Vlan的作用(Vlan工作于OSI參考模型的第二層)
Vlan(Virtual Local Area Network)虛擬局域網,將一個物理的LAN在邏輯上劃分為多個廣播域,在交換機上實現廣播域隔離(增強局域網的安全性、限制廣播風暴、簡化網絡管理)
Vlan實現廣播域隔離的原理——Vlan標簽又稱為tag
Vlan通過將二層數據幀打上Vlan標簽(打上Vlan標簽也就是封裝Vlan),正常情況下,不同Vlan Tag的數據包是無法二層直接互訪的,以此來實現廣播域的隔離
可以理解為一個Vlan對應一個廣播域,同一Vlan內的主機可以二層直接通信,不同Vlan間的主機無法二層直接通信
Vlan生成方式
靜態Vlan :交換機上的端口以手動方式分配給Vlan(常用方式)
動態Vlan :配置VMPS服務器,可以根據連接到交換機端口的設備的源MAC地址,動態將端口分配給Vlan(即將MAC地址與Vlan綁定)
語音Vlan :將端口配置到語音模式,可以使端口支持連接到該端口的IP電話
Vlan的封裝模式
Vlan有兩種封裝模式,一種是ISL協議(思科私有的協議),一種是802.1Q(業界標準協議)
兩者能夠執行相同的任務,只是兩者的幀格式不一樣
ISL協議
ISL 協議成為交換鏈路內協議,是通過使用ISL協議頭和協議尾封裝整個第2層的以太幀實現Vlan封裝的;正因為此,ISL 被認為是一種能在交換機間傳送第2層任何類型的幀或上層協議的獨立協議(即 不僅可以為以太網數據幀打Vlan標簽,還可以對ATM等數據幀打Vlan標簽)
CRC表示循環冗余校算法,FEC表示幀校驗序列(存放通過CRC校驗得到的值 32位,4字節)
DA:40位的目的地址,該地址是一個多播地址
為0x01-00-0C-00-00或0x03-00-0c-00-00(用于告訴對端此數據包采用ISL格式)
Type:幀類型,代表被封裝的幀的類型
0000 | 以太網 |
0001 | 令牌環 |
0010 | FDDI |
0011 | ATM |
User:用戶自定義的(默認為0000)
對于以太網數據幀而言,低二位代表數據包的優先級
XX00 | 一般優先級 |
XX01 | 第 1 優先級 |
XX10 | 優先級 2 |
XX11 | 最高優先級 |
SA:源地址
是ISL數據包的源地址,應設置為傳輸幀的交換機端口的 MAC地址(接收設備可能忽略幀的SA字段)
LEN:長度
存儲原始數據包的實際大小,不包括DA、TYPE、USER、SA、LEN、FCS字段,總共18字節
所以LEN字段的值+18字節就是數據包的總長度
AAAA03(SNAP):子網訪問協議SNAP和邏輯鏈路控制LLC
AAAA03字段為一個24位的常量值0xAAAA03
HSA:源地址的高位,可以知道交換機設備制造商
24位值,表示SA字段的前3個地址,必須包含值0x00-00-0C(思科私有協議)
Vlan:目標虛擬 LAN ID
數據包的Vlan,用于區分不同Vlan上的幀;是一個15位的值
BPDU:與STP聯動
INDX:索引
顯示數據包送出交換機時的源端口索引,只用于診斷目的
接收時會忽略
RES:保留用于令牌環和FDDI
802.1Q協議
IEEE802.1Q協議規定,通過在以太網幀的源目的MAC字段之后、協議類型之前加入4字節的802.1Q Tag實現Vlan封裝的
由于以太網數據幀發生了變化,所以設備在進行數據幀發送時會對發送的數據幀重新計算FCS
由于抓包軟件的問題,封裝順序不明顯;實際的Tag封裝在源MAC和Type之間的
Type:標識上層協議類型(0x0800標識上層協議為IPv4)
PRI:表示數據幀的優先級
DEI:標識MAC地址的格式(0表示為規范格式)
VlD:Vlan標識符(0表示沒有Vlan標簽,但是設置了以太網幀的優先級,一般在QOS中出現)
注意事項
一個端口可以屬于多個Vlan,但是只有一個PVID(PVID是華為的叫法,思科的叫法為本幀Vlan)
PVID:端口的Vlan ID號
二層接口類型
接口接收報文的方向指的是報文從接口進入交換機的方向
接口發送報文的方向指的是報文從交換機通過接口發送出去的方向
二層Vlan接口可以分為三種接口模式
Access接口:一般用于PC和交換機相連接口
Trunk接口:一般用于交換機之間互聯接口、交換機單臂路由場景下與路由器連接的端口
Hybrid接口:根據實際需求使用(一般不用此接口)
注意事項
PC和路由器的物理接口無法接收帶標簽的數據包
Mac地址表也會有vlan信息(轉發時也要看目的MAC和vlan tag的信息)
路由器的虛擬接口(物理子接口)只接收帶對應Vlan標簽的數據包
Access接口
在配置時只能配置PVID(華為說法,思科說法為本幀Vlan)
特點:只可以發送一個UnTag的幀
接口接收幀時處理動作
接口收到帶Tag幀,如果該Tag與PVID一致則允許其進入交換機內部;如果該Tag與PVID不一致則丟棄
接口收到帶UnTag幀;允許其進入交換機內部,并打上PVID
接口發送幀時處理動作
如果要發送的此幀帶Tag,并且該Tag與PVID一致時,剝離掉此Tag,并允許此幀從交換機內部通過此接口發送出去;如果該Tag與PVID不一致,則禁止此幀從交換機內部通過此接口發送出去
如果要發送的此幀為UnTag,無此情況(進入到二層交換機的幀都帶tag,默認tag1)
Trunk接口
在配置時可以配置接口所屬Vlan(允許通過的Vlan),也可以配置PVID
特點:****只允許所屬Vlan進入交換機和發出交換機
允許多個帶Tag的幀從交換機發出,只允許一個Untag的幀從交換機發出
接口接收幀時處理動作
接口收到帶Tag幀,如果此Tag在接口所屬Vlan中則允許其進入交換機內部;如果此Tag不在接口所屬Vlan中則丟棄(無論Tag是否與PVID相同,只要此Tag不在允許通過的Vlan中都丟棄)
接口收到帶UnTag幀,當PVID在接口所屬Vlan中時,允許其進入交換機內部,并打上PVID;當PVID不在接口所屬Vlan中時則丟棄
接口發送幀時處理動作
要發送的此幀帶Tag,此Tag不在接口所屬Vlan中,則禁止此幀從交換機內部通過此接口發送出去
要發送的此幀帶Tag,此Tag在接口所屬Vlan中,并且該Tag與PVID一致,則剝離此Tag標簽,并允許此幀從交換機內部通過此接口發送出去;此Tag在接口所屬Vlan中,并且該Tag與PVID不一致,則允許此幀從交換機內部通過此接口發送出去
如果要發送的此幀為UnTag,無此情況(進入到二層交換機的幀都帶tag,默認tag1)
Hybrid接口
可以配置PVID,也可以配置接口所屬Vlan(包括Untag Vlan ID列表和Tag Vlan ID列表)
特點:只允許所屬Vlan進入交換機和發出交換機
允許多個帶Tag的幀從交換機發出,允許多個Untag的幀從交換機發出
接口接收幀時處理動作
同Trunk接口接收幀時的處理動作,只不過接口所屬Vlan范圍擴大了,只要在Untag Vlan ID列表或Tag Vlan ID列表中的任意一個都可以
接口收到帶Tag幀,如果此Tag在接口所屬Vlan中;則允許其進入交換機內部
接口收到帶Tag幀,如果此Tag不在接口所屬Vlan中;則丟棄(無論Tag是否與PVID相同,只要此Tag不在允許通過的Vlan中都丟棄)
接口收到帶UnTag幀,當PVID在接口所屬Vlan中時,允許其進入交換機內部,并打上PVID;當PVID不在接口所屬Vlan中時則丟棄
接口發送幀時處理動作
要發送的此幀帶Tag,此Tag不在接口所屬Vlan中,則禁止此幀從交換機內部通過此接口發送出去
要發送的此幀帶Tag,此Tag在接口所屬Vlan中,如果是在Untag Vlan ID列表中時,則剝離此Tag標簽,并允許此幀從交換機內部通過此接口發送出去
要發送的此幀帶Tag,此Tag在接口所屬Vlan中,如果是在Tag Vlan ID列表中,則允許此幀從交換機內部通過此接口發送出去
如果要發送的此幀為UnTag,無此情況(進入到二層交換機的幀都帶tag,默認tag1)
不同Vlan之間的通信
一般來說,不同的Vlan為不同的網段,如果為不同網段不同Vlan下的通信,實現方式有以下三種
1、在交換機上配置三層Vlan接口(也就是Vlanif接口--是一個虛擬接口,與Vlan對應)
2、通過單臂路由實現,交換機只需要為二層交換機(通過在路由器上的某個物理接口創建多個虛擬的子接口,每個子接口都有對應的Vlan編號,該接口只能接受對應Vlan編號的數據)
3、為每一個Vlan使用一根網線來完成通信(不推薦)
如果不同的Vlan為相同網段,可以通過修改二層端口的接口類型來實現互通。
審核編輯:劉清
-
交換機
+關注
關注
21文章
2637瀏覽量
99537 -
VLAN
+關注
關注
1文章
277瀏覽量
35640 -
虛擬局域網
+關注
關注
0文章
40瀏覽量
9716 -
CRC校驗
+關注
關注
0文章
84瀏覽量
15207
原文標題:Vlan的封裝模式和端口講解(Access、Trunk、Hypbrid端口)
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論