VLAN.docx
《VLAN.docx》由会员分享,可在线阅读,更多相关《VLAN.docx(13页珍藏版)》请在冰豆网上搜索。
VLAN
1VLAN
1.1VLAN的作用
VLAN用于在Layer2层次上在不修改物理网络的topology的情况下,对物理网络做进一步的逻辑划分,将大的广播域分化成较小的逻辑广播域VLAN。
在每一个逻辑广播域VLAN内只接受该广播域的broadcast,multicast和unknownunicast。
通常同一个VLAN中的所有host都要在同一个subnet上。
设置了VLAN后,一个物理的交换机就等同于多个逻辑交换机,每一个VLAN就等同于一个逻辑交换机,每一个VLAN都有自己的FDB(forwardingdatabase)。
彼此之间相互的隔离。
分割广播域之外也提高了访问安全。
1.2VLANsandPortVLANIDNumbers
1.2.1VLANID和PVID
每一个VLAN都有一个VLANID用于相互区分,每一个switch可以支持的VLANID是有最大限制的,BLADEScooter的VLANID可以从1~4095,但是一个switch在同一时间内可以支持的VLAN个数是有限的,通常不超过1024个。
TheG8124supportupto1024VLANSperswitch,EventhoughthemaximumnumberofVLANSsupportedatanygiventimeis1024,eachcanbeidentifiedwithanynumberbetween1and4094.
其中VLAN1(defaultVLAN)和VLAN4095(managementVLAN)是系统默认就有的,是不能被删除的。
默认情况下VLAN1包含了系统中除了managementport之外的所有端口。
其它的VLAN不存在。
每一个port都有一个portVLANID(PVID)用于设置该port属于哪个LVAN。
1.2.2VLAN的tagging(意思是trunk,是trunklink的tagging)
使能tagging会将所属的端口设置成trunk模式,使所属的端口可以同时属于多个VLAN,否则(非trunk模式时)所属的端口只能属于一个VLAN。
Tagging是port的一个属性,当port使能tagging时,该port可以收发taggedframe和untaggedframe而不管该frame的VLANID是否与该port的PVID相同。
而只要该frame的VLANID是该taggingport所属的VLAN中的一个。
Taggingport用于构建两个switch之间属于多个VLAN的link。
TaggingallowingeachporttobelongtomultipleVLAN.WhenyouaddporttomultipleVLANs,youalsomustenableVLANtaggingonthatport.
Importanttermsusedwiththe802.1Qtaggingfeatureare:
VLAN中的一些重要概念:
⏹每一个VLAN都有一个VLANID用于区分不同的VLAN;
⏹每一个port都有一个PVID用于设置该port属于哪个VLAN;对于接收到的untaggedframe则打上VLANID=PVID的identifier。
⏹VLAN中的frame分为有VLAN标记(taggedframe)和无VLAN标记的(untaggedframe)。
⏹端口分为过滤数据帧的(taggedport)和不过滤数据帧的(untaggedport)。
过滤不过虑是对出去的帧。
即tagged/untaggedport只对出去的帧作用。
直接连接到PC的port通常要设置成untagged,系统默认所有的端口初始化后都是untaggedport。
注:
taggedport和untaggedport只对输出的数据有影响对输入的数据没有影响,对输入数据有影响的只是port的PVID和tagging。
这些概念的详解如下:
1)VLANidentifier(VID)—the12-bitportionoftheVLANtagintheframeheaderthatidentifiesanexplicitVLAN.
2)PortVLANidentifier(PVID)—aclassificationmechanismthatassociatesaportwithaspecificVLAN.Forexample,aportwithaPVIDof3(PVID=3)assignsalluntaggedframesreceivedonthisporttoVLAN3.AnyuntaggedframesreceivedbytheswitchareclassifiedwiththePVIDofthereceivingport.
当某个port的pvid被设置之后,从该端口接收到的untaggedframe都被taggedassociatedwithPVID,如PVID=3,则接收到的untaggedframe就被设置成taggedframeandVLANID=3.而跟该端口设置为tagged或untagged无关。
3)Taggedframe—aframethatcarriesVLANtagginginformationintheheader.ThisVLANtagginginformationisa32-bitfield(VLANtag)intheframeheaderthatidentifiestheframeasbelongingtoaspecificVLAN.Untaggedframesaremarked(tagged)withthisclassificationastheyleavetheswitchthroughaportthatisconfiguredasataggedport.
4)Untaggedframe—aframethatdoesnotcarryanyVLANtagginginformationintheframeheader.
5)Untaggedmember—aportthathasbeenconfiguredasanuntaggedmemberofaspecificVLAN.Whenanuntaggedframeexitstheswitchthroughanuntaggedmemberport,theframeheaderremainsunchanged.Whenataggedframeexitstheswitchthroughanuntaggedmemberport,thetagisstrippedandthetaggedframeischangedtoanuntaggedframe.
Untaggedport对出去的taggedframe去除tag。
Untaggedframe不变。
6)Taggedmember—aportthathasbeenconfiguredasataggedmemberofaspecificVLAN.Whenanuntaggedframeexitstheswitchthroughataggedmemberport,theframeheaderismodifiedtoincludethe32-bittagassociatedwiththePVID.Whenataggedframeexitstheswitchthroughataggedmemberport,theframeheaderremainsunchanged(originalVIDremains).
Taggedport对从该端口发出的taggedframe不做修改,而对untaggedframe则要增加该端口pvid所属的VLAN的identifier(32-bittagassociatedwiththePVID).
1.2.3Tagged和untaggedport实例
Tagged和untaggedport的传输机制可以参见下图:
1.2.3.1Untaggedincomeframe
如上图所示:
由于port4属于VLAN2,untaggedframe直接被转换成VLAN2的taggedframe,而后在内部传播处理。
不论该端口是不是使能了tagging。
如上图由于port7设置成VLAN2的untaggedmember,所以输出的数据帧的tag都被stripped。
而port5设置成taggedmember故taggedframe没有被修改。
1.2.3.2Taggedincomeframe
如图所示port4接收到的是taggedframe,该taggedframe能够通过port4进入switch有如下的几种情况:
1)Taggedframe的VLANID和port的PVID相同;
2)该port使能了tagging,否则如果该VLANID不同于port的PVID则该帧会被丢弃。
注:
taggedport和untaggedport只对输出的数据用影响对输入的数据没有影响,对输入数据有影响的只是port的PVID和tagging。
如上图由于port7设置成VLAN2的untaggedmember,所以输出的数据帧的tag都被stripped。
而port5设置成taggedmember故taggedframe没有被修改。
1.2.4与CISCO相比
注:
taggedport和untaggedport同CISCO中的accesslink和trunklink有些相同,比较如下:
1.2.4.1相同点
⏹Untaggedport会strippedtag同accesslink一样可以直接连接到PC。
⏹Taggedport同trunklink一样,对taggedframe不做处理,可以用于连接两个switchs,或连接可以接收taggedframe的设备。
1.2.4.2不同点
1)Untaggedport和accesslink
⏹Untaggedport可以属于多个VLAN(只要使能tagging),accesslink只能属于一个VLAN。
⏹Untaggedport对输入frame没有影响,如果该port的tagging使能,则可以不strip其它VLAN的taggedframe而只是strip本VLAN的taggedframe;不使能tagging,只strip本VLAN的taggedframe,drop其它的taggedframe。
Accecclink只能收发untaggedframe,不能接收taggedframe(直接丢弃)。
2)Taggedport和trunklink
⏹Taggedport和trunklink都不strip传输出去的taggedframe。
⏹Trunklink等同于tagging,但是tagging可以接收untaggedframe,而trunklink不能,只能接收taggedframe,只能用于连接多个switchs。
端口使能tagging就可以属于多个VLAN,可以连接PC或其它的switch,而trunklink则只能连接switch。
Trunkport可以设置该port可以通行的VLANlist,可以增加或删除VLAN到该port。
如果某个port不被设置成trunk,则该port就只能被设置成accessport,则只有该port的VLAN数据可以在两个accessport之间通信。
3)Untaggedport
Untaggedport会strippedtagoftaggedframe。
当taggedframe的VLAN-ID等于port的P-VID时,taggedframe会被untagged,否则如果VLAN-ID等于该port所属的某个VLAN时,该taggedframe可以顺利的通过,否则将被dropped。
4)Taggedport
Taggedportmakenochangeofthetaggedframe。
当taggedframe的VLAN-ID等于该port所属的某个VLAN时,该taggedframe可以顺利的通过,否则将被dropped。
1.3VLANtagging模式
现在就让我们看看这两种协议分别如何对数据帧附加VLAN信息。
1.3.1IEEE802.1Q
IEEE802.1Q,俗称“DotOneQ”,是经过IEEE认证的对数据帧附加VLAN识别信息的协议。
IEEE802.1Q所附加的VLAN识别信息,位于数据帧中“发送源MAC地址”与“类别域(TypeField)”之间。
具体内容为2字节的TPID和2字节的TCI,共计4字节。
在数据帧中添加了4字节的内容,那么CRC值自然也会有所变化。
这时数据帧上的CRC是插入TPID、TCI后,对包括它们在内的整个数据帧重新计算后所得的值。
而当数据帧离开汇聚链路时,TPID和TCI会被去除,这时还会进行一次CRC的重新计算。
TPID的值,固定为0x8100。
交换机通过TPID,来确定数据帧内附加了基于IEEE802.1Q的VLAN信息。
而实质上的VLANID,是TCI中的12位元。
由于总共有12位,因此最多可供识别4096个VLAN。
基于IEEE802.1Q附加的VLAN信息,就像在传递物品时附加的标签。
因此,它也被称作“标签型VLAN(TaggingVLAN)”。
1.3.2ISL(InterSwitchLink)
ISL,是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。
使用ISL后,每个数据帧头部都会被附加26字节的“ISL包头(ISLHeader)”,并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。
换而言之,就是总共增加了30字节的信息。
在使用ISL的环境下,当数据帧离开汇聚链路时,只要简单地去除ISL包头和新CRC就可以了。
由于原先的数据帧及其CRC都被完整保留,因此无需重新计算CRC。
ISL有如用ISL包头和新CRC将原数据帧整个包裹起来,因此也被称为“封装型VLAN(EncapsulatedVLAN)”。
需要注意的是,不论是IEEE802.1Q的“TaggingVLAN”,还是ISL的“EncapsulatedVLAN”,都不是很严密的称谓。
不同的书籍与参考资料中,上述词语有可能被混合使用,因此需要大家在学习时格外注意。
并且由于ISL是Cisco独有的协议,因此只能用于Cisco网络设备之间的互联。
1.4端口属性tagged/untagged和tagging/pvid总结
1.4.1属性解释
1)PVID:
用于设置端口属于哪个VLAN,如PVID=2则该端口属于VLAN2,并能够收发VLAN2的数据包。
不设置tagging的话不能收发其他VLAN的数据包。
2)Tagged:
对输出untaggedframe添加该端口的PVID,使该frame变成taggedframe。
使能tagging后,对taggedVLAN-ID不等于该端口的PVID的数据包不做处理。
不使能tagging时,则dropVLAN-ID不等于该端口PVID的数据帧。
3)Untagged:
对输出的taggedframestrippedVLANID(要求VLANID==PVID),使该frame变成untaggedframe。
当时能tagging时,则对VLANID!
=PVID的数据帧不做处理。
4)Tagging:
用于设置该端口是否可以属于多个VLAN,不使能时,该端口只能属于一个VLAN,使能后该端口可以属于多个VLAN,但是只能收发VLAN–ID等于该端口所属的VLANs中的某个VLAN,对其他的VLAN数据包则drop。
当该端口从tagging状态变成notagging状态时,该port会被从所有的VLAN中移除,而仅仅设置成VLANID==PVID的VLAN成员。
1.4.2输出端口
1.4.2.1NoTagging(不VLAN共享)
Tagged:
untaggedframe加上VLANID==PVID,对于VLANID==PVID的帧不做处理,对于其他的VALNframe则dropped。
Untagged:
对taggedframe,当VLANID==PVID的frame则删除VLANID使得该frame变成untaggedframe。
而其他的VLANframe则dropped。
对于untaggedframe则放行。
1.4.2.2Tagging(VLAN共享)
Tagged:
untaggedframe加上VLANID==PVID,对于taggedframe当VLANID==该端口所属的VLANs的IDs时,不做处理,对于其他的VALNframe则dropped。
Untagged:
对taggedframe,当VLANID==PVID的frame则删除VLANID使得该frame变成untaggedframe。
当VLANID==该端口所属其他VLANs的IDs时,不做处理,而其他的VLANframe则dropped。
对于untagged的frame则不做处理。
1.4.3输入端口
1.4.3.1Untaggedframe
当输入的数据为untaggedframe时,则该frame会被转换成VLANID==portPVID的taggedframe。
不论该port是否使能了tagging。
1.4.3.2Taggedframe
当输入的数据为taggedframe时:
诺设置了tagging,则当VLANID==该port所属的VLANIDs时,则不做处理。
对于其它的frame则dropped。
诺设置了notagging,则当VLANID==PVID时,则不做处理。
对其它的frame则dropped。
1.5VLAN的设置如下
1.5.1设置的原则
⏹系统初始化后所有端口的tagging通常是被disabled。
⏹系统中除managementports之外其它的端口都属于VLAN1(defaultVLAN),managementports属于VLAN4095.
⏹当系统的spanningtree是PVRST时,STG128是专门为VLAN4095设置的,STG2-STG127都只能设置一个VLAN。
STG1可以设置多个VLAN。
⏹Trunkport和portmirroring都要求所有的成员具有相同的VLAN设置。
1.5.2添加VLAN成员
VLAN添加成员可以有如下两种:
1.5.2.1修改port的PVID
每一个端口都有一个PVID用于区分该端口属于哪个VLAN。
…………………………………………………………………………………………
Router(config)#interfaceport12//进入interfaceport12的设置界面
Router(config-if)#pvid2//修改pvid使该端口被分配到VLAN2
注:
如果此时VLAN2不存在,则系统会自动createVLAN2.并enable。
…………………………………………………………………………………………
1.5.2.2在VLAN中添加
在VLAN中添加时,要先createVALN,而后enableVLAN,而后添加成员(成员可以是port或portchannel)
…………………………………………………………………………………………
Router(config)#vlan2//创建VLAN2此时VLAN没使能并为空
Router(config-vlan)#enable//使能VLAN2要先使能
Router(config-vlan)#member12,13//添加vlan成员port,该方法可以用于添加单个端口到vlan,或将lacp成员一起添加到vlan,不能将lacp成员逐个添加,LACP是自动建立的portchannel13-24,但是不能通过portchannel的形式直接操作,而只能通过对port成员进行单个操作。
或
Router(config-vlan)#memberportchannel1//添加portchannel,不能将portchannel成员逐个增加到vlan中,否则会报错。
…………………………………………………………………………………………
注:
VLAN本身包含有port或portchannel成员时,该VLAN本身不能被disable,但是可以被删除,即noVLAN是允许的。
注:
VLAN中添加LACP成员时,需要将各LACP组的成员一起添加,不能一个一个的添加,否则会出错。
1.5.3删除VLAN成员
与添加VLAN成员相反,删除VLAN成员也可以有如下的两种方法
1.5.3.1修改port的pvid
修改port的pvid如下:
…………………………………………………………………………………………
假设port12原来属于VLAN2
Router(config)#interfaceport12//进入interfaceport12的设置界面
Router(config-if)#pvid1//修改pvid使该端口被分配到VLAN1
注:
如果此时VLAN1不存在,则系统会自动createVLAN1.并enable。
…………………………………………………………………………………………
1.5.3.2从对应的VLAN中删除
…………………………………………………………………………………………
Router(config)#novlan2member12//将port12从VLAN2中删除
…………………………………………………………………………………………
注:
W
升级会员 