAN的划分方法
基于端口的VLAN ( Port-Based )
基于协议的VLAN ( Protocol-Based )
基于MAC层分组的VLAN ( MAC-Layer Grouping )
基于网络层分组的VLAN ( Network-Layer Grouping )
基于IP组播分组的VLAN ( IP Multicast Grouping )
基于策略的VLAN ( Policy-Based )
基于端口的静态VLAN
基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法,它实际上是某些交换机端口的集合,网络管理员只需要管理和配置交换机的端口,而不管交换机端口连接什么设备。这种划分VLAN的方法是根据以太网交换机的端口来划分的,是目前业界定义VLAN最广泛的方法。IEEE802.1Q规定了这种划分VLAN的国际标准。
基于端口的VLAN在实现上包括两个步骤:
1. 首先启用VLAN(用VLAN ID标识);
2. 而后将交换机端口指定到相应VLAN下;
隔离的广播域
基于端口的VLAN(Port VLAN)将交换机按端口的VLAN ID 指定实现了逻辑划分,广播域被限定在相同VLAN的端口集合中,不同VLAN间不能直接通信。当使用多台交换机分别配置VLAN后,可以使用Trunk(干道)方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN, 而是可以承载所有VLAN的帧。
这种实现跨交换机的VLAN技术在早期使用帧过滤,而目前的国际标准规定采用帧标记。网络管理的逻辑结构可以完全不受实际物理连接的限制,极大地提高了组网的灵活性。
何谓Trunk
所谓的Trunk是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯,其中交换机之间互联用的端口就称为Trunk端口。Trunk这个词是干线或者树干的意思,不过一般不翻译,直接用原文。
注意:与一般的交换机级联不同,Trunk是基于OSI第二层的。
在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式(Trunk口是中继口,同一端口传输不同VLAN信息的时候需要设置Trunk),使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。
帧的格式分为两种:
ISL: Inter-Switch Link, 是Cisco交换机独有的协议;
IEEE 802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持;
默认条件下,Trunk上会转发交换机上存在的所有VLAN的数据。
IEEE 802.1Q标准
IEEE 802.1Q使用4Byte的标记头来定义Tag(标记),Tag头中包括2Byte的VPID(VLAN Protocol Identifier)和2Byte的VCI(VLAN Control Information)。
基于802.1Q Tag VLAN 用VID来划分不同VLAN,当数据帧通过交换机的时候,交换机根据数据帧中的Tag的VID信息来识别它们所在的VLAN(若帧中无Tag头,则应用帧所通过端口的默认VID来识别它们所在的VLAN)。这使得所有属于该VLAN的数据帧,不管是单播帧、组播帧还是广播帧,都将被限制在该逻辑VLAN中传输。当使用多台交换机分别配置VLAN后,可以使用Trunk方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧;
在VLAN配置中,我们可以使用switchport mode命令来指定一个二层接口(switch port)的模式,可以指定该接口为access port或者为trunk port(缺省为access)。
如果一个switch port的模式是access,则该接口只能为一个VLAN的成员,这种接口又称为Port VLAN。
如果一个switch port的模式是trunk,则该接口可以是多个VLAN的成员,这种配置被称为Tag VLAN。
Trunk接口默认可以传输本交换机支持的所有VLAN(1~4094),但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。
