VLAN学习总结

谁都会走 提交于 2019-12-02 06:16:31

1.什么是VLAN?

VLAN(Virtual LAN),翻译成中文是“虚拟局域网”,基于802.1Q协议标准。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

广播域:(Broadcast Domain)广播是一种信息的传播方式,指网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域。

2.网络风暴?

2.1.什么是广播风暴

由于网络拓扑的设计和连接问题,或其他原因导致广播报文在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪。这就是网络风暴。

2.2.广播风暴出现原因

(1)交换机的广播风暴

如下图所示:

(2)网卡损坏

如果网络机器的网卡损坏,也同样会产生广播风暴。损坏的网卡不停向交换机发送大量的数据包,就会产生大量无用的数据包,最终导致广播风暴

(3)网络病毒

一旦有机器中毒后,病毒便会立即通过网络进行传播。网络病毒的传播,就会占据大量的网络带宽,引起网络堵塞,进而引起广播风暴。

(4)黑客攻击

一些上网者经常利用网络执法官、网络剪刀手等黑客软件,对网吧的内部网络进行攻击,这些软件的使用,也可能产生广播风暴。

(5)网络环路,一根线连接了同一交换机的不同接口

如下图所示:

3.VLAN的优点

  • 隔离广播域,抑制广播报文
  • 减少移动和改变代价
  • 增强通讯的安全性
  • 增强网络的健壮性

4.VLAN交换机的端口分类

4.1.VLAN交换机的端口介绍

Access类型端口:

只允许默认vlan的以太网帧,也就是说只能属于一个vlan,Access端口在收到以太网帧后打上vlan标签,转发时在剥离vlan标签,一般情况下一端连接的是计算机。

Trunk类型端口:

可以允许多个vlan通过,可以接受并转发多个vlan的报文一般作用于交换机之间连接的端口,在网络的分层结构方面,trunk被解释为"端口聚合",就是把多个物理端口捆绑在一起作为一个逻辑端口使用,作用可以扩展带宽和做链路的备份。

Hybrid类型端口:

Hybrid类型的端口跟trunk类型的端口很相似,也是可以允许多个vlan通过,可以接受和发送多个vlan的报文,可以作用于交换机之间,也可以作用于连接用户的计算机端口上。

PS:hybrid端口和trunk端口的区别是:Hybrid端口可以允许多个vlan发送时不打标签,而trunk端口只允许缺省vlan的报文发送时不打标签。

4.2.各端口接受报文的处理过程

Access端口:收到报文后,判断是否有VLAN信息,如果没有则打上端口的缺省VLAN,并进行交换转发,如果有则直接丢弃。

Trunk端口:收到报文后判断是否有VLANi信息,如果没有则打上端口的缺省VLAN,并进行转发;如果有判断该trunk端口是否允许该VLAN的数据进入,如果可以则转发,否则丢弃。

Hybrid端口:收到一个报文,判断是否有VLAN信息:如果没有则打上端口的缺省VLAN,并进行交换转发;如果有,判断该hybrid端口是否允许该VLAN的数据进入,如果可以则转发,否则丢弃

4.3.各端口发送报文的处理过程

Access端口:将报文的VLAN信息剥离,直接发送出去。

trunk端口:比较端口的缺省VLAN和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息再发送,如果不相等则直接发送该报文。

hybrid端口:判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN是untag, 哪些VLAN是tag)。如果是untag则剥离VLAN信息再发送,如果是tag则直接发送。


5.VLAN帧格式解析

带有VLAN的帧结构是在以太网报文中,位于帧的源MAC地址与类别之间,增加了4个字节的VLAN头部。VLAN头部包含2字节的TPID和2字节的TCI。由于以太网帧结构数据变化,以太网帧的CRC校验字节内容有相应的变化。

TPID:(Tag Protocol Identifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。

Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q标准使用这三位信息。最高优先级为7,应用于关键性网络流量,如路由选择信息协议(RIP)和开放最短路径优先(OSPF)协议的路由表更新。优先级6和5主要用于延迟敏感(delay-sensitive)应用程序,如交互式视频和语音。优先级4到1主要用于受控负载(controlled-load)应用程序,如流式多媒体(streaming multimedia)和关键性业务流量(business-critical traffic)例如,SAP 数据以及“loss eligible”流量。优先级0是缺省值,并在没有设置其它优先级值的情况下自动启用。

CFI:(Canonical Format Indicator)CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。

VLAN ID:这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。 

在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有标记的帧(tagged frame)

6.VLAN报文抓包分析


7.静态VLAN和动态VLAN

7.1.静态VLAN

静态VLAN又称为基于端口的VLAN(Port Based VLAN)。顾名思义,就是明确指定各端口属于哪个VLAN的设定方法。

由于需要一个个端口地指定,因此当网络中的计算机数目过多后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——不适合那些需要频繁改变拓补结构的网络。

7.2.动态VLAN

动态VALN分类  基于MAC地址的VLAN(MAC Based VLAN)
基于子网的VLAN(Subnet Based VLAN)
基于用户的VLAN(User Based VLAN)


(1)基于MAC的VLAN

通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。

例:

假定有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。

(2)基于子网的VLAN

通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN。即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。

(3)基于用户的VLAN

根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。

总的来说,决定端口所属VLAN时利用的信息在OSI中的层面越高,就越适于构建灵活多变的网络。

综上所述,设定访问链接的手法有静态VLAN和动态VLAN两种,其中动态VLAN又可以继续细分成几个小类。

其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。

种类 说明
静态VLAN 将交换机的个端口固定指派给VLAN
动态VLAN  基于MAC的VLAN 根据个端口连接计算机的MAC地址设定
基于IP的VLAN 根据各端口所连接计算机的IP地址设定
基于用户的VLAN 根据各端口所连接计算机的用户设定

8.三层VLAN交换原理

(1)假设PC A去访问PC C
(2)针对目标IP地址,计算机A可以判断出通信对象不属于同一个网络,因此向默认网关发送数据。
(3)交换机收到报文后,提取目的MAC发现是指向自己的。
(4)判断入接口是什么类型,发现是access端口,打上VLAN1的VLAN头部信息。
(5)通过内部汇聚链接,将数据帧转发给路由模块。
(6)路由模块在收到数据帧时,先由数据帧附加的VLAN识别信息分辨出它属于VLAN1,据此判断由VLAN1接口负责接收并进行路由处理。
(7)VLAN1收到后,解析IP报文头部,提取目的IP地址,查路由,发现目的IP地址是直连路由,对应的VLAN是VLAN2。
(8)给报文打上VLAN2的头部信息,然后通过内部聚合链路口发送给VLAN2的交换模块。
(9)VLAN2的交换模块收到报文后,提取目的MAC地址,匹配VLAN2的MAC地址表,找到出接口后,判断出接口是什么端口类型。
(10)发现是access端口,去掉VLAN头部,封装发送给PC C。

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!