就是在一个物理位置上用逻辑把他们独立起来,简单是说就是把一个交换机划分为多个虚拟交换机,从而可以控制不通的用户访问的权限也不同。
使用 VLAN 主要有以下优点:
? 安全 - 含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。教师计算机位于 VLAN 10 上,完全与学生数据传输和访客数据传输相隔离。
? 成本降低 - 成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
? 性能提高 - 将第 2 层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
? 广播风暴防范 - 将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。
? 提高 IT 员工效率 - VLAN 为管理网络带来了方便,因为有相似网络需求的用户将共享同一个 VLAN。当您为特定 VLAN 设置新的交换机时,之前为该 VLAN 配置的所有策略和规程均会在指定新交换机端口后应用到端口上。另外,通过为 VLAN 设置一个适当的名称,IT 员工很容易就知道该 VLAN 的功能。
? 简化项目管理或应用管理 — VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便。
VLAN ID 范围:
普通范围的 VLAN
? 用于中小型商业网络和企业网络。
? VLAN ID 范围为 1 到 1005。
? 从 1002 到 1005 的 ID 保留供令牌环 VLAN 和 FDDI VLAN 使用。
? ID 1 和 ID 1002 到 1005 是自动创建的,不能删除。随着本章内容的展开,我们将更深入地了解 VLAN 1。
? 配置存储在名为 vlan.dat 的 VLAN 数据库文件中,vlan.dat 文件则位于交换机的闪存中。
? 用于管理交换机之间 VLAN 配置的 VLAN 中继协议 (VTP) 只能识别普通范围的 VLAN,并将它们存储到 VLAN 数据库文件中。
扩展范围的 VLAN
? 可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大,从而需要使用扩展范围的 VLAN ID。
? VLAN ID 范围从 1006 到 4094。
? 支持的 VLAN 功能比普通范围的 VLAN 更少。
? 保存在运行配置文件中。
? VTP 无法识别扩展范围的 VLAN。
一台 Cisco Catalyst 2960 交换机可支持最多 255 个普通范围与扩展范围的 VLAN。
VLAN类型:
数据 VLAN:数据 VLAN 只传送用户产生的流量。VLAN 也可以传送语音流量或用于传送管理交换机的流量,但这种流量可以从数据 VLAN 隔离开。
默认 VLAN:在交换机初始启动之后,交换机的所有端口即加入到默认 VLAN 中。(Cisco 交换机默认VLAN是VLAN 1,你能删除,也不能重命名)
本征 VLAN:本征 VLAN 分配给 802.1Q 中继端口。本征 VLAN 在 IEEE 802.1Q 规范中说明,其作用是向下兼容传统 LAN 方案中的无标记流量。对我们来说,本征 VLAN 的目的是充当中继链路两端的公共标识。最佳做法是使用 VLAN 1 以外的 VLAN 作为本征 VLAN。
管理 VLAN:管理 VLAN 是您配置用于访问交换机管理功能的 VLAN。。如果您没有主动定义一个唯一的 VLAN 作为管理 VLAN,则 VLAN 1 会默认充当管理 VLAN。
语音 VLAN:
VoIP 流量要求:
? 足够的带宽来保证语音质量
? 高于其它网络流量类型的传输优先级
? 能够在融合网络中得到路由
? 在网络上的延时小于 150 毫秒 (ms)
Cisco IP 电话集成了一台三端口的 10/100 交换机,如图所示。从这些端口可连接到如下设备:
? 端口 1 连接到交换机或其它 IP 语音 (VoIP) 设备。
? 端口 2 是内部 10/100 接口,用于传送 IP 电话流量。
? 端口 3(接入端口)连接到 PC 或其它设备。
网络管理流量和控制流量:
网络上可以存在许多不同类型的网络管理流量和控制流量,例如 Cisco 发现协议 (CDP) 更新、简单网络管理协议 (SNMP) 流量和远程监控 (RMON) 流量。
IP 电话:
IP 电话的流量类型包括信令流量和语音流量。信令流量从网络一端发送到另一端路径,负责呼叫的建立、执行和终止。
IP 组播:
IP 组播流量从特定的源地址发送到某个组播组中,该组播组由一个 IP 与 MAC 目的组地址对所标识。
普通数据:
涉及普通数据流量的有:文件创建和存储、打印服务、电子邮件数据库访问以及其它常用于商业用途的共享网络应用程序。
Scavenger 类型:
Scavenger 类型的作用是为某些应用程序提供等级比“尽最大努力”服务更低的服务。
交换机端口成员资格模式:
VLAN 交换机端口模式:配置 VLAN 时,必须为它分配一个数字 ID,也可根据需要为其指定一个名称。VLAN 实施过程中需要以灵活的方式将端口与特定的 VLAN 相关联。要将帧转发到特定的 VLAN,您必须配置相应的端口。可以将端口配置为以下 VLAN 类型:
? 静态 VLAN - 交换机上的端口以手动方式分配给 VLAN。静态 VLAN 通过 Cisco CLI 配置,也可通过 GUI 管理应用程序(例如 Cisco Network Assistant)完成配置。
? 动态 VLAN - 可以根据源MAC地址来自动的给他分配VLAN。
? 语音 VLAN - 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话。
通过VLAN控制广播域:
没有 VLAN 的网络:以常规方式运作时,如果交换机在某个端口上收到广播帧,它会将该帧从交换机的所有端口上转发出去。
有 VLAN 的网络:那么交换机会对数据帧的VLANID部分进行查看,然后只会发送给相同VLAN的用户。
通过交换机和路由器控制广播域:将大型的广播域细分成几个较小的广播域可以减少广播流量,并提升网络性能。
VLAN 内通信:当用户需要和其他VLAN的用户通信时,数据包就是发送给网关设备(第3层设备)有网关设备进行发送。
SVI:SVI 是针对特定 VLAN 配置的逻辑接口。如果您想要在 VLAN 之间路由或想使 IP 主机连接至交换机,则需要配置 SVI。默认情况下会为默认 VLAN (VLAN 1) 创建一个 SVI,以方便远程管理交换机。
VLAN中继:
VLAN 中继的定义:中继是两台网络设备之间的点对点链路,负责传输多个 VLAN 的流量。VLAN 中继可让 VLAN 扩展到整个网络上。(VLAN 中继不属于具体某个 VLAN,而是作为 VLAN 在交换机或路由器之间的管道。)
802.1Q 帧标记:请记住,交换机属于第 2 层设备。它只根据以太网帧头信息来转发数据包。帧头本身并不包含到底太网帧应该属于哪个 VLAN 的相关信息。因此,当以太网帧进入中继后,以太网帧需要额外的信息来标识自己属于哪个 VLAN。(当交换机在配置了静态 VLAN 的接入模式端口上收到帧后,交换机会拆开该帧、插入 VLAN 标记、重新计算 FCS,然后将标记后的帧从中继端口发送出去。)
VLAN 标记字段详细信息:VLAN 标记字段包含一个 EtherType(以太类型)字段、一个标记控制信息字段和 FCS 字段。
EtherType 字段:此字段设置为十六进制值 0x8100。此值也称为标记协议 ID (TPID) 值。通过将 EtherType 字段设置为 TPID 值,收到帧的交换机便知道去查找标记控制信息字段中的信息。
标记控制信息字段:
标记控制信息字段包含:
? 3 位的用户优先级 - 用于 802.1p 标准,此标准指出如何加速第 2 层帧的传输。
? 1 位的规范格式标识符 (CFI) - 使令牌环帧轻松地通过以太网链路传送。
? 12 位的 VLAN ID (VID) - VLAN 标识号,最多支持 4096 个 VLAN ID。
FCS 字段:交换机插入 EtherType 字段和标记控制信息字段后,它会重新计算 FCS 值并将结果插入帧中。
本征VLAN和802.1Q中继:
本征VLAN上有标记帧:
? 被交换机丢弃
? 设备不应当标记发往本征VLAN的控制流量
本征VLAN上的无标记:
? 将PVID更改为以配置的本征VLAN的值
? 保持为无标记
? 在以配置的本征VLAN上转发
中继工作方式:
到一个数据包时会检查接受此数据帧的端口是否有标记,有就给数据帧加上标记
(VLANID)到达目的地时就会将标记删除转发给终端设备。
中继模式:传统网络可能仍在使用 ISL,因此有必要了解这两种中继端口。
? IEEE 802.1Q 中继端口同时支持有标记流量和无标记流量。802.1Q 中继端口分配有默认的 PVID,所有的无标记流量都在端口默认 PVID 上传输。所有无标记流量以及 VLAN ID 为空的有标记流量都被视为属于端口默认 PVID。如果数据包的 VLAN ID 等于传出端口的默认 PVID,则该数据包将作为无标记流量发送。所有其它的流量则会附加 VLAN 标记后发送。
? 在 ISL 中继端口上,所有收到的数据包都应该封装有 ISL 帧头,并且所有发送的数据包也都有 ISL 帧头。从 ISL 中继端口收到的本征帧(无标记帧)会被丢弃。ISL 是不再建议使用的一种中继端口模式,许多 Cisco 交换机也不再支持该模式。
DTP(动态中继协议)是 Cisco 的专有协议。其它厂商的交换机不支持 DTP。当交换机端口上配置了某些中继模式后,此端口上会自动启用 DTP。