3控制园区网中的广播流量(VLAN技术)

1、VLAN技术网桥和交换机的根本功能是经过将网络分割成多个冲突域，减少碰撞次数。但无法隔离广播帧。一切用户同在一个广播域中会引起网络性能的下降，浪费网络带宽，因此控制网络内的广播传输变得非常重要。假设计算机A需求与计算机B通讯。在基于以太网的通讯中，必需在数据帧中指定目的MAC地址才干正常通讯，因此计算机A必需先广播“ARP恳求ARP Request信息，来尝试获取计算机B的MAC地址。交换机1收到广播帧ARP恳求后，会将它转发给除接纳端口外的其他一切端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP恳求会被转发到同

2、一网络中的一切客户机上。AB广播带来的负面作用这个ARP恳求本来是为了获得计算机B的MAC地址而发出的。也就是说：只需计算机B能收到就万事大吉了。可是现实上，数据帧却传遍整个网络，导致一切的计算机都收到了它。如此一来，一方面广播信息耗费了网络整体的带宽，另一方面，收到广播信息的计算机还要耗费一部分CPU时间来对它进展处置。呵斥了网络带宽和CPU运算才干的大量无谓耗费。广播的隔离方法传统的共享介质的以太网和交换式的以太网中，对广播风暴的控制和网络平安只能用任务在第三层的设备路由器来实现，由于默许情况下路由器不会转发广播信息。广播普通交换机无法隔离广播域路由器可以隔离广播域广播路由器而如今的局域网

3、普通可以经过交换机来隔离广播，即VLAN技术。财务处财务处员工人事处财务处员工同一广播域同一广播域财务处财务处员工人事处财务处员工同一广播域同一广播域财务处财务处员工人事处财务处员工同一广播域财务处财务处员工人事处财务处员工同一广播域同一广播域虚拟局域网VLAN1虚拟局域网VLAN2VLAN简介VLANVirtual Local Area Network即虚拟局域网，是一种经过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而组建虚拟任务组的新兴技术。IEEE于1999年公布了用以规范化VLAN实现方案的802.1Q协议规范草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同

4、的广播域，每一个VLAN都包含一组有着一样需求的计算机任务站。由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个任务站无须被放置在同一个物理空间里，即这些任务站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的平安性。 能否具有VLAN功能是衡量局域网交换机的一项重要目的。网络的虚拟化是未来网络开展的潮流。 交换机上划分VLAN隔离广播风暴假设在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。A发出广播帧的话，交换机就只会把它转发给同属于一

5、个VLAN的其他端口也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。A假设要更为直观地描画VLAN的话，我们可以把它了解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。运用VLAN的目的VLAN的三大优点：控制广播风暴：一个VLAN就是一个逻辑广播域，经过对VLAN的创建，隔离了广播，减少了广播范围，可以控制广播风暴的产生。提高网络的整体平安性：可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和平安性 方便网络的管理：对于采用VLAN技术的

6、网络来说，一个VLAN可以根据部门职能、对象组或者运用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理衔接的情况下可以恣意地将任务站在任务组或子网之间挪动。利用虚拟网络技术，大大减轻了网络管理和维护任务的负担，降低了网络维护费用 VLAN规范IEEE802.1Q数据帧IEEE802.1Q是虚拟局域网的正式规范，定义了同一个物理链路上承载多个局域网的数据流的方法。IEEE 802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个规范的方法。这个格式一致了标识VLAN的方法，有利于保证不同厂家设备配置的VLAN可以互通。目的MAC源MAC类型数据FCS目的MAC源MACTP

7、ID数据重新计算的FCS类型TCI0 x81002个字节Priority3bitCFI12bitVID1bit标志协议标识TPID:固定值0 x8100，表示该帧载有802.1Q标志信息标志控制信息TCI:Priority：3比特，表示优先级，决议了数据帧的重要紧急程度，优先级越高，就越优先得到交换机的处置。在QoS中有运用。CFICanonical Format Indicator：1比特，规范格式指示符，当其值为0时，表示该数据帧采用规范帧格式，假设该位是1那么表示该帧为非规范帧格式。 VIDVlan ID：12比特，指明VLAN的ID，可用范围14094，每个支持802.1Q协议的交换机

8、发送出来的数据包都会包含这个域，以指明该帧属于哪一个VLAN。在一个交换网络环境中，以太网的帧有两种格式：有些帧是没有加上这四个字节标志的，称为未标志的帧untaged frame，有些帧加上了这四个字节的标志，称为带有标志的帧taged frame。0 x81002个字节Priority3bitCFI12bitVID1bitAccess Link和Trunk Link接入链路干道链路主机和交换机之间的链路是接入链路；交换机之间经过干道链路相互衔接。Access端口只属于1个vlanTrunk端口可以属于多个vlanVLAN帧在网络中的通讯 对于主机来说，它是不需求知道VLAN的存在的。主机发

9、出的帧都是untaged的帧；交换机接纳到这样的帧之后，根据配置规那么如端口信息判别出帧所属VLAN进展处置。假设帧需求经过另外一台交换机发送，那么该帧必需经过干道链路传输到另外一台交换机上。为了保证其它交换机正确处置帧的VLAN信息，在干道链路上发送的帧大多数不是全部都带上了VLAN标志。当交换机最终确定帧转发端口后，将帧发送给主机之前，将VLAN的标志从以太网帧中删除，这样主机接纳到的帧都是不带VLAN的标志的以太网帧。普通情况下，干道链路上传送的都是Taged Frame，接入链路上传送的都是Untaged Frame。这样做的最终结果是：网络中配置的VLAN可以被一切的交换机正确处置，

10、而主机不需求了解VLAN信息。 广播帧如何到达同一VLAN的各个节点 由于VLAN能够跨越多个交换机，当一个交换机从某VLAN的一个端口收到广播帧之后，为了保证同属一个VLAN的一切主机都接纳到这个广播帧，交换机必需按照如下原那么将帧进展转发：1、发送给本交换机中同一个VLAN中的其它端口；2、将这个帧发送给本交换机的包含这个VLAN的一切干道链路，以便让其它交换机上的同一个VLAN的端口能接纳到该帧。 VLAN的种类基于端口的VLAN针对交换机的端口进展VLAN的划分，不受主机的变化影响。基于协议的VLAN在一个物理网络中针对不同的网络层协议进展平安划分基于MAC地址的VLAN基于主机的MA

11、C地址进展VLAN划分，主机可以恣意在网络挪动而不需求重新划分基于组播的VLAN基于组播运用进展用户的划分基于IP子网的VLAN针对不同的用户分配不同子网的IP地址，从而隔离用户主机，普通情况下结合基于端口的VLAN进展运用基于端口的VLAN主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort 1VLAN 5Port 2VLAN 10Port 7VLAN 5Port 10VLAN 10Port 1Port 2Port 7Port 10基于MAC地址的VLANVLAN表MAC地址所属VLANMAC AMAC BMAC CMAC DVLAN 10VLAN 5VLAN 10VLAN

12、 5主机A主机B主机C主机D以太网交换机MAC AMAC BMAC CMAC D基于协议的VLANVLAN表协议类型所属VLANIPX协议IP协议VLAN 5VLAN 10主机A主机B主机C主机D以太网交换机运用IPX协议运转IP协议运用IPX协议运转IP协议基于子网的VLANVLAN表IP网络所属VLANIP 1.1.1.1/24IP 1.1.2.1/24VLAN 5VLAN 10主机A主机B主机C主机D以太网交换机1.1.1.51.1.2.881.1.1.81.1.2.99ABCDVLAN的类型:Port VLAN利用交换机的端口进展vlan划分，一个端口只属于一个VLAN，Port VL

13、AN设置在衔接主机的端口即接口的方式为AccessF0/1F0/2F0/3Port-VLAN原理经过查找MAC地址表，交换机对发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机端口MAC地址VLAN IDF0/1A10F0/2B20F0/3C10配置Port VLAN创建VLAN10，将它命名为test的例子Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# name testSwitch(config-vlan)# end 把接口 0/

14、10参与VLAN10 Switch# configure terminalSwitch(config)# interface fastethernet 0/10Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10Switch(config-if)# end默许名字是vlan XXXX，用no name命令可以恢复为默许名字假设把一个接口分配到一个不存在的vlan中，那么交换时机自动创建该vlanPort VLAN 的配置将一组接口参与某一个VLANSwitch(config)#

15、interface range fastethernet 0/1-8，0/15，0/20Switch(config-if-range)# switchport access vlan 20注：交换机端口类型默以为Access。延续接口 0/1-8，不延续接口用逗号隔开，但一定要写明模块编号配置Tag VLAN-Trunk把Fa0/1配成Trunk口Switch# configure terminalSwitch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunk把端口Fa0/20 配置为Trunk

16、端口，但是不包含VLAN 2默许trunk链路可以在两条交换机之间传送一切vlan的帧：Switch(config)# interface fastethernet 0/20Switch(config-if)# switchport trunk allowed vlan remove 2Switch(config-if)# endNative VLAN并非一切的帧经过trunk口都打上tag标签。Native VLAN的作用:在Trunk链路运用802.1Q封装时,用Native VLAN指定哪个VLAN的数据不用做802.1Q标志,Native VLAN外的其它VLAN数据都会做802.1Q

17、封装的标志.为什么要运用Native VLAN:交换的管理流量以及未指定VLAN的流量,默许运用Native VLAN(默以为VLAN 1)来传送,这些流量不需求做802.1Q封装.配置命令：Switch(config-if)# switchport trunk native vlan 2Switch(config-if)# end留意： 每个Trunk口的缺省native VLAN是VLAN 1在配置Trunk链路时，请确保衔接链路两端的Trunk口属于一样的native VLAN其它命令查看一切vlan信息：Switch# show vlan查看某个vlan信息：Switch# show

18、vlan vlan-id查看接口的类型是Access还是Trunk：Switch# show interfaces interface-id switchport删除某个vlan：Switch# no vlan vlan-id留意：删除vlan时，要先用no interface vlID，再No vlanID 查看VLAN配置验证配置信息Switch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - - - Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094Switch