VLAN培训文档

1、VLAN 培训 张杰概要o交换工作原理oVLAN技术产生背景.oVLAN技术的特点.oVLAN技术的实现.oVLAN技术的应用.oVLAN的数据转发.要掌握的知识o为什么要用VLAN?oVLAN是怎么实现的?oVLAN是怎么转发数据的?oVLAN是怎么维护转发表的?交换基础知识MAC转发表共享式MAC表.交换机转发过程.冲突域o在以太网中，如果某个CSMA/CD网络上的两台计算机在同时通信时会发生冲突，那么这个CSMA/CD网络就是一个冲突域。如果以太网中的各个网段以中继器连接，因为不能避免冲突，所以它们仍然是一个冲突域。o使用交换机可有效避免冲突。而集线器则不行！因为交换机可以利用物理地址进

2、行选路，它的每一个端口为一个冲突域。而集线器不具有选路功能，只是将接受到的数据以广播的形式发出，极其容易产生广播风暴。它的所有端口为一个冲突域。o冲突域是基于第一层（物理层）广播域o广播域(Broadcast Domain)是一个逻辑上的计算机组,该组内的所有计算机都会收到同样的广播信息。o广播域是基于第二层（数据链路层） 广播域就是说如果站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域。 HUB 所有端口都在同一个广播域，冲突域内。 Switch所有端口都在同一个广播域内，而每一个端口就是一个冲突域。 Router的每个端口属于不同的广播域。 共享式网桥交换机路

3、由器VLAN产生背景路由器隔离VLAN的出现VLAN的出现什么是VLANo虚拟局域网（VLANVirtual Local Area Network）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。图中几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN，形成各自的广播域，广播报文不能跨越这些广播域传送。VLAN隔离广播域VLAN的优势o虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VL

4、AN与传统的LAN相比，具有以下优势：减少移动和改变的代价o即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点；虚拟工作组o使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好像在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另

5、外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持；提高网络性能 o有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域，同一个VLAN成员都在由所属VLAN确定的广播域内，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽；提高网络安全 o在传

6、统的局域网中，不时的会有些第三数据被有意或无意地广播到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以访问到这些数据就得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内，只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知到网络管理者等，这些都可以提高网络的安全系数。 减少设备投资 oVLAN技术可被用来创建逻辑的广播域，因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。VLAN的划分方法o基于端口划分o基于MAC地址划分o基于网络层划分o基于IP组播划分o基于策略划分o基于用户定义、非用户授权划分强化VLAN概念V

7、LAN的实现oVLAN在IEEE 802.1Q中定义.通过在数据帧上加入一个tag标签(4字节)来实现的.这四个字节的802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。TAG字段说明oTPID : Tag Protocol Identifier. 表明这个帧是802.1Q规定的Tagged Frame. 它的值取决于MAC层.对于以太网来说,TPID由2个字节组成., TPID=8100.oPriority由3位组成,可以表示8个级别,用来封装User Prioriy. 供QoS使用.oCFI 占1位,为0表示规范格式,为1表示非规范格式.TAG字段

8、说明oVLAN ID占12位,除去全0和全1的能创建4094个VLAN.oCRC值会在加入tag后重新计算,去处tag的时候也会再计算.o而采用ISL(cisco)封装的话,是直接加上一个26字节的包头,再加上一个CRC.去除的时候不用重新计算.o包分析TAG与UNTAGo针对出数据.oTAG模式时出数据会带TAG.oUNTAG模式时出数据会去掉TAG.oTAG模式 往往用在链路存在多个VLAN数据时使用.(trunk 模式)oUNTAG往往用于与终端机链接.(access模式)PVIDoPvid (Port Vlan Identifier).每个端口可以加入多个VLAN,但只能有一个PVID

9、. PVID是跟端口关联的VID,它的取值范围也是1-4094. 默认是1.当端口收到Untagged Frame或者Priority Frame时,就添加Tag, 并在其中的VID字段中封装PVID. 对于Tagged Frame则没有任何影响. 收包o接收过程:o可以接收带标签头的,也可以是不带标签头的.如果不带,交换机会根据端口所配置的PVID,来添加响应的标签头.o学习SMAC查询o查询/转发过程:o根据收到数据的DMAC和VLAN标识,查找过滤数据库中的注册信息,以决定从哪个端口发出.转发o发送过程:o如果过滤表中没有相关表项,则在VLAN内广播该数据.o根据端口属性(tagged/untagged),来界定是否拿掉标签头强化实现原理举例oPC1,PC2和服务器在3个不同的VLAN,PC1和PC2之间不能通信,PC1和PC2都可以和服务器通信.Tag/untag 与pvidTOP: DUT1(1/1)-(1/2)DUT2o都加入 vlan 100 TAGo都加入 vlan 100 Untagged o1/1加入vlan 100 Tag , 1/2 untaggedo1/1 vlan 100,1/2 vlan 200 o o 配