VLAN
VLAN (Virtual Local Area Network、虚拟局域网) 是将一个物理的 LAN 在逻辑上划分成多个广播域的通信技术。VLAN 内的主机间可以直接通信,而 VLAN 间不能直接通信,从而将广播报文限制在一个 VLAN 内
在 VLAN 交换网络中,以太网帧主要分为 :
- 有标签帧 (Tagged) : 加入了 4 字节 VLAN 标签的帧
- 无标签帧 (Untagged) : 原始的、未加入 4 字节 VLAN 标签的帧
- Type : 帧类型
- Priority : 优先级,越大越优先
- CFI : Canonical Format Indicator,表示 MAC 地址格式
- 0 : 标准格式
- 1 : 非标准格式
- VID : VLAN 标识,取值 (1~4096)
- 0x000 : 设置优先级但无 VID
- 0x001 : 缺省 VID
- 0xFFF : 预留 VID
设备通过 VLAN 标签中的 VID 来识别数据帧所属的 VLAN,广播帧只在同一 VLAN 内转发
VLAN 作用
- 限制广播域 : 广播域被限制在一个 VLAN 内,提高网络处理能力
- 增强局域网的安全性 : 不同 VLAN 内的报文在传输时相互隔离,即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信
- 提高网络的健壮性 : 故障被限制在一个 VLAN 内,本 VLAN 内的故障不会影响其他 VLAN 的正常工作
- 灵活构建虚拟工作组 : 用 VLAN 可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活
链路类型
接入链路
接入链路只可以承载 1 个 VLAN 的数据帧,用于连接设备和用户终端(如用户主机、服务器等)。通常情况下,用户终端并不需要知道自己属于哪个 VLAN,也不能识别带有 VID 的帧,所以在接入链路上传输的帧都是 Untagged
干道链路
干道链路可以承载多个不同 VLAN 的数据帧,用于设备间互连。为了保证其它网络设备能够正确识别数据帧中的 VLAN 信息,在干道链路上传输的数据帧必须都打上 VID
接口类型与数据处理方式
| 类型 | 接收 (无 Tag 报文) | 接收 (有 Tag 报文) | 发送报文 |
|---|---|---|---|
| Access | 接收并打上 PVID | 判断 VID 是否与 PVID 相同 : 相同就接收,不同则丢弃 | 只对与 PVID 一致的报文进行操作并剥离标签发送 |
| Trunk | 打上 PVID 并与允许列表里核对 : ·当 PVID 在允许列表中时接收报文 ·当 PVID 不在允许列表时丢弃报文 | 与允许列表里核对 : ·当 VID 在允许列表中时接收报文 ·当 VID 不在允许列表时丢弃报文 | 将 VID 与 PVID 一致的报文进行剥离标签发送 将 VID 在允许列表的报文保留标签发送 |
| Hybrid | 打上 PVID 并与允许列表里核对 : ·当 PVID 在允许列表中时接收报文 ·当 PVID 不在允许列表时丢弃报文 | 与允许列表里核对 : ·当 VID 在允许列表中时接收报文 ·当 VID 不在允许列表时丢弃报文 | 根据配置决定是否剥离标签发送 |
PVID : Port Default VLAN ID (端口默认 VLAN),又称缺省 VLAN
常用设备收发数据帧
- 主机、服务器、Hub 只能收发 Untagged 帧
- 交换机、路由器、AC 既能收发 Tagged 帧,也能收发 Untagged 帧
- 语音终端、AP 等设备可以同时收发一个 Tagged 帧 和一个 Untagged 帧
VLAN Aggregation
VLAN Aggregation (VLAN 聚合) 指在一个物理网络内,用多个 VLAN (Sub-VLAN) 隔离广播域,并聚合成一个逻辑 VLAN (Super-VLAN),这些 VLAN 使用同一个子网和网关
- Sub-VLAN : 只包含物理接口,不能建立三层 VLANIF 接口,用于隔离广播域。每个 Sub-VLAN 内的主机与外部的三层通信是靠 Super-VLAN 的三层 VLANIF 接口来实现
- Super-VLAN : 只建立三层 VLANIF 接口,不包含物理接口,与子网网关对应。与普通 VLAN 不同的是,它的 VLANIF 接口的 UP 不依赖于自身物理接口的 UP,而是只要它所含 Sub-VLAN 中存在 UP 的物理接口就 UP
当收发地址处于同网段时,主机会直接进行二层转发,因为不同 Sub-VLAN 的主机二层相互隔离,所以需要在同网段的接口开启 ARP 代理
MUX VLAN
MUX VLAN (Multiplex VLAN) 提供了一种通过 VLAN 进行网络资源控制的机制。MUX VLAN 分为 Principal VLAN (主 VLAN) 与 Subordinate VLAN (从 VLAN)。Subordinate VLAN 又分为 Separate VLAN (隔离型从 VLAN) 和 Group VLAN (互通型从 VLAN)
- Principal VLAN : Principal port 可以和 MUX VLAN 内的所有接口进行通信
- Separate VLAN : Separate port 只能和 Principal port 进行通信,和其他类型的接口实现完全隔离
- Group VLAN : Group port 可以和 Principal port 进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或 Separate port 通信
每个 Separate VLAN、Group VLAN 必须绑定一个 Principal VLAN
