用dw怎么做网站首页,wordpress 文章页面失败,视频网站后台设计,全自动精准引流软件什么是VLANVLAN(Virtual LAN)#xff0c;翻译成中文是“虚拟局域网”。可以看做是在一个物理局域网络上搭建出几个逻辑上分离的几个局域网。举个例子来说#xff0c;如果一个交换机划分为两个VLAN#xff0c;则相当于这台交换机逻辑上划分为两个交换机。VLAN的一个简单直观说… 什么是VLANVLAN(Virtual LAN)翻译成中文是“虚拟局域网”。可以看做是在一个物理局域网络上搭建出几个逻辑上分离的几个局域网。举个例子来说如果一个交换机划分为两个VLAN则相当于这台交换机逻辑上划分为两个交换机。VLAN的一个简单直观说明物理上一个交换机分为逻辑上两个分离的交换机上面这个简单例子是对一台交换机上的VLAN划分实际上VLAN也可以跨越多台交换机本质上VLAN是一个网络层次上的概念将整个网络划分为多个逻辑上隔离的网络(一个VLAN就是一个独立的广播域)比如下图的VLAN2和VLAN5。跨越多台交换机的VLAN那么我们为什么要引入VLAN的概念VLAN究竟有哪些好处总结起来主要有下面几点更安全数据包仅在本VLAN内传递。由于配置了VLAN后一个VLAN的数据包不会发送到另一个VLAN这样其他VLAN的用户的网络上是收不到任何该VLAN的数据包这样就确保了该VLAN的信息不会被其他VLAN的人窃听从而实现了信息的保密。更高效泛洪转发仅在本VLAN内复制。按照802.1D透明网桥的算法如果一个数据包找不到MAC表那么交换机就会将该数据包向除接收端口以外的其他所有端口发送这就是桥的泛洪转发。(典型的广播方式包括组播报文广播报文以及未知单播报文都会进行泛洪转发)。这样的结果毫无疑问极大的浪费了带宽如果配置了VLAN那么当一个数据包需要泛洪转发时交换机只会将此数据包发送到所有属于该VLAN的其他端口而不是所有的交换机的端口这样就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。更方便不改变物理组网的情况下灵活进行逻辑网络的变更。使用VLAN的最终目标就是建立虚拟工作组模型例如在企业网中同一个部门的就好象在同一个LAN上一样很容易的互相访问交流信息同时所有的广播包也都限制在该虚拟LAN上而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点而他仍然在该部门那么该用户的配置无须改变同时如果一个人虽然办公地点没有变但他更换了部门那么只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境当然这只是一个理想的目标要实现它还需要一些其他方面的支持。如何实现VLAN功能1. 如何识别VLAN报文要使网络设备能够分辨不同VLAN的报文需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层只能对报文的数据链路层封装进行识别。因此如果添加识别字段也需要添加到数据链路层封装中。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案对带有VLAN标识的报文结构进行了统一规定。无VLAN的传统的以太网数据帧格式目的MAC地址和源MAC地址之后封装的是上层协议的类型字段DA表示目的MAC地址SA表示源MAC地址Type表示报文所属协议类型。传统无VLAN的二层报文增加VLAN Tag支持的以太网帧格式IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag用以标识VLAN的相关信息。VLAN Tag包含四个字段分别是TPID(Tag Protocol Identifier标签协议标识符)、Priority、CFI(Canonical Format Indicator标准格式指示位)和VLAN ID。TPID用来判断本数据帧是否带有VLAN Tag长度为16bit缺省取值为0x8100。Priority表示报文的802.1P优先级长度为3bit相关内容请参见“QoS分册”中的“QoS配置”。CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装长度为1bit取值为0表示MAC地址以标准格式进行封装为1表示以非标准格式封装缺省取值为0。VLAN ID标识该报文所属VLAN的编号长度为12bit取值范围为04095。由于0和4095为协议保留取值所以VLAN ID的取值范围为14094。网络设备利用VLAN ID来识别报文所属的VLAN根据报文是否携带VLAN Tag以及携带的VLAN Tag值来对报文进行处理。支持VLAN字段以后的二层报文2. 交换机如何转发VLAN报文要说明交换机如何转发报文先得说明一下交换机支持VLAN时用到的几个专用术语端口类型VLAN交换机的端口一般可以分为几大类Access端口一般用于交换机与终端之间该类端口仅归属于一个VLAN。Access链路上的报文没有VLAN tag与传统报文保持兼容。但交换机的Access端口上回配置Vlan。这样所有从该Access链路上收到的报文都归属于Access端口所归属的Vlan。(核心概念报文兼容没有vlan-tag)Trunk端口一般交换机与交换机之间该类型端口允许多个VLAN的报文通过。该端口所在的链路上的报文需要有VLAN tag。(核心概念除默认Vlan外其他VLAN报文有vlan-tag)Hybrid端口Hybrid类型的端口可以允许多个VLAN通过可以接收和发送多个VLAN的报文可以用于交换机之间连接也可以用于连接用户的计算机。Hybrid端口和Trunk端口在接收数据时处理方法是一样的唯一不同之处在于发送数据时Hybrid端口可以允许多个VLAN的报文发送时不打标签而Trunk端口只允许缺省VLAN的报文发送时不打标签。(核心概念哪些vlan打tag哪些不打tag可以手工配置)术语默认VLAN-ID(或者缺省VLAN-IDPvidVlanNative Vlan都是一个意思)简而言之收报文如果是没有tag则认为来自于默认vlan发报文如果是该vlan的报文则不打VLAN tagAccess端口只属于1个VLAN所以它的缺省VLAN就是它所在的VLAN不用设置Hybrid端口和Trunk端口属于多个VLAN所以需要设置缺省VLAN ID。缺省情况下Hybrid端口和Trunk端口的缺省VLAN为VLAN 1 。如果设置了端口的缺省VLAN ID当端口接收到不带VLAN Tag的报文后则认为报文的VLAN ID是缺省VLAN-ID当端口发送报文时如果该报文的VLAN ID与端口缺省的VLAN ID相同则系统将去掉报文的VLAN Tag然后再发送该报文。下面具体介绍着几种端口的工作原理2.1 Access端口这一类端口只有一个唯一的VLAN。通常由于交换机与终端的连接。为了保持与已有终端的兼容性在设计VLAN相关协议时有这样一个约束端口发送和接收的报文格式都不允许修改也就是说这一类接口上收发的报文都不带VLAN信息。(Untagged)。既然报文中不带VLAN信息又要满足VLAN隔离性需求则必然在端口上要进行VLAN-ID的设置(这个VLAN称为端口的PVID)。2.2 Access端口的报文转发流程Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口 PVID并进行交换、转发如果有则直接丢弃(缺省)Acess端口发报文:Access端口发送非常简单将报文VLAN信息剥离直接发送出去2.2 Access端口如何划分VLAN为了方便用户使用各设备厂商实现了多种方式来进行VLAN划分总的来说有静态方式和动态方式两大类静态方式通过用户手工配置方式来指定某个端口属于哪个VLAN静态方式也成为基于端口的VLAN。当网络中的计算机数目超过一定数字(比如数百台)后这些配置操作就会变得烦杂无比。并且客户机每次变更所连端口都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。动态方式动态VLAN则是根据每个端口所连的计算机随时改变端口所属的VLAN。这可以减轻配置人员的负担。动态VLAN又可以进一步分为下面3类基于MAC地址的VLAN(MAC Based VLAN)基于MAC地址的VLAN就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN “10”那么不论MAC地址为“A”的这台计算机连在交换机哪个端口该端口都会被划分到VLAN 10中去。基于子网的VLAN(Subnet Based VLAN)基于子网的VLAN则是通过所连计算机的IP地址来决定端口所属VLAN的。不像基于MAC地址的VLAN即使计算机因为交换了网卡或是其他原因导致MAC地址改变只要它的IP地址不变就仍可以加入原先设定的VLAN。基于协议或用户的VLAN(User Based VLAN)基于协议或用户的VLAN则是根据交换机各端口所连的计算机发送报文的协议或者计算机上当前登录的用户来决定该端口属于哪个VLAN。这里的用户识别信息一般是计算机操作系统登录的用户比如可以是Windows域中使用的用户名。这些用户名信息属于OSI第四层以上的信息。2.4 Trunk端口其实原则上有了Access口就可以完成VLAN所需要的完整功能了。比如交换机上也使用Access口进行连接每一个端口一个VLAN进行隔离。比如下面的例子两个VLAN全部使用Access接口来构建。全部使用ACCESS接口构建VLAN网络但这儿存在一个问题因为一个Access口仅属于一个VLAN如果两个交换机配置了成百上千个VLAN这些VLAN需要跨交换机组网时意味着两个交换机之间需要连接成百上千根的Access口链路。这样组网成本太高了。为了解决这一问题提出了Trunk端口的概念Trunk端口允许接受和发送多个VLAN的报文这些报文都打上VLAN-tag用来标示每一个报文属于哪个VLAN。这样交换机之间就只需要一个Trunk链路就可以将多个VLAN连接起来。Trunk端口用于连接交换机充当逻辑上的多个链路2.5 Trunk端口的报文收发流程Trunk端口收报文Trunk端口收到一个报文判断是否有VLAN信息如果报文中没有VLAN-tag则打上端口的PVID并进行交换转发如果报文中有Vlan-tag进一步判断trunk端口是否允许该 VLAN的数据进入如果可以则转发否则丢弃Trunk端口发报文比较端口的PVID和将要发送报文的VLAN信息:如果两者相等则剥离VLAN信息再发送如果不相等则直接发送2.6 Hybrid端口Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签而Trunk端口只允许缺省VLAN的报文发送时不打标签。对于Hybrid端口来说可以同时属于多个VLAN。这些VLAN分别是该Hybrid端口的PVID以及手工配置的”untagged”及”tagged”方式的VLAN。2.7 Hybrid端口的报文收发流程Hybrid端口收报文 与Trunk端口手报文流程完全相同。Hybrid端口收到一个报文判断是否有VLAN信息如果报文中没有VLAN-tag则打上端口的PVID并进行交换转发如果报文中有Vlan-tag进一步判断trunk端口是否允许该 VLAN的数据进入如果可以则转发否则丢弃Hybrid端口发报文判断该VLAN在本端口属性(哪些vlan需要打tag哪些不需要打tag是手工配置的):如果需要tag则tag后直接发送(同Trunk端口)如果不需要tag则剥离tag后发送(同Access端口)因为Hybrid端口的行为是access和trunk的混合模式所以称为Hybrid2.8 Hybrid的应用场景通常可以使用Hybrid对相同网段的主机进行访问权限的控制。比如通过配置Hybrid端口可以让改端口的主机同时归属于多个VLAN并与多个VLAN的主机进行通讯。应用场景1PC间隔离组网需求PC1和PC2之间可以互访PC1和PC3之间可以互访PC1、PC2和PC3都可以访问服务器配置说明E0/1: Hybrid端口归属V10, 同时untag加入V20V30,V100(PC1访问PC2PC3Server)E0/2: Hybrid端口归属V20, 同时untag加入V10V100(PC2访问PC1Server)E0/3: Hybrid端口归属V30, 同时untag加入V10V100(PC3访问PC1Server)G2/1: Hybrid端口归属V100, 同时untag加入V10V20,V30(服务器访问PC1,PC2,PC3)应用场景2组网需求PC1和PC3之间可以互访PC2和PC3之间可以互访PC1和PC4之间可以互访PC2和PC5之间可以互访其余PC之间均禁止互相访问。配置说明SwitchA:E0/1: Hybrid端口加入V10同时untag加入V30E0/2: Hybrid端口加入V20同时untag加入V30E0/3: Hybrid端口加入V30同时untag加入V10,V20.G2/1: Hybrid端口(不加入某个VLAN)tagged加入V10,V20。SwitchB:E0/1: Access端口加入V10E0/2: Access端口加入V20E0/1: Hybrid端口(不加入某个VLAN)tagged加入V10,V20。注交换机间的Hybrid端口等价于Trunk端口注意事项配置Trunk端口或Hybrid端口并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。
