VLAN——(Virtual Local Area Network,虚拟局域网),是一项局域网(LAN)技术。
划分VLAN的目的——缩小广播域
华为交换机中所支持的VLAN特性主要包括VLAN划分、VLAN注册、VLAN间通信、VLAN聚合、MUX VLAN、VLAN映射、Voice VLAN、管理VLAN。
1、VLAN划分
5种划分方式:基于端口划分、基于MAC地址划分、基于子网划分、基于协议划分、基于策略划分。又可划分为“静态VLAN划分”和“动态VLAN划分”,其中基于端口划分为静态,其他为动态。这些划分的VLAN都属于静态VLAN,通过GVRP协议动态注册的VLAN属于动态VLAN
2、VLAN间通信
3种实现VLAN间通信的解决方案:三层VLANIF接口方案、三层以太网子接口方案和VLAN Switch(VLAN交换)方案
3、管理VLAN
专门用来为用户提供远程设备管理(通过管理VLANIF的IP地址)的VLAN,其中只有管理流程无业务流。
4、VALN聚合
VLAN聚合(VLANaggregation)就是通常所说的Super VLAN技术。是在一个主VLAN下包括多个同处一个IP网段的从VLAN,但只需要为主VLANIF接口配置IP地址,各从VLAN中的用户主机可以主VLAN的VLANIF接口的IP地址作为缺省网关实现三层互通。解决传统VLAN中要实现不同VLAN间相互通信必须为每个VLANIF接口配置一个IP地址,造成一定程度上IP地址资源浪费的问题,同时又可实现不同VLAN间的相互通信的目的。
5、MUX VLAN
MUX VLAN是一种可实现在VLAN内部各成员间二层隔离的技术。传统VLAN仅隔离不同VLAN中用户的二层通信,同一VLAN内的各用户是可以直接进行二层通信的。但有时又希望在VLAN内部的某个成员(如存在不安全因素的主机,或需要特别保护的主机等)与其他成员进行隔离,这时可采用MUX VLAN技术实现,主要是想达到安全保护,或用户授权的目的。
6、VLAN映射
传统的VLAN可有效控制广播域范围、隔离不同VLAN中用户间的二层通信。但由于一些低端交换机不支持全范围(1~4094)的VLAN ID,而是类似1~512的有限范围,而且还有一些VLAN ID被保留,可能导致用户网络中的VLAN ID与公网VLAN ID冲突。于是就产生了一种可以实现在用户VLAN ID和运营商VLAN ID之间相互转换的VLAN技术——VLAN映射(VLAN Mapping)。VLAN映射通过替换数据帧中的VLAN标签来实现用户VLAN与运营商VLAN的相互映射,使用户业务按照运营商的网络规划进行传输。
7、Voice VLAN
Voice VLAN(语音VLAN)是相对传统数据VLAN而言的,它是针对不同类型的用户话音流进行划分的,并能自动修改话音数据帧的优先级,以提高话音数据的传输质量。
8、VLAN透传
VLAN透传特性可以使交换机直接透明传输指定VLAN内的数据帧,不上送CPU处理,也就是不用去识别数据帧中的VLAN标签,从而提高了转发效率。
9、QinQ
QinQ(802.1Q-in-802.1Q)协议是基于IEEE802.1Q技术的一种二层隧道协议。在公网中传递的帧一般有两层802.1Q标签(一个公网VLAN标签,一个私网VLAN标签)。QinQ的核心思想是将用户私网VLAN标签封装在公网VLAN标签中,这样报文带着两层VLAN标签穿越网络运营商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。
一、基于端口划分VLAN
VLAN是二层协议,所以仅可以把二层以太网端口(包括物理以太网端口和Eth-Trunk聚合链路口)划分到VLAN中,交换机中主要包括Access(访问)、Trunk(干道)和Hybrid(混合)、QinQ这4种二层以太网端口。基于端口VLAN划分方式中可以把前3种二层交换机以太网端口加入特定的VLAN中,所有VLAN划分方式都只能添加Hybrid类型端口。QinQ端口仅用于支持QinQ协议,不能用于VLAN划分
(1)Access端口。Access端口主要是用来连接用户主机的二层以太网端口。它有一种最主要的特性是仅允许一个VLAN的帧通过,反过来也就是Access端口仅可以加入一个VLAN中,且Access端口发送的以太网帧永远是Untagged(不带标签)的。
(2)Trunk端口。Trunk端口是用来连接与其他交换机的二层以太网端口。它的最主要特性是允许多个VLAN的帧通过,且所发送的以太网帧都是带标签的,除了发送VLAN ID与PVID(Port Default VLAN ID,端口缺省VLAN ID)一致的VLAN帧。
(3)Hybrid端口。Hybrid端口可以说是以上Access端口和Trunk端口的混合体,它们具有共同的特性,是一种特殊的二层以太网端口。正因如此,Hybrid端口既可以连接用户主机,又可以连接其他交换机、路由器设备。同时Hybrid端口又允许一个或多个VLAN的帧通过,并可选择以带标签或者不带标签的方式发送数据帧。
(4)QinQ端口。QinQ端口是专用于QinQ协议的二层以太网端口。他可以给数据帧加上双层VLAN标签,即在原来标签的基础上,给帧加上一个新的标签,从而可以支持多达4094 X 4094个VLAN,满足企业用户网络对VLAN数量更高的需求。
Access、Trunk和Hybrid三种类型二层以太网端口在接收和发送数据帧时对帧的处理规则也是不同的,而这些规则直接影响着数据通信的成败。
这里所说的数据帧的“收”是指交换机端口接收从对端设备发来的数据帧,而不是接收从交换机内部的另一个端口发来的数据帧,因为在交换机内部传输的数据帧都是带有VLAN标签的,无论是从哪种交换机端口发来的数据帧。同理,这里所说的数据帧的“发”是指从交换机端口向对端设备发送数据帧,而不是指本地交换机中一个端口向另一个交换机端口发送数据帧。这一点要特别注意,否则很难理解这些端口的数据接收、发送规则。
在交换机内部传输中所有数据都是带有VLAN标签的
Access、Trunk和Hybrid三种以太网端口所形成的链路又可归为两种以太网链路:接入链路(Access Link)和干道链路(Trunk Link)。是根据链路中允许通过的VLAN数据帧数量的不同来划分的。
●接入链路(AccessLink):这是交换机直接连接用户主机的链路。主机通过接入链路发送和接收的数据帧都是Untagged帧。但一定要注意,接入链路不一定只允许来自一个VLAN的数据帧通过,只是Access端口链路才仅允许一个VLAN数据帧通过,在连接用户主机的Hybrid端口链路上同样允许来自多个VLAN的数据帧(不带标签)通过。
●干道链路(TrunkLink):这是用于交换机间的互联或交换机与路由器之间连接的链路。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要识别数据帧属于哪个VLAN,所以在干道链路上传输的都是Tagged帧,除了该链路的PVID所属VLAN的帧(缺省为VLAN1)。
在交换机设备之间的链路都属于干道链路,传输的是带有Tag的帧;而在交换机与主机设备之间的可以是接入链路,也可以是干道链路,具体要视主机所连接的交换机端口类型而定,但传输的都是Untagged的帧。
基于端口划分VLAN主要包括以下三项配置任务。
(1)创建所需的VLAN:如果VLAN已创建好,可直接略过。
(2)配置端口类型:基于端口划分VLAN时可以加入Access、Trunk和Hybrid这三种二层以太网端口。在华为交换机中,二层以太网端口缺省情况下是Hybrid类型的,并且以不带标签方式加入VLAN 1。可通过命令修改。
(3)把端口加入VLAN中:这是把用户计算机连接的交换机二层以太网端口加入你所期望并且已创建好的VLAN中。
各PC的地址为192.168.1.11开始对应PC的名,如PC8为192.168.1.18,掩码都是255.255.255.0
按照上述配置完成后进行连通性测试:
PC1与PC2之间能够PING通,
PC3与PC4之间PING不通,
PC6与PC1、PC2之间PING不通,与PC8之间能PING通,
PC5与PC3、PC7之间能PING通,与PC4之间PING不通,
在LSW2上继续进行设置:
在连接主机PC1,PC2,PC4的接口上,对Hybrid类型接口设置其PVID为各自默认的VLAN。然后,同VLAN中的各个主机之间就能PING通了。
原因:因为Hybrid端口默认的PVID是vlan 1,主机发送的数据包是不带标签的Ethernet II类型帧,到达接口后,接口判断为不带标签帧,然后添加标签,默认的VLAN就打上了VLAN1,所以会出现PC3与PC4之间PING不通,PC6与PC1、PC2之间PING不通,PC5与PC4之间PING不通。
但是为什么PC1与PC2之间在不设置PVID就能PING通,PC1的帧在经过GE0/0/3后应该打上VLAN1的标签,按理说是无法到达PC2的(PC2对应的接口GE0/0/4允许带标签的VLAN2的帧通过),这里主要涉及Hybrid接口对默认的VLAN1的处理,Hybrid和trunk接口对默认的VLAN1处理是去掉标签,然后允许通过。
交换机设备间的Hybrid链路不需要设置PVID,采用默认就行,因为链路之间的数据帧都是带标签的。而默认的VLAN1帧则去掉标签以无标签帧发送。
二、基于MAC地址划分VLAN
是一种动态VLAN划分方式。划分思想是把用户计算机网卡上的MAC地址配置与某个VLAN进行关联(是“用户计算机网卡MAC地址”与“VLAN”之间的映射,不考虑用户计算机所连接的交换机端口),这样就可实现无论该用户计算机连接在哪台交换机的二层以太网端口上都将保持所属的VLAN不变
基于MAC地址划分的VLAN只处理Untagged数据帧,只有收到的数据帧中原来没有VLAN标签才可以根据交换机上所配置的MAC地址与VLAN ID映射关系,在数据帧中添加对应的VLAN标签。另外,基于MAC地址划分VLAN仅可在Hybrid端口上进行。这样一来就可使得基于MAC地址划分VLAN主要是针对终端用户设备,而非针对其他网络设备,因为在其他网络设备间连接的端口上发送的数据帧通常都是带有VLAN标签的,即使是Hybrid类型端口。当交换机Hybrid端口收到的数据帧为Untagged数据帧时,端口会以数据帧的源MAC地址为根据去匹配MAC-VLAN映射表项。如果匹配成功,则在对应的数据帧中添加所匹配到的VLAN ID标签,然后按照对应的VLAN ID和优先级进行转发;如果匹配失败,则按其他匹配原则进行匹配。当交换机端口收到的是Tagged数据帧(仅在设备间连接的端口上才有可能),其处理方式和基于端口的VLAN一样,根据Hybrid类型端口的数据收、发规则进行。
基本配置思路
(1)创建要用于与用户主机MAC地址关联的VLAN。
(2)在以上创建的VLAN视图下关联用户MAC地址,建立MAC地址与VLAN的映射表,以确定哪些用户MAC地址可划分到以上创建的VLAN中。
(3)配置各用户连接的交换机二层以太网端口类型为Hybrid,并允许前面创建的基于MAC地址划分的VLAN以不带VLAN标签方式通过当前端口。
(4)(可选)配置VLAN划分方式的优先级,确保优先基于MAC地址划分VLAN。缺省情况下是优先基于MAC地址划分VLAN,但是可通过配置改变优先划分的方式。
(5)在Hybrid交换机端口上(注意,不一定要在连接用户计算机的Hybrid端口上配置)使能基于MAC地址划分VLAN功能,完成基于MAC地址划分VLAN。
基于MAC地址的VLAN划分,实际上最直接的做法是在LSW2上启用基于MAC地址的VLAN划分功能。
意图:PC1~PC2基于MAC地址的VLAN划分到VLAN2,PC3~PC4划分到VLAN3,PC5默认配置,配置后的预期结果是:PC1PC2PC6能够互相PING通,PC3PC4PC7能够互相PING通。
按如上配置后,PC1~PC5之间能够PING通——在同一个交换机上,都采用默认配置,默认都是VLAN1,所以能够PING通;
PC1PC2PC6之间能够PING通——通过LSW2交换机的G0/0/1口,因为启用了基于MAC的VLAN,PC1和PC2经过LSW2的G0/0/1口后,打上了VLAN2的标签,所以能够PING通同为VLAN2内的PC6;
PC3PC4PC7之间能够PING通——通过LSW2交换机的G0/0/1口,因为启用了基于MAC的VLAN,PC3和PC4经过LSW2的G0/0/1口后,打上了VLAN3的标签,所以能够PING通同为VLAN3内的PC7;,
PC5PC8之间能够PING通——PC5发送EthernetII帧(不带标签的以太网帧)到LSW1的G0/0/6,G0/0/6默认配置,即为Hybrid类型,PVID为VLAN1,所以将不带标签帧打上VLAN1标签,然后在交换机内部进行处理,交换机内部到达G0/0/1,G0/0/1配置为不太标签的VLAN2、3通过,PVID为VLAN1,所以VLAN1、2、3的帧都去掉标签,通过G0/0/1发送到LSW2交换机的G0/0/1接口。LSW2的G0/0/1接口在收到不带标签的帧后,基于MAC判断VLAN的划分,将PC1PC2的帧打上VLAN2的标签,将PC3PC4打上VLAN3的标签,将PC5的帧打上VLAN1的标签,然后在LSW2交换机内部处理发送至LSW2交换机的G0/0/2口,在G0/0/2口,VLAN2和VLAN3的帧带标签发送到LSW3的G0/0/1口,VLAN1的帧被去掉标签,以不带标签的帧发送到LSW3的G0/0/1口,在LSW3的G0/0/1口,带标签的帧直接按VLAN发送到对应VLAN,不带标签的帧被打上VLAN1标签,发送到默认VLAN1中。
这里有一个疑问,看上面的表6-2说明:
对于Hybrid端口来说,收到不带VLAN标签的帧的处理规则是在该帧中打上该端口的缺省的VLAN标签,当此缺省VLANID在该端口允许通过的VLAN ID列表里时,接收该帧,否则丢弃该帧。
通过上面的配置例子结果,可见虽然在LSW2的G0/0/2端口配置的是port hybrid tagged vlan2 to3,即该端口允许通过的VLANID列表应该是2和3,但是默认的1也被允许通过,所以才造成PC5和PC8能够PING通。
进行如下实验,将LSW1的G0/0/6口(即PC5的接口)的PVID改为4,则PC5与PC8之间PING不通。将LSW2或LSW3相互连接接口的pvid改为非默认值,都会造成PC5与PC8之间PING不通。
另一个实验:
LSW2交换机的直接连接PC设备的端口G0/0/2~G0/0/6启用基于MAC的VLAN划分,其中PC1PC2的MAC映射到VLAN2,PC3PC4的MAC映射到VLAN3,PC5的MAC不在映射表中,G0/0/7端口采用默认值,LSW1和LSW2之间采用trunk连接,LSW1中基于端口划分VLAN2和3,G0/0/4采用默认值。PC的IP从192.168.0.1——192.168.0.9
实验前的期望结果:PC1PC2PC6在VLAN2,能够PING通,PC3PC4PC7在VLAN3,能PING通,PC5PC9默认都是VLAN1,应该能够PING通,与PC8不确定。
按如上配置后,结果:
PC1能够PING通:PC2、PC3、PC4、PC5、PC6
PC2能够PING通:PC1、PC3、PC4、PC5、PC6
PC3能够PING通:PC1、PC2、PC4、PC5、PC7
PC4能够PING通:PC1、PC2、PC3、PC5、PC7
PC5能够PING通:PC1、PC2、PC3、PC4、PC8、PC9
PC6能够PING通:PC1、PC2
PC7能够PING通:PC3、PC4
PC8能够PING通:PC5、PC9
PC9能够PING通:PC5、PC8
PC1~PC5相互能PING通,无标签帧经过端口后,将被打上VLAN1或2或3标签,此五个端口又设置的是port hybrid vlan 2 3,默认的vlan1也能通过,所以能够PING通。
PC5与PC8和PC9互通,因为都在默认的VLAN1中,LSW1与LSW2的连接使用trunk,允许vlan2、3通过,默认的vlan1也通过了,VLAN1的标签被去掉,以不带标签帧通过trunk。
修改一下配置:
将G0/0/2、G0/0/3设置为port hybrid untagged vlan 2,G0/0/4、G0/0/5设置为port hybrid untagged vlan 3,则PC1PC2与PC3PC4之间不能互通。
通过上面的实验,在一台交换机的多个端口启用基于MAC的VLAN划分且VLAN不止一个,则还要基于端口进行划分,即端口上要设置port hybrid Untagged vlan ?,这里的vlan只能设置一个,如果设置多个,则这几个VLAN间有可能互通。
所以基于MAC的VLAN划分,也要先规划基于端口VLAN划分(区别于前面的基于端口划分VLAN),在此基础上,再进行MAC匹配。
如果不想让默认的端口数据帧通过trunk传输出去,改变trunk端口或hybrid端口的pvid,不要使用默认的vlan1。
三、基于子网划分VLAN
基于子网划分VLAN是基于数据帧中上层(网络层)IP地址或所属IP网段进行的VLAN划分,与“基于协议划分VLAN”统称为“基于网络层划分VLAN”,也属于动态VLAN划分方式。
基于子网VLAN的划分思想是把用户计算机网卡上的IP地址配置与某个VLAN进行关联(是“用户计算机网卡IP地址”与“VLAN”之间的映射,不考虑用户计算机所连接的交换机端口)。基于IP子网划分的VLAN也只处理Untagged数据帧,所以也只能在Hybrid类型端口上进行划分。
基本配置思路
(1)创建用于与用户主机IP地址关联的VLAN
(2)在以上创建的VLAN视图下关联用户IP地址,建立IP地址与VLAN的映射表,以确定哪些用户IP地址可划分到以上创建的VLAN中。
(3)配置各用户连接的交换机二层以太网端口类型为Hybrid,并允许前面创建的基于IP地址划分的VLAN以不带标签方式通过当前端口。
(4)(可选)配置VLAN划分方式的优先级,确保优先基于IP地址划分VLAN。
(5)在Hybrid交换机端口上(注意,不一定在连接用户计算机的Hybrid端口上)使能基于IP地址划分VLAN功能,完成基于IP地址划分VLAN。
实验拓扑图:
实验前的期望结果:PC1PC2划归VLAN100,与PC6能够互通,PC3PC4划归VLAN200,与PC7互通,按照前面的实验结果,默认配置的PC5、PC8、PC9之间也应该互通。
测试结果:PC1PC2PC6互通,PC3PC4PC7互通,PC5PC8PC9互通,与配置前预期相同。
另一个实验:
按如上配置后:PC1PC2PC6互通,PC3PC4PC7互通,PC5PC8互通。
将PC5和PC8的地址改为192.168.0.5和192.168.0.8,PC5PC8互通,但是与VLAN2中的机器不通。
通过上述实验:基于MAC与基于IP子网的VLAN划分,在处理默认端口上有区别,基于MAC的VLAN,在VLAN中的机器能够与同一台交换机中的其他没启用基于MAC划分VLAN的端口的设备互通,基于IP子网VLAN则不通。
如上,PC1PC2与PC3是不通的,但是如果是基于MAC的VLAN划分,则是互通的。