虚拟局域网VLAN
VLAN基础
虚拟局域网(Virtual Local Area Netwok,VLAN)
根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。
不同VLAN通信必须经过三层设备:路由器、三层交换机、防火墙等。
虚拟局域网工作站可以不属于同一物理网段,任何交换端口都可以分配给某个VLAN,属于同一VLAN的所有端口构成一个广播域。
冲突域和广播域,一个中继线和集线器是一个冲突域,一个VLAN为一个广播域,交换机的一个接口为一个冲突域。
冲突域
冲突域是指连接在同一共享介质上的所有节点的集合,冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到。
在传统的以太网中,同一介质上的多个节点共享链路带宽,争用链路的使用权,这样就会发生冲突。
同一介质上的节点越多,冲突发生的概率越大
交换机不同的接口发送和接收数据独立,各接口属于不同的冲突域,因此有效地隔离了网络中物理层冲突域,使得通过它互连的主机(或网络)之间不必再担心流量大小对于数据发送冲突的影响。
集线器在一个冲突域,交换机的一个接口是一个冲突域。
广播域
广播报文所能到达的整个访问范围称为二层广播域,简称广播域,同一广播域内的主机都能收到广播报文。
在传统的以太网中,同一介质上的多个节点共享链路,一台设备发出的广播报文,所有设备均会收到。
交换机对广播报文会向所有的接口都转发,所以交换机的所有接口连接的节点属于一个广播域,路由器每个接口是一个广播域。
交换机VLAN划分
静态划分VLAN:基于交换机端口。
动态划分VLAN:基于MAC地址、基于策略、基于网络层协议、基于网络层地址。
VLAN划分的配置
VLAN的作用
(1)控制网络流量。一个VLAN 内部的通信(包括广播通信)不会转发到其他VLAN 中去,从而有助于控制广播风暴,减小冲突域,提高网络带宽的利用率。
(2)提高网络的安全性。可以通过配置VLAN 之间的路由来提供广播过滤、安全和流量控制等功能。不同VLAN 之间的通信受到限制,提高了企业网络的安全性。
(3)灵活的网络管理。VLAN 机制使得工作组可以突破地理位置的限制而根据管理功能来划分。如果根据MAC 地址划分VLAN,用户可以在任何地方接入交换网络,实现移动办公。
802.1Q标签
- 802.1Q 标签字段,重点掌握PRI和VID。
- PRI(3 位):Priority表示优先级,提供0~7共8个优先级,当有多个等待发送时,按优先级顺序发送数据包。
- VID(12 位):即VLAN 标识符,最多可以表示212=4096个VLAN,其中VID0用于识别优先级,VID 4095保留未用,所以最多可配置4094个VLAN。默认管理VLAN是1,不能删除。
- 交换机添加和删除VLAN标签的过程由专用硬件自动实现,处理速度很快,不会引入太大的延迟。
- 从用户角度看,数据源产生标准的以太帧,目标接收的也是标准的以太帧VLAN标记对用户是透明的。
交换机端口类型
Access接口:只能传送单个VLAN数据,一般用于连接PC/摄像头等终端。
Trunk接口:能传送多个VLAN数据,一般用于交换机之间互联。
Hybrid接口:混合接口,包含access和trunk属性。
QinQ:双层标签,一般用于运营商城域网。
AI回答
虚拟局域网(VLAN)是一种网络技术,它允许将一个物理局域网在逻辑上划分成多个广播域,每个广播域就是一个VLAN。这种划分不是基于物理位置,而是基于设备和用户的逻辑分组,如功能、部门或应用等因素27。VLAN的主要优点包括限制广播域,从而节省带宽并提高网络处理能力;增强局域网的安全性,因为不同VLAN内的报文在传输时相互隔离,即一个VLAN内的用户不能直接与其它VLAN内的用户通信;以及提高网络的健壮性和灵活性4913。
VLAN技术工作在OSI参考模型的第2层和第3层,其中第2层负责数据帧的封装和转发,而第3层则负责不同VLAN之间的通信。一个VLAN内的计算机可以直接进行二层通信,而不同VLAN内的计算机则需要通过路由器等三层设备来实现通信1028。这种设计使得VLAN能够有效地控制广播活动,减少不必要的流量,并提高网络性能56。
此外,VLAN还可以用于实现访问控制功能,为信息业务和子业务提供符合业务结构的虚拟网络拓扑架构8。通过使用VLAN管理程序,可以对整个网络进行集中管理,简化网络管理的同时,根据业务需求快速组建和调整VLAN2527。
VLAN技术通过逻辑上的网络划分,不仅提高了网络的安全性和效率,还增加了网络的灵活性和可管理性,是现代网络设计中不可或缺的一部分。
