关于【什么是vlan】,谈谈对vlan的具体理解,今天乾乾小编给您分享一下,如果对您有所帮助别忘了关注本站哦。
内容导航:1、什么是vlan:纯科普 | 为啥需要VLAN,看完就明白了2、什么是vlan,谈谈对vlan的具体理解1、什么是vlan:纯科普 | 为啥需要VLAN,看完就明白了
什么是VLAN
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的电脑间可以直接通信,而VLAN间则不能直接互通。同一个VLAN内的电脑通过以太网通信,而不同VLAN的电脑则需要通过路由器或者三层交换机等网络设备进行通信。
▲图片来自网络
划分VLAN的好处
1、减少广播风暴
VLAN最大的好处是可以隔离冲突域和广播域,试想,如果一个企业的局域网有上百台电脑,如果一旦产生广播风暴,那么整个网络就会彻底瘫痪。而通过VLAN划分,就能使得广播被限制在每一个VLAN里面,而不会跨VLAN传播,至少不会影响整个网络。
2、增强网络安全
不同VLAN的设备不能直接互相访问,需要通过路由器或三层交换机等网络层设备对报文进行三层转发,从而对局域网内不同设备之间的访问起到一定的控制作用,这也是一种安全的考虑。
3、网络管理方便
另外一个好处就是管理灵活,当一个用户需要切换到另外一个网络时,只需要更改交换机的VLAN划分即可,而不用换端口和连线。
为什么需要VLAN
举个例子,某创业公司,前期人员少,只有十几个终端在同一个局域网内,流量小,整体网络无规划,但随着公司的发展,办公面积增大了,也建立了不同的部分,网络需求发生了变化,内容的终端也成倍增加,流量也增大了。如果网络没有重新规划,极容易出现广播泛滥,从而造成网络性能下降等问题。而VLAN就能有效解决。
▲图片来自网络
什么样的网络需要VLAN
划分VLAN可以减少广播风暴的产生,提高网络的健壮性,但我们也要明白,VLAN划分不合理,也会影响网络的传输性能。因此在进行网络改造之前,必须看清楚当下的网络是否需要划分VLAN,而判断网络是否需要划分VLAN,就必须有依有据,参考如下:
网络流量
通常情况下,需要划分VLAN的网络是因为网络流量比较大,为此,网络流量是成为是否划分VLAN的一个重要网络参数。另外,在查看网络流量时,一定要把病毒等非客观因素的影响考虑在内。
网络规模
网络规模与网络流量是成正比的,局域网内的电脑数量越多,网络流量就越大,网络规模也成为是否需要划分VLAN的一个网络参数。
安全需求
划分VLAN可以提高企业网络的安全性,因此安全需求也是划分VLAN的一个参考条件,毕竟现在不少企业对网络安全要求很高,比如财务部、研发部等一些信息就不想被普通员工浏览,这种情况下,企业就可以通过划分VLAN将各个部门的数据进行加固。
2、什么是vlan,谈谈对vlan的具体理解
"同志,你快醒醒,你的交换机出广播风暴了,CPU飙到99%了!"一场突如其来的重感冒把小张击倒了,昏昏欲睡间却被人给晃醒了。
睁眼一看,眼前白色的天花板下面,是主管焦急的眼神。
"小张,你可算是醒了,快去机房看看,怎么交换机全都瘫了啊,我就说没了小张不行吧,你看他一病,机房一出问题,你们都解决不了了吧!"主管对病床旁边的几个年轻人大发脾气。
小张心底暗暗苦笑,说实在的,整个信息部一共四个人,一个主管,两个裙带亲戚,只剩下自己无权无势无后台,再加上对于自己的工作环境有种病态的执着,哪怕同事一般,但是既然自己负责机房,就要把机房管理维护好,前几天熬了两个通宵进行割接和升级,出门淋了一场雨,就生病了。
"主管,你看我这情况,实在坚持不到机房了,你先把我的主机down掉,然后把备机开一下吧,保证公司能够正常运行最重要。然后看一下IDS(入侵检测系统)有没有什么检测报警,把日志数据导出一份给我吧,这样的话我可以分析一下。"小张有气无力的说着,
主管一愣,旋即问道:"你不在的这几天,我对那个IDS做了一些配置,但是不知道为什么这个IDS老是出问题,于是我就把它拆下来了。"
小张痛苦的闭上眼睛,片刻后开口道:"那给我导一份交换机的日志吧,我看看VLAN和STP状态。"
"是这样的,小张啊,这个交换机的配置啊,上次不知道做了什么,开了个VTP好像是,反正现在的VLAN数据全部丢失了,就是小张啊,你有备份吗?"
小张一愣,旋即眼前一黑,颤声道:"主管,你知道什么是VLAN吗?"
VLAN (Virtual Local Area Network)虚拟本地区域网络,也就是虚拟局域网。
前文我们提到过,一台交换机只有一个广播域,当从某一端口收到一个数据而本地MAC地址表项种没有该映射关系时,就会进行泛洪,从除接收端口外的所有端口进行转发。
而此时如果交换机下接设备够多,就会无端的造成交换机资源的浪费,假如此时有一种病毒借助广播的传播,那么就会遍及全网,整台交换机下的设备都会中毒,此时就会造成业务流量的无法正常访问。
VLAN技术应运而生,它存在的一个巨大的意义,就是能够分割广播域,每个vlan区域内的设备都可以看作是一个独立的个体,
在这个环境中,如果进行如图中所示的VLAN分割,那么就可以将其看作在一台交换机上,被重新分割成为了三台交换机,每个vlan之间的广播域互不牵扯,广播包只会在本地的VLAN内进行泛洪。
既然能够分割广播域,那么自然而然的就是一定程度上抑制广播风暴,广播风暴数据只会在单一的VLAN数据内进行传播影响,不会影响其他区域。
而这不仅仅是VLAN技术的优点。
Vlan技术同时可以增强局域网的安全性。
不同的vlan之间不可以通信,假如本局域网络中存在财务和项目两个部门,如果财务部有敏感数据,而如果不进行vlan划分的话
而使用了vlan划分技术之后,就可以增强局域网的安全性,含有敏感数据的用户组与网络的其余部分隔离,从而降低泄露机密信息的可能性。
要使设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用以标识VLAN信息。
1、 TPID:Tag Protocol Identifier(标签协议标识符),表示数据帧类型。
表示帧类型,取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
在VLAN的类型中,默认是802.1Q,而思科有他单独的一个类型被称为ISL( 交换链路内协议)。
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时, 为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致。
2. PRI(Priority):3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧。
3. CFI(Canonical Format Indicator)1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0。
4. VLAN Identifier:VLAN ID,12比特,用于指明可以使用的VLAN ID,为2的12次方,可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用。
提到vlan,那便不得不提他的三种接口类型:
Access,trunk,hybrid;
在讲解这三个接口类型时,我们首先引入两个概念,叫做tagged和untagged。
Tagged:叫做带有vlan的标签,同理,untagged叫做不带vlan的标签。
Access:又被叫做接入端口,是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。
接收方向:当A口收到一个数据时,首先他会检查这个数据,是tagged还是untagged,如果该端口收到对端设备发送的帧是untagged,交换机将强制加上该端口的PVID。
如果该端口收到对端设备发送的帧是tagged,交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时,接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。
发送方向:A口发送数据帧时,总是先剥离帧的Tag,然后再发送。A口发往对端设备的以太网帧永远是不带标签的帧
Trunk:T口是交换机上用来和其他交换机连接的端口,它负责连接设备之间。T口允许多个VLAN的帧(带Tag标记)通过。
接收方向:当一个T口收到数据帧时,他会首先检查这个数据帧是否携带tag,如果时untagged数据,则添加端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。
当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。
注意:华为交换机种需要手动设置trunk允许的vlan。
发送方向:端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文。
当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。
Hybrid:Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。
它可以设置本地的PVID,当本地的数据要出去时,则添加本地的pvid标签,同时他也可以在端口下设置untagged与tagged。
在tagged标签中,表明了允许哪些VLAN的数据帧以tagged方式通过该端口。
在untagged标签中,表明了允许哪些VLAN的数据帧以untagged方式通过该端口。
华为配置实例:
[HuaWei-SW1]vlan 10//创建VLAN
[HuaWei-SW1]vlan 20//创建VLAN
[HuaWei-SW1]interface G0/0/2 //设置为trunk类型接口
[HuaWei-SW1]port link-type trunk//设置为trunk类型接口
[HuaWei-SW1] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口
[HuaWei-SW1]interface G0/0/1
[HuaWei-SW1]port link-type access //设置为access类型接口
[HuaWei-SW1]port default vlan 10//设置为分配到vlan10中
[HuaWei-SW1]interface G0/0/3
[HuaWei-SW1]port link-type hybrid//设置为hybrid类型接口
[HuaWei-SW1]port hybrid pvid vlan 20//设置pvid为 vlan 20
[HuaWei-SW1]port hybrid untagged vlan 20//设置vlan 20抵达此端口可去标签
[HuaWei-SW2]vlan 10
[HuaWei-SW2]vlan 20
[HuaWei-SW2]interface G0/0/1
[HuaWei-SW2]port link-type trunk //设置为trunk类型接口
[HuaWei-SW2] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口
[HuaWei-SW2]interface G0/0/3
[HuaWei-SW2]port link-type access
[HuaWei-SW2]port default vlan 10
[HuaWei-SW2]interface G0/0/2
[HuaWei-SW2]port link-type hybrid//同上
[HuaWei-SW2]port hybrid pvid vlan 20//同上
[HuaWei-SW2]port hybrid untagged vlan 20//同上
此时查看实验效果
从实验效果可以得知,PC1与PC3可以通信,PC2与PC4可以通信。
小张想到这里,从床上爬了起来,对着主管说道:"主管,备机上都有配置,你把配置都粘下来然后导进主设备上吧,IDS的配置在我电脑桌面上,你也把他导进去,然后接上吧,免得再出现问题了。"
"能一起共事这么久,也算是缘分,如今我累了,就先辞职吧。"小张摇了摇头,跌跌撞撞离开了病房,主管望着小张离开的身影,隐隐的觉得失去了什么东西……
一出门的小张,望着门外西装革履的男子,叹道:"麻烦让个路好吗。"
男子望着颤抖的小张,不由分说抗了起来,一边走一边说:"BOSS让我找你一趟,有个职位想要和你谈谈。"
本文关键词:什么是vlan交换机,什么是vlan,有什么优点?,什么是vlan,什么是vlan间路由,什么是vlan,引入vlan有哪些优越性。这就是关于《什么是vlan,谈谈对vlan的具体理解(为啥需要VLAN)》的所有内容,希望对您能有所帮助!