在学习交换机的基本业务过程，Vlan是L2中有着重要的地位，先需要了解 Vlan技术。

1、VLAN技术

1.1、什么是VLAN

Virtual Local Area Network（虚拟局域网）简称VLAN ，能够将一个物理的LAN在逻辑上划分成多个广播域¹。每个VLAN是一个广播域，VLAN内的主机间可以直接通信，而VLAN间则不能直接互通。这样，广播报文就被限制在一个VLAN内。

1.2、为什么需要VLAN

早期以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过二层设备实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。举个现实生活的实际例子，比如某公司内所有部门主机同在一个广播域，某主机想广播信息给同一部门的人，又不想让其他部门的人收到；又比如某主机发送的数据帧到达交换机后，在MAC地址表内并没有找到目标MAC地址的表项时，就会进行泛洪²发给其他所有端口，这会增加网络负担。
在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，广播报文就被限制在一个VLAN内。

因此，VLAN具备以下优点：

限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时相互隔离，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

1.3、802.1Q

广播是在报文的数据链路层，把目标MAC地址设置为全F，交换机收到数据帧后也是根据二层的广播地址进行广播。同样的，VLAN想要划分广播域，要使交换机能够分辨不同VLAN的报文，需要在报文二层数据链路层中添加标识VLAN信息的字段。
IEEE 802.1Q协议规定了Vlan的实现标准。在以太网数据帧的目的MAC地址和源MAC地址之后、协议类型字段之前，加入4个字节的VLAN标签（VLAN Tag），用以标识VLAN信息。
EEE 802.1Q封装的VLAN数据帧格式

TPID：Tag Protocol Identifier（标签协议标识符），标识数据帧类型。
根据IEEE 802.1Q标准的定义，取值为0x8100时表示802.1Q Tag（VLAN）帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃
思科有单独的一个类型被称为ISL（交换链路内协议）
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时，为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致
PRI ：Priority，标识帧的QoS优先级，取值范围为0~7，值越大优先级越高，当阻塞时，交换机优先发送优先级高的数据包。如果设置用户优先级，但是没有VID（VLAN ID），则VLAN ID必须设置为0x000
CFI：Canonical Format Indicator，标准格式指示。表示MAC地址是否是标准格式。CFI为0说明是标准格式（以太网帧的MAC地址采用低字节在前），CFI为1表示为非标准格式（以太网帧的MAC地址采用高字节在前）。在以太网中，CFI的值为0
VID：VLAN ID，表示该帧所属的VLAN，可配置的VLAN ID取值范围为0～4095。由于协议规定0和4095为保留的VLAN，所以VLAN ID的有效取值范围是1～4094。

1.4、VLAN的接口类型

交换机内部处理的数据帧都带有VLAN标签。而交换机连接的部分设备（如用户主机、服务器）只会收发不带VLAN tag的传统以太网数据帧。因此，在一个VLAN交换网络中，以太网数据帧主要有以下两种形式：

无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧。
有标记帧（Tagged帧）：加入了4字节VLAN标签的帧。
要与这些设备交互，就需要交换机的接口能够识别传统以太网数据帧，并在收发时给帧添加、剥除VLAN标签。添加什么VLAN标签，由接口上的缺省VLAN（Port Default VLAN ID，PVID）决定。
现实网络应用中属于同一个VLAN的用户可能会被连接在不同的交换机上，且跨越交换机的VLAN可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。根据接口连接对象以及对收发数据帧处理的不同，当前有VLAN的多种接口类型，以适应不同的连接和组网。
目前常见的VLAN接口类型有三种，包括：Access、Trunk 和 Hybrid。

1.5、VLAN标签的处理机制

不同厂商对VLAN接口类型的定义以及转发行为可能不同，这里以锐捷设备进行说明

首先，Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器）相连，或者不需要区分不同VLAN成员时使用。
Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。交换机内部只处理Tagged帧，所以Access接口需要给收到的数据帧添加VLAN Tag，也就必须配置缺省VLAN。配置缺省VLAN后，该Access接口也就加入了该VLAN。
当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。
在发送带有Tag的帧前，Access接口会剥离Tag。

而对于Trunk接口，一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的设备终端。它可以允许多个VLAN的帧带Tag通过，但只允许属于缺省VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。
Trunk接口上的缺省VLAN，有的厂商也将它定义为native VLAN。当Trunk接口收到Untagged帧时，会为Untagged帧打上Native VLAN对应的Tag。

最后，Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器）和网络设备（如Hub），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的设备终端、AP。它通过查询tag表和untag表的方式，可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如在灵活QinQ中，服务提供商网络的多个VLAN的报文在进入用户网络前，需要剥离外层VLAN Tag，此时Trunk接口不能实现该功能，因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。

2、什么是Vlan隔离和端口隔离

2.1、Vlan隔离

Vlan隔离实际是根据Vlan技术的作用，通过对不同端口、设备终端、用户进行Vlan划分的方式实现业务数据的完全隔离。
另外，Vlan隔离可以基于交换机的端口Vlan划分进行组网隔离，也可以通过基于IP的Vlan划分进行组网隔离

2.2、端口隔离

为了实现接口之间的二层隔离，可以将不同的接口加入不同的VLAN，但这样会浪费有限的VLAN资源。端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。
通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层数据的隔离，使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，增加了网络安全性，提高了网络性能，为用户提供了更安全、更灵活的组网方案。

2.3、Vlan隔离和端口隔离的差异

比较项	Vlan隔离	端口隔离
方式	（端口）加入Vlan组	（端口）加入隔离组
结果	同一Vlan组中成员可以通信	同一隔离组中的成员不能通信
差异	不同Vlan 间数据不互通	不同一隔离组中的成员可以通信（相同Vlan）
场景	划分Vlan组网，限制广播域	有效的阻断各个端口之间的二，三层流量（包括相同Vlan组内）
范围	具有全局性，不同设备的相同Vlan可实现互转	具有本地性，不同设备上的端口隔离不能生效

广播域：指的是广播帧（目标MAC地址全部为F）所能传递到的范围，亦即能够直接通信的范围; ↩︎
泛洪：这是一种交换机常用的转发方式，当交换机要给一个目的主机发送数据帧，而数据帧中的目的MAC地址不在交换机MAC地址表中，则向除了接收端口以外的所有其他端口转，这个动作就是泛洪； ↩︎

交换机的Vlan技术以及Vlan隔离和端口隔离区别相关推荐

如何使同vlan中ip禁止访问？端口隔离与vlan有何不同？
在同一个vlan中如何实现端口相互隔离呢?这个在交换机组网项目中也是经常会用到. 对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了, ...
交换机与路由器技术：VLAN Trunk、单臂路由和三层交换及配置
目录一.VLAN Trunk 1.vlan trunk目的 2.trunk封装二.单臂路由 1.原理三.三层交换 1.目的 2.基本概念 3.传统的三层交换 4.基于CEF的三层交换(MLS) ...
【新华三】网络工程师这不是普通的VLAN技术-Private VLAN
本期主要介绍Private VLAN技术,下期介绍Super VLAN技术随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带.基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离.V ...
一台支持vlan管理的交换机_关于交换机的VLAN技术你了解多少？
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段.一个VLAN可以在一个交换机或者跨交换机实现.VLAN可以根据网络用户的位 ...
关于交换机的VLAN技术你了解多少？
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段.一个VLAN可以在一个交换机或者跨交换机实现.VLAN可以根据网络用户的位 ...
VLAN内端口隔离技术
一.1. 端口隔离技术背景目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在(例如针对ARP.DHCP等协议的攻击.勒索病毒攻击.宾馆等公共场所的广播泛洪攻击等等),不仅造成了网络合法用户 ...
交换机高级特性简介：MUX VLAN、端口隔离功能、端口安全功能简单原理与配置
文章目录 MUX VLAN MUX VLAN应用场景 MUX VLAN基本概念实验配置配置命令端口隔离端口隔离基本概念实验配置配置命令端口安全(Port Security) 端口安全基本 ...
端口隔离和VLAN的区别
对于大型网络,我们常常对于ip的规划比较烦恼,也有很多朋友问到,对于1000个以上的终端设备如何去设置它的ip地址呢? 对于大型网络,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好 ...
vlan的端口隔离及端口优化——“道高一尺魔高一丈”
"道高一尺魔高一丈"-vlan的端口隔离及端口优化目录:端口隔离及优化实验操作与总结 "道高一尺魔高一丈"-vlan的端口隔离及端口优化端口隔离-制定ACL ...
华为HCIE RS笔记-16以太网技术端口隔离，Smart Link，Monitor Link，端口镜像
. 端口隔离: 端口隔离可以实现端口之间无法数据通信,端口隔离默认隔离二层广播,三层互通,属于同隔离组中的设备无法实现数据通信,但是可以与其他隔离组中的设备进行通信. 端口隔离配置: [Huawei] ...

交换机的Vlan技术以及Vlan隔离和端口隔离区别

1、VLAN技术

1.1、什么是VLAN

1.2、为什么需要VLAN

1.3、802.1Q

1.4、VLAN的接口类型

1.5、VLAN标签的处理机制

2、什么是Vlan隔离和端口隔离

2.1、Vlan隔离

2.2、端口隔离

2.3、Vlan隔离和端口隔离的差异

交换机的Vlan技术以及Vlan隔离和端口隔离区别相关推荐

最新文章

热门文章

交换机的Vlan技术 以及Vlan隔离和 端口隔离区别

1、VLAN技术

1.1、什么是VLAN

1.2、为什么需要VLAN

1.3、802.1Q

1.4、VLAN的接口类型

1.5、VLAN标签的处理机制

2、什么是Vlan隔离 和 端口隔离

2.1、Vlan隔离

2.2、端口隔离

2.3、Vlan隔离和端口隔离的差异

交换机的Vlan技术 以及Vlan隔离和 端口隔离区别相关推荐

最新文章

热门文章

交换机的Vlan技术以及Vlan隔离和端口隔离区别

2、什么是Vlan隔离和端口隔离

交换机的Vlan技术以及Vlan隔离和端口隔离区别相关推荐