vlan隔离技术

一、早期网络的问题 　　1、若某时刻有多个节点同时试图发送数据，极易产生冲突域，这样使得网络传输效率大大降低。 　　2、从一节点发送的数据都会被送到各个节点，极易形成广播域，这样会使得产生太多的广播流量而耗费大量带宽。 　　3、所有主机共用同一链路，无法保证信息的安全。 二、VLAN的产生 　　VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域（多个VLAN）。VLAN技术部署在数据链路层，可以隔离二层流量。同一个VLAN内的主机共享一个广播域，它们之间可以直接进行数据交换；不同VLAN内的主机属于不同的广播域，不能直接进行数据的交换。从而提高了网络的安全性。 三、VLAN标签的格式 　　 四、VLAN的链路类型 　　VLAN的链路类型有两种：Access链路与Trunk链路 　　接入链路（Access Link）：终端设备与交换机所连接的链路。 　　干道链路（Trunk Link）：交换机与交换机所连接的链路，是一条中继链路。 五、端口类型 　 　1、Access端口 　　①当它收到一个帧的时候，如果这个帧没有Tag标记，它就用自己的PVID给他打上标记。 　　②它在发出一个帧时如果VID=PVID就去掉标记以保证传送给终端设备的帧没有被变动过。 　　③Access端口发出的以太网数据帧中不带有VLAN标记。Access端口的特点是 只允许符合PVID（或者VID

以太网概述 一、以太网标准 1、10GE Mb/s 万兆以太网 802.3ae 2、1000Mb/s 千兆以太网 802.3z/ab 3、快速以太网 802.3u 4、标准以太网 802.3 二、以太网进化 共享式以太网 1、共享式以太网工作原理 CS：载波侦听 在发送数据之前对链路进行监听，以保证链路空闲状态，减少冲突。 MA：多址访问 每个站点发送的数据，可以同时被多个站点接收。 CD：冲突检测 边发边检测，发现冲突就停止，然后延迟一个随机时间之后继续发送。 冲突检测原理： 由于两站点同时发信号，经过叠加后，会使线路上电压摆动超过正常值的一倍，据此判断是否产生冲突。 2、共享式以太网双工模式： 半双工 3、共享式以太网速率 ： 10m/s 4、共享是以太网缺点：  广播泛滥 原因：多址访问  安全性差 原因：hub工作在物理层  速率低、冲突严重 原因：半双工工作方式、任何时刻数据只能从一个方向到另一个 方向 交换式以太网 1、交换式以太网工作原理 根据MAC地址表转发 MAC地址表：基于源MAC地址学习，目的MAC地址转发。  若目的MAC为单波，则查找MAC地址表，若MAC地址表有此MAC地址进行转发，若MAC地址没有此MAC地址，则在链路泛洪。  若目的MAC为广播，在链路上泛洪。  老化机制维护MAC地址表使用。 2、MAC转发表 交换式以太网解决问题： 1

/*--> */ /*--> */ 　　PVLAN(Private VLAN)，即私有 VLAN。采⽤两层 VLAN 隔离技术，上层VLAN 全局可见，下层VLAN 相互隔离。PVLAN 通常用于企业内部网，用来防止连接到某些接⼝或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的 PVLAN 中，它们可以使⽤相同的IP子网。 来源： https://www.cnblogs.com/yyxianren/p/10790526.html

PVLAN（Private VLAN），也称为“专用虚拟局域网”，采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。 通常用于企业内部网，用来防止连接到某些接口或接口组中的网络设备相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 团体VLAN（community vlan）：具有相同名称的团体vlan中的设备可以相互通信，不同名称的团体vlan中的设备不能相互通信。 隔离VLAN（isolated vlan）：隔离vlan中的设备只能访问公网，不能与任何vlan的中任何设备相互通信。 PVLAN中的一些使用规则： 1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。 2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。 3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。 4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。 5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN

一、VLAN的特点： 不受物理位置限制的逻辑网络 二层概念，做到分隔广播域的作用 VLAN之间彼此隔离，VLAN间的通讯需要三层交换机或路由器实现 VLAN技术需要在交换机（二层或三层）上进行配置 二、如何创建VLAN Tips:任何交换机都有一个默认VLAN，名叫VLAN1 （请注意，VLAN1它是不可删除的，且所有端口默认都是划分到VLAN1中的） vlan vlan-id //创建VLAN的指令，VLAN的ID号范围（1~4094） 例如：创建VLAN20 　　[Huawei] vlan 1 　　[Huawei] vlan batch vlan-id //批量创建VLAN 例如：创建VLAN20~30，31，36 　　[Huawei] vlan batch 20~30 31 36 如果要删除（或批量删除）指定的VLAN，只需要在指令前面加undo即可。 三、VLAN的划分方法 VLAN的划分有五种方式： 基于端口；基于MAC地址划分；基于IP地址子网划分；基于网络协议划分；基于策略进行划分 基于交换机端口的VLAN划分在实际生产环境中十分常见 将端口划分到指定的VLAN中： Step.1　　进入交换机的指定端口，设置端口的链路模式为access模式：port link-type access （关于端口的链路模式，将在以后的章节中详细说明

VLAN TRUNK扩展 一、MUX VLAN 产生的背景 　　　 第一不同属性的VLAN 之间，想要互相通信 　　　 第二相同的VLAN下，数据要隔离 　　2 基本的概念及实现 　　　 和思科PVLAN ，锐捷super vlan等技术有共同点。 　　　 主vlan：可以和任何vlan通信 　　　 团体vlan：可以和主VLAN通信，vlan内部之间可以互相通信，不可以和其他的团 　　　 体vlan通信，包括隔离VLAN 　　　 隔离vlan：可以和主VLAN通信，vlan内部之间不可以互相通信，不可以和其他的 　　　团体或隔离vlan通信 二、GVRP 产生的背景 　　　 如何解决，园区网中，海量交换机大批量的vlan配置问题，需要一种自动化的协议，能够自动的将配置好的VLAN，同步到全网的所有设备上 　　　 VTP(vlan trunking protocol)：同步交换机上的VLAN信息的。思科私有协议 　　　 GARP：GVRP是GARP的一种具体实现 公有协议 　　2. GVRP实现和基本概念 　　　 通过特定的数据报文来交互数据的 　　　 join消息报文 　　　 in 表示下发的注册信息不是空的，是有具体的vlan的 　　　 empty 下发的注册信息是空的 　　3. GVRP的注册 　　　 注册（包括注销）的时候，是单方向发送注册消息的，并且下游交换机

为了解决用交换机做LAN互联无法限制广播的问题，出现了VLAN技术，把一个LAN划分为多个逻辑的“LAN”-VLAN。 VLAN技术将一个物理的LAN逻辑地划分为不同的广播域，每一个VLAN包含一组有着相同需求的计算机，因为非物理划分，所以同一个VLAN内的计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。 VLAN实现方案：IEEE 802.1Q Ethernet端口类型：Access、Trunk、Hybrid 客户需要进行网络改造，要求划分过个VLAN，但不想改变PC机的配置，可以使用super vlan。 中国移动四张网：IP承载网（2G、3G网络，4G一部分），CMNET（Internet网络），DCN（内部办公网），网管网（OSS网络）；使用VDC（一虚多）隔离 VPC（多虚一，virtual Port-Channel）：传统的技术实现交换机互联时，如果互联结构存在环路，则会block环路中的部分支路。vPC技术可以实现在单个设备上使用port-channel连接两个上行交换机，完全使用所有上行链路的带宽，并消除STP blocked ports，在link/device失效下提供快速收敛。【个人理解：就是把几台交换机虚拟成一台交换机，避免环路block，同时多活】 来源： https://www.cnblogs.com/cmss/p

基本概念 路由器上的每个接口属于一个广播域，不同的接口属于不同的广播域。交换机上所有的接口属于同一个广播域。 面临的问题 网络通信中广播信息是普遍存在的，这些广播信息会占用大量的网络宽带，并增加网络主机为处理广播信息所产生的负载。 路由器能够实现对广播域的分割和隔离，但是路由器上的以太网接口较少，为了在交换机上实现对广播域的分割和隔离产生了VLAN。 VLAN概念 一个VLAN就是一个网段，通过在交换机上换份VLAN，可以将一个大的局域网划分成若干个网段，每个网段内多有主机的通信和广播仅限与改VLAN内，VLAN间不能直接通信。 交换机 引入VLAN技术后,交换机的接口按用途分为访问连接和汇聚连接。 访问端口：常用于连接客户的PC机，提供网络接入服务，该端口只属于某一个VLAN，并向该VLAN发送或者接受数据帧。 汇聚端口：属于所有VLAN共有，承载所有VLAN在交换机间的通信流量。 虚拟局域网的实现方式： 静态：将交换机端口分配给某一个VLAN 动态：先建立一个数据库，记录设备的MAC地址及相应的VLAN号。当网络设备接到交换机端口时，交换机自动把这个网络设备所连接的端口分配给相应的VLAN。 来源： CSDN 作者： 建康 链接： https://blog.csdn.net/qq_29989725/article/details/103850238

前序：前面的文章中已经从NSX的基本架构讲到了逻辑交换，讲了什么是逻辑交换机，什莫是组播，什么是单播，讲了很多很多。希望大家能时常去复习，今天给大家讲一讲逻辑路由，也就是我们平时所说的三层通信。 一、路由器 先简单的介绍一下路由器，众所周知，处理路由的设备叫路由器，但是有一点要注意，具有路由功能的不一定都是路由器，现在的防火墙、交换机也具备了一些路由的功能。路由器是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。它能够理解不同的协议，例如某个局域网使用的以太网协议，因特网使用的TCP/IP协议。这样，路由器可以分析各种不同类型网络传来的数据包的目的地址，把非TCP/IP网络的地址转换成TCP/IP地址，或者反之；再根据选定的路由算法把各数据包按最佳路线传送到指定位置。所以路由器可以把非TCP/ IP网络连接到因特网上。 二、NSX逻辑路由 在讲路由之前，先回顾三层网络的作用是什么。网络层主要有以下几点作用：1）选择路由的路径2）知晓邻居网络节点的地址3）基于三层QoS选择流量的优先级4）将本地消息发给传输层。正常来说，这些功能都应该由路由器来实现，但是现在我们有了NSX平台，NSX的逻辑路由功能取代了物理的路由器，将处于不同逻辑二层的子网中的终端连接起来。负责逻辑路由功能的NSX组件称为NSX逻辑路由器

传统数据中心网络架构 传统数据中新网络架构通常是3层结构，（园区网一般也是3层结构）Cisco称之为：分级的互联网络模型，包含三层： Core 核心层 ： 提供高速转发，为多个汇聚层提供连接性 Aggregation 汇聚层 ：汇聚连接接入交换机，同时提供其他服务（FW、SLB、等） Access 接入层 ：物理连接服务器，一般放在机柜顶端，也称ToR交换机 一个三层架构图如下： 汇聚是网络的分界点，汇聚交换机以下是L2网络，以上是L3网络，每组汇聚交换机是一个pod，根据业务分区分模块。pod内是一个或者多个VLAN网络，一个POD对应一个广播域。 这种架构部署简单，（vlan+xstp）技术成熟。 VLAN 、Xstp 使用vlan、xstp原因： 1、BUM（广播，未知单播，组播） vlan技术把一个大的物理二层域划分成多个小的逻辑二层域，这逻辑的二层域被称为vlan，同一个vlan内可以二层通信，不通vlan之间隔离，这样广播的范围被局限在一个vlan内，不会扩散到整个物理二层域 vlan还有简化管理，提高安全性等。。 2、环路及环路形成的广播风暴 如果是单设备单链路组成的3层架构，是不存在环路以及环路带来的广播，但是这种网络可靠性比较差，因为没有任何的备份设备和备份链路，一旦某个设备或者链路发生故障，故障点下的所有主机就无法连上网络。 为了提高网络的可靠性