vlan基础概念
vlan技术可以将一个物理局域网在逻辑上划分成多个广播域,实质时隔离广播域
冲突域:
连接在同一导线上的所有工作站的集合,,或者说时同一我物理网段上所有结点的集合或以太网上竞争同意贷款的节点集合。集线器连接的所有节点都可以被认为是2在同一冲突域内,它不会划分冲突域。而二层设备(网桥,交换机)三层设备(路由器)都可以划分冲突域,冲突域是基于第一层 物理层
广播域:
网络中某一设备同时向网络中所有的其他设备发送数据,,这个数据所能广播到的范围就是广播域。路由器隔离了广播域,广播域是基于第二层 链路层
vlan数据帧格式:
在以太网数据帧源MAC地址后插入4字节tag
TPID:Tag Protocol Identifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这个帧携带802.1Q标签。如果不支持802.1Q的设备收到这个帧,会将其丢弃
TCI:Tag Control Information,2字节。帧的控制信息
(1)priority:3bit,表示帧的优先级,取值范围0-7,值越大优先级越高,交换机堵塞优先发送高优先级数据帧
(2)CFI:Canonical Format Indicator,1bit,CFI为1表示为非经典格式,为0是经典格式,在以太网中,CFI为0
(3)VLAN Identifier:vlan id ,12bit,在x7交换机系列中,可配置的范围0-4095,0和4095在协议中规定为保留的VLAN ID,不提供给用户使用
VLAN链路类型: access链路和trunk链路
接入链路(access link):用于连接用户主机和交换机的链路。通常情况下,主机不需要知道自己属于哪个vlan,主机硬件通常也不能识别带有vlan标记的帧。主机发送和接受的帧都是untagged帧
干道链路(trunk link):用于交换机之间的互连或者是交换机与路由器之间的连接。干道链路可以承载多个不同VLAN数据,数据帧在感到链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个vlan,所以在干道链路上传输的帧都是tagged帧
链路上的数据帧可以是tagged帧或者是untagged帧,交换机内不同接口之间运动的帧一定是tagged帧
vlan接口类型
access接口: 交换机上用来连接用户主机的接口,仅允许唯一的VLAN ID通过本接口。链路上收到数据帧,如果是untagged帧则添加PVID进行转发,如果是tagged帧则看是否与PVID相同,相同则转发不同就丢弃。
其他接口转发到access接口的数据帧,检查tag与PVID是否相同,相同则剥离tag后发送untagged数据帧,不同则丢弃数据帧
trunk接口:交换机上用来和其他交换机连接的接口,他只能连接干道链路,允许多个vlan的帧(带tag标记)通过,trunk接口除了要配置PVID还要配置允许通过的VLAN列表
链路上收到untagged数据帧,添加接口配置PVID然后看是否在允许列表中,在则转发不在则丢弃。链路上收到tagged数据帧,看tag是否在允许vlan列表中,在则转发不在丢弃
从其他接口转发到trunk接口的数据站,tag中的vlan id不在允许列表中,直接丢弃,如果允许通过,还要看是否与PVID相同(本征vlan),相同则剥离tag转发untagged帧,如果不相同,则直接转发这个tagged数据帧
Hybrid接口:是交换机上既可以连接用户主机,又可以连接其他交换机的接口。hybrid接口除了配置PVID,还要定义两个VLAN列表,untagged vlan列表和tagged vlan列表(配置 :port hybrid tagged vlan vlan-id ,port hybrid untagged vlan vlan-id)
链路上如果收到untagged数据帧则添加PVID然后看是否在两个列表中,在则转发不在则丢弃。如果收到tagged数据帧,看是否在两个列表中,在则转发不在则丢弃
从其他接口转发到hybrid接口的tagged数据帧,看是否在两个列表中,不在则丢弃。如果属于tagged vlan列表中则转发tagged帧,如果在untagged vlan列表中,则剥离tag转发untagged数据帧
缺省vlan:
每种类型的接口都可以配置一个缺省vlan,对应的vlan id为PVID(port default vlan id),接口类型不同,缺省vlan的含义不同
vlan的划分
基于端口的vlan:
根据交换设备的接口编号来划分vlan
成员移动需要重新配置vlan,基于接口划分vlan的优先级最低,但是是最常用的vlan划分方式
基于MAC地址的vlan:
根据计算机网卡的MAC地址来划分VLAN
网络管理员成功配置MAC地址和VLAN ID映射关系表,如果交换机收到的是untagged帧,则依据该表添加VLAN ID。使用此方法配置vlan,即使主机移动位置也不需要重新配置vlan
基于IP子网的vlan:
如果交换设备收到的是untagged帧,则依据报文中ip地址信息,确定添加的VLAN ID
基于协议的vlan:
根据数据真的协议类型,封装格式来分配VLAN ID,网络管理员需要首先配置协议类型和vlan id之间的映射关系。需要对网络中所有的协议类型和vlan id的映射关系表进行初始配置。需要分析各种协议的地址格式并进行相应的转换,消耗交换机较多的资源,速度上稍具劣势
基于策略的vlan:
使用几个条件的组合来分配vlan标签。这些条件包括IP地藏王,端口和IP地址等。只有当所有条件都匹配时,交换机才为数据帧添加vlan标签。另外,针对每一条策略都是需要手工配置的
优先级顺序 从高至低依次是:基于匹配策略划分vlan->基于mac地址划分vlan和基于子网划分vlan->基于协议划分vlan->基于接口划分vlan
vlan的配置与检查
vlan vlan-id 创建vlan,id取值范围1-4094。
vlan batch vlan-id1 to vlan-id2,创建多个连续vlan
vlan batch vlan-id 1 vlan-id2,创建多个不连续vlan,空格隔开vlan号
display vlan 验证配置结果,显示所有vlan的简要信息
display vlan vlan-id [ verbose ] 查看vlan的详细信息,包括vlan id ,类型,描述,vlan状态,vlan中的端口,以及vlan中端口的模式等
display vlan vlan-id statistics 可以查看指定vlan中的流量统计信息
display vlan summary 可以查看系统中所有vlan的汇总信息
port link-type <type> type可以配置为access,trunk或hybrid
access接口,使用两种方法把端口加入到vlan
1)进入到vlan视图,执行port<interface>命令,把端口加入vlan
2)进入到接口视图,执行port default vlan <vlan-id>命令,把端口加入vlan
trunk接口配置,先使用 port link-type trunk 命令来修改端口的类型为trunk,然后再配置trunk端口允许哪些vlan的数据帧通过。执行 port trunk allow-pass vlan{ { vlan-id1 [ to vlan-id2 ] } | all }命令,可以配置端口允许的VLAN,all表示允许所有vlan的数据帧通过。
hybrid接口配置,port link-type hybrid命令的作用是将端口的类型配置为hybrid。默认的情况下,x7系列交换机的端口类型是hybrid。 port hybrid pvid vlan < vlan-id > 配置接口的PVID。port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }命令用来配置允许哪些vlan的数据帧以tagged方式通过该端口。
port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }命令用来配置允许哪些vlan的数据帧以untagged方式通过该端口。port hybrid pvid vlan vlan-id
GVRP
GARP VLAN注册协议GVRP(GARP VLAN Registration Protocol)是通用属性注册协议GARP(Generic Attribute Registration Protocol)的一种应用,用户可以通过GVRP的vlan自动注册功能完成vlan的配置
GARP三种消息: join, leave, leave all
参与者希望其他交换机注册自己的属性,则会向它们发送join消息,让其他交换机注册这些新的属性
GARP参与者希望其他交换机注销自己的属性,则会发送leave消息
如果GARP参与者希望其他交换机注销所有属性,来重新注册自己发送的属性信息,则会向他们发送leave all消息
GVRP三种接口注册模式:
normal模式:允许接口动态注册,注销vlan,传播动态vlan以及静态vlan信息
fixed模式:禁止接口动态注册,注销vlan,只传播静态vlan,不传播静态vlan信息。也就是说即使允许所有vlan通过,实际通过的vlan也只能是手动创建的那部分
forbidden模式:禁止该接口动态注册,注销vlan,不传播除vlan1以外的任何vlan信息,也就是说被配置为forbidden模式的trunk接口,即使允许所有vlan通过,实际通过的vlan也只能是vlan1
GVRP配置
手动配置的vlan是静态vlan,通过GVRP创建的vlan是动态vlan,注册和注销都是单向的,要能保证正常通信必须双向注册和注销。所有交换机以及互连的接口都已经启用GVRP协议,各交换机之间相连的端口均为trunk端口并配置为允许所有vlan的数据通过
1)全局视图 gvrp,全局开启
2)接口视图gvrp,端口上使用
3)执行gvrp registration<mode>命令,配置端口的注册模式,可以配置为normal,fixed和forbidden。默认情况下,接口的注册模式是normal模式
display gvrp status 验证gvrp的配置,可以查看交换机是否使能了GVRP
display gvrp statistics 可以查看GVRP中活动接口的信息
vlan间通信
单臂路由
在交换机上,把连接到路由器的端口配置成trunk类型的端口,并允许相关vlan的帧通过。在路由器上需要创建子接口,一个子接口代表了一条归属于某个vlan的逻辑链路。通过在路由器上一个接口配置子接口(逻辑接口)实现原本互相隔离的不同vlan之间的互联互通
1)interface interface-type interface-number.sub-interface number 必须为每个字接口分配一个IP地址,IP地址与子接口所属vlan位于同一网段
2) dot1q termination vid vlan-id 需要在子接口上配置802.1q封装,来剥离和添加vlan tag,从而实现vlan间胡同
3)在子接口上执行命令 arp broadcast enable 使能子接口的ARP广播功能
三层交换
在三层交换机上配置VLANIF接口来实现vlan间路由。如果网络上有多个vlan,则需要给每个vlan配置一个VLANIF接口,并给每个VLANIF接口配置一个IP地址。用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址
interface vlanif vlan-id 命令用来创建VLANIF接口,vlan-id表示与VLANIF接口相关联的VLAN 编号
MUX VLAN
通过MUX VLAN 提供的二层流量隔离的机制
MUX VLAN的划分
主VLAN(principal vlan):可以与MUX VLAN内的所有vlan进行通信
隔离型从VLAN(separate vlan):只能和主vlan进行通信,和其他类型的vlan完全隔离,且其内部也完全隔离
互通型从VLAN(group vlan):可以和主vlan进行通信,在同一互通型从vlan内的用户可以互相通信,但不能和其他互通型从vlan或者是隔离型从vlan内用户通信
MUX VLAN技术中只能将一个VLAN设置为separate vlan,可以将多个vlan设置成group vlan
配置
1)port trunk allow-pass vlan vlan-id交换机互联的trunk链路允许所有对应vlan流量通过
2)每台交换机都创建主/从vlan,并指定主vlan所包含的从vlan以及类型:
vlan 40
description Principal VLAN
mux-vlan
subordinate separate 30
subordinate group 10 20
3)接入接口开启MUX VLAN并指定所属VLAN编号:
port linktype access
port default vlan 30
port mux-vlan enable