VLAN的划分不受物理端口位置的限制,它具备与传统物理网络相同的属性。在VLAN内部,单播、广播和多播帧可以自由转发和扩散,而不会直接进入其他VLAN。这意味着,通过划分VLAN,我们可以将广播风暴限制在单个VLAN内部,有效减少网络中广播包消耗的带宽,显著提升网络性能。
实现VLAN的划分有多种方法,其中最简单且广泛应用的是基于端口的VLAN。这种方法将交换机的某些端口集合起来,形成一个虚拟网络。网络管理员只需管理和配置这些端口,无需关心连接的具体设备。IEEE802.1Q标准为这种划分方法提供了国际性的规范。
基于端口的VLAN实现分为两个步骤:首先,启用VLAN并为其分配一个唯一的VLAN ID;其次,将交换机端口指定到相应的VLAN。通过这种方式,广播域被限制在相同VLAN的端口集合中,不同VLAN之间无法直接通信。
为了在多台交换机之间实现VLAN的内部连通,我们采用了Trunk技术。Trunk是一种特殊的连接方式,用于保证跨交换机的同一VLAN成员能够相互通信。在Trunk连接中,交换机之间的端口被称为Trunk端口,可以承载所有VLAN的数据帧。
Trunk端口在配置时需要特别注意。它不同于普通的交换机级联,而是基于OSI第二层的。在Trunk端口上,可以设置中继模式,使得不同VLAN的数据帧可以通过这条中继链路传输。目前,常用的帧标记协议有两种:ISL(Inter-Switch Link,交换机间链路)和IEEE 802.1Q。ISL是Cisco交换机特有的协议,而IEEE 802.1Q是国际标准,被大多数网络设备生产商支持。
IEEE 802.1Q使用4字节的标记头来定义Tag(标记),其中包含2字节的VPID(VLAN协议标识符)和2字节的VCI(VLAN控制信息)。通过这种标记,交换机可以识别数据帧所属的VLAN,并确保所有属于该VLAN的数据帧都在逻辑VLAN内传输。
在vlan配置中,可以使用switchport mode命令来指定一个二层接口的模式。如果设置为Access模式,该接口只能为一个VLAN的成员;如果设置为trunk模式,该接口可以是多个VLAN的成员。Trunk接口默认可以传输所有VLAN的数据,但也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量。
总之,VLAN技术通过逻辑而非物理的方式划分网络,提供了更高的网络灵活性。它不仅能够提高网络性能,还能增强网络的安全性和可管理性。随着网络规模的扩大和复杂性的增加,VLAN技术已成为现代网络架构中不可或缺的一部分。
关于VLAN ( Virtual Local Area Networkd )
VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应与OSI模型的第二层网络。
VLAN的划分不受网络端口的实际物理位置的限制;
VLAN有着和普通物理网络同样的属性;
第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。
交换机收到广播帧后,只转发到属于统一vlan的其他端口
由于实现了广播域分隔,VLAN可以将广播风暴控制在一个VLAN内部,划分VLAN后,随着广播域的缩小,网络中广播包消耗的带宽所占的比例大大降低,网络性能得到显著的提高;
不同的VLAN间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络;
同时,由于VLAN是逻辑的而不是物理的,因此在规划网络时可以避免地理位置的限制。
VLAN的划分方法
基于端口的VLAN ( Port-Based )
基于协议的VLAN ( Protocol-Based )
基于MAC层分组的VLAN ( MAC-Layer Grouping )
基于网络层分组的VLAN ( Network-Layer Grouping )
基于IP组播分组的VLAN ( IP Multicast Grouping )
基于策略的VLAN ( Policy-Based )
基于端口的静态VLAN
基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法,它实际上是某些交换机端口的集合,网络管理员只需要管理和配置交换机的端口,而不管交换机端口连接什么设备。这种划分VLAN的方法是根据以太网交换机的端口来划分的,是目前业界定义VLAN最广泛的方法。IEEE802.1Q规定了这种划分VLAN的国际标准。
基于端口的VLAN在实现上包括两个步骤:
1. 首先启用VLAN(用VLAN ID标识);
2. 而后将交换机端口指定到相应VLAN下;
隔离的广播域
基于端口的VLAN(Port VLAN)将交换机按端口的VLAN ID 指定实现了逻辑划分,广播域被限定在相同VLAN的端口集合中,不同VLAN间不能直接通信。当使用多台交换机分别配置VLAN后,可以使用Trunk(干道)方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN, 而是可以承载所有VLAN的帧。
这种实现跨交换机的VLAN技术在早期使用帧过滤,而目前的国际标准规定采用帧标记。网络管理的逻辑结构可以完全不受实际物理连接的限制,极大地提高了组网的灵活性。
何谓Trunk
所谓的Trunk是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯,其中交换机之间互联用的端口就称为Trunk端口。Trunk这个词是干线或者树干的意思,不过一般不翻译,直接用原文。
注意:与一般的交换机级联不同,Trunk是基于OSI第二层的。
在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式(Trunk口是中继口,同一端口传输不同VLAN信息的时候需要设置Trunk),使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。
帧的格式分为两种:
ISL: Inter-Switch Link, 是Cisco交换机独有的协议;
IEEE 802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持;
默认条件下,Trunk上会转发交换机上存在的所有VLAN的数据。
IEEE 802.1Q标准
IEEE 802.1Q使用4Byte的标记头来定义Tag(标记),Tag头中包括2Byte的VPID(VLAN Protocol Identifier)和2Byte的VCI(VLAN Control Information)。
基于802.1Q Tag VLAN 用VID来划分不同VLAN,当数据帧通过交换机的时候,交换机根据数据帧中的Tag的VID信息来识别它们所在的VLAN(若帧中无Tag头,则应用帧所通过端口的默认VID来识别它们所在的VLAN)。这使得所有属于该VLAN的数据帧,不管是单播帧、组播帧还是广播帧,都将被限制在该逻辑VLAN中传输。当使用多台交换机分别配置VLAN后,可以使用Trunk方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧;
在VLAN配置中,我们可以使用switchport mode命令来指定一个二层接口(switch port)的模式,可以指定该接口为access port或者为trunk port(缺省为access)。
如果一个switch port的模式是access,则该接口只能为一个VLAN的成员,这种接口又称为Port VLAN。
如果一个switch port的模式是trunk,则该接口可以是多个VLAN的成员,这种配置被称为Tag VLAN。
Trunk接口默认可以传输本交换机支持的所有VLAN(1~4094),但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。
