看完就明白为啥需要VLAN了
vlan(virtual local area network)即虚拟局域网,是将一个物理的lan在逻辑上划分成多个广播域的通信技术。每个vlan是一个广播域,vlan内的主机间可以直接通信,而vlan间则不能直接互通。这样,广播报文就被限制在一个vlan内。
目录
为什么需要vlan
vlan vs 子网
vlan tag和vlan id
vlan的接口类型和vlan标签的处理机制
vlan的使用场景
vlan的相关协议
云化场景下,vlan存在的问题
为什么需要vlan
早期以太网是一种基于csma/cd(carrier sense multiple access/collision detection)的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过二层设备实现lan互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了vlan技术。这种技术可以把一个lan划分成多个逻辑的vlan,每个vlan是一个广播域,vlan内的主机间通信就和在一个lan内一样,而vlan间则不能直接互通,广播报文就被限制在一个vlan内。如下图所示。
vlan的作用
因此,vlan具备以下优点:
限制广播域:广播域被限制在一个vlan内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同vlan内的报文在传输时相互隔离,即一个vlan内的用户不能和其它vlan内的用户直接通信。
提高了网络的健壮性:故障被限制在一个vlan内,本vlan内的故障不会影响其他vlan的正常工作。
灵活构建虚拟工作组:用vlan可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
vlan vs 子网
通过将ip地址的网络部分进一步划分为若干个子网,可以解决ip地址空间利用率低和两级ip地址不够灵活的问题。
与vlan相类似的是,子网也可以隔离主机间的通信。属于不同vlan的主机之间不能直接通信,属于不同的子网的主机之间也不能直接通信。但二者没有必然的对应关系。
vlan vs 子网
vlan tag和vlan id
要使交换机能够分辨不同vlan的报文,需要在报文中添加标识vlan信息的字段。ieee 802.1q协议规定,在以太网数据帧中加入4个字节的vlan标签(又称vlan tag,简称tag),用以标识vlan信息。
ieee 802.1q封装的vlan数据帧格式
数据帧中的vid字段标识了该数据帧所属的vlan,数据帧只能在其所属vlan内进行传输。vid字段代表vlan id,vlan id取值范围是0~4095。由于0和4095为协议保留取值,所以vlan id的有效取值范围是1~4094。
交换机内部处理的数据帧都带有vlan标签。而交换机连接的部分设备(如用户主机、服务器)只会收发不带vlan tag的传统以太网数据帧。因此,要与这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除vlan标签。添加什么vlan标签,由接口上的缺省vlan(port default vlan id,pvid)决定。
vlan的接口类型和vlan标签的处理机制
现网中属于同一个vlan的用户可能会被连接在不同的交换机上,且跨越交换机的vlan可能不止一个,如果需要用户间的互通,就需要交换机间的接口能够同时识别和发送多个vlan的数据帧。根据接口连接对象以及对收发数据帧处理的不同,当前有vlan的多种接口类型,以适应不同的连接和组网。
不同厂商对vlan接口类型的定义可能不同。对于华为设备来说,常见的vlan接口类型有三种,包括:access、trunk和hybrid。
access接口
access接口一般用于和不能识别tag的用户终端(如用户主机、服务器)相连,或者不需要区分不同vlan成员时使用。
在一个vlan交换网络中,以太网数据帧主要有以下两种形式:无标记帧(untagged帧):原始的、未加入4字节vlan标签的帧。有标记帧(tagged帧):加入了4字节vlan标签的帧。access接口大部分情况只能收发untagged帧,且只能为untagged帧添加唯一vlan的tag。交换机内部只处理tagged帧,所以access接口需要给收到的数据帧添加vlan tag,也就必须配置缺省vlan。配置缺省vlan后,该access接口也就加入了该vlan。
当access接口收到带有tag的帧,并且帧中vid与pvid相同时,access接口也能接收并处理该帧。
在发送带有tag的帧前,access接口会剥离tag。
trunk接口
trunk接口一般用于连接交换机、路由器、ap以及可同时收发tagged帧和untagged帧的语音终端。它可以允许多个vlan的帧带tag通过,但只允许属于缺省vlan的帧从该类接口上发出时不带tag(即剥除tag)。
trunk接口上的缺省vlan,有的厂商也将它定义为native vlan。当trunk接口收到untagged帧时,会为untagged帧打上native vlan对应的tag。
hybrid接口
hybrid接口既可以用于连接不能识别tag的用户终端(如用户主机、服务器)和网络设备(如hub),也可以用于连接交换机、路由器以及可同时收发tagged帧和untagged帧的语音终端、ap。它可以允许多个vlan的帧带tag通过,且允许从该类接口发出的帧根据需要配置某些vlan的帧带tag(即不剥除tag)、某些vlan的帧不带tag(即剥除tag)。
hybrid接口和trunk接口在很多应用场景下可以通用,但在某些应用场景下,必须使用hybrid接口。比如在灵活qinq中,服务提供商网络的多个vlan的报文在进入用户网络前,需要剥离外层vlan tag,此时trunk接口不能实现该功能,因为trunk接口只能使该接口缺省vlan的报文不带vlan tag通过。
vlan的使用场景 vlan的常见使用场景包括:vlan间用户的二层隔离,vlan间用户的三层互访。
vlan间用户的二层隔离
如下图所示,某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问internet。
基于接口的vlan划分组网图
为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的vlan,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的“虚拟路由器”,每个vlan就是一个“虚拟工作组”。
再比如,某公司有两个部门,分别分配了固定的ip网段。为加强员工间的学习与交流,员工的位置有时会相互调动,但公司希望各部门员工访问的网络资源的权限不变。
基于ip的vlan划分组网图
为了保证部门内员工的位置调整后,访问网络资源的权限不变,可在公司的交换机switch_1上配置基于ip子网划分vlan。这样,服务器的不同网段就划分到不同的vlan,访问服务器不同应用服务的数据流就会隔离,提高了安全性。
vlan间用户的三层互访
如下图所示,某小型公司的两个部门分别通过二层交换机接入到一台三层交换机switch_3,所属vlan分别为vlan2和vlan3,部门1和部门2的用户互通时,需要经过三层交换机。
通过vlanif实现vlan间用户的三层互访
可在switch_1和switch_2上划分vlan并将vlan透传到switch_3上,然后在switch_3上为每个vlan配置一个vlanif接口,实现vlan2和vlan3间的路由。
vlan的相关协议
ieee 802.1q
ieee 802.1q(也被称为dot1q)即virtual bridged local area networks协议,规定了vlan的实现标准。与标准的以太网数据帧相比,vlan数据帧增加了1个4字节的vlan标签。
lnp
链路类型协商协议(link-type negotiation protocol,lnp)用来动态协商以太网接口的链路类型为access或者trunk。
以太网接口的链路类型协商为access,缺省情况下加入vlan1。
以太网接口的链路类型协商为trunk,缺省情况下加入vlan1~4094。
qinq
qinq(802.1q-in-802.1q)协议出自ieee 802.1ad标准协议,通过在802.1q标签报文的基础上再增加一层802.1q的tag来达到扩展vlan空间的功能,可以使私网vlan透传公网。
由于在骨干网中传递的报文有两层802.1q tag(一层公网tag,一层私网tag),即802.1q-in-802.1q,所以称之为qinq协议。
云化场景下,vlan存在的问题
随着网络技术的发展,云计算凭借其在系统利用率高、人力和管理成本低、灵活性和可扩展性强等方面表现出的优势,已经成为目前企业it建设的新趋势。而服务器虚拟化作为云计算的核心技术之一,得到了越来越多的应用。
vlan作为传统的网络隔离技术,在标准定义中vlan的数量只有4096个,无法满足大型数据中心的租户间隔离需求。另外,vlan的二层范围一般较小且固定,无法支持虚拟机大范围的动态迁移。
因此,rfc定义了vlan扩展方案vxlan(virtual extensible local area network,虚拟扩展局域网)。vxlan采用mac in udp(user datagram protocol)封装方式,是nvo3(network virtualization over layer 3)中的一种网络虚拟化技术。vxlan完美地弥补了vlan的上述不足,一方面通过vxlan中的24比特vni(vxlan network identifier)字段,提供多达16m租户的标识能力,远大于vlan的数量;另一方面,vxlan本质上在两台交换机之间构建了一条穿越数据中心基础ip网络的虚拟隧道,将数据中心网络虚拟成一个巨型“二层交换机”,满足虚拟机大范围动态迁移的需求
紫光发力国产存储芯片“刁高”应用领军出击
TPS929120的CRC校验的三种实现方法
二极管符号大全及电路图形符号
爱立信确认在美国设工厂,全球产业链开始分化?
ARM计划将物联网服务业务分拆到软银
看完就明白为啥需要VLAN了
MPPT模块最大功率跟踪控制算法
大华股份拟增资8000万,进一步拓展机器人业务
自制导电墨水
StarRC工具的妙用
同样是BGA扇出,为什么别人设计出来的性能就是比你好!
GP8202实际应用的测评,张力控制器4-20mA控制
R汽车广州车展爆点:5G车预售
PCB八层板和“假八层板”有什么不同?
憋尿引起身体不适
敏源传感科技有限公司正式入驻ISweek工采网
EMUI11底部小白条怎么设置
BoschSensortec传感器在安全帽中的应用
太阳能光伏和大功率储能持续放量;长电科技称已实现4nm手机芯片封装
RK3568与STIM的差异
目录
为什么需要vlan
vlan vs 子网
vlan tag和vlan id
vlan的接口类型和vlan标签的处理机制
vlan的使用场景
vlan的相关协议
云化场景下,vlan存在的问题
为什么需要vlan
早期以太网是一种基于csma/cd(carrier sense multiple access/collision detection)的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过二层设备实现lan互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了vlan技术。这种技术可以把一个lan划分成多个逻辑的vlan,每个vlan是一个广播域,vlan内的主机间通信就和在一个lan内一样,而vlan间则不能直接互通,广播报文就被限制在一个vlan内。如下图所示。
vlan的作用
因此,vlan具备以下优点:
限制广播域:广播域被限制在一个vlan内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同vlan内的报文在传输时相互隔离,即一个vlan内的用户不能和其它vlan内的用户直接通信。
提高了网络的健壮性:故障被限制在一个vlan内,本vlan内的故障不会影响其他vlan的正常工作。
灵活构建虚拟工作组:用vlan可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
vlan vs 子网
通过将ip地址的网络部分进一步划分为若干个子网,可以解决ip地址空间利用率低和两级ip地址不够灵活的问题。
与vlan相类似的是,子网也可以隔离主机间的通信。属于不同vlan的主机之间不能直接通信,属于不同的子网的主机之间也不能直接通信。但二者没有必然的对应关系。
vlan vs 子网
vlan tag和vlan id
要使交换机能够分辨不同vlan的报文,需要在报文中添加标识vlan信息的字段。ieee 802.1q协议规定,在以太网数据帧中加入4个字节的vlan标签(又称vlan tag,简称tag),用以标识vlan信息。
ieee 802.1q封装的vlan数据帧格式
数据帧中的vid字段标识了该数据帧所属的vlan,数据帧只能在其所属vlan内进行传输。vid字段代表vlan id,vlan id取值范围是0~4095。由于0和4095为协议保留取值,所以vlan id的有效取值范围是1~4094。
交换机内部处理的数据帧都带有vlan标签。而交换机连接的部分设备(如用户主机、服务器)只会收发不带vlan tag的传统以太网数据帧。因此,要与这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除vlan标签。添加什么vlan标签,由接口上的缺省vlan(port default vlan id,pvid)决定。
vlan的接口类型和vlan标签的处理机制
现网中属于同一个vlan的用户可能会被连接在不同的交换机上,且跨越交换机的vlan可能不止一个,如果需要用户间的互通,就需要交换机间的接口能够同时识别和发送多个vlan的数据帧。根据接口连接对象以及对收发数据帧处理的不同,当前有vlan的多种接口类型,以适应不同的连接和组网。
不同厂商对vlan接口类型的定义可能不同。对于华为设备来说,常见的vlan接口类型有三种,包括:access、trunk和hybrid。
access接口
access接口一般用于和不能识别tag的用户终端(如用户主机、服务器)相连,或者不需要区分不同vlan成员时使用。
在一个vlan交换网络中,以太网数据帧主要有以下两种形式:无标记帧(untagged帧):原始的、未加入4字节vlan标签的帧。有标记帧(tagged帧):加入了4字节vlan标签的帧。access接口大部分情况只能收发untagged帧,且只能为untagged帧添加唯一vlan的tag。交换机内部只处理tagged帧,所以access接口需要给收到的数据帧添加vlan tag,也就必须配置缺省vlan。配置缺省vlan后,该access接口也就加入了该vlan。
当access接口收到带有tag的帧,并且帧中vid与pvid相同时,access接口也能接收并处理该帧。
在发送带有tag的帧前,access接口会剥离tag。
trunk接口
trunk接口一般用于连接交换机、路由器、ap以及可同时收发tagged帧和untagged帧的语音终端。它可以允许多个vlan的帧带tag通过,但只允许属于缺省vlan的帧从该类接口上发出时不带tag(即剥除tag)。
trunk接口上的缺省vlan,有的厂商也将它定义为native vlan。当trunk接口收到untagged帧时,会为untagged帧打上native vlan对应的tag。
hybrid接口
hybrid接口既可以用于连接不能识别tag的用户终端(如用户主机、服务器)和网络设备(如hub),也可以用于连接交换机、路由器以及可同时收发tagged帧和untagged帧的语音终端、ap。它可以允许多个vlan的帧带tag通过,且允许从该类接口发出的帧根据需要配置某些vlan的帧带tag(即不剥除tag)、某些vlan的帧不带tag(即剥除tag)。
hybrid接口和trunk接口在很多应用场景下可以通用,但在某些应用场景下,必须使用hybrid接口。比如在灵活qinq中,服务提供商网络的多个vlan的报文在进入用户网络前,需要剥离外层vlan tag,此时trunk接口不能实现该功能,因为trunk接口只能使该接口缺省vlan的报文不带vlan tag通过。
vlan的使用场景 vlan的常见使用场景包括:vlan间用户的二层隔离,vlan间用户的三层互访。
vlan间用户的二层隔离
如下图所示,某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问internet。
基于接口的vlan划分组网图
为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的vlan,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的“虚拟路由器”,每个vlan就是一个“虚拟工作组”。
再比如,某公司有两个部门,分别分配了固定的ip网段。为加强员工间的学习与交流,员工的位置有时会相互调动,但公司希望各部门员工访问的网络资源的权限不变。
基于ip的vlan划分组网图
为了保证部门内员工的位置调整后,访问网络资源的权限不变,可在公司的交换机switch_1上配置基于ip子网划分vlan。这样,服务器的不同网段就划分到不同的vlan,访问服务器不同应用服务的数据流就会隔离,提高了安全性。
vlan间用户的三层互访
如下图所示,某小型公司的两个部门分别通过二层交换机接入到一台三层交换机switch_3,所属vlan分别为vlan2和vlan3,部门1和部门2的用户互通时,需要经过三层交换机。
通过vlanif实现vlan间用户的三层互访
可在switch_1和switch_2上划分vlan并将vlan透传到switch_3上,然后在switch_3上为每个vlan配置一个vlanif接口,实现vlan2和vlan3间的路由。
vlan的相关协议
ieee 802.1q
ieee 802.1q(也被称为dot1q)即virtual bridged local area networks协议,规定了vlan的实现标准。与标准的以太网数据帧相比,vlan数据帧增加了1个4字节的vlan标签。
lnp
链路类型协商协议(link-type negotiation protocol,lnp)用来动态协商以太网接口的链路类型为access或者trunk。
以太网接口的链路类型协商为access,缺省情况下加入vlan1。
以太网接口的链路类型协商为trunk,缺省情况下加入vlan1~4094。
qinq
qinq(802.1q-in-802.1q)协议出自ieee 802.1ad标准协议,通过在802.1q标签报文的基础上再增加一层802.1q的tag来达到扩展vlan空间的功能,可以使私网vlan透传公网。
由于在骨干网中传递的报文有两层802.1q tag(一层公网tag,一层私网tag),即802.1q-in-802.1q,所以称之为qinq协议。
云化场景下,vlan存在的问题
随着网络技术的发展,云计算凭借其在系统利用率高、人力和管理成本低、灵活性和可扩展性强等方面表现出的优势,已经成为目前企业it建设的新趋势。而服务器虚拟化作为云计算的核心技术之一,得到了越来越多的应用。
vlan作为传统的网络隔离技术,在标准定义中vlan的数量只有4096个,无法满足大型数据中心的租户间隔离需求。另外,vlan的二层范围一般较小且固定,无法支持虚拟机大范围的动态迁移。
因此,rfc定义了vlan扩展方案vxlan(virtual extensible local area network,虚拟扩展局域网)。vxlan采用mac in udp(user datagram protocol)封装方式,是nvo3(network virtualization over layer 3)中的一种网络虚拟化技术。vxlan完美地弥补了vlan的上述不足,一方面通过vxlan中的24比特vni(vxlan network identifier)字段,提供多达16m租户的标识能力,远大于vlan的数量;另一方面,vxlan本质上在两台交换机之间构建了一条穿越数据中心基础ip网络的虚拟隧道,将数据中心网络虚拟成一个巨型“二层交换机”,满足虚拟机大范围动态迁移的需求
紫光发力国产存储芯片“刁高”应用领军出击
TPS929120的CRC校验的三种实现方法
二极管符号大全及电路图形符号
爱立信确认在美国设工厂,全球产业链开始分化?
ARM计划将物联网服务业务分拆到软银
看完就明白为啥需要VLAN了
MPPT模块最大功率跟踪控制算法
大华股份拟增资8000万,进一步拓展机器人业务
自制导电墨水
StarRC工具的妙用
同样是BGA扇出,为什么别人设计出来的性能就是比你好!
GP8202实际应用的测评,张力控制器4-20mA控制
R汽车广州车展爆点:5G车预售
PCB八层板和“假八层板”有什么不同?
憋尿引起身体不适
敏源传感科技有限公司正式入驻ISweek工采网
EMUI11底部小白条怎么设置
BoschSensortec传感器在安全帽中的应用
太阳能光伏和大功率储能持续放量;长电科技称已实现4nm手机芯片封装
RK3568与STIM的差异