VLAN技术

VLAN原理VLAN在本交换机内转发的处理流程：交换机依据MAC地址表进行数据帧的转发，需要增加一个判断信息来决定从哪些端口转发广播帧以实现广播隔离，判断信息就是VLAN。交换机刚起动时，其MAC表中没有表项，交换机按照端口划分VLAN后，某终端发出数据，交换机记录其中的源MAC地址，与接收到娄据帧的端口和此端口对应的VLAN关联起来，形成带VLANID的MAC地址表项。转发数据时，只会在源端口所对应的VLAN内查找目的MAC地址，即只有相同VLAN信息的端口之间能够互相转发数据。VLAN在跨交换机转发的处理流程：VLAN只在本地有效，即当交换机A的VLAN1和交换机B的VLAN2相连，且没有启用Trunk时，VLAN1和VLAN2可以通信。802.1Q帧格式：交换机工作在数据链路层，要使交换机分辨不同VLAN的帧，需在帧中添加标识VLAN的字段，该字段添加在以太网帧的源MAC之后，类型字段之前，成为带有VLAN标签的帧（TaggedFrame），不带802.1Q标签的帧称为未打标签的帧（Untaggedframe）。802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。TPID是IEEE定义的新的类型，包含了一个固值0x8100，表明这是一个封装了802.1Q标签的帧。TCI包含的是帧的控制信息，包含三个无素：Priority指明帧的优先级，交换机出端口发生拥塞时通过此优先级优先发送优先级高的帧，有0~7共8种优先级；CFI值为0说明是规范格式，为1说明是非规范格式，用于令牌环等网；VLANID共12比特，指明VLAN编号，在4096个VLAN中，VLANID为0用于识别帧优先级，为4095作为预留值，故VLAN配置最大可能值为4094。DASATypeDataCRCDASATagTypeDataCRCTPIDPriorityCFIVLANID802.1Q帧格式Access链路、Trunk链路和Hybrid链路计算机网卡者不支持带VLAN标签的以太网数据帧，支持VLAN的交换机将数据发送给主机时需剥离VLAN标签。端口所属的VLAN称为缺省VLAN，又称PVID，所有端口的缺省VLAN均为VLAN1，Access端口缺省VLAN就是它所在的VLAN，不能配置，Trunk端口和Hybrid端口可以允许多个VLAN通过，能够配置VLAN。只允许缺省VLAN以太网帧通过的端口称为Access端口，收到帧后打上VLAN标签，转发帧时剥离VLAN标签，对终端透明，连接不需识别802.1Q的设备。允许多个VLAN帧通过的端口称为Trunk端口，可以接收和发送多个VLAN的数据帧，且在接收的发送过程中不对除缺省VLAN以外的帧进行任何操作。Trunk端口在发送VLAN帧时要剥离帧中的标签，接收到不带标签的帧时要打上缺省VLAN的标签，Trunk一般用于交换机之间互连。Hybrid端口可以接收的发送多个VLAN数据帧，还可以指定对任何VLAN帧进行剥离操作。收到一个不带VLAN标签的帧时将其打上缺省VLAN的标签进行转发，发出一个帧时根据其出端口上对每个VLAN的标签的具体设定，选择时否对此帧剥离VLAN标签。当网络中TCI大部分主机之间需要隔离，但这些隔离主机又要与另一台主机互通，可用Hybrid端口。此可用于交换机之间互连，也可用于连接不需要识别802.1Q的设备。VLAN的划分方式基于端口的VLAN（配置简单，将端口加入VLAN即可，不适应用户的物理位置变化）基于MAC地址的VLAN（配置复杂，收集所有主机MAC并逐个配置，端口必须为Hybrid端口，会导致某VLAN的广播传至其他VLAN。可适应用户的物理位置变化）基于协议的VLAN（将网络中提供的楞个议类型与VLAN相绑定，方便管理维护，端口必须为Hybrid端口，会导致某VLAN的广播传至其他VLAN，依据协议不能足够细致地划分VLAN。可适应用户的物理位置变化。）基于IP子网的VLAN（收到帧后，根据其中源IP找到与现有VLAN对应关系，自动划分到指定VLAN进行转发，用于将指定网段或IP发出的数据在指定VLAN中转发，可适应用户的物理位置变化，但效率低，需要交换机芯片能检查IP头，要更强的识别和处理能力）VLAN匹配顺序：收到Tagged帧时，如果端口允许该帧通过，则正常转发，如果不允许则丢弃该帧。收到Untagged帧时先依据MAC地址匹配MAC-VLAN表项；不成功则依据源地址确定所属VLAN，不成功则匹配协议模板，没有协议模板同给帧打上缺省VLANID进行转发。GARP（通用属性注册协议）为处于同一个交换网内的交换机成员之间提供了分发、传播、注册某种信息的手段。GARP的成员可以是终端工作站或网桥。GARP成员通过声明或撤销声明通知其它的GARP成员注册或注销自己的属性信息。属性声明注册过和是沿着STP树单向传播的。当端口收到一个属性声明时，该端口将注册该属性。如果端口接收到撤销属性的声明，该端口将注销该属性。GARP协议的属性和注销仅仅是对于接收到GARPBPDU的端口而言的。GARP应用实体的协议都以特定的级播MAC地址为目的MAC地址。交换机收到GARP应用实体的帧时，根据MAC地址加以区分后由不同的应用处理，如GVRP或GMRP。GVRP（VLAN注册协议）是主要的GARP应用之一。GVRP的组播目的MAC地址为01800.c2000021。GVRD中的属性是VLANID信息。所有支持GVRP特性的交换机能够接受来自其它交换机的GVRPVLAN注册信息，也能够将本地的VLAN信息向其他交换机传播，使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息即包括手工配置的静态VLAN信息，也包括来自其它交换机的动态VLAN注册信息。GVRP提供了五种类型的消息Empty：发送者不声明该属性，发送者未注册该属性但希望接收到该属性的声明Joinln：发送者希望声明该属性，而且发送者已注册该属性JoinEnpty：发送者希望声明该属性，发送者未注册该属性但希望接收到该属性的声明Leave：发送者希望撤销该属性的声明，即希望接收者注销该属性LeaveAll：发送者希望撤销所有属性的声明，即希望接收者注销所有属性GVRP端口注册模式Normal模式：允许端口动态注册或注销VLAN，传播动态VLAN及静态VLAN信息。Fixed模式：禁止该端口动态注册或注销VLAN，只传播静态VLAN信息，不传播动态VLAN信息，当Trunk端口被设置为Fixed模式，即使允许所有VLAN通过，实际通过VLAN的也只能是手工配置的静态VLAN.Forbidden模式：禁止该端口动态注册或注销VLAN，不传播VLAN1以外的任何VLAN信息，当Trunk端口被设置为Forbidden模式后，即使允许所有VLAN通过，实际通过的VLAN也只能是VLAN1。GARP定时器Hold定时器：GARP定时器收到其他设备发送的注册信息时不立即将该注册信息作为一条Join信息发送，而是先启动Hold定时器，超时后GARP将此时间段内收到的所有注册信息放在同一个Join消息中向外发送。Join定时器：GARP应用实体通过将每个Join消息向外发送两次来保证可靠传输，第一次发送的Join消息没有得到回复时发送第二个Join消息，两次Join消息发送之间的时间间隔用Join定时器来控制。Leave定时器：一个GARP应用实体收到撤销某属性的Leave消息时启动Leave定时器，在该定时器超时前没有收到Join消息，注销该属性信息。LeaveAll定时器：每个GARP应用实体启动后同时启动LeaveAll定时器，超时后对外发送LeaveAll消息，使其他GARP应用实体重新注册本实体上所有的属性信息，随后再启动LeaveAll定时器开始新一轮循环。基于端口的VLAN基本配置VLAN基本配置命令批量创建VLAN：[Switch]vlan{vlan-id1[tovlan-id2]|all}进入VLAN视图：[Switch]vlanvlan-id向当前VLAN添加端口：[Switch-vlan-id]portinterface-list[Switch-interface-list]portaccessvlan-idTrunk端口配置命令配置端口的链路类型为Trunk类型[Switch-interface-list]portlink-typetrunk允许指定的VLAN通过当前Trunk端口[Switch-interface-list]porttrunkpermitvlan{vlan-id-list|all}设置Trunk端口的缺省VLAN[Switch-interface-list]porttrunkpvidvlanvlan-id缺省情况下Trunk端口只允许缺省VLAN1通过，而且所有端口的缺省vlan是vlan1，Access端口的缺省VLAN就是它所在的VLAN，不能配置，Trunk端口和Hybrid端口可允许多个VLAN通过，需要设置缺省VLANID。执行undovlan删除的VLAN是某端口的缺省VLAN时，access端口缺省vlan恢复到VLAN1，Trunk端口和Hybrid端口的缺省VLAN不会改变，即它们可以使用不存在的VLAN做缺省VLAN。两端交换机的缺省VLAN必须相同，否则同一VLAN内的主机跨交换机不能通信。Hybrid端口配置命令配置端口的链路类型为Hybrid类型[Switch-interface-list]portlink-typehybrid允许指定的VLAN通过当前Hybrid端口[Switch-interface-list]porthybridvlanvlan-id-list{tagged|untagged}设置Hybrid端口的缺省VLAN[Switch-interface-list]portHybridpvidvlanvlan-idHybrid端口能允许多个VLAN通过，并且可以指定哪些VLAN帧被剥离标签，设置允许指定的VLAN通过Hybrid端口之前，此VLAN必须存在。缺省情况下所有Hybrid端口只允许VLAN1通过。Trunk端口和Hybrid端口不能直接切换，只能先设为Access端口。基于MAC的VLAN基本配置（基于MAC的VLAN只能在Hybrid端口上配置）一、配置MAC地址所对应的VLAN及优先级[Switch]mac-vlanmac-addressmac地址[maskmac-mask]vlanvlan-id[prioritpri]基于MAC地址的VLAN只能在Hybrid端口配置。交换机维护两张MAC-VLAN表，一张通过mask参数指定的MAC-VLAN表，描述的是一类MAC地址和VLAN、优先级之间的关系。另一张是不指定mask参数直接配置的MAC-VLAN表，描述的是单个MAC地址和VLAN、优先级之间的关系。（mask是mac地址的掩码，f表示匹配，0表示不匹配。优先级是802.1p的二层标签，用于QOS优先级）二、开启端口的MACVLAN功能[Switch-interface-list]mac-vlanenable设置端口VLAN的匹配优先级（先匹配mac-vlan或是先匹配基于IP的VLAN，如果一个端口三、同时启用了两个VLAN，先匹配mac-vlan）[Switch-interface-list]vlanprecedence{mac-vlan|ip-subnet-vlan}基于协议的VLAN配置命令（基于协议的VLAN只能在Hybrid端口上配置）一、在VLAN视图下配置基于协议的VLAN，并指定协议模板。[Switch-vlan-id]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx|{ethernetii|llc|raw|snmp}|mode{enthernetiietypeetype-id|ll