VLAN(Virtual Local Area Network):虚拟局域网
简介:交换机能够隔绝冲突域,但并不能隔绝广播域,通过多个交换机连接在一起的所有计算机都在一个广播域中,任何一台计算机发送广播包,其他计算机都会收到,这就使链路带宽的利用率大大降低,同时也使计算机的CPU忙于处理不需要的广播包,这时就需要使用VLAN。
VLAN作用:VLAN分割(隔绝)广播域,VLAN工作在OSI的第二层;VLAN是交换机端口的逻辑组合,可将同一交换机上的端口组合成一个VLAN,也可将不同交换机上的端口组合成一个VLAN。
注:一个VLAN就是一个广播域,VLAN之间通信必须使用三层设备
VLAN的优点:
1.防范广播风暴:将网络划分为多个VLAN可减少参与广播风暴的设备数量,每一个VLAN是一个广播域,在每一个广播域中的计算机数量就大为减少
2.安全:含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性
3.提高性能:将第二层平面网络划分为多个逻辑工作组可减少网络上不必要的流量并提高性能
4.提高管理效率:由于VLAN是逻辑上的组合,管理员可以很容易的通过修改配置重新划分VLAN,而不需要更改物理拓扑,大大提高了管理的效率
划分VLAN的方法:
1.基于端口划分(静态)
2.基于MAC划分(动态)
3.基于网络地址、网络协议类型划分(动态)
一、Trunk简介
当一个VLAN跨过不同交换机时,在同一VLAN上但接在不同的交换机上的计算机需要通信时,将如何实现呢?可在交换机之间为每一个VLAN都增加连线,然而这种方法在有多个VLAN时会占用太多以太网接口。
因此可使用Trunk技术实现跨交换机的VLAN内通信,该技术是得在一条物理链路上可以传送多个VLAN的数据
原理:交换机从属于某一VLAN的端口接收到数据,在Trunk链路上进行传输前,会加上一个标记,表名该数据是该VLAN的,到了对端交换机,交换机会把该标记去掉,只发送到属于该VLAN的端口上。
Trunk帧标记技术:
vlan.bat使用native VLAN标记传递
1)ISL:思科私有技术,不能再思科交换机与非思科交换机之间使用;在原有帧上重新加了一个帧头,并生成新的帧校验序列(FCS)
格式:30字节,15位用于标记VLAN ID,5位保留;支持1024个VLAN,支持所有数据链路层协议
2)IEEE 802.1q:国标技术,所有厂商支持,在原有帧的源MAC地址后插入4字节的标记字段,同时用新的FCS字段
格式:4字节,12位标记VLAN ID;支持4096个VLAN,仅支持以太网
注:Trunk链路上把数据重新封装,将直接导致帧头变大,从而影响效率
可在Trunk链路上指定一个Native VLAN(本征VLAN,默认是VLAN1),这样来自Native VLAN的数据帧通过Trunk链路时不重新封装,以原有的帧传输。(要在Trunk链路上指定的两端指定的Native VLAN要一致,则将导致数据帧从一个VLAN传播到另一个VLAN上
二、DTP简介
管理员可使用手动指定交换机之间的链路是否形成Trunk,也让思科交换机自动协商,这个协议称为DTP(动态中继协议),DTP还可协商Trunk链路的封装类型。
配置了DTP的交换机会发送DTP协商包,或对对方发送来的DTP进行响应,双方最终一致同意它们之间的链路是否形成Trunk,以及采用什么样的Trunk封装方式
DTP总结
negotiate模式:会把接口强制置成Trunk模式,并会主动请求对方启用Trunk,也会响应对方的请求
desirable模式:期望将接口置成Trunk模式,会主动请求对方启动Trunk,也会响应对方的请求,只要对方响应请求就会成功协商成Trunk
auto模式:不会主动请求对方启用Trunk,但会响应对方请求,如果对方主动请求则会成功协商Trunk
nonegotiate模式:已经将接口强制置成Trunk模式,但不主动请求对方启用Trunk,也不响应对方的请求,除非对方已经将接口强制置成Trunk模式,否则无法形成Trunk
三、EtherChannel简介
EtherChannel(以太通道)是交换机之间的多链路捆绑技术
原理:
将两个设备间多条快速链路以太或千兆位以太物理链路捆绑在一起组成一条逻辑链路,从而达到带宽倍增的目的。
作用:
1.增加带宽
2.负载分担
3.链路冗余
EtherChannel分发流量的方法是对报文中的选定字段进行Hash运算,生成0~7的数值,并根据Hash结果将报文发送到物理链路上
注:EtherChannel不一定将流量平均分配到个物理链路上
例如:
1.有3条链路,流量为随机流量,各物理链路的流量比例为3:3:2;
2.有2条链路,采用基于目的IP的负载均衡,则到达同一服务器的流量只会从一固定链路上发出,而另一条链路上没有流量
一个EtherChannel最多可以捆绑16个接口,其中最多有8个接口是活动的,同一组的EtherChannel中的全部接口配置应该全部相同
目前有两种EtherChannel技术:(on表示管理员手工配置了EtherChannel)
1.PAGP(端口聚集协议):思科私有
2.LACP(链路汇聚控制协议):公有标准
四、VTP简介
1.VTP的作用
假设一个网络中有X个交换机,网络中划分Y个VLAN。为保证网络正常工作,需要在每个交换机上配置Y个VLAN,一共配置X*Y个。
VTP(VLAN中继协议)可以简化这项工作,使得VLAN的管理自动化
2.VTP域和VTP角色
VTP域(VTP Domain):有需要共享相同VLAN信息的交换机组成,只有在同一个VTP域(VTP域名相同)的交换机才能同步VLAN信息。
角色:
1)Server模式【服务器模式】:该模式能在交换机上创建、修改、删除VLAN,同时将这些信息通告给域中的其他交换机;VTP Server在收到其他交换机的VTP通告会更改自己的VLAN信息并进行转发。VTP Server会将VLAN信息保存在NVRAM(非易失性随机访问存储器)中,即vlan.dat文件(该文件不会随交换机的重启而消失)。
注:每个域中至少有一台交换机配置Server
2)Client模式【客户机模式】:该模式下不允许创建、修改、删除VLAN,但会监听来自其他交换机的VTP通告并更改自己的VLAN信息,接收到的VTP信息也会在Trunk链路上向其他交换机转发,因此还能充当VTP中继;VTP Client会将VLAN信息保存在RAM(随机访问存储器)中,重启后这些信息会消失。
3)Transparent模式【透明模式】:该模式的交换机不完全参与VTP,可以在该模式上创建、修改、删除VLAN,但这些VLAN信息不会通告给其他交换机,同时也不接受来自其他交换机的VTP通告来更新自己的VLAN信息;VTP Transparent仅会将自己的VLAN信息保存在NVRAM中
注:该模式会通过Trunk链路转发接收到的VTP通告,充当了VTP中继角色,因此可将该交换机看成透明交换机
VTP模式比较
3.VTP通告
VLAN信息的同步是通过VTP来实现,VTP通告只能在Trunk链路上传输。VTP通告是以组播帧发送的,其中有一个字段称为修订号(Revision),代表VTP帧的修订级别,是一个32位的数字。交换机的默认配置号为0.每次添加或删除VLAN时,修订号就会增加。
**作用:**修订号用于确定从另一台交换机收到的VLAN信息是否比存储到本机上的信息还新。如果收到的VTP通告修订号更高,则本机将根据此通告更新自身的VLAN信息;反之,交换机收到的修订号更低时,本交换机会用自身的VLAN信息反向覆盖
注:Revision高的会覆盖Revision低的通告,无论自己或对方是Server或Client
VTP通告
VTP通告种类:
1)总结通告:包含VTP域名、当前修订版本号和其他VTP配置详细信息
在以下情况发送:VTP Server或Client每5分钟发送一次总结通告给邻居交换机,通告当前VTP修订号;执行配置操作后也会立即发送
格式:
2)子集通告:包含VLAN信息
触发子集通告的更改:创建或删除VLAN,暂停或激活VLAN、更改VLAN名称、更改VLAN的MTU
可能需要多个子集通告才能完全更新VLAN信息。子集通告列出每个VLAN的信息,包括默认VLAN
格式:
3)请求通告:
向相同的VTP域中的VTP Server发送请求通告时,VTP服务器的响应方式是:先发总结通告,再发子集通告。当发生VTP域名变动、交换机收到的总结通告比自身更高的修订号更高、子集通告由于某些原因丢失、交换被重置时,会发送请求通告
格式:
4.VTP修剪
修改不必要的扩散流量,减少资源的占用;仅仅在server模式下可以生效
修剪模式:
1.宏观修剪,全局开启
2.在该trunk干道上,专门针对某个VLAN的流量进行修剪
四、私有VLAN简介
随着网络的发展,用户提出对网络安全性的更高要求。传统解决方法是给每个用户分配一个VLAN和相关IP子网,从而使每个用户从第二层被隔开,但是用这种方法使得网络的扩张性受到局限。因此推出PVLAN
在私有VLAN中,交换机有三种端口类型:隔离端口、团体端口、混杂端口;并分别对应了不同的VLAN类型:隔离VLAN、团体VLAN、混杂VLAN;代表一个私有VLAN的是主VLAN,隔离VLAN、团体VLAN也称为辅助私有VLAN,需要和主VLAN绑定,混杂端口属于主VLAN
在隔离VLAN中,隔离端口只能和混杂端口通信,彼此不能交换流量;在团体VLAN中,团体端口不仅可以和混杂端口通信,并彼此可以交换流量。混杂端口与路由器或三层交换机接口相连,可以与隔离端口和团体端口通信。
在PVLAN中,用户只需与自己的默认网关相连,一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接。当所有用户介入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN可保证一个VLAN中的各个端口相互不能通信,但可穿过Trunk端口,使同一VLAN中的用户相互之间不会受到广播的影响。