虚拟局域网技术——VLAN

虚拟局域网工程应用需求

• 在我们的网络中为什么要用到vlan这个技术？
  1、局域网需要隔离广播这种需求
  交换机接收到一个广播报文需要除了接收端口之外在其他的所有端口洪泛出去，如图所示，PC1发送一个广播，PC2，PC3，PC4都可以收到这个广播，所以我们说，交换机共享的是同一个广播域，在传统的组网里面，是一个由多个交换机所构成的大的二层平面，在这个网络里面，共享的是同一个广播域，发送一个广播，可以在整个网络里面进行洪泛，在这个广播域中，任何一台PC发送的广播其他PC都可以收到

  
  image.png
  image.png
  image.png
  3、如上图所示，网管网发送一个广播，所有PC都收到了这个广播，这只是这个广播域中一台主机发送的广播报文，就已经实现全网所有主机都收到广播报文这个了，假设在这个网络中，有多台主机同时发送大量的广播报文，那么整个网络就会充斥着所有的广播报文，会造成这个网络中广播报文非常广泛
  4、因此在传统的局域网中，共享的是同一个广播域，共享的是一个大的二层网络，那么他有什么样的危害

局域网共享同一广播域危害：
（1）广播报文在全网进行洪泛，严重占用网络中链路带宽，太多广播报文占用带宽很有可能会让正常的报文导致丢弃
（2）每一个网络设备收到广播报文会优先进行处理，大量无用的广播报文会严重影响设备处理性能
（3）每一个PC网卡收到广播报文会优先处理，因此大量的广播报文会导致PC处理延迟
（4）带来安全隐患，使得网络难以管理和维护

2、业务隔离的需求

局域网业务隔离需求：
（1）某局域网由5台交换机组成，根据所连接的业务不同，划分为以下几个功能区：
（2）用户希望对研发区和办公区之间进行隔离，研发区和办公区之间不能互相访问，但是都能访问服务器

image.png

• 小结：
  为什么需要使用VLAN技术？
  1、将广播流量限制在仅需要该广播的网络区域中，最大化减少广播流量对网络的影响
  2、出于业务考虑，有些主机需要配置为能互相访问，有些则不能这样配置

虚拟局域网原理与配置

VLAN技术概述

• VLAN的定义：
  （1）VLAN：virtual LAN（虚拟局域网）
  （2）形象的说，交换机VLAN技术就是将一台物理交换机划分为若干台逻辑上完全独立的交换机
  也可以说，通过划分vlan这种技术，将一个物理专网逻辑上划分出多个相互隔离的虚拟局域网，也就是说通过这种技术可以满足在一张物理网上面同时承载多个相互独立的虚拟局域网，vlan这种技术既可以实现业务隔离又不造成资金的浪费

  
  image.png

• 通过使用vlan技术，了可以看出vlan的特性：
  1、每一个vlan都是一个单独的广播域
  2、某个vlan中的广播报文只能在本vlan中进行洪泛

  
  image.png
  

  3、每一个vlan通常情况下是一个单独的子网
  4、vlan与vlan之间默认不允许二层流量之间访问，但允许通过三层的路由实现访问

VLAN技术在工程中的应用

image.png

VLAN的类型

• 基于接口的vlan
  1、基于交换机接口进行vlan划分
  是目前使用最多最广泛的一种方式，这种方式就是在我们交换机上面，创建了vlan之后，他把相应的接口直接邦定 或者划分进哪一个vlan而不管这一个端口下面连的是哪一台PC也不管这个端口下面连了多少台PC，都属于这个端口所属的vlan

  
  image.png

• 基于mac的vlan
  1、基于接入终端的MAC地址进行了VLAN划分
  通过将vlan信息与mac信息静态的绑定在vlan信息表里面，意思就是说不管你这个pc从哪一个端口连接进来的，只要是这个pc拥有这个mac地址的这个设备，进交换机就会自动的把你归为哪一个vlan

  
  image.png

VLAN原理-标签的处理

vlan这种技术是如何来实现在我们一个交换机上面如何来满足相同的vlan之间可以直接访问，不同的vlan之间是不允许访问的，实现原理是怎么样的？？

• 引入了标签，标签也就是说在我们的以太网数据帧中加上了一个特定的标识，用来标识这个数据帧是属于哪一个vlan的
  1、如图所示：PCA发送了一个以太网数据帧，数据帧进入交换机之后，只要你从接口一进来，就会在这个普通的以太网数据帧里面打上一个特定的标记 ，因为这个接口是属于vlan10的，所以会在这个以太网标记中打上一个标记10，也就是用来区分这个数据是从vlan10收到的

  
  image.png
  

  2、带有标记的数据进了交换机之后通过这个标记在交换机内部进行一个查找，还有哪些端口和我所带的标记是属于同一个vlan的，那么我就允许我的数据从这个接口发送出去，发送出去之前，讲这个标记进行脱离，最终发送给PC的还是一个普通的数据帧，因为如果PC收到的是一个带有标记的数据帧，pc会认为这个是一个畸形的不正确的数据帧，就会把这个数据帧丢弃

  
  image.png
  3、vlan的标记仅仅是在交换机内部来使用，用来帮助交换机用来区分用来识别数据是属于哪一个vlan的应该从哪一个端口发送出去
  image.png
  image.png

VLAN标签处理案例分析

image.png

VLAN配置

• 创建vlan

  
  image.png
  image.png
  image.png

• 将接口划分到VLAN

  
  image.png

• VLAN信息查看

  
  image.png

跨交换机VLAN互连互通

跨交换机VLAN互连

• 在实际工作应用中，或许会存在各种原因，导致原本属于同一个功能区的不同的PC没有办法集中进行部署，就是说也可能研发区在这个楼层有，在另外一个楼层有，在其他的办公室也会有，同理，在同一个办公室中也可能既有研发区的也有办公区的，这种情况下就会导致我们某些接入交换机它可能会接入多个不同的vlan，多个不同的功能区域，这种情况下的要求是，虽然我们交换机同时接入了不同的多个vlan ，但是，同一个valn内都要求同时进行访问，比如说研发区的能够根我网络中其他研发区的进行访问，办公区的能够根我网络中其他办公区的进行访问，现在要求的是我们这条链路上面能够同时发送多个不同的vlan的流量，能够实现同时进行访问，那么交换机与交换机之间的那条链路究竟应该划分到哪一个vlan中去？？如果只配成一个，那么其他的就不能进行访问了

  
  image.png

• 跨越多个交换机的VLAN
  解决办法：

  
  image.png

Trunk与Access端口特点

实际上也是一个端口下的概念，通过俩个交换机互连的端口，我们把他配置成Trunk，所以将我们这条链路配制成串口链路，

• Trunk端口
  1、允许同一条物理链路上同时承载多个VLAN的数据
  2、默认情况下该端口属于所有已创建的VLAN
  3、数据帧进端口不打标，出端口也不打标
• Access端口
  1、仅属于某个特定的VLAN
  2、进接口打标，出接口拆标

Trunk链路数据帧处理

• 假设pc1与pc3都属于vlan10，pc2与pc4都属于vlan11，按照Trunk的意义，pc1与pc3能够同时访问，pc2和pc4也能够同时访问，pc1发送一个普通的数据帧，在通过属于vlan10的端口的时候，会打上一个vlan10的标记，通过一个标记10，会在内部进行一个查找，这个数据应该是可以往哪些端口进行发送，可以往所有属于vlan10的端口进行发送，Trunk属于所有端口，所以交换机1与交换机2中间这条链路即属于vlan10，又属于vlan11，所以带有vlan10的标记的数据他是可以从Trunk上面进行发送的，但是Trunk工作原理是从接口出去不打标也不拆标，所以到达交换机2的数据是原封不动的，在交换机2内部，通过vlan10的标记找到属于vlan10的端口然后发送，在出端口的时候进行拆标

  
  image.png

Trunk封装模式

• Trunk的封装模式：ISL、dot1q
  数据在Trunk上面打标，不同的厂商有不同的处理方式，数据帧如何来打标如何来处理，这是由Trunk的封装模式来决定的，Trunk的封装模式主要有俩种、

• ISL（用的不多）
  1、ISL是Cisco专用的标准，在其他厂商设备里面是不允许使用的
  2、在 以太网报文中增加了26bite作为VLAN tag

  
  image.png

• Dot1q（一般用这种）
  1、Dot1q是IEEE制定的标准802.1Q，几乎所有得厂商设备都支持
  2、在以太网报文中增加了4bite作为VLAN tag
  3、802,1q标签帧比ISL标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息

  
  image.png

802.1Q数据帧格式

image.png

• 交换机VLAn号范围
  1、802.1q tag 为12位
  2、最多的vlan个数2^12-2=4094个

  
  image.png

本地VLAN工作原理

• NativeVlan特点
  1、每个802.1qTrunk接口都有1个Native Vlan，默认为Vlan1，本地vlan数据发送不带有任何标记
  2、很多第2层协议例如BPDU，CDU，VTP，PAgP和DTP 需要在一个特定的vlan中发送消息，因此定义了本地VLAN

  
  image.png

Trunk接口的允许VlAN列表

在Trunk上面，你可以定义这种列表，明确的定义允许哪些Vlan的流量在我的Trunk上面可以承载，进行发送,
1、Cisco Trunk接口默认允许所有VLAN通过
2、Huawei/H3C Trunk 接口默认不允许任何VLAN通过
3、对于不在允许列表中的VLAN，该Trunk接口数据收发都禁止

image.png

VLAN Trunk配置

image.png

查看Trunk链路状态

image.png

虚拟局域网工程部署

在大规模的网络中vlan究竟要怎么样去规划，怎么样去设计，怎么样去部署

局域网VLAN划分

1、按业务/功能区划分
2、按访问控制/隔离需求划分
3、按主机数/广播域大小划分
4、按IP子网划分
5、分块划分

转发路径上VLAN存在的重要性

• Vlan数据的发送，需要标签的一个打标和拆标过程，所以数据整个交换的过程中，中间的交换机如果没有这个vlan，那么这个交换机收到这种数据就会丢掉，在中间设备必须要拥有这些vlan，否则的话，数据转到这个交换机可能会在这个交换机上被丢弃

  
  image.png

局域网VLAN部署

• 方法一：静态全配置
  1、交换机上线之后，把vlan2-4094所有vlan全部创建，不管这些vlan有没有被使用，在接入层和核心层，将2-4094所有vlan都创建好，想使用哪个vlan，就把相应的端口绑定或者规划到该vlan里面去
  缺点：vlan信息表过多，难以进行查找

  
  image.png
  

  2、在核心层通过批处理的方式将2-4094这种所有vlan进行创建，而在接入层仅仅创建所需要的vlan，这样不会造成接入层信息表过多

  
  image.png
  3、三层结构，核心层和汇聚层创建2-4094，接入层仅仅创建所需要的接口
  image.png

• 方法二：按网络规划静态配置
  1、在核心层创建所有vlan，汇聚层和接入层仅创建所需要的vlan

  
  image.png
  

  2、

  
  image.png
  3、
  image.png
  缺点：有可能因为人员的疏忽，有的vlan没有创建，而无法访问
• 方法三：动态学习
  动态学习就是在全网中vlan的删除增加修改不需要在所有设备上进行修改，只需要在一台设备上进行修改就可以了，我们核心层创建一个vlan，通过发送小溪，vlan信息可以洪泛到整个网络中所有交换机，让交换机可以自动的学习vlan里面的vlan信息，这种方式就是你只需要在一台设备或者俩台设备上操作就行，其他的交换机可以

VTP可以实现vlan动态学习

VTP工作模式

image.png

• 服务器模式（Server）
  1、可以创建、添加和删除vlan
  2、提供VTP消息
  3、学习VTP消息；转发VTP消息
  4、保存vlan信息到flash（不会丢掉）
  通常情况下，我们会把核心交换机配置为服务器模式，因为这个设备是最稳定的，也是性能最好的
• 客户模式（Client）
  1、不可以创建、添加和删除vlan
  2、学习VTP消息；转发VTP消息
  3、保存vlan信息到RAM
• 透明模式（Tranapartent）
  1、可以创建、添加和删除vlan，但只在本交换机生效
  2、不提供VTP消息；不学习VTP消息
  3、不转发VTP消息

VTP配置

image.png

• VTP信息查看

  
  image.png