VLAN basic concepts
VLAN frame format
Traditional Ethernet data frames after the destination MAC address and source MAC address of the package is the upper layer protocol type field
Traditional Ethernet data frame format
802.1q frame format
Each protocol supports 802.1q switch sends a data packet will include VLAN ID, to indicate which part of the switch with a VLAN.
Accordingly, in a VLAN switched network, the Ethernet frame has two forms:
with marking frame (tagged frame): the addition of 4-byte frame 802.1q Tag
untagged frames (untagged frame): original, non-addition of 4 a frame byte 802.1q Tag
Link Type
VLAN There are two types of links:
an access link (Access Link): links to connect to hosts and switches.
Under normal circumstances, the host does not need to know that they belong to which VLAN, host hardware often does not recognize the frames with VLAN tags. Thus, the host transmits the received frame and all untagged frames.
Trunk link (Trunk Link): for a connection between the interconnection between the switches and routers or switches.
A plurality of trunk links may carry different VLAN data, a data frame transmission when the trunk link, both ends of the trunk link needs to be able to identify the data frame belongs to which VLAN, the frame transmitted on a trunk link are Tagged frames.
Note:
For the host, it does not need to know the existence of the VLAN. Issued by the host is untagged packets.
After receiving the packet switching device, according to the configuration rule (e.g., interface information) determines that the VLAN packet belongs, and then processed.
If the packet needs to be forwarded by another switch, the packet must be transmitted to the peer device via trunk exchange chain Reuters.
为了保证其它交换设备能够正确处理报文中的 VLAN 信息,在干道链路上传输的报文必须都打上了 VLAN 标记。
当交换设备最终确定报文出接口后,将报文发送给主机前,需要将 VLAN 标记从帧中删除,这样主机接收到的报文都是不带 VLAN 标记的以太网帧。
所以,一般情况下,干道链路上传输的都是 tagged 帧,接入链路上传送到的都是 untagged 帧。这样处理的好处是:网络中配置的 VLAN 信息可以被所有交换设备正确处理,而主机不需要了解VLAN 信息。
3、接口类型
在 802.1Q 中定义 VLAN 帧后,设备的有些接口可以识别 VLAN 帧,有些接口则不能识别 VLAN帧。根据对 VLAN 帧的识别情况,将接口分为 4 类:
Access 接口:
Access 接口是交换机上用来连接用户主机的接口,它只能连接接入链路。
仅仅允许唯一的 VLAN ID 通过本接口,这个 VLAN ID 与接口的缺省 VLAN ID 相同, Access 接口发往对端设备的以太网帧永远是不带标签的帧。
Trunk 接口
Trunk 接口是交换机上用来和其他交换机连接的接口,它只能连接干道链路,允许多个 VLAN 的帧(带 Tag 标记)通过。
Hybrid 接口
Hybrid 接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口
Hybrid 接口既可以连接接入链路又可以连接干道链路。Hybrid 接口允许多个 VLAN 的帧通过,并可以在出接口方向将某些 VLAN 帧的 Tag 剥掉。
QinQ 接口
QinQ(802.1Q-in-802.1Q)接口是使用 QinQ 协议的接口。 QinQ 接口可以给帧加上双重 Tag,即在原来 Tag 的基础上,给帧加上一个新的 Tag,从而可以支持多达 4094× 4094 个 VLAN(不同的产品支持不同的规格),满足网络对 VLAN 数量的需求。
QinQ 帧的格式如图所示。外层的标签通常被称作公网 Tag,用来存放公网的 VLAN ID。内层标签通常被称作私网 Tag,用来存放私网的 VLAN ID。
4、缺省 VLAN
每种类型的接口都可以配置一个缺省 VLAN,对应的 VLAN ID 为 PVID(Port Default VLAN ID)。接口类型不同,缺省 VLAN 的含义也有所不同。
VLAN 的划分
可以基于接口、 MAC 地址、子网、网络层协议、匹配策略方式来划分 VLAN。
划分 VLAN 的实现流程图
VLAN 通信原理
VLAN 基本通信原理
为了提高处理效率,交换机内部的数据帧一律都带有 VLAN Tag,以统一方式处理。
当一个数据帧进入交换机接口时,如果没有带 VLAN Tag,且该接口上配置了 PVID(Port Default VLAN ID),那么,该数据帧就会被标记上接口的 PVID。如果数据帧已经带有 VLAN Tag,那么,即使接口已经配置了 PVID,交换机不会再给数据帧标记 VLAN Tag。
由于接口类型不同,交换机对帧的处理过程也不同。下面根据不同的接口类型分别介绍。
VLAN 内跨越交换机通信原理
有时属于同一个 VLAN 的用户主机被连接在不同的交换机上。当 VLAN 跨越交换机时,就需要交换机间的接口能够同时识别和发送跨越交换机的 VLAN 报文。这时,需要用到 Trunk Link 技术。
Trunk Link 有两个作用:
中继作用:把 VLAN 报文透传到互联的交换机。
干线作用:一条 Trunk Link 上可以传输多个 VLAN 的报文。
如图所示的网络中,为了让 DeviceA 和 DeviceB 之间的链路既支持 VLAN2 内的用户通讯又支持 VLAN3 内的用户通讯,需要配置连接接口同时加入两个 VLAN。即应配置 DeviceA 的以太网接口 Port2 和 DeviceB 的以太网接口 Port1 同时加入 VLAN2 和 VLAN3。
当用户主机 Host A 发送数据给用户主机 Host B 时,数据帧的发送过程如下:
1. 数据帧首先到达 DeviceA 的接口 Port4。
2. 接口 Port4 给数据帧加上 Tag, Tag 的 VID 字段填入该接口所属的 VLAN 的编号 2。
3. DeviceA查询自己的MAC地址表中是否存在目的地址为DeviceB的MAC地址的转发表项。
如果存在, DeviceA 将数据帧转发给接口 Port2。
如果不存在, DeviceA 会将数据帧发送到本设备上除 port4 接口外的所有属于 VLAN2的接口。
4. 接口 Port2 将帧转发到 DeviceB 上。
5. DeviceB 收到数据帧后,会查询自己的 MAC 地址表中是否存在目的地址为 Host B 的 MAC地址的转发表项。
如果存在, DeviceB 会将数据帧发送给出接口 Port3。
如果不存在, DeviceB 会将数据帧发送到本设备上除 port1 接口外的所有属于 VLAN2的接口。
6. 接口 Port3 将数据帧发送给主机 Host B。
VLAN 间通信原理
划分 VLAN 后,不同 VLAN 之间不能直接通信。如果要实现 VLAN 间通信,可以采取以下方案:
方式一:子接口
如图所示, DeviceA 为支持配置子接口的三层设备, DeviceB 为二层交换设备。 LAN 通过DeviceB 的以太网接口(交换式以太网接口)与 DeviceA 的以太网接口(路由式以太网接口)相连。用户主机被划分到两个 VLAN: VLAN2 和 VLAN3。可通过如下配置实现 VLAN 间互通。
在 DeviceA 的以太网接口(与 DeviceB 相连的以太网接口)上创建 2 个子接口 Port1.1和 Port2.1,并配置 802.1Q 封装与 VLAN2 和 VLAN3 分别对应。
配置子接口的 IP 地址,保证两个子接口对应的 IP 地址路由可通。
将 DeviceB 与 DeviceA 相连的以太网接口类型配置为 Trunk 或 Hybrid 类型,允许 VLAN2和 VLAN3 的帧通过。
将用户设备的缺省网关设置为所属 VLAN 对应子接口的 IP 地址
主机 A 和 C 的通信过程如下:
1. 主机 A 将主机 C 的 IP 地址和自己所在网段进行比较,发现主机 C 和自己不在同一个子网。
2. 主机 A 发送 ARP 请求给自己的网关 DeviceA,请求网关的 MAC 地址。
3. DeviceA 收到该 ARP 请求后,返回 ARP 应答报文,报文中源 MAC 地址为 VLAN2 对应子接口的 MAC 地址。
4. 主机 A 学习到网关的 MAC 地址。
5. 主机 A向网关发送目的 MAC为子接口 MAC地址、目的 IP 为主机 C的 IP 地址的报文。
6. DeviceA 收到该报文后进行三层转发,发现主机 C 的 IP 地址为直连路由,报文将通过VLAN3 关联的子接口进行转发。
7. DeviceA 作为 VLAN3 内主机的网关,向 VLAN3 内发送一个 ARP 广播,请求主机 C的 MAC 地址。
8. 主机 C 收到网关发送的 ARP 广播后,对此请求进行 ARP 应答。
9. 网关收到主机 C 的应答后,就把主机 A 的报文发送给主机 C。主机 A 之后要发给 C 的报文都先发送给网关,由网关做三层转发。
方式二:VLANIF 接口
三层交换技术是将路由技术与交换技术合二为一的技术,在交换机内部实现了路由,提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后,会产生一个 MAC 地址与 IP地址的映射表。当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过三层,从而消除了路由器进行路由选择而造成的网络延迟,提高了数据包转发效率。
为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。 VLANIF 接口由此而产生。VLANIF 接口是三层逻辑接口,可以部署在三层交换机上,也可以部署在路由器上。
在图 3 所示的网络中,交换机上划分了 2 个 VLAN: VLAN2 和 VLAN3。可通过如下配置实现 VLAN 间互通。
在 Device 上创建 2 个 VLANIF 接口并配置 VLANIF 接口的 IP 地址,保证两个 VLANIF接口对应的 IP 地址路由可通。
将用户设备的缺省网关设置为所属 VLAN 对应 VLANIF 接口的 IP 地址。
Host A and C communication process is as follows:
1. Host A host's IP address and its own network segment C were compared, and their C hosts not in the same subnet.
2. Host A sends an ARP request for their gateway Device, request MAC address of the gateway.
3 Device After receiving the ARP request returns the ARP response packet, the source MAC address of the packet is the MAC address of VLANIF2.
4. A host learns the MAC address of the gateway.
5. Host A sends the destination MAC VLANIF interfaces to the gateway MAC address, destination IP address is the IP host C
address packets.
6. Device Layer 3 forwarding after receiving the packet, find the IP address of the host C is a direct route packets through
forwarded VLANIF3 interface.
7. Device as a gateway within VLAN3 host sends an ARP broadcast to the VLAN3, C of the requesting host
MAC address.
8. Host C receives an ARP broadcast sent by the gateway, an ARP reply to this request.
9. After receiving the response the gateway host C, put the packets sent to the host A host C. After the host A to C is sent
messages are first sent to the gateway, the gateway to do Layer 3 forwarding.