1、VLAN工作原理什么是VLAN? VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络也就是广播域。图中,是一个由5台二层交换机(交换机15)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。 交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是
2、Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信
3、息。(Windows XP除外)总之,广播就在我们身边。下面是一些常见的广播通信: l ARP请求:建立IP地址和MAC地址的映射关系。 RIP:一种路由协议。 DHCP:用于自动设定IP地址的协议。 NetBEUI:Windows下使用的网络协议。 IPX:Novell Netware使用的网络协议。 Apple Talk:苹果公司的Macintosh计算机使用的网络协议。 如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。广播域的分割与VLAN的必要性分割广播域时,一般都必须使用到路
4、由器。使用路由器后,可以以路由器上的网络接口(LAN Interface)为单位分割广播域。但是,通常情况下路由器上不会有太多的网络接口,其数目多在14个左右。随着宽带连接的普及,宽带路由器(或者叫IP共享器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为4个左右)连接LAN一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。 况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。 与路由器相比,二层交换机一般带有多个网络接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。 用于在二层交
5、换机上分割广播域的技术,就是VLAN。通过利用VLAN,我们可以自由设计广播域的构成,提高网络设计的自由度。实现VLAN的机制交换机使用VLAN分割广播,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。这时,如果在交换机上生成红、蓝两个VLAN;同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口。同样,C发送广播信息时,只会被
6、转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN的 就这样,VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明,以红、蓝两色识别不同的VLAN,在实际使用中则是用“VLAN ID”来区分的。直观地描述VLAN如果要更为直观地描述VLAN的话,则为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN,也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。在红、蓝两个VLAN之外生成新的VLAN时,可以想象成又添加了新的交换机。但是,VLAN生成的逻辑上的交换机是互不相通的。因此,在交换机上设置VLAN后,如果未做其他处理,VLAN间是无法通信的
7、。VLAN的访问链接交换机的端口,可以分为以下两种:l 访问链接(Access Link)l 汇聚链接(Trunk Link)接下来就让我们来依次学习这两种不同端口的特征。这一讲,首先学习“访问链接”。访问链接,指的是“只属于一个VLAN,且仅向该VLAN转发数据帧”的端口。在大多数情况下,访问链接所连的是客户机。通常设置VLAN的顺序是:l 生成VLAN l 设定访问链接(决定各端口属于哪一个VLAN)设定访问链接的手法,可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。静态VLAN静态VLAN又被称为基于端口的VLAN(Port Based
8、VLAN)。由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属VLAN的设定这显然不适合那些需要频繁改变拓补结构的网络。动态VLAN 另一方面,动态VLAN则是根据每个端口所连的计算机,随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类:l 基于MAC地址的VLAN(MAC Based VLAN) l 基于子网的VLAN(Subnet Based VLAN) l 基于用户的VLAN(User Based VLAN)其间的差异,主要在于根据OS
9、I参照模型哪一层的信息决定端口所属的VLAN。基于MAC地址的VLAN,是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。由于是基于MAC地址决定所属VLAN的,因此可以理解为这是一种在OSI的第二层设定访问链接的办法。 基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计
10、算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。因此,与基于MAC地址的VLAN相比,能够更为简便地改变网络结构。IP地址是OSI参照模型中第三层的信息,所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。 基于用户的VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。 VLAN的汇聚链接在规划企业级网络时,很有可能会遇到隶属于同一部门的用
11、户分散在同一座建筑物中的不同楼层的情况,这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络,且需要将不同楼层的A、C和B、D设置为同一个VLAN。 “交换机1和交换机2该如何连接才好呢?”最简单的方法,在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。在现有网络基础上再新建VLAN时,为了让这个VLAN能够互通,就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。为了避
12、免这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。蓝色VLAN发送数据帧时的情形也与此相同。通过汇聚链路时附加的VLAN识别信息,有可能支持标准的“IEEE 802.1Q”协议,也可能是Cisco产品独有的“ISL(Inter Switch Link)”。如果交换机支持这些规格,那么用户就能够高效率地构筑横跨多台交换机的VLAN。另外,汇聚链路上流通着多个VLAN的数据,自然负载较重。因此,在设定汇聚链接时,有一个前提就是必须支持100Mbps以上的传输速度。另外,默认条件下,汇聚链接会转发交换机上存在的所有VLAN的数据。换一
13、个角度看,可以认为汇聚链接(端口)同时属于交换机上所有的VLAN。由于实际应用中很可能并不需要转发所有VLAN的数据,因此为了减轻交换机的负载、也为了减少对带宽的浪费,我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。IEEE802.1Q与ISL汇聚方式在交换机的汇聚链接上,可以通过对数据帧附加VLAN信息,构建跨越多台交换机的VLAN。这两种协议IEEE802.1Q与ISL数据帧附加VLAN信息IEEE802.1Q,俗称“Dot One Q”,是经过IEEE认证的对数据帧附加VLAN识别信息的协议。IEEE802.1Q所附加的VLAN识别信息,位于数据帧中“发送源MAC地址”与“类别域
14、(Type Field)”之间。具体内容为2字节的TPID和2字节的TCI,共计4字节。在数据帧中添加了4字节的内容,那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后,对包括它们在内的整个数据帧ISL有如用ISL包头和新CRC将原数据帧整个包裹起来,因此也被称为“封装型VLAN(Encapsulated VLAN)”。不论是IEEE802.1Q的“Tagging VLAN”,还是ISL的“Encapsulated VLAN”,都不是很严密的称谓。不同的书籍与参考资料中,上述词语有可能被混合使用,因此需要大家在学习时格外注意。并且由于ISL是Cisco独有的协议,因此只
15、能用于Cisco网络设备之间的互联。VLAN间路由1使用路由器进行VLAN间路由 在使用路由器进行VLAN间路由时,与构建横跨多台交换机的VLAN时的情况类似,我们还是会遇到“该如何连接路由器与交换机”这个问题。路由器和交换机的接线方式,大致有以下两种:l 将路由器与交换机上的每个VLAN分别连接l 不论VLAN有多少个,路由器与交换机都只用一条网线连接最容易想到的,当然还是“把路由器和交换机以VLAN为单位分别用网线连接”了。将交换机上用于和路由器互联的每个端口设为访问链接,然后分别用网线与路由器上的独立端口互联。如下图所示,交换机上有2个VLAN,那么就需要在交换机上预留2个端口用于与路由
16、器互联;路由器上同样需要有2个端口;两者如果采用这个办法,需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。而路由器,通常不会带有太多LAN接口的。新建VLAN时,为了对应增加的VLAN所需的端口,就必须将路由器升级成带有多个LAN接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。第二种办法“不论VLAN数目多少,都只用一条网线连接路由器与交换机”呢?当使用一条网线连接路由器与交换机、进行VLAN间路由时,需要用到汇聚链接。具体实现过程为:首先将用于连接路由器的交换机端口设为汇聚链接,而路由器上的端口也必须支持汇聚链路。双方用于汇
17、聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口(Sub Interface)”。尽管实际与交换机连接的物理端口只有一个,但在理论上我们可以把它分割为多个虚拟端口。VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器,也必须拥有分别对应各个VLAN的虚拟接口。采用这种方法的话,即使之后在交换机上新建VLAN,仍只需要一条网线连接交换机和路由器。用户只需要在路由器上新设一个对应新VLAN的子接口就可以了。与前面的方法相比,扩展性要强得多,也不用担心需要升级LAN接口数不足的路由器或是重新布线。使用VLAN设计局域网使用VLAN设计局域网的特点通过使用VLA
18、N构建局域网,用户能够不受物理链路的限制而自由地分割广播域。另外,通过先前提到的路由器与三层交换机提供的VLAN间路由,能够适应灵活多变的网络构成。但是,由于利用VLAN容易导致网络构成复杂化,因此也会造成整个网络的组成难以把握。假设有如图所示的由1台路由器、2台交换机构成的“不使用VLAN构建”的网络。图中的路由器,带有2个LAN接口。左侧的网络是192.168.1.0/24,右侧是192.168.2.0/24。现在如果想将192.168.1.0/24这个网络上的计算机A转移到192.168.2.0/24上去,就需要改变物理连接、将A接到右侧的交换机上。并且,当需要新增一个地址为192.16
19、8.3.0/24的网络时,还要在路由器上再占用一个LAN接口并添置一台交换机。而由于这台路由器上只带了2个LAN接口,因此为了新增网络还必须将路由器升级为带有3个以上LAN接口的产品。使用VLAN的局域网中网络构成的改变再假设有一个由1台路由器、2台交换机构成的“使用VLAN”的局域网。交换机与交换机、交换机与路由器之间均为汇聚链路;并且假设192.168.1.0/24对应红色VLAN、192.168.2.0/24对应蓝色VLAN需要将连接在交换机1上192.168.1.0/24这个网段的计算机A转属192.168.2.0/24时,无需更改物理布线。只要在交换机上生成蓝色VLAN,然后将计算机
20、A所连的端口1加入到蓝色VLAN中去,使它成为访问链接即可。然后,根据需要设定计算机A的IP地址、默认网关等信息就可以了。 使用VLAN设计局域网(2),假设有下图所示的网络。计算机A向计算机C发送数据时,数据流的整体走向如下:计算机A交换机1路由器交换机1交换机2计算机C首先计算机A向交换机1送出数据(),其后数据被转发给路由器()进行VLAN间路由。路由后的数据,再从汇聚链路返回交换机1()。由于通信目标计算机C并不直连在交换机1上,因此还需要经过汇聚链路转发到交换机2()。在交换机2上,数据最终被转发到C所连的端口2上,这才完成整个流程()。网络的逻辑结构与物理结构 为了对应日渐复杂化的
21、数据流,管理员需要从“逻辑结构”与“物理结构”两方面入手,把握好网络的现状。物理结构,指的是从物理层和数据链路层观察到的网络的现状,表示了网络的物理布线形态和VLAN的设定等等。而逻辑结构,则表示从网络层以上的层面观察到的网络结构。下面我们就试着以路由器为中心分析一个IP网络的逻辑结构。布线形态和VLAN设定的“物理结构”如下图所示。分析这个物理结构并转换成以路由器为中心的逻辑结构后,会得到如下的逻辑结构图。当我们需要进行路由或是数据包过滤的设定时,把握这两种网络结构图的区别是十分重要的,特别是在VLAN和三层交换机大行其道的现代企业级网络当中。Vlan 配置过程1、基本配置 1 、Switc
22、henable Switchenable 进入特权模式 2 、Seitch#config terminal Seitch#config terminal 进入全局配置模式 3 、Switch(config)#hostname SW1 Switch(config)#hostname SW2 给交换机命令 4、 SW1(config)#enable secret 123 SW2(config)#enable secret 123 配置enable密码 5 、 SW1(config)#line console 0 SW2(config)#line console 0 进入line模式 6、 SW1(
23、config-line)#password 123 SW2(config-line)#password 123 配置进入用户模式密码 7、 SW1(config-line)#login SW2(config-line)#login 8 、SW1(config-line)#exit SW2(config-line)#exit 推出到全局模式 9、SW1(config)# SW2(config)# 2、配置vlan,两种方法1 、SW1#vlan database SW2#vlan database 进入vlan database 2 、SW1(vlan)#vlan 2 name vlan2 SW
24、2 (vlan)#vlan 2 name vlan2 配置vlan2 3 、SW1(vlan)#vlan 3 name vlan3 SW2(vlan)#vlan 3 name vlan3 配置vlan3 4 、SW1(vlan)exit SW2(vlan)exit 返回特权模式 Or 1 、SW1#config terminal SW2#config terminal 进入全局配置模式 2 、SW1(config)#vlan 2 SW2(config)#vlan 2 培植VLAN 2 3 、SW1(config-vlan)#name vlan2 SW2(config-vlan)#name vl
25、an2 将VLAN 2命令 4 、SW1(config-vlan)#vlan 3 SW2(config-vlan)#vlan 3 配置VLAN 3 5 、SW1(config-vlan)#name vlan3 SW2(config-vlan)#name vlan3 将VLAN3命令 6 、SW1(config-vlan)#end SW2(config-vlan)#end 推出到特权模式 7、SW1#show vlan brief SW2#show vlan brief 查看VLAN情况 三、配置中继 1、SW1#config terminal SW2#config terminal 进入特权模
26、式 2 、SW1(config)#interface f0/24 SW2(config)#interface f0/24 进入接口配置模式 3 、SW1(config-if)#switchport mode trunk SW2(config-if)#switchport mode trunk 将F0/24口配置为中继 4 、SW1(config-if)#end SW2(config-if)#end 返回特权模式 5 、SW1#show interface f0/24 switchport SW2#show interface f0/24 switchport 查看F0/24的中继状态 四、将接
27、口加入vlan 1 、SW1#config terminal SW2#config terminal 进入特权模式 2 、SW1(config)#interface range f0/1 - 10 SW2(config)#interface range f0/1 - 10 进入接口配置模式 SW1(config-if-range)#switchport access vlan 2 SW1(config-if-range)#switchport access vlan 2 将f0/1-10分配给valn2 SW1(config-if-range)#interface range f0/11 20 SW1(config-if-range)#interface range f0/11 20 进入f0/11-20的接口配置模式 SW1(config-if-range)#switchport access vlan 3 SW1(config-if-range)#switchport access vlan 3 将接口分配vlan 3 SW1(config-if-range)#end SW1(config-if-range)#end 返回特权模式 SW1#show vlan brief SW1#show vlan brief 查看vlan 情况
