VLAN.docx

1、VLAN1 VLAN1.1 VLAN 的作用VLAN用于在Layer 2层次上在不修改物理网络的topology的情况下，对物理网络做进一步的逻辑划分，将大的广播域分化成较小的逻辑广播域VLAN。在每一个逻辑广播域VLAN内只接受该广播域的broadcast，multicast和unknown unicast。通常同一个VLAN中的所有host都要在同一个subnet 上。设置了VLAN后，一个物理的交换机就等同于多个逻辑交换机，每一个VLAN就等同于一个逻辑交换机，每一个VLAN都有自己的FDB（forwarding database）。彼此之间相互的隔离。分割广播域之外也提高了访问安全。1

2、.2 VLANs and Port VLAN ID Numbers1.2.1 VLAN ID和PVID每一个VLAN都有一个VLAN ID用于相互区分，每一个switch可以支持的VLAN ID 是有最大限制的，BLADE Scooter的VLAN ID可以从 14095，但是一个switch在同一时间内可以支持的VLAN个数是有限的，通常不超过1024个。The G8124 support up to 1024 VLANS per switch，Even though the maximum number of VLANS supported at any given time is 102

3、4, each can be identified with any number between 1 and 4094. 其中VLAN1（default VLAN）和VLAN 4095（management VLAN）是系统默认就有的，是不能被删除的。默认情况下VLAN1 包含了系统中除了management port之外的所有端口。其它的VLAN不存在。每一个port 都有一个 port VLAN ID（PVID）用于设置该port 属于哪个LVAN。1.2.2 VLAN的tagging （意思是trunk，是trunk link的tagging）使能tagging会将所属的端口设置成tr

4、unk模式，使所属的端口可以同时属于多个VLAN，否则(非trunk模式时)所属的端口只能属于一个VLAN。Tagging 是port的一个属性，当port使能tagging 时，该port可以收发 tagged frame 和untagged frame而不管该frame的VLAN ID是否与该port的PVID相同。而只要该frame的VLAN ID是该tagging port所属的VLAN中的一个。Tagging port用于构建两个switch之间属于多个VLAN的link。Tagging allowing each port to belong to multiple VLAN. W

5、hen you add port to multiple VLANs , you also must enable VLAN tagging on that port.Important terms used with the 802.1Q tagging feature are:VLAN 中的一些重要概念： 每一个VLAN都有一个VLAN ID用于区分不同的VLAN； 每一个port都有一个PVID用于设置该port属于哪个VLAN；对于接收到的untagged frame则打上VLAN ID=PVID的identifier。 VLAN中的frame 分为有VLAN标记（tagged fra

6、me）和无VLAN标记的（untagged frame）。 端口分为过滤数据帧的（tagged port）和不过滤数据帧的（untagged port）。过滤不过虑是对出去的帧。即tagged/untagged port只对出去的帧作用。直接连接到PC的port 通常要设置成 untagged，系统默认所有的端口初始化后都是untagged port。注：tagged port和untagged port只对输出的数据有影响对输入的数据没有影响，对输入数据有影响的只是 port 的PVID和tagging。这些概念的详解如下：1) VLAN identifier (VID)the 12-bit

7、 portion of the VLAN tag in the frame header that identifies an explicit VLAN.2) Port VLAN identifier (PVID)a classification mechanism that associates a port with a specific VLAN. For example, a port with a PVID of 3 (PVID =3) assigns all untagged frames received on this port to VLAN 3. Any untagged

8、 frames received by the switch are classified with the PVID of the receiving port.当某个port的pvid被设置之后，从该端口接收到的untagged frame 都被tagged associated with PVID，如PVID=3，则接收到的untagged frame 就被设置成tagged frame and VLAN ID =3.而跟该端口设置为tagged或untagged无关。3) Tagged framea frame that carries VLAN tagging information

9、 in the header. This VLAN tagging information is a 32-bit field (VLAN tag) in the frame header that identifies the frame as belonging to a specific VLAN. Untagged frames are marked (tagged) with this classification as they leave the switch through a port that is configured as a tagged port.4) Untagg

10、ed frame a frame that does not carry any VLAN tagging information in the frame header.5) Untagged membera port that has been configured as an untagged member of a specific VLAN. When an untagged frame exits the switch through an untagged member port, the frame header remains unchanged. When a tagged

11、 frame exits the switch through an untagged member port, the tag is stripped and the tagged frame is changed to an untagged frame.Untagged port 对出去的tagged frame去除tag。Untagged frame 不变。6) Tagged membera port that has been configured as a tagged member of a specific VLAN. When an untagged frame exits

12、the switch through a tagged member port, the frame header is modified to include the 32-bit tag associated with the PVID. When a tagged frame exits the switch through a tagged member port, the frame header remains unchanged (original VID remains). Tagged port对从该端口发出的tagged frame不做修改，而对untagged frame

13、 则要增加该端口pvid 所属的VLAN的identifier（32-bit tag associated with the PVID）.1.2.3 Tagged 和untagged port 实例Tagged 和untagged port的传输机制可以参见下图：1.2.3.1 Untagged income frame如上图所示：由于port4属于VLAN2，untagged frame直接被转换成 VLAN2的tagged frame，而后在内部传播处理。不论该端口是不是使能了tagging。如上图由于port 7设置成VLAN2的untagged member，所以输出的数据帧的tag

14、都被stripped。而port5设置成tagged member 故tagged frame没有被修改。1.2.3.2 Tagged income frame如图所示port4接收到的是tagged frame，该tagged frame 能够通过port4进入switch有如下的几种情况：1) Tagged frame的VLAN ID和port的PVID 相同；2) 该port使能了tagging，否则如果该VLAN ID不同于port的PVID则该帧会被丢弃。注：tagged port和untagged port只对输出的数据用影响对输入的数据没有影响，对输入数据有影响的只是 port

15、的PVID和tagging。如上图由于port 7设置成VLAN2的untagged member，所以输出的数据帧的tag 都被stripped。而port5设置成tagged member 故tagged frame没有被修改。1.2.4 与CISCO相比注：tagged port和untagged port同CISCO中的access link和trunk link 有些相同，比较如下：1.2.4.1 相同点 Untagged port 会stripped tag 同access link一样可以直接连接到PC。 Tagged port同trunk link 一样，对tagged fra

16、me 不做处理，可以用于连接两个switchs，或连接可以接收tagged frame的设备。1.2.4.2 不同点1) Untagged port 和access link Untagged port 可以属于多个VLAN（只要使能tagging），access link只能属于一个VLAN。 Untagged port对输入frame没有影响，如果该port的tagging使能，则可以不strip其它VLAN的tagged frame而只是strip 本VLAN的tagged frame；不使能tagging，只strip 本VLAN的tagged frame，drop其它的tagged

17、frame。Accecc link只能收发untagged frame，不能接收tagged frame（直接丢弃）。2) Tagged port 和trunk link Tagged port和trunk link 都不strip传输出去的tagged frame。 Trunk link等同于tagging，但是tagging 可以接收untagged frame，而 trunk link不能，只能接收tagged frame，只能用于连接多个switchs。端口使能tagging 就可以属于多个VLAN，可以连接PC或其它的switch，而trunk link则只能连接switch。Tru

18、nk port可以设置 该port 可以通行的VLAN list，可以增加或删除VLAN到该port。如果某个port不被设置成trunk，则该port就只能被设置成access port，则只有该port的VLAN数据可以在两个access port之间通信。3) Untagged portUntagged port会stripped tag of tagged frame。当tagged frame的VLAN-ID等于port 的P-VID时，tagged frame会被untagged， 否则如果VLAN-ID等于该port 所属的某个VLAN时，该tagged frame可以顺利的通过

19、，否则将被dropped。4) Tagged portTagged port make no change of the tagged frame。当tagged frame的VLAN-ID等于该port 所属的某个VLAN时，该tagged frame可以顺利的通过，否则将被dropped。1.3 VLAN tagging模式现在就让我们看看这两种协议分别如何对数据帧附加VLAN信息。1.3.1 IEEE802.1QIEEE802.1Q，俗称“Dot One Q”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC

20、地址”与“类别域（Type Field）”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。而当数据帧离开汇聚链路时，TPID和TCI会被去除，这时还会进行一次CRC的重新计算。TPID的值，固定为0x8100。交换机通过TPID，来确定数据帧内附加了基于IEEE802.1Q的VLAN信息。而实质上的VLAN ID，是TCI中的12位元。由于总共有12位，因此最多可供识别4096个VLAN。基于IEEE802.1Q附加的VLAN信息

21、，就像在传递物品时附加的标签。因此，它也被称作“标签型VLAN（Tagging VLAN）”。1.3.2 ISL（Inter Switch Link）ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之，就是总共增加了30字节的信息。在使用ISL的环境下，当数据帧离开汇聚链路时，只要简单地去除ISL包头和新CRC就可以了。由于原先的数据帧及其CRC都被完整保留，因此无

22、需重新计算CRC。ISL有如用ISL包头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN（Encapsulated VLAN）”。需要注意的是，不论是IEEE802.1Q的“Tagging VLAN”，还是ISL的“Encapsulated VLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。并且由于ISL是Cisco独有的协议，因此只能用于Cisco网络设备之间的互联。1.4 端口属性tagged/untagged和tagging/pvid总结1.4.1 属性解释1) PVID：用于设置端口属于哪个VLAN，如PVID

23、=2则该端口属于VLAN2，并能够收发VLAN2 的数据包。不设置tagging的话不能收发其他VLAN的数据包。2) Tagged ：对输出untagged frame添加该端口的PVID，使该frame 变成 tagged frame。使能tagging 后，对tagged VLAN-ID不等于该端口的PVID的数据包不做处理。不使能tagging时，则drop VLAN-ID不等于该端口PVID的数据帧。3) Untagged：对输出的tagged frame stripped VLAN ID（要求VLAN ID=PVID），使该frame 变成 untagged frame。当时能ta

24、gging时，则对VLAN ID ！= PVID的数据帧不做处理。4) Tagging：用于设置该端口是否可以属于多个VLAN，不使能时，该端口只能属于一个VLAN，使能后该端口可以属于多个VLAN，但是只能收发VLAN ID 等于该端口所属的VLANs中的某个VLAN，对其他的VLAN数据包则drop。当该端口从tagging 状态变成no tagging状态时，该port会被从所有的VLAN中移除，而仅仅设置成VLAN ID=PVID的VLAN成员。1.4.2 输出端口1.4.2.1 No Tagging（不VLAN共享）Tagged：untagged frame 加上VLAN ID=PV

25、ID，对于VLAN ID=PVID的帧不做处理，对于其他的VALN frame则dropped。Untagged:对tagged frame，当VLAN ID=PVID的frame则删除VLAN ID使得该frame变成untagged frame。而其他的 VLAN frame 则dropped。对于untagged frame则放行。1.4.2.2 Tagging（VLAN共享）Tagged：untagged frame 加上VLAN ID=PVID，对于tagged frame 当VLAN ID=该端口所属的VLANs的IDs时，不做处理，对于其他的VALN frame则dropped。

26、Untagged:对tagged frame，当VLAN ID=PVID的frame则删除VLAN ID使得该frame变成untagged frame。当VLAN ID=该端口所属其他VLANs的IDs时，不做处理，而其他的 VLAN frame 则dropped。对于untagged 的frame则不做处理。1.4.3 输入端口1.4.3.1 Untagged frame当输入的数据为untagged frame 时，则该frame会被转换成VLAN ID=port PVID 的tagged frame。 不论该 port 是否使能了tagging。1.4.3.2 Tagged frame

27、当输入的数据为tagged frame 时：诺设置了tagging ，则当VLAN ID=该port所属的VLAN IDs时，则不做处理。对于其它的frame则dropped。诺设置了no tagging，则当 VLAN ID=PVID时，则不做处理。对其它的frame则dropped。1.5 VLAN的设置如下1.5.1 设置的原则 系统初始化后所有端口的tagging 通常是被disabled。 系统中除management ports之外其它的端口都属于VLAN1(default VLAN)，management ports属于VLAN4095. 当系统的spanning tree是PV

28、RST时，STG128是专门为VLAN4095设置的，STG2-STG127都只能设置一个VLAN。STG1可以设置多个VLAN。 Trunk port和port mirroring 都要求所有的成员具有相同的VLAN设置。1.5.2 添加VLAN成员VLAN添加成员可以有如下两种：1.5.2.1 修改port的PVID每一个端口都有一个PVID用于区分该端口属于哪个VLAN。Router(config)#interface port 12 /进入interface port 12 的设置界面Router(config-if)#pvid 2 /修改pvid 使该端口被分配到VLAN2注：如果此

29、时VLAN2 不存在，则系统会自动create VLAN2.并enable。1.5.2.2 在VLAN中添加在VLAN中添加时，要先create VALN，而后enable VLAN，而后添加成员（成员可以是port 或 portchannel）Router(config)#vlan 2 /创建VLAN2 此时VLAN没使能并为空Router(config-vlan)#enable /使能VLAN2 要先使能Router(config-vlan)#member 12，13 /添加vlan 成员port，该方法可以用于添加单个端口到vlan，或将lacp成员一起添加到vlan，不能将lacp 成

30、员逐个添加，LACP是自动建立的 portchannel 13-24 ，但是不能通过 portchannel 的形式直接操作，而只能通过对port 成员进行单个操作。或Router(config-vlan)#member portchannel 1 /添加portchannel，不能将portchannel成员逐个增加到vlan中，否则会报错。注：VLAN本身包含有port 或portchannel成员时，该VLAN本身不能被disable，但是可以被删除，即 no VLAN 是允许的。注：VLAN中添加 LACP成员时，需要将各LACP组的成员一起添加，不能一个一个的添加，否则会出错。1.5

31、.3 删除VLAN 成员与添加VLAN成员相反，删除VLAN成员也可以有如下的两种方法1.5.3.1 修改port的pvid修改port的pvid 如下：假设port 12 原来属于 VLAN 2Router(config)#interface port 12 /进入interface port 12 的设置界面Router(config-if)#pvid 1 /修改pvid 使该端口被分配到VLAN1注：如果此时VLAN1 不存在，则系统会自动create VLAN1.并enable。1.5.3.2 从对应的VLAN中删除Router(config)#no vlan 2 member 12 /将port 12 从VLAN 2 中删除注：W