一、VLAN簡介
定義:
VLAN
(
Virtual Local Area Network
)即虛擬區域網,是將一個物理的LAN在邏輯上劃分成多個廣播域的通訊技術。VLAN內的主機間可以直接通訊,而
VLAN間不能直接通訊
,從而將廣播報文限制在一個VLAN內。
在此讓我們先複習一下
廣播域
的概念。廣播域,指的是廣播幀(目標MAC地址全部為1)所能傳遞到的範圍,亦即能夠直接通訊的範圍。嚴格地說,並不僅僅是廣播幀,多播幀(Multicast Frame)和目標不明的單播幀(Unknown Unicast Frame)也能在同一個廣播域中暢行無阻。
本來,二層交換機只能構建單一的廣播域,不過使用VLAN功能後,它能夠將網路分割成多個廣播域。
未分割廣播域時……
那麼,為什麼需要分割廣播域呢?那是因為,如果僅有一個廣播域,有可能會影響到網路整體的傳輸效能。具體原因,請參看附圖加深理解。
圖中,是一個由5臺二層交換機(交換機1~5)連線了大量客戶機構成的網路。假設這時,計算機A需要與計算機B通訊。在基於乙太網的通訊中,必須在資料幀中指定目標MAC地址才能正常通訊,因此計算機A必須先廣播“
ARP請求
(ARP Request)資訊”,來嘗試獲取計算機B的MAC地址。
交換機1收到廣播幀(ARP請求)後,會將它轉發給除接收埠外的其他所有埠,也就是Flooding了。接著,交換機2收到廣播幀後也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發到同一網路中的所有客戶機上。
請大家注意一下,這個ARP請求原本是為了獲得計算機B的MAC地址而發出的。也就是說:只要計算機B能收到就萬事大吉了。可是事實上,資料幀卻傳遍整個網路,導致所有的計算機都收到了它。如此一來,一方面廣播資訊消耗了網路整體的頻寬,另一方面,收到廣播資訊的計算機還要消耗一部分CPU時間來對它進行處理。造成了網路頻寬和CPU運算能力的大量無謂消耗。
廣播資訊是那麼經常發出的嗎?
讀到這裡,您也許會問:
廣播資訊真是那麼頻繁出現的嗎?
答案是:
是的
!實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通訊時,除了前面出現的ARP外,還有可能需要發出DHCP、RIP等很多其他型別的廣播資訊。
ARP廣播,是在需要與其他主機通訊時發出的。當客戶機請求DHCP伺服器分配IP地址時,就必須發出DHCP的廣播。而使用RIP作為路由協議時,每隔30秒路由器都會對鄰近的其他路由器廣播一次路由資訊。RIP以外的其他路由協議使用多播傳輸路由資訊,這也會被交換機轉發(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。例如在Windows下雙擊開啟“網路計算機”時就會發出廣播(多播)資訊。(Windows XP除外……)
總之,廣播就在我們身邊。下面是一些常見的廣播通訊:
ARP請求
:建立IP地址和MAC地址的對映關係。
RIP
:一種路由協議。
DHCP
:用於自動設定IP地址的協議。
NetBEUI
:Windows下使用的網路協議。
IPX
:NovellNetware使用的網路協議。
Apple Talk
:蘋果公司的Macintosh計算機使用的網路協議。
如果整個網路只有一個廣播域,那麼一旦發出廣播資訊,就會傳遍整個網路,並且對網路中的主機帶來額外的負擔。因此,在設計LAN時,需要注意如何才能有效地分割廣播域。
目的:
乙太網是一種基於
CSMA/CD
(
Carrier Sense Multiple Access/Collision Detection
)的共享通訊介質的資料網路通訊技術。當主機數目較多時會導致衝突嚴重、廣播氾濫、效能顯著下降甚至造成網路不可用等問題。透過交換機實現LAN互連雖然可以解決衝突嚴重的問題,但仍然不能隔離廣播報文和提升網路質量。
在這種情況下出現了VLAN技術,這種技術可以把一個LAN劃分成多個邏輯的VLAN,每個VLAN是一個廣播域,VLAN內的主機間通訊就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文就被限制在一個VLAN內。
作用:
限制廣播域
:廣播域被限制在一個VLAN內,節省了頻寬,提高了網路處理能力。
增強區域網的安全性
:不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的使用者不能和其它VLAN內的使用者直接通訊。
提高了網路的健壯性
:故障被限制在一個VLAN內,本VLAN內的故障不會影響其他VLAN的正常工作。
靈活構建虛擬工作組
:用VLAN可以劃分不同的使用者到不同的工作組,同一工作組的使用者也不必侷限於某一固定的物理範圍,網路構建和維護更方便靈活。
二、VLAN的基本概念
VLAN標籤:
要使裝置能夠分辨不同VLAN的報文,需要在報文中新增標識VLAN資訊的欄位。IEEE 802。1Q協議規定,在乙太網資料幀的目的MAC地址和源MAC地址欄位之後、協議型別欄位之前加入4個位元組的VLAN標籤(又稱VLAN Tag,簡稱Tag),用以標識VLAN資訊。
VLAN幀格式:
欄位解釋:
欄位
長度
含義
取值
TPID
2Byte
Tag Protocol Identifier(標籤協議識別符號),表示資料幀型別。
表示幀型別,取值為0x8100時表示IEEE 802。1Q的VLAN資料幀。如果不支援802。1Q的裝置收到這樣的幀,會將其丟棄。各裝置廠商可以自定義該欄位的值。當鄰居裝置將TPID值配置為非0x8100時, 為了能夠識別這樣的報文,實現互通,必須在本裝置上修改TPID值,確保和鄰居裝置的TPID值配置一致。
PRI
3bit
Priority,表示資料幀的802。1p優先順序。
取值範圍為0~7,值越大優先順序越高。當網路阻塞時,裝置優先發送優先順序高的資料幀。
CFI
1bit
Canonical Format Indicator(標準格式指示位),表示MAC地址在不同的傳輸介質中是否以標準格式進行封裝,用於相容乙太網和令牌環網。
CFI取值為0表示MAC地址以標準格式進行封裝,為1表示以非標準格式封裝。在乙太網中,CFI的值為0。
VID
12bit
VLAN ID,表示該資料幀所屬VLAN的編號。
VLAN ID取值範圍是0~4095。由於0和4095為協議保留取值,所以VLAN ID的有效取值範圍是1~4094。
裝置利用VLAN標籤中的VID來識別資料幀所屬的VLAN,廣播幀只在同一VLAN內轉發,這就將廣播域限制在一個VLAN內。
常用裝置收發資料幀的VLAN標籤情況:
在一個VLAN交換網路中,乙太網幀主要有以下兩種格式:
有標記幀(Tagged幀)
:加入了4位元組VLAN標籤的幀。
無標記幀(Untagged幀)
:原始的、未加入4位元組VLAN標籤的幀。
常用裝置中:
使用者主機、伺服器、Hub只能收發Untagged幀。
交換機、路由器和AC既能收發Tagged幀,也能收發Untagged幀。
語音終端、AP等裝置可以同時收發一個Tagged幀和一個Untagged幀。
為了提高處理效率,裝置內部處理的資料幀一律都是
Tagged幀
。
鏈路型別和介面型別:
裝置內部處理的資料幀一律都帶有VLAN標籤,而現網中的裝置有些只會收發Untagged幀,要與這些裝置互動,就需要介面能夠識別Untagged幀並在收發時給幀新增、剝除VLAN標籤。同時,現網中屬於同一個VLAN的使用者可能會被連線在不同的裝置上,且跨越裝置的VLAN可能不止一個,如果需要使用者間的互通,就需要裝置間的介面能夠同時識別和傳送多個VLAN的資料幀。
為了適應不同的連線和組網,裝置定義了
Access
介面、
Trunk
介面和
Hybrid
介面3種介面型別,以及接入鏈路(Access Link)和幹道鏈路(Trunk Link)兩種鏈路型別。
鏈路型別:
根據鏈路中需要承載的VLAN數目的不同,乙太網鏈路分為:
接入鏈路
接入鏈路只可以承載1個VLAN的資料幀,用於連線裝置和使用者終端(如使用者主機、伺服器等)。通常情況下,使用者終端並不需要知道自己屬於哪個VLAN,也不能識別帶有Tag的幀,所以在接入鏈路上傳輸的幀都是Untagged幀。
幹道鏈路
幹道鏈路可以承載多個不同VLAN的資料幀,用於裝置間互連。為了保證其它網路裝置能夠正確識別資料幀中的VLAN資訊,在幹道鏈路上傳輸的資料幀必須都打上Tag。
介面型別:
根據介面連線物件以及對收發資料幀處理的不同,乙太網介面分為:
Access介面
Access介面一般用於和不能識別Tag的使用者終端(如使用者主機、伺服器等)相連,或者不需要區分不同VLAN成員時使用。它只能收發Untagged幀,且只能為Untagged幀新增唯一VLAN的Tag。
Trunk介面
Trunk介面一般用於連線交換機、路由器、AP以及可同時收發Tagged幀和Untagged幀的語音終端。它可以允許多個VLAN的幀帶Tag透過,但只允許一個VLAN的幀從該類介面上發出時不帶Tag(即剝除Tag)。
Hybrid介面
Hybrid介面既可以用於連線不能識別Tag的使用者終端(如使用者主機、伺服器等)和網路裝置(如Hub),也可以用於連線交換機、路由器以及可同時收發Tagged幀和Untagged幀的語音終端、AP。它可以允許多個VLAN的幀帶Tag透過,且允許從該類介面發出的幀根據需要配置某些VLAN的幀帶Tag(即不剝除Tag)、某些VLAN的幀不帶Tag(即剝除Tag)。
Hybrid介面和Trunk介面在很多應用場景下可以通用,但在某些應用場景下,必須使用Hybrid介面。比如一個介面連線不同VLAN網段的場景中,因為一個介面需要給多個Untagged報文新增Tag,所以必須使用Hybrid介面。
預設VLAN:
預設VLAN又稱PVID(Port Default VLAN ID)。前面提到,裝置處理的資料幀都帶Tag,當裝置收到Untagged幀時,就需要給該幀新增Tag,新增什麼Tag,就由介面上的預設VLAN決定。
介面收發資料幀時,對Tag的新增或剝除過程。
對於Access介面,預設VLAN就是它允許透過的VLAN,修改預設VLAN即可更改介面允許透過的VLAN。
對於Trunk介面和Hybrid介面,一個介面可以允許多個VLAN透過,但是隻能有一個預設VLAN。介面的預設VLAN和允許透過的VLAN需要分別配置,互不影響。
同類型介面新增或剝除VLAN標籤的比較:
介面型別
對接收不帶Tag的報文處理
對接收帶Tag的報文處理
傳送幀處理過程
Access介面
接收該報文,並打上預設的VLAN ID。
當VLAN ID與預設VLAN ID相同時,接收該報文。當VLAN ID與預設VLAN ID不同時,丟棄該報文。
先剝離幀的PVID Tag,然後再發送。
Trunk介面
打上預設的VLAN ID,當預設VLAN ID在允許透過的VLAN ID列表裡時,接收該報文。打上預設的VLAN ID,當預設VLAN ID不在允許透過的VLAN ID列表裡時,丟棄該報文。
當VLAN ID在介面允許透過的VLAN ID列表裡時,接收該報文。當VLAN ID不在介面允許透過的VLAN ID列表裡時,丟棄該報文。
當VLAN ID與預設VLAN ID相同,且是該介面允許透過的VLAN ID時,去掉Tag,傳送該報文。當VLAN ID與預設VLAN ID不同,且是該介面允許透過的VLAN ID時,保持原有Tag,傳送該報文。
Hybrid介面
打上預設的VLAN ID,當預設VLAN ID在允許透過的VLAN ID列表裡時,接收該報文。打上預設的VLAN ID,當預設VLAN ID不在允許透過的VLAN ID列表裡時,丟棄該報文。
當VLAN ID在介面允許透過的VLAN ID列表裡時,接收該報文。當VLAN ID不在介面允許透過的VLAN ID列表裡時,丟棄該報文。
當VLAN ID是該介面允許透過的VLAN ID時,傳送該報文。可以透過命令設定傳送時是否攜帶Tag
當接收到不帶VLAN標籤的資料幀時,Access介面、Trunk介面、Hybrid介面都會給資料幀打上VLAN標籤,但Trunk介面、Hybrid介面會根據資料幀的VID是否為其允許透過的VLAN來判斷是否接收,而Access介面則無條件接收。
當接收到帶VLAN標籤的資料幀時,Access介面、Trunk介面、Hybrid介面都會根據資料幀的VID是否為其允許透過的VLAN(Access介面允許透過的VLAN就是預設VLAN)來判斷是否接收。
當傳送資料幀時:
Access介面
直接剝離資料幀中的VLAN標籤。
Trunk介面
只有在資料幀中的VID與介面的PVID相等時才會剝離資料幀中的VLAN標籤。
Hybrid介面
會根據介面上的配置判斷是否剝離資料幀中的VLAN標籤。
因此,Access介面發出的資料幀肯定不帶Tag,Trunk介面發出的資料幀只有一個VLAN的資料幀不帶Tag,其他都帶VLAN標籤,Hybrid介面發出的資料幀可根據需要設定某些VLAN的資料幀帶Tag,某些VLAN的資料幀不帶Tag。
三、VLAN通訊
VLAN內互訪:
同一VLAN內使用者互訪(簡稱VLAN內互訪)會經過如下三個環節。
使用者主機的報文轉發
源主機在發起通訊之前,會將自己的IP與目的主機的IP進行比較,如果兩者位於同一網段,會獲取目的主機的MAC地址,並將其作為目的MAC地址封裝進報文;如果兩者位於不同網段,源主機會將報文遞交給閘道器,獲取閘道器的MAC地址,並將其作為目的MAC地址封裝進報文。
裝置內部的乙太網交換
裝置
如果目的MAC地址+VID匹配自己的MAC表且三層轉發標誌置位,則進行三層交換,會根據報文的目的IP地址查詢三層轉發表項,如果沒有找到會將報文上送CPU,由CPU查詢路由表實現三層轉發。
如果目的MAC地址+VID匹配自己的MAC表但三層轉發標誌未置位,則進行二層交換,會直接將報文根據MAC表的出介面發出去。
如果目的MAC地址+VID沒有匹配自己的MAC表,則進行二層交換,此時會向所有允許VID透過的介面廣播該報文,以獲取目的主機的MAC地址。
裝置之間互動時,VLAN標籤的新增和剝離
裝置內部的乙太網交換都是帶Tag的,為了與不同裝置進行成功互動,裝置需要根據介面的設定新增或剝除Tag。不同介面VLAN標籤新增和剝離情況不同。
從乙太網交換原理可以看出,劃分VLAN後,廣播報文只在同一VLAN內二層轉發,因此同一VLAN內的使用者可以直接二層互訪。根據屬於同一VLAN的主機是否連線在不同的裝置,VLAN內互訪有兩種場景:同裝置VLAN內互訪和跨裝置VLAN內互訪。
同裝置VLAN內互訪:
如下圖所示,使用者主機Host_1和Host_2連線在同臺裝置上,屬於同一VLAN2,且位於相同網段,連線介面均設定為Access介面。(假設Router上還未建立任何轉發表項)。
Host_1判斷目的IP地址跟自己的IP地址在同一網段,於是傳送ARP廣播請求報文獲取目的主機Host_2的MAC地址,報文目的MAC填寫全F,目的IP為Host_2的IP地址10。1。1。3。
報文到達Router的介面IF_1,發現是Untagged幀,給報文新增VID=2的Tag(Tag的VID=介面的PVID),然後根據報文的源MAC地址、VID和報文入介面(1-1-1, 2, IF_1)生成MAC表。
根據報文目的MAC地址+VID查詢Router的MAC表,沒有找到,於是在所有允許VLAN2透過的介面(本例中介面為IF_2)廣播該報文。
Router的介面IF_2在發出ARP請求報文前,根據介面配置,剝離VID=2的Tag。
Host_2收到該ARP請求報文,將Host_1的MAC地址和IP地址對應關係記錄ARP表。然後比較目的IP與自己的IP,發現跟自己的相同,就傳送ARP響應報文,報文中封裝自己的MAC地址2-2-2,目的IP為Host_1的IP地址10。1。1。2。
Router的介面IF_2收到ARP響應報文後,同樣給報文新增VID=2的Tag。
Router根據報文的源MAC地址、VID和報文入介面(2-2-2, 2, IF_2)生成MAC表,然後根據報文的目的MAC地址+VID(1-1-1, 2)查詢MAC地址表,由於前面已記錄,查詢成功,向出介面IF_1轉發該ARP響應報文。
Router向出介面IF_1轉發前,同樣根據介面配置剝離VID=2的Tag。
Host_1收到Host_2的ARP響應報文,將Host_2的MAC地址和IP地址對應關係記錄ARP表。
後續Host_1與Host_2的互訪,由於彼此已學習到對方的MAC地址,報文中的目的MAC地址直接填寫對方的MAC地址。
此組網場景下,當同一VLAN的使用者處於不同網段時,主機將在報文中封裝閘道器的MAC地址,可藉助VLANIF技術(需配置主從IP地址)實現互訪。
跨裝置VLAN內互訪:
如下圖,使用者主機Host_1和Host_2連線在不同的裝置上,屬於同一個VLAN2,且位於相同網段。為了識別和傳送跨越裝置的資料幀,裝置間透過幹道鏈路連線。
當用戶主機Host_1傳送報文給使用者主機Host_2時,報文的傳送過程如下(假設Router_1和Router_2上還未建立任何轉發表項)。
經過與
同裝置VLAN內互訪
的步驟1~2一樣的過程後,報文被廣播到Router_1的IF_2介面。
Router_1的IF_2介面在發出ARP請求報文前,因為介面的PVID=1(預設值),與報文的VID不相等,直接透傳該報文到Router_2的IF_2介面,不剝除報文的Tag。
Router_2的IF_2介面收到該報文後,判斷報文的Tag中的VID=2是介面允許透過的VLAN,接收該報文。
經過與
同裝置VLAN內互訪
的步驟3~6一樣的過程後,Router_2將向其出介面IF_2轉發Host_2的ARP響應報文,轉發前,因為介面IF_2為Trunk介面且PVID=1(預設值),與報文的VID不相等,直接透傳報文到Router_1的IF_2介面。
Router_1的IF_2介面收到Host_2的ARP響應報文後,判斷報文的Tag中的VID=2是介面允許透過的VLAN,接收該報文。後續處理同
同裝置VLAN內互訪
的步驟7~9一樣。
可見,幹道鏈路除可傳輸多個VLAN的資料幀外,還起到透傳VLAN的作用,即幹道鏈路上,資料幀只會轉發,不會發生Tag的新增或剝離。
VLAN間互訪:
劃分VLAN後,由於廣播報文只在同VLAN內轉發,所以不同VLAN的使用者間不能二層互訪,這樣能起到隔離廣播的作用。但實際應用中,不同VLAN的使用者又常有互訪的需求,此時就需要實現不同VLAN的使用者互訪,簡稱VLAN間互訪。
同VLAN間互訪一樣,VLAN間互訪也會經過使用者主機的報文轉發、裝置內部的乙太網交換、裝置之間互動時VLAN標籤的新增和剝離三個環節。同樣,根據乙太網交換原理,廣播報文只在同一VLAN內轉發,不同VLAN內的使用者則不能直接二層互訪,需要藉助三層路由技術或VLAN轉換技術才能實現互訪。
VLAN間互訪技術:
華為提供了多種技術實現VLAN間互訪,常用的兩種技術為VLANIF介面和Dot1q終結子介面。
VLANIF介面
VLANIF介面是一種三層的邏輯介面。在VLANIF介面上配置IP地址後,裝置會在MAC地址表中新增VLANIF介面的MAC地址+VID表項,並且為表項的三層轉發標誌位置位。當報文的目的MAC地址匹配該表項後,會進行三層轉發,進而實現VLAN間的三層互通。
VLANIF配置簡單,是實現VLAN間互訪最常用的一種技術。但每個VLAN需要配置一個VLANIF,並在介面上指定一個IP子網網段,比較浪費IP地址。
Dot1q終結子介面
子介面也是一種三層的邏輯介面。跟VLANIF介面一樣,在子介面上配置Dot1q終結功能和IP地址後,裝置也會新增相應的MAC表項並置位三層轉發標誌位,進而實現VLAN間的三層互通。
Dot1q終結子介面適用於透過一個三層乙太網介面下接多個VLAN網路的環境。由於不同VLAN的資料流會爭用同一個乙太網主介面的頻寬,網路繁忙時,會導致通訊瓶頸。
透過VLANIF介面實現VLAN間互訪,必須要求VLAN間的使用者都只能處於不同的網段(因為相同網段,主機會封裝目的主機的MAC地址,裝置判斷進行二層交換,二層交換隻在同VLAN內,廣播報文無法到達不同的VLAN,獲取不到目的主機的MAC地址,也就無法實現互通)。現網中,也存在不同VLAN相同網段的組網需求,此時可透過VLAN聚合實現。
VLAN聚合(又稱Super VLAN)透過引入Super-VLAN和Sub-VLAN,將一個Super-VLAN和多個Sub-VLAN關聯,多個Sub-VLAN共享Super-VLAN的IP地址作為其閘道器IP,實現與外部網路的三層互通;並透過在Sub-VLAN間啟用Proxy ARP,實現Sub-VLAN間的三層互通,進而即節約IP地址資源,又實現VLAN間的三層互通。
VLAN聚合通常用於多個VLAN共用一個閘道器的組網場景。
同裝置VLAN間互訪:
如下圖:互訪的源主機Host_1和目的主機Host_2連線在同一臺裝置Router上,分別屬於VLAN2和VLAN3,並位於不同的網段。在Router上分別建立VLANIF2和VLANIF3並配置其IP地址,然後將使用者主機的預設閘道器設定為所屬VLAN對應VLANIF介面的IP地址。
當用戶主機Host_1傳送報文給使用者主機Host_2時,報文的傳送過程如下(假設Router上還未建立任何轉發表項)。
Host_1判斷目的IP地址跟自己的IP地址不在同一網段,因此,它發出請求閘道器MAC地址的ARP請求報文,目的IP為閘道器IP 10。1。1。1,目的MAC為全F。
報文到達Router的介面IF_1,Router給報文新增VID=2的Tag(Tag的VID=介面的PVID),然後將報文的源MAC地址+VID與介面的對應關係(1-1-1, 2, IF_1)新增進MAC表。
Router檢查報文是ARP請求報文,且目的IP是自己VLANIF2介面的IP地址,給Host_1應答,並將VLANIF2介面的MAC地址3-3-3封裝在應答報文中,應答報文從IF_1發出前,剝掉VID=2的Tag。同時,Router會將Host_1的IP地址與MAC地址的對應關係記錄到ARP表。
Host_1收到Router的應答報文,將Router的VLANIF2介面的IP地址與MAC地址對應關係記錄到自己的ARP表中,並向Router傳送目的MAC為3-3-3、目的IP為Host_2的IP地址 10。2。2。2的報文。
報文到達Router的介面IF_1,同樣給報文新增VID=2的Tag。
Router根據報文的源MAC地址+VID與介面的對應關係更新MAC表,並比較報文的目的MAC地址與VLANIF2的MAC地址,發現兩者相等,進行三層轉發,根據目的IP查詢三層轉發表,沒有找到匹配項,上送CPU查詢路由表。
CPU根據報文的目的IP去找路由表,發現匹配了一個直連網段(VLANIF3對應的網段),於是繼續查詢ARP表,沒有找到,Router會在目的網段對應的VLAN3的所有介面傳送ARP請求報文,目的IP是10。2。2。2。從介面IF_2發出前,根據介面配置,剝掉VID=2的Tag。
Host_2收到ARP請求報文,發現請求IP是自己的IP地址,就傳送ARP應答報文,將自己的MAC地址包含在其中。同時,將VLANIF3的MAC地址與IP地址的對應關係記錄到自己的ARP表中。
Router的介面IF_2收到Host_2的ARP應答報文後,給報文新增VID=3的Tag,並將Host_2的MAC和IP的對應關係記錄到自己的ARP表中。然後,將Host_1的報文轉發給Host_2,傳送前,同樣剝離報文中的Tag。同時,將Host_2的IP、MAC、VID及出介面的對應關係記錄到三層轉發表中。
至此,Host_1完成對Host_2的單向訪問。Host_2訪問Host_1的過程與此類似。這樣,後續Host_1與Host_2之間的往返報文,都先發送給閘道器Router,由Router查三層轉發表進行三層轉發。
跨裝置VLAN間互訪:
由於VLANIF介面的IP地址只能在裝置上生成直連路由,當不同VLAN的使用者跨多臺裝置互訪時,除配置VLANIF介面的IP地址外,還需要配置靜態路由或執行動態路由協議。
如下圖所示,互訪的源主機Host_1和目的主機Host_2連線在不同的裝置Router_1和Router_2上,分別屬於VLAN2和VLAN3,並位於不同的網段。在Router_1上分別建立VLANIF2和VLANIF4,配置其IP地址為10。1。1。1和10。1。4。1;在Router_2上分別建立VLANIF3和VLANIF4,配置其IP地址為10。1。2。1和10。1。4。2,並在Router_1和Router_2上分別配置靜態路由。Router_1上靜態路由的目的網段是10。1。2。0/24,下一跳是10。1。4。2;Router_2上靜態路由的目的網段是10。1。1。0/24,下一跳是10。1。4。1。
當用戶主機Host_1傳送報文給使用者主機Host_2時,報文的傳送過程如下(假設Router_1和Router_2上還未建立任何轉發表項)。
與
同裝置VLAN間互訪
的步驟1~6一樣,經過“Host_1比較目的IP地址—>Host_1查ARP表—>Host_1獲取閘道器MAC地址—>Host_1將發給Host_2的報文送到Router_1—>Router_1查MAC表—>Router_1查三層轉發表”的過程,Router_1上送CPU查詢路由表。
Router_1的CPU根據報文的目的IP 10。1。2。2去找路由表,發現匹配了一個路由網段10。1。2。0/24(VLANIF3對應的網段),下一跳IP地址為10。1。4。2,於是繼續查詢ARP表,沒有找到,Router_1會在下一跳IP地址對應的VLAN4的所有介面傳送ARP請求報文,目的IP是10。1。4。2。報文從Router_1的介面IF_2發出前,根據介面配置,直接透傳該報文到Router_2的IF_2介面,不剝除報文的Tag。
ARP請求報文到達Router_2後,發現目的IP為VLANIF4介面的IP地址,給Router_1迴應,填寫VLANIF4介面的MAC地址。
Router_2的ARP響應報文從其IF_2介面直接透傳到Router_1,Router_1接收後,記錄VLANIF4的MAC地址與IP地址的對應關係到ARP表項。
Router_1將Host_1的報文轉發給Router_2,報文的目的MAC修改為Router_2的VLANIF4介面的MAC地址,源MAC地址修改自己的VLANIF4介面的MAC地址,並將剛用到的轉發資訊記錄在三層轉發表中(10。1。2。0/24,下一跳IP的MAC地址, 出口VLAN, 出介面)。同樣,報文是直接透傳到Router_2的IF_2介面。
Router_2收到Router_1轉發的Host_1的報文後,與同裝置VLAN間互訪的步驟6~9一樣,經過“查MAC表—>查三層轉發表—>送CPU—>匹配直連路由—>查ARP表並獲取Host_2的MAC地址—>將Host_1的報文轉發給Host_2”的過程,同時將Host_2的IP地址、MAC地址、出口VLAN、出介面記錄到三層轉發表項。
VLAN Damping:
VLAN抑制
如果指定VLAN已經建立對應的VLANIF介面,當VLAN中所有介面狀態變為Down而引起VLAN狀態變為Down時,VLAN會向VLANIF介面上報介面Down狀態,從而引起VLANIF介面狀態變化。
為避免由於VLANIF介面狀態變化引起的網路震盪,可以在VLANIF介面上啟動VLAN Damping功能,抑制VLANIF介面狀態變為Down的時間。
當使能VLAN Damping功能,VLAN中最後一個處於Up狀態的介面變為Down後,會抑制一定時間(抑制時間可配置)再上報給VLANIF介面。如果在抑制時間內VLAN中有介面Up,則VLANIF介面狀態保持Up狀態不變。即VLAN Damping功能可以適當延遲VLAN向VLANIF介面上報介面Down狀態的時間,從而抑制不必要的路由震盪。
VLAN內二層隔離:
為了實現使用者之間的二層隔離,可以將不同的使用者加入不同的VLAN。但若企業規模很大,擁有大量的使用者,那麼就要為不能互相訪問的使用者都分配VLAN,這不但需要耗費大量的VLAN,還增加了網路管理者配置和維護的工作量。
為此,華為提供了一些VLAN內二層隔離技術,如埠隔離、MUX VLAN和基於MQC的VLAN內二層隔離等。
埠隔離:
埠隔離可實現同一VLAN內埠之間的隔離。使用者只需要將埠加入到隔離組中,就可以實現隔離組內埠之間的二層隔離,不同隔離組的埠之間或者不屬於任何隔離組的埠與其他埠之間都能進行正常的資料轉發。同時,使用者還可以透過配置實現埠的單向隔離,為使用者提供更安全、更靈活的組網方案。
MUX VLAN:
MUX VLAN
(
Multiplex VLAN
)提供了一種透過VLAN進行網路資源控制的機制。它既可實現VLAN間使用者通訊,也可實現VLAN內的使用者相互隔離。
比如,企業有如下需求:
要求企業內部員工之間可以互相交流,而企業客戶之間是隔離的,不能夠互相訪問。
要求企業員工和企業客戶都可以訪問企業的伺服器。
此種場景,透過部署MUX-VLAN就可以實現。
基於流策略的VLAN內二層隔離:
流策略是將流分類和流行為關聯後形成的完整的QoS策略。基於流策略的VLAN內二層隔離指使用者可以根據匹配規則對報文進行流分類,然後透過流策略將流分類與permit/deny動作相關聯,使符合流分類的報文被允許或被禁止透過,從而實現靈活的VLAN內單向或雙向隔離。
VLAN間三層隔離:
VLAN間實現三層互通後,兩VLAN內的所有使用者之間都可以互相訪問,但某些場景中,需要禁止部分使用者之間的互訪或者只允許使用者單向訪問,比如使用者主機和伺服器之間一般是單向訪問、企業的訪客一般只允許上網和訪問部分伺服器等。此時,就需要配置VLAN間互訪控制。
VLAN間互訪控制一般透過流策略實現。使用者可根據實際需求定義匹配規則對報文進行流分類,然後透過流策略將流分類與permit/deny動作相關聯,使符合流分類的報文被允許或禁止透過,從而實現靈活的VLAN間互訪控制。
管理VLAN:
當用戶透過遠端網管集中管理裝置時,需要在裝置上透過VLANIF介面配置IP地址作為裝置管理IP,透過管理IP來STelnet到裝置上進行管理。若裝置上其他介面相連的使用者加入該VLAN,也可以訪問該裝置,增加了裝置的不安全因素。
這種情況下可以配置VLAN為管理VLAN(與管理VLAN對應,沒有指定為管理VLAN的VLAN稱為業務VLAN),不允許Access型別和Dot1q-tunnel型別介面加入該VLAN。由於Access型別和Dot1q-tunnel型別通常用於連線使用者,限制這兩種型別介面加入管理VLAN後,與該介面相連的使用者就無法訪問該裝置,從而增加了裝置的安全性。
四、三層交換機
1。使用路由器進行VLAN間路由時的問題
現在,我們知道只要能提供VLAN間路由,就能夠使分屬不同VLAN的計算機互相通訊。但是,如果使用路由器進行VLAN間路由的話,隨著VLAN之間流量的不斷增加,很可能導致路由器成為整個網路的瓶頸。
交換機使用被稱為ASIC(ApplicationSpecified Integrated Circuit)的專用硬體晶片處理資料幀的交換操作,在很多機型上都能實現以纜線速度(Wired Speed)交換。而路由器,則基本上是基於軟體處理的。即使以纜線速度接收到資料包,也無法在不限速的條件下轉發出去,因此會成為速度瓶頸。就VLAN間路由而言,流量會集中到路由器和交換機互聯的匯聚鏈路部分,這一部分尤其特別容易成為速度瓶頸。並且從硬體上看,由於需要分別設定路由器和交換機,在一些空間狹小的環境裡可能連設定的場所都成問題。
2。三層交換機(Layer 3 Switch)
為了解決上述問題,三層交換機應運而生。三層交換機,本質上就是“帶有路由功能的(二層)交換機”。路由屬於OSI參照模型中第三層網路層的功能,因此帶有第三層路由功能的交換機才被稱為“三層交換機”。
關於三層交換機的內部結構,可以參照下面的簡圖。
在一臺本體內,分別設定了交換機模組和路由器模組;而內建的路由模組與交換模組相同,使用ASIC硬體處理路由。因此,與傳統的路由器相比,可以實現高速路由。並且,路由與交換模組是匯聚連結的,由於是內部連線,可以確保相當大的頻寬。
使用三層交換機進行VLAN間路由(VLAN內通訊)
在三層交換機內部資料究竟是怎樣傳播的呢?基本上,它和使用匯聚鏈路連線路由器與交換機時的情形相同。
假設有如下圖所示的4臺計算機與三層交換機互聯。當使用路由器連線時,一般需要在LAN介面上設定對應各VLAN的子介面;而三層交換機則是在內部生成“VLAN介面”(VLAN Interface)。VLAN介面,是用於各VLAN收發資料的介面。(注:在Cisco的Catalyst系列交換機上,VLAN Interface被稱為
SVI
——
Switched Virtual Interface
)
為了與使用路由器進行VLAN間路由對比,讓我們同樣來考慮一下計算機A與計算機B之間通訊時的情況。首先是目標地址為B的資料幀被髮到交換機;透過檢索同一VLAN的MAC地址列表發現計算機B連在交換機的埠2上;因此將資料幀轉發給埠2。
使用三層交換機進行VLAN間路由(VLAN間通訊)
接下來設想一下計算機A與計算機C間通訊時的情形。針對目標IP地址,計算機A可以判斷出通訊物件不屬於同一個網路,因此向預設閘道器傳送資料(Frame 1)。
交換機透過檢索MAC地址列表後,經由內部匯聚連結,將資料幀轉發給路由模組。在透過內部匯聚鏈路時,資料幀被附加了屬於紅色VLAN的VLAN識別資訊(Frame 2)。
路由模組在收到資料幀時,先由資料幀附加的VLAN識別資訊分辨出它屬於紅色VLAN,據此判斷由紅色VLAN介面負責接收並進行路由處理。因為目標網路192。168。2。0/24是直連路由器的網路、且對應藍色VLAN;因此,接下來就會從藍色VLAN介面經由內部匯聚鏈路轉發回交換模組。在透過匯聚鏈路時,這次資料幀被附加上屬於藍色VLAN的識別資訊(Frame 3)。
交換機收到這個幀後,檢索藍色VLAN的MAC地址列表,確認需要將它轉發給埠3。由於埠3是通常的訪問連結,因此轉發前會先將VLAN識別資訊去除(Frame 4)。最終,計算機C成功地收到交換機轉發來的資料幀。
整體的流程,與使用外部路由器時的情況十分相似——都需要經過“傳送方→交換模組→路由模組→交換模組→接收方”。
五、傳統型路由器存在的意義
1。路由器的必要性
三層交換機的價格,在問世之初非常昂貴,但是現在它們的價格已經下降了許多。目前國外一些廉價機型的售價,摺合成人民幣後僅為一萬多元,而且還在繼續下降中。
既然三層交換機能夠提供比傳統型路由器更為高速的路由處理,
那麼網路中還有使用路由器的必要嗎?
答案是:“
是
”。
使用路由器的必要性,主要表現在以下幾個方面:
(1)用於與WAN連線
三層交換機終究是“交換機”。也就是說,絕大多數機型只配有LAN(乙太網)介面。在少數高階交換機上也有用於連線WAN的序列介面或是ATM介面,但在大多數情況下,連線WAN還是需要用到路由器。
(2)保證網路安全
在三層交換機上,透過資料包過濾也能確保一定程度的網路安全。但是使用路由器所提供的各種網路安全功能,使用者可以構建更為安全可靠的網路。
路由器提供的網路安全功能中,除了最基本的資料包過濾功能外,還能基於IPSec構建VPN(VirtualPrivate Network)、利用RADIUS進行使用者認證等等。
(3)支援除TCP/IP以外的異構網路架構
儘管TCP/IP已經成為當前網路協議架構的主流,但還有不少網路利用Novell Netware下的IPX/SPX或Macintosh下的AppleTalk等網路協議。三層交換機中,除了部分高階機型外基本上還只支援TCP/IP。因此,在需要使用除TCP/IP之外其他網路協議的環境下,路由器還是必不可少的。
注:在少數高階交換機上,也能支援上述路由器的功能。例如Cisco的Catalyst 6500系列,就可以選擇與WAN連線的介面模組;還有可選的基於IPSec實現VPN的模組;並且也能支援TCP/IP以外的其他網路協議。
2。路由器和交換機配合構建LAN的例項
下面讓我們來看一個路由器和交換機搭配構建LAN的例項。
利用在各樓層配置的二層交換機定義VLAN,連線TCP/IP客戶計算機。各樓層間的VLAN間通訊,利用三層交換機的高速路由加以實現。如果網路環境要求高可靠性,還可以考慮冗餘配置三層交換機。
與WAN的連線,則透過帶有各種網路介面的路由器進行。並且,透過路由器的資料包過濾和VPN等功能實現網路安全。此外,使用路由器還能支援Novell Netware等TCP/IP之外的網路。
只有在充分掌握了二層、三層交換機以及傳統路由器的基礎上,才能做到物競其用,構築出高效率、高性價比的網路。
六、使用VLAN設計區域網
1。使用VLAN設計區域網的特點
透過使用VLAN構建區域網,使用者能夠不受物理鏈路的限制而自由地分割廣播域。
另外,透過先前提到的路由器與三層交換機提供的VLAN間路由,能夠適應靈活多變的網路構成。
但是,由於利用VLAN容易導致網路構成複雜化,因此也會造成整個網路的組成難以把握。
可以這樣說,在利用VLAN時,除了有“網路構成靈活多變”這個優點外,還搭配著“網路構成複雜化”這個缺點。
下面,就讓我們來看看具體的例項。
2。不使用VLAN的區域網中網路構成的改變
假設有如圖所示的由1臺路由器、2臺交換機構成的“不使用VLAN構建”的網路。
圖中的路由器,帶有2個LAN介面。左側的網路是192。168。1。0/24,右側是192。168。2。0/24。
現在如果想將192。168。1。0/24這個網路上的計算機A轉移到192。168。2。0/24上去,就需要改變物理連線、將A接到右側的交換機上。
並且,當需要新增一個地址為192。168。3。0/24的網路時,還要在路由器上再佔用一個LAN介面並添置一臺交換機。而由於這臺路由器上只帶了2個LAN介面,因此為了新增網路還必須將路由器升級為帶有3個以上LAN介面的產品。
3。使用VLAN的區域網中網路構成的改變
接下來再假設有一個由1臺路由器、2臺交換機構成的“使用VLAN”的區域網。交換機與交換機、交換機與路由器之間均為匯聚鏈路;並且假設192。168。1。0/24對應紅色VLAN、192。168。2。0/24對應藍色VLAN。
需要將連線在交換機1上192。168。1。0/24這個網段的計算機A轉屬192。168。2。0/24時,無需更改物理佈線。只要在交換機上生成藍色VLAN,然後將計算機A所連的埠1加入到藍色VLAN中去,使它成為訪問連結即可。
然後,根據需要設定計算機A的IP地址、預設閘道器等資訊就可以了。如果IP地址相關的設定是由DHCP獲取的,那麼在客戶機方面無需進行任何設定修改,就可以在不同網段間移動。
利用VLAN後,我們可以在免於改動任何物理佈線的前提下,自由進行網路的邏輯設計。如果所處的工作環境恰恰需要經常改變網路佈局,那麼利用VLAN的優勢就非常明顯了。
並且,當需要新增一個地址為192。168。3。0/24的網段時,也只需要在交換機上新建一個對應192。168。3。0/24的VLAN,並將所需的埠加入它的訪問鏈路就可以了。
如果網路環境中還需要利用外部路由器,則只要在路由器的匯聚埠上新增一個子介面的設定就可以完成全部操作,而不需要消耗更多的物理介面(LAN介面)。要使用的是三層交換機內部的路由模組,則只需要新設一個VLAN介面即可。
網路環境的成長,往往是難以預測的,很可能經常會出現需要分割現有網路或是增加新網路的情況。而充分活用VLAN後,就可以輕易地解決這些問題。
4。利用VLAN而導致的網路結構複雜化
雖然利用VLAN可以靈活地構建網路,但是同時,它也帶來了網路結構複雜化的問題。
特別是由於資料流縱橫交錯,一旦發生故障時,準確定位並排除故障會比較困難。
為了便於理解資料流向的複雜化,假設有下圖所示的網路。計算機A向計算機C傳送資料時,資料流的整體走向如下:
計算機A→交換機1→路由器→交換機1→交換機2→計算機C
首先計算機A向交換機1送出資料(①),其後資料被轉發給路由器(②)進行VLAN間路由。路由後的資料,再從匯聚鏈路返回交換機1(③)。由於通訊目標計算機C並不直連在交換機1上,因此還需要經過匯聚鏈路轉發到交換機2(④)。在交換機2上,資料最終被轉發到C所連的埠2上,這才完成整個流程(⑤)。
在這個例子中,僅由2臺交換機構成網路,其資料流已經如此複雜,如果構建橫跨多臺交換機的VLAN的話,每個資料流的流向顯然會更加難以把握。
5。網路的邏輯結構與物理結構
為了對應日漸複雜化的資料流,管理員需要從“邏輯結構”與“物理結構”兩方面入手,把握好網路的現狀。
物理結構,指的是從物理層和資料鏈路層觀察到的網路的現狀,表示了網路的物理佈線形態和VLAN的設定等等。
而邏輯結構,則表示從網路層以上的層面觀察到的網路結構。下面我們就試著以路由器為中心分析一個IP網路的邏輯結構。
還是先前的那個例子,描繪了佈線形態和VLAN設定的“物理結構”如下圖所示。
分析這個物理結構並轉換成以路由器為中心的邏輯結構後,會得到如下的邏輯結構圖。當我們需要進行路由或是資料包過濾的設定時,都必須在邏輯結構的基礎上進行。
把握這兩種網路結構圖的區別是十分重要的,特別是在VLAN和三層交換機大行其道的現代企業級網路當中。
參考部落格:
https://blog。csdn。net/qq_38265137/article/details/80390759
https://zhuanlan。zhihu。com/p/35616289