交换技术原理-VLAN虚拟局域网
- 一、概念
- 二、VLAN ID(TAG)
- 三、Access
- 四、Trunk
- 五、Hybrid
- 六、MUX VLAN
- 七、QinQ
一、概念
1.在同一台交换机上,把设备逻辑上分成多个 “小局域网”,彼此像在不同交换机上一样,不能直接互通。
2.隔离广播:交换机默认所有口在一个广播域,设备一多,广播包泛滥会很卡,VLAN 可以把广播域切小。
3.安全隔离:财务部、办公区、监控、访客网络互相不能随便访问。
4.灵活组网:不用真的拉新线、买新交换机,软件上划网就行。
5.交换机给每个端口分配VLAN,同VLAN设备可以互通,不同VLAN默认完全隔离,不同VLAN要互通必须经过三层设备(路由器 / 三层交换机) → 这叫单臂路由/三层转发。
二、VLAN ID(TAG)
1.范围:1~4094,VLAN 1:默认VLAN,所有端口默认都在VLAN1
2.IEEE 802.1q协议规定在目的mac地址和源mac地址之后封装4个字节的VLAN tag,用以标识VLAN的相关信息(802.1q格式:目的地址6字节——源地址6字节——TAG4字节——类型2字节——数据0-1500字节——填充0-46字节——校验和4字节),交换机默认MTU:1504字节。
3.交换机在报文中添加标识VLAN信息的4个字节的字段。
4.有标记帧(Tagged帧):加入了4字节VLAN标签的帧。
5.无标记帧(Untagged帧):未加入4字节VLAN标签的帧。
三、Access
1.Access端口通常用于连接终端设备,当Access端口接收到不带VLAN标签的数据帧时,它会自动为该数据帧打上该端口所属VLAN的标签。
2.如果接收到的数据帧已经带有标签,并且该标签与端口的PVID(Port VLAN ID)相同,则端口也会接收该帧;否则,该帧将被丢弃。
3.Access接口大部分情况只能收发Untagged帧,且只能为Untagged帧添加唯一VLAN的Tag,交换机内部只处理Tagged帧,所以Access接口需要给收到的数据帧添加VLAN Tag,也就必须配置缺省VLAN,配置缺省VLAN后,该Access接口也就加入了该VLAN。
4.出去不带标签,进来打标签,只可以承载1个VLAN的数据帧,在接入链路(Access)上传输的帧都是Untagged帧。
四、Trunk
1.Trunk就是“中继”的意思,用于连接其他交换机或路由器,当Trunk端口收到不带VLAN标签的数据帧时,它会打上该端口所属的VLAN的标签。
2.Trunk中继允许多个VLAN通过,带标签传输,干道链路用于交换机间互连或连接交换机与路由器,可以承载多个不同VLAN的数据帧,在Trunk上传输的数据帧都是Tagged帧。
3.Trunk端口可以属于多个VLAN,端口发送报文时,如果是缺省VLAN的报文,去掉VLAN tag, 如果是其他VLAN的报文,则必须带VLAN tag发送, 一般用于交换机直接互联。
4.一个Trunk可以通过多个VLAN的流量,Trunk链路之所以可以承载所有VLAN的流量,主要是因为来自于每个VLAN的数据帧,在经过Trunk的时候,都会在这个数据帧里插入一个VLAN ID字段,对端交换机收到这个数据时,检查找到这个VLAN ID所对应的VLAN,然后把这个数据转发到对应的VLAN中。
5.交换机内部处理的数据帧一律都是Tagged帧,从用户终端接收无标记帧后,交换机会为无标记帧添加VLAN标签,重新计算帧校验序列(FCS),然后通过干道链路发送帧,向用户终端发送帧前,交换机会去除VLAN标签,并通过接入链路向终端发送无标记帧。
五、Hybrid
1.可以属于多个VLAN,但与Trunk口相比更有一点更具灵活性,Hybrid可以自由决定发送报文时,是去掉tag,还是带上tag。
2.Hybrid端口既可以连接终端设备也可以连接其他交换机,Hybrid端口在收到不带VLAN标签的数据帧时会打上PVID,如果数据帧带有标签,它会检查该标签是否在允许通过的VLAN列表中,并在必要时保留或剥离标签进行转发。
3.Hybrid可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧不剥除Tag或剥除Tag。
六、MUX VLAN
1.多路复用VLAN,是一种二层VLAN隔离技术,主要解决同一网段内既要共享资源(如服务器),又要灵活隔离用户的需求,即所有设备都在一个网段,都能访问服务器,但部分设备之间互相不能通信。
2.一个MUX VLAN由1个主VLAN+N个从VLAN组成,从VLAN又分两种:互通型(Group) 和隔离型(Separate)。
3.互通型从VLAN:组内互通,可与主 VLAN 通信,与其他组 / 隔离型隔离。
4.隔离型从VLAN:自己人也不通,仅能与主VLAN通信。
5.主 VLAN(服务器)能和所有人通信。组内通,组间隔:同一互通型从VLAN内可互访,不同互通型从VLAN之间不行。隔离全不通:隔离型从VLAN内的设备,自己人也不能互相访问,从VLAN之间不通:互通型从VLAN和隔离型从VLAN之间完全隔离。
七、QinQ
1.QinQ即802.1Q-in-Q,最早是为了扩展VLAN数量而产生的,在原有的802.1q报文的基础上又增加一层802.1q标签实现的,使VLAN数量增加到4K*4K。
2.后来,内外层TAG可以代表不同的信息,给数据包加两层VLAN标签,内层是用户私网标签(C-VLAN),外层是运营商公网标签(S-VLAN)。
在 Linux 下的移植与实战:从模拟器到真实硬件)
