VLAN基本原理

©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.47pt30pt反白:FrutigerNextLTMedium:Arial47pt黑体28pt反白细黑体VLAN基本原理Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage1目录1.VLAN简介2.VLAN标签的应用规则3.VLAN间路由原理Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage2目录1.VLAN简介2.VLAN标签的应用规则3.VLAN间路由原理Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage3VLAN的产生原因用户：我不想收到C的广播报文管理员：B不能访问ACBA以太网缺少转发控制手段Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage4VLAN技术的目标组1组2Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage5通过标签管理实现VLAN5Ethernet0/0/1PermitVLAN1onlyAB二层转发表Ethernet0/0/1Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage6VLAN标签介绍DASATYPEDATAFCSDASATAGTYPEDATAFCSUntaggedframeTaggedframe0x8100PRICFIVLANID（12b）TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2BCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage7如何生成VLAN标签主机A主机B主机C主机DPort1Port2Port7Port10端口PVIDPort15Port210…………Port75…………Port1010VLAN的划分Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage8目录1.VLAN简介2.VLAN标签的应用规则3.VLAN间路由原理Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage9VLAN转发流程Tagged?添加PVID使用自身VLANid交换机是否创建了该VLAN丢弃ynny目的端口是否允许该VLAN通过转发/标签操作n收到对端设备以太网帧源端口是否允许该VLAN通过yynCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18pt交换机端口类型Page10Access端口从access端口发出的报文都不带vlantagTrunk端口从trunk端口发出的除默认vlan外的报文，都带vlantagHybrid端口Hybrid端口发出的报文，可以配置部分vlan的报文带vlantag，部分vlan的报文不带vlantagCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage11Access端口VLAN属性Access端口，用于连接主机，有如下特点：•仅仅允许唯一的VLANID通过本端口，这个值与端口的PVID相同•如果该端口收到的对端设备发送的帧是untagged，交换机将强制加上该端口的PVID•Access端口发往对端设备的以太网帧永远是untaggedframe•很多型号的交换机默认端口类型是access，PVID默认是1，VLAN1由系统创建，不能被删除。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage12Trunk端口VLAN属性Trunk端口：用于连接交换机，在交换机之间传递taggedframe，可以自由设定允许通过多个VLANID，这些ID可以与PVID相同，也可以不同。Trunk端口即将发送Taggedframe向其它设备，规则如下：该Taggedframe中的VLANID取值未出现在VLANpermitted列表中，则丢弃该帧。如果在列表中，则：•该Taggedframe中的VLANID取值与本端口的PVID相同，则移除标签后后发往其它设备。由于每个端口的PVID取值是唯一的，因此仅仅在这一种情况下，Trunk端口发往其它设备的帧是untaggedframe；•该Taggedframe中的VLANID取值与本端口的PVID不同，则不做任何改变，发往对端设备。VLANpassing：一般情况下，VLANpassing与VLANpermited查询内容相同。但是通过GVRP协议动态注册的VLAN，如果未在端口进行注册，则该VLANID不会出现在VLANpassing列表中，相应的帧也不能从该端口转发出去。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage13Hybird端口VLAN属性Access端口发往其他设备的报文，都是untaggedframe，而trunk端口仅在一种特定情况下才能发出untaggedframe，其它情况发出的都是taggedframe。某些应用中，可能希望能够灵活的控制VLAN标签的移除。例如，在本交换机的上行设备不支持VLAN的情况下，希望实现各个用户端口相互隔离。Hybrid端口可以灵活的控制VLAN标签的移除情况。如果待转发的帧中的VLANID是3，则按照trunk端口的转发模式转发；如果是4，则移除标签4后再转发。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage14交换机端口类型总结•交换机内部的数据帧一律都带有VLANTag，以统一方式处理。端口类型对接收不带Tag的报文处理对接收带Tag的报文处理发送帧处理过程Access端口接收该报文，并打上缺省VLAN的Tag。•当VLANID与缺省，VLANID相同时，接收该报文。•当VLANID与缺省，VLANID不同时，丢弃该报文。先剥离帧的PVIDTag，然后再发送。Trunk端口•打上缺省VLANID，当缺省VLANID在允许通过的VLANID列表里时，接收该报文。•打上缺省VLANID，当缺省VLANID不在允许通过的VLANID列表里时，丢弃该报文。•当VLANID在接口允许通过的VLANID列表里时，接收该报文。•当VLANID不在接口允许通过的VLANID列表•当VLANID与缺省VLANID相同，且是该接口允许通过的VLANID时，去Tag，发送该报文。•当VLANID与缺省VLANID不同，且是该接口允许通过的VLANID时，保持原有Tag，发送该报文。Hybrid端口当VLANID是该接口允许通过的VLANID时，发送该报文。可以通过命令设置发送时是否携带Tag。QinQ端口QinQ端口是使用QinQ协议的端口。QinQ端口可以给帧加上双重Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094x4094个VLAN，满足网络对VLAN数量的需求。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage15目录1.VLAN简介2.VLAN标签的应用规则3.VLAN间路由原理Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage16VLAN隔离二层广播域VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。VLAN100VLAN200VLAN300Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage17VLAN间通信不同VLAN之间的流量不能直接跨越VLAN的边界，需要使用路由，通过路由将报文从一个VLAN转发到另外一个VLAN。VLAN100VLAN200VLAN300Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage18VLAN间通信的路由选择在主机上默认网关，对于非本地的通信，主机会自动寻找默认网关，并把报文交给默认网关转发而不是直接发给目的主机VLAN1001.1.1.10/24VLAN2002.2.2.20/24Ping2.2.2.20非本地通信使用默认网关网络1.1.1.0/24在接口1网络2.2.2.0/24在接口2Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage19每个VLAN一个物理连接在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。VLAN100VLAN200VLAN300Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage20使用VLANTrunking二层交换机上和路由器上配置他们之间相连的端口使用VLANTrunking，使多个VLAN共享同一条物理连接到路由VLAN100VLAN200VLAN300Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage21交换和路由的集成二层交换机上和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。VLAN100VLAN200VLAN300VLAN100VLAN200VLAN300Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage22三层交换机功能模型10.110.0.113/24G:10.110.0.25410.110.1.69/24G:10.110.1.25410.110.1.88/24G:10.110.1.25410.110.2.200/24G:10.110.2.254ETH0:10.110.0.254/24ETH1:10.110.1.254/24ETH2:10.110.2.254/24Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.35pt32pt):18ptPage23三层交换机中的路由和二层交换二层交换引擎：实现同一网段内的快速二层转发三层路由引擎：实