02_VLAN基础.doc

本文主要介绍主流的QVLAN(802.1Q定义)，文末会介绍一下端口VLAN。 VLAN简介 VLAN（Virtual LAN）中文叫做虚拟局域网，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。 VLAN的实现原理非常简单，通过交换机的控制，某一VLAN成员发出的数据包交换机只发给同一VLAN的其它成员，而不会发给该VLAN成员以外的计算机。简言之，一个VLAN就是一个广播域。 VLAN的优点如下： 广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。 增强LAN的安全性：VLAN间不能直接通信，跨VLAN通信必须要通过路由器或三层交换机等三层设备。 灵活构建虚拟工作组：用VLAN可划分不同的用户到不同的工作组，同一工作组的用户也不必局限于固定的物理范围，网络构建和维护更方便灵活。 典型VLAN环境 VLAN技术一个最大的魅力在于可以跨交换机实现，这样可以灵活的构建虚拟工作组。我们讨论以下环境： 想让市场部的PC1与PC3能通信，且财务部的PC2与PC4能通信，但市场部与财务部之间不能通信。如何设置交换机A和B实现？(下文将市场部划分为vlan1，财务部划分为vlan2。) 需求1：跨交换机实现VLAN→802.1Q帧 比如从A5发出的数据，要让B5能区分为市场部的数据流vlan1，和财务部的数据流vlan2。一般来说，不同设备之间的协同工作，需要一个协议来实现。 IEEE 提出了802.1Q标准，其原理是给报文打上VLAN标签标识报文所属的VLAN，交换机通过对报文中VLAN标签信息的识别，区分不同的数据，进行相应的转发。 802.1Q定义了一个新的以太网帧字段，这个字段添加在以太网帧的源MAC之后，长度/类型字段之前。封装具体内容如图2所示： 802.1Q封装共4个字节，包含2个部分： TPID:长度为2个字节，固定为0x8100,标识报文的封装类型为以太网的802.1Q封装； Tag Control Info：包含三个部分：802.1P优先级、CFI、VLAN-ID； 802.1P Priority：这3位指明帧的优先级。一共有8种优先级,取值范围为0~7,，主要用于当交换机出端口发生拥塞时,交换机通过识别该优先级,优先发送优先级高的数据包。 CFI：规范格式指示器，以太网固定设置为0，非以太网设置为1. VID：VLAN ID是对VLAN的识别字段，在标准802.1Q中常被使用。该字段为12位。支持4096（2^12）VLAN的识别。在4096可能的VID中，VID＝0用于识别帧优先级，4095（FFF）作为预留值，所以VLAN配置的最大可能值为4094。 支持QVLAN功能的交换机，其MAC表会加入VLAN部分变成三元条目。所以在内部转发的数据帧，都必须带VLAN标签。一般情况下所说的tag都是指VLAN标签，为简单起见，将tag字段中VID=x的帧直接称为tag=x的帧。 所以A5发出的数据，被B5接收到以后，应该能在内部被标识为tag=1及tag=2的两种帧，然后进行相应转发。 (当然，在内部转发的时候，不一定要实实在在的给数据打上tag，有可能只是逻辑的做一个标识，但这种内部实现不影响分析问题) 由于802.1Q协议修改了以太帧的格式，所以就会涉及到设备能否识别tag帧的问题。一般来说支持QVLAN功能的交换机、路由器能识别tag帧，而一般的终端设备如PC机，默认是不识别tag帧的，不能识别tag帧自然也就不能发出tag帧。(识别tag帧的设备称为tag-aware或VLAN-aware，反之则称为VLAN-unaware设备) 那么这时候就出现了一个问题，交换机内部转发帧时必须要带tag，但是PC机发出的帧却又不带tag，这样的话交换机收到不带tag的帧显然是无法进行转发的(MAC表加入了VLAN部分变成三元条目)。如何解决问题呢？那么需要给不带tag的帧一个VLAN的归属，然后按这个归属给其带上tag。(以下不带tag的帧称为untag帧) 需求2：untag帧的VLAN归属→VLAN划分方式，VID与PVID 主要的VLAN划分方式有：基于端口、基于MAC、基于子网、基于用户。最常用的划分方式为基于端口划分，它有一个最大的优点是直接可以进行VLAN归属，而不用查看每个报文。例如基于用户的划分方式，需要对每个报文的应用层进行查看才能划分，这显然会比较耗费资源。缺点是不适合那些需要频繁改变拓补结构的网络。 最常用的划分方式是基于端口划分，(若无特别说明，本文所有的讨论都是基于这种方式)，给每个端口设置一个Port Vlan ID即PVID。(PVID与本征VLAN、本地VLAN、默认VLAN的意思基本一