路由通信 的 VLAN技术

发布于:2024-10-18 ⋅ 阅读:(42) ⋅ 点赞:(0)
一、VLAN基础

虚拟局域网(Virtual Local Area Network,VLAN)

根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。

交换机最多支持4094个VLAN,其中默认管理VLAN是VLAN1,不能创建,也不能删除。(VLAN有12位=212=4096,0和4095特殊不能使用,能用有1-4094)

不同VLAN间通信需要经过三层设备,常见的三层设备有路由器、三层交换机、防火墙等。

中继器和集线器都是一个冲突域,交换机的一个接口为一个冲突域,一个VLAN为一个广播域。

1、冲突域

冲突域是指连接在同一共享介质上的所有节点的集合,冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到。

图片

在传统的以太网中,同一介质上的多个节点共享链路带宽,争用链路的使用权,这样就会发生冲突。

同一介质上的节点越多,冲突发生的概率越大。

图片

交换机不同的接口发送和接收数据独立,各接口属于不同的冲突域,因此有效地隔离了网络中物理层冲突域,使得通过它互连的主机(或网络)之间不必再担心流量大小对于数据发送冲突的影响。

集线器在一个冲突域,交换机的一个接口是一个冲突域。

2、广播域

广播报文所能到达的整个访问范围称为二层广播域,简称广播域,同一广播域内的主机都能收到广播报文。

图片

在传统的以太网中,同一介质上的多个节点共享链路,一台设备发出的广播报文,所有设备均会收到。

图片

交换机对广播报文会向所有的接口都转发,所以交换机的所有接口连接的节点属于一个广播域,路由器每个接口是一个广播域。

  • 某IP网络连接如下图所示,下列说法中正确的(?)。

图片

    A.共有2个冲突域

    B.共有2个广播域

    C.计算机S和计算机T构成冲突域

    D.计算机Q查找计算机R的MAC地址时,ARP报文会传播到计算机S

    参考答案:B

    一个集线器是一个冲突域,一个交换机接口是一个冲突域,路由器可以隔离广播。

    集线器、中继器默认在一个冲突域内

    网桥是2个接口的交换机

    路由器1个接口是1个冲突域,共4个冲突域,2个广播域

    ARP是广播

图片

图片

二、交换机VLAN划分

静态划分VLAN:基于交换机端口。

动态划分VLAN:基于MAC地址、基于策略、基于网络层协议、基于网络层地址。

图片

VLAN划分配置

(1)静态划分VLAN。手动把交换机的某些接口加入到某个VLAN,配置如下:

图片

(2)动态划分VLAN。根据MAC地址、网络层地址、网络层协议、IP广播域或管理策略划分。

1.基于MAC地址进行VLAN划分配置:

图片

2.基于策略进行VLAN划分配置:

图片

三、VLAN作用

(1)控制网络流量。一个VLAN内部的通信(包括广播通信)不会转发到其它VLAN中去,从而有助于控制广播风暴,减小冲突域,提高网络带宽的利用率。

(2)提高网络的安全性。可以通过配置VLAN之间的路由来提供广播过滤、安全和流量控制等功能。不同VLAN之间的通信受到限制,提高了企业网络的安全性。

(3)灵活的网络管理。VLAN机制使得工作组可以突破地理位置的限制而根据管理功能来划分。如果根据MAC地址划分VLAN,用户可以在任何地方接入交换网络,实现移动办公。

802.1Q标签

802.1Q标签字段,重点掌握PRI和VID。

PRI(3位):Priority表示优先级,提供0~7共8个优先级,当有多个帧等待发送时,按优先级顺序发送数据包。

VID(12位):即VLAN标识符,最多可以表示212=4096个VLAN,其中VID 0用于识别优先级,VID 4095保留未用,所以最多可配置4094个VLAN。默认管理VLAN是1,不能删除。

交换机添加和删除VLAN标签的过程由专用硬件自动实现,处理速度很快,不会引入太大的延迟。

从用户角度看,数据源产生标准的以太帧,目标接收的也是标准的以太帧,VLAN标记对用户是透明的。

图片

交换机端口类型

Access接口:只能传送单个VLAN数据,一般用于连接PC/摄像头等终端。

Trunk接口:能传送多个VLAN数据,一般用于交换机之间互联。

Hybrid接口:混合接口,包含access和trunk属性。(华为交换机默认接口)

QinQ:双层标签,一般用于运营商城域网。

图片

WLAN技术扩展

(1)QinQ:也叫Stacked VLAN或Double VLAN,该标准出自IEEE 802.1ad,它将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络。通过两层VLAN标签,可以解决VLAN ID不足的问题,同时实现用户隔离。比如运营商网络中,需要给每个家庭用户分配一个VLAN,但可用VLAN ID只有4096个,那么QinQ双层VLAN标签可以很好解决这个问题。(打两层vlan标签4096x4096=1600万)

(2)虚拟扩展局域网VxLAN(Virtual eXtensible Local Area Network)主要应用于数据中心,满足多租户隔离和虚拟机迁移需求。VxLAN在传统VLAN技术的基础上主要进行了如下2项改进:

1.扩展虚拟网络数量:传统VLAN有12bit表示VLAN ID,可用VLAN ID是4094个。VxLAN用24bit表示VNI(VxLAN Network Identifier,虚拟网络标识符),可表示1600万个虚拟网络,满足数据中心海量租户隔离的需求。

2.通过定义UDP封装,实现大二层网络,满足数据中心虚拟机迁移需求。

    传统vlan封装是二层封装

    vxlan封装穿越互联网,跨越广域网实现虚拟机迁移

(3)SuperVLAN:也叫VLAN聚合(aggrtgate-vlan),可以节省IP地址,同时满足业务隔离的需求。传统网络中一个VLAN对于一个子网,由于每个子网都有网络地址、广播地址,还需要分配Vlanif网关地址,存在较大地址浪费。SuperVLAN技术可以实现不同VLAN共享同一段IP地址,同时又能保证各个VLAN的隔离。

Super-VLAN

VLAN 10为Super-VLAN,VLAN2~VLAN4作为Super-VLAN 10的Sub-VLAN。Sub-VLAN2、Sub-VLAN3和Sub-VLAN4共用一个子网10.1.1.0/24,这样,该网络中就只有一个子网号10.1.1.0、一个子网缺省网关地址10.1.1.1和一个子网定向广播地址10.1.1.244共3个IP地址不能被主机使用,其余都可以被主机使用。而且,各Sub-VLAN间的界线也不再是从前的子网界线了,它们可以根据其各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围,比如Sub-VLAN2实际需要10个,就给它分配10.1.1.2~10.1.1.11的网段。

图片

四、MUX-VLAN技术要点

MUX-VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。

通过MUX-VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的,可以实现业务隔离,还能节省VLAN资源。

MUX-VLAN技术将VLAN分为:主VLAN和辅助VLAN(组VLAN、隔离VLAN)

(1)组VLAN内的端口,可以互通

(2)隔离VLAN内的端口,不可以互通

(3)任何辅助VLAN之间,不可以互通

(4)任何辅助VLAN,都可以和主VLAN口互通

(5)每个主VLAN,最多只有1个隔离VLAN

(6)在配置MUX-VLAN时候,必须将成员端口启用MUX-VLAN功能。

典型案例

图片

需求:

(1)PC1不能和PC2互通。

(2)PC3可以和PC4互通。

(3)所有PC都要和Server互通。

(4)PC1-2和PC3-4不能互通。

配置

VLAN 100为主网关

VLAN 200为隔离VLAN

VLAN 300为组VLAN

图片

图片

  • 以下关于VLAN标识的叙述中,错误的是(?)。

    A.VLAN ID用12bit表示

    B.VLAN ID的扩展范围是1025-4096

    C.VLAN ID标准范围内可用于Ethernet的VLAN ID为1-1005

    D.VLAN Name用32字符表示,可以是字母和数字。

    参考答案:B

    VLAN ID字段VID占12位,也就是最多4096个,其中0和4095是协议保留,可用VLAN范围是1-4094。标准范围VLAN是1-1005,1006-4094是扩展VLAN。

    注:1002-1005也有特殊用途,用于FDDI和令牌环的默认VLAN,不能删除。1002是fddi-default,1003是token-ring-default令牌环的,1004是fddinet-default,1005是trnet-default。

    【思科的叫法,了解即可,以前低端交换机只支持1k VLAN,即标准范围1-1005,思科中高端交换机3550以上才支持4K VLAN,即4094个VLAN,现在企业级的交换机,无论低端还是高端都支持4K VLAN】

  • (?)命令可通过VLAN对二层流量隔离,实现对网络资源控制。

    A.management-vlan    B.voice-vlan    C.mux-vlan    D.aggrtgate-vlan

    参考答案:C

    MUX VLAN能够提供VLAN内的二层流量隔离机制。MUX VLAN的类型如下所示:

    主VLAN:加入主VLAN的接口可以和MUX VLAN内的所有接口进行通信。

    从VLAN:

    (1)隔离型从VLAN:同一VLAN内接口之间不能互相通信,可以与主VLAN接口通信,不同从VLAN之间不能互相通信。

    (2)互通型从VLAN:同一VLAN内接口之间可以互相通信,可以与主VLAN接口通信,不同从VLAN之间不能互相通信。

  • 某高校实验室拥有一间100平方米的办公室,里面设置了36个工位,用于安置本实验室的36名研究生。根据该实验室当前项目情况,划分成了3个项目组,36个工位也按照区域聚集原则划分出3个区域。该实验室采购了一台具有VLAN功能的两层交换机,用于搭建实验室有线局域网,实现三个项目组的网络隔离。初期考虑到项目组位置固定,且有一定的人员流动,搭建实验室局域网时宜采用的VLAN划分方法是(1)。随着项目进展及人员流动加剧,项目组区域已经不再适合基于区域聚集原则进行划分,而且项目组长或负责人也需要能够同时加入到不同的VLAN中。此时宜采用的VLAN划分方法是(2)。    

    在项目后期阶段,三个项目组需要进行联合调试,因此需要实现三个VLAN间的互联互通。目前有两种方案:

    方案一:采用独立路由器方式,保留两层交换机,增加一个路由器。

    方案二:采用三层交换机方式,用带VLAN功能的三层交换机替换原来的两层交换机。与方案一相比,下列叙述中不属于方案二优点的是(3)。

    (1)A.基于端口    B.基于MAC地址    C.基于网络地址    D.基于IP组播

    (2)A.基于端口    B.基于MAC地址    C.基于网络地址    D.基于IP组播

    (3)A.VLAN间数据帧要被解封成IP包再进行传递

        B.三层交换机具有路由功能,可以直接实现多个VLAN之间的通信

        C.不需要对所有的VLAN数据包进行解封、重新封装操作

        D.三层交换机实现VLAN间通信是局域网设计的常用方法

    参考答案:(1)A    (2)B    (3)A

    固定工位可以基于端口划分VLAN,位置调整可以基于MAC地址划分VLAN。

    第(3)空按传统路由器和交换机理解,路由器是每个数据包都需要经过“解封装-查询路由表-再封装”的过程,速度相对较慢,而三层交换机“一次路由,多次交换”,即第一个数据包需要路由,后续的数据包直接交换,从而大大降低转发延迟。但目前最新的路由器和交换机可以通过路由表生成转发表,通过硬件芯片直接进行数据转发,可以理解为“不用路由,直接转发”,也叫快速交换。

    注:“不用路由”不是指不用路由表,而是没有CPU“解封装-查询路由表-再封装”的过程,直接通过硬件芯片根据转发表转发数据。生成转发表也是需要用到路由表的。