标签:识别 安全 发送数据 传统 接收 alt 兼容 标签 .com
vlan理论01-概念及原理1、 vlan的作用
将一个物理的局域网在逻辑上划分成多个广播域的技术。
主要解决传统以太网的冲突严重,广播泛滥,以及安全无法保障等问题。
传统的共享式以太网中使用的是CSMA/CD技术来避免冲突。
2、802.1q 帧格式如下:
TPID:标签协议标识符),表示帧类型,取值为 0x8100 时表示 802.1q Tag 帧。如果
不支持 802.1q 的设备收到这样的帧,会将其丢弃。
PRI:表示帧的优先级,取值范围为 0~7,值越大优先级越高。用于当交换机阻塞时,优先发送优先级高的数据帧。
CFI:标准格式指示位,表示 MAC 地址是否是经典格式,CFI 为 0 说明是经典格式, CFI 为 1 表示为非经典格式。用于兼容以太网和令牌环网,在以太网中, CFI 的值为 0。
VID:VLAN ID,表示该帧所属的 VLAN,VLAN ID 取值范围是 0~4095。由于 0 和4095 为协议保留取值,所以 VLAN ID 的有效取值范围是 1~4094。
3、链路类型
1)、接入链路(Access Link):用于连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个 VLAN,主机硬件通常也不能识别带有 VLAN 标记的帧。因此,主机发送和接收的帧都是 untagged 帧。
2)、干道链路(Trunk Link):用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同 VLAN 数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个 VLAN,所以在干道链路上传输的帧都是 Tagged 帧。
当交换机从access接口收到了帧后,发现是个untag的帧,就给他打上VLAN ID为1的默认VLAN tag,按理说从trunk接口转发出去的时候应该携带这个默认的VLAN tag,但是华为是将这个默认的VLAN tag剥除再发送出去的(前提是接口允许通过默认VLAN),因为在华为眼里,打上默认VLAN tag再发送出去没有必要。所以说,当从trunk收到一个没有打VLAN tag的帧的时候,默认都认为是属于VLAN 1的数据。
4、接口类型
1)、Access 接口
access接口接收:access接口在收到数据(通常为untag的帧)后会添加VLAN tag,VLAN tag和端口的PVID相同(如果没有手工指定PVID,默认为1)。如果在access接口收到了打了VLAN tag的帧(一般情况下不会,但是如果有***就又可能),那么交换机会将 VLAN tag与接口的PVID比较,如果不匹配,就丢弃。如果匹配,就转发。
access接口发送:access接口在发送数据之前会将这个VLAN tag剥除。
2)、Trunk 接口
trunk接口接收:当trunk端口接收到帧时,如果该帧不包含tag,将打上端口的默认PVID(其实就是对端默认PVID发送过来的帧),然后转发到相应端口;如果该帧包含tag,则不改变,转发相应端口。
trunk接口发送:当在access接口对数据帧添加了VLAN tag之后(所有的帧在从access接口进入交换机的时候都会打上VLAN tag,可能是手工指定的PVID,也可能是默认的PVID 1),从trunk接口转发出去之前会首先查看trunk接口是否允许了这个VLAN tag的通过,如果不允许就直接丢弃。如果允许:
a、若与trunk接口的默认PVID相同时,就剥离tag发送;
B、若与trunk接口的默认PVID不同时,就直接发送。
3)、Hybrid 接口
Hybrid 接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid 接口既可以连接接入链路又可以连接干道链路。Hybrid 接口允许多个 VLAN 的帧通过,并可以在出接口方向将某些 VLAN 帧的 Tag 剥掉。
4)、QinQ 接口
QinQ(802.1Q-in-802.1Q)接口是使用 QinQ 协议的接口。 QinQ 接口可以给帧加上双重 Tag,即在原来 Tag 的基础上,给帧加上一个新的 Tag,从而可以支持多达 4094×4094 个 VLAN(不同的产品支持不同的规格),满足网络对 VLAN 数量的需求。
QinQ 帧格式如下图所示,外层的标签通常被称作公网 Tag,用来存放公网的 VLAN ID。内层标签通常被称作私网 Tag,用来存放私网的 VLAN ID。
5、VLAN的划分
可以基于以下几种方式来划分VLAN:
1)、基于接口:根据交换设备的接口编号来划分VLAN;
2)、基于MAC地址:根据计算机网卡的 MAC地址来划分VLAN。 网络管理员成功配置 MAC 地址和VLAN ID 映射关系表,如果交换机收到的是 untagged(不带 VLAN 标签)帧,则依据该表添加 VLAN ID;
3)、基于IP子网:如果交换设备收到的是 untagged(不带 VLAN 标签)帧,交换设备根据
报文中的 IP 地址信息,确定添加的VLAN ID;
4)、基于协议:根据接口接收到的报文所属的协议(族)类型及封装格式来给报文分配
不同的 VLAN ID;
5)、基于策略:在交换机上配置终端的 MAC 地址和 IP地址,并与 VLAN 关联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN 后,严禁修改 IP 地址或 MAC地址,否则会导致终端从指定 VLAN中退出。
注 : 优先级关系:基于匹配策略划分VLAN->基于MAC地址划分VLAN和基于子网划分VLAN->基于协议划分VLAN->基于接口划分VLAN。
标签:识别 安全 发送数据 传统 接收 alt 兼容 标签 .com
原文地址:http://blog.51cto.com/9480916/2339030