就是在一個物理位置上用邏輯把他們獨立起來,簡單是說就是把一個交換機劃分為多個虛擬交換機,從而可以控制不通的用戶訪問的權限也不同。
使用 VLAN 主要有以下優點:
? 安全 - 含有敏感數據的用戶組可與網絡的其余部分隔離,從而降低泄露機密信息的可能性。教師計算機位于 VLAN 10 上,完全與學生數據傳輸和訪客數據傳輸相隔離。
? 成本降低 - 成本高昂的網絡升級需求減少,現有帶寬和上行鏈路的利用率更高,因此可節約成本。
? 性能提高 - 將第 2 層平面網絡劃分為多個邏輯工作組(廣播域)可以減少網絡上不必要的流量并提高性能。
? 廣播風暴防范 - 將網絡劃分為多個 VLAN 可減少參與廣播風暴的設備數量。
? 提高 IT 員工效率 - VLAN 為管理網絡帶來了方便,因為有相似網絡需求的用戶將共享同一個 VLAN。當您為特定 VLAN 設置新的交換機時,之前為該 VLAN 配置的所有策略和規程均會在指定新交換機端口后應用到端口上。另外,通過為 VLAN 設置一個適當的名稱,IT 員工很容易就知道該 VLAN 的功能。
? 簡化項目管理或應用管理 — VLAN 將用戶和網絡設備聚合到一起,以支持商業需求或地域上的需求。通過職能劃分,項目管理或特殊應用的處理都變得十分方便。
VLAN ID 范圍:
普通范圍的 VLAN
? 用于中小型商業網絡和企業網絡。
? VLAN ID 范圍為 1 到 1005。
? 從 1002 到 1005 的 ID 保留供令牌環 VLAN 和 FDDI VLAN 使用。
? ID 1 和 ID 1002 到 1005 是自動創建的,不能刪除。隨著本章內容的展開,我們將更深入地了解 VLAN 1。
? 配置存儲在名為 vlan.dat 的 VLAN 數據庫文件中,vlan.dat 文件則位于交換機的閃存中。
? 用于管理交換機之間 VLAN 配置的 VLAN 中繼協議 (VTP) 只能識別普通范圍的 VLAN,并將它們存儲到 VLAN 數據庫文件中。
擴展范圍的 VLAN
? 可讓服務提供商擴展自己的基礎架構以適應更多的客戶。某些跨國企業的規模很大,從而需要使用擴展范圍的 VLAN ID。
? VLAN ID 范圍從 1006 到 4094。
? 支持的 VLAN 功能比普通范圍的 VLAN 更少。
? 保存在運行配置文件中。
? VTP 無法識別擴展范圍的 VLAN。
一臺 Cisco Catalyst 2960 交換機可支持最多 255 個普通范圍與擴展范圍的 VLAN。
VLAN類型:
數據 VLAN:數據 VLAN 只傳送用戶產生的流量。VLAN 也可以傳送語音流量或用于傳送管理交換機的流量,但這種流量可以從數據 VLAN 隔離開。
默認 VLAN:在交換機初始啟動之后,交換機的所有端口即加入到默認 VLAN 中。(Cisco 交換機默認VLAN是VLAN 1,你能刪除,也不能重命名)
本征 VLAN:本征 VLAN 分配給 802.1Q 中繼端口。本征 VLAN 在 IEEE 802.1Q 規范中說明,其作用是向下兼容傳統 LAN 方案中的無標記流量。對我們來說,本征 VLAN 的目的是充當中繼鏈路兩端的公共標識。最佳做法是使用 VLAN 1 以外的 VLAN 作為本征 VLAN。
管理 VLAN:管理 VLAN 是您配置用于訪問交換機管理功能的 VLAN。。如果您沒有主動定義一個唯一的 VLAN 作為管理 VLAN,則 VLAN 1 會默認充當管理 VLAN。
語音 VLAN:
VoIP 流量要求:
? 足夠的帶寬來保證語音質量
? 高于其它網絡流量類型的傳輸優先級
? 能夠在融合網絡中得到路由
? 在網絡上的延時小于 150 毫秒 (ms)
Cisco IP 電話集成了一臺三端口的 10/100 交換機,如圖所示。從這些端口可連接到如下設備:
? 端口 1 連接到交換機或其它 IP 語音 (VoIP) 設備。
? 端口 2 是內部 10/100 接口,用于傳送 IP 電話流量。
? 端口 3(接入端口)連接到 PC 或其它設備。
網絡管理流量和控制流量:
網絡上可以存在許多不同類型的網絡管理流量和控制流量,例如 Cisco 發現協議 (CDP) 更新、簡單網絡管理協議 (SNMP) 流量和遠程監控 (RMON) 流量。
IP 電話:
IP 電話的流量類型包括信令流量和語音流量。信令流量從網絡一端發送到另一端路徑,負責呼叫的建立、執行和終止。
IP 組播:
IP 組播流量從特定的源地址發送到某個組播組中,該組播組由一個 IP 與 MAC 目的組地址對所標識。
普通數據:
涉及普通數據流量的有:文件創建和存儲、打印服務、電子郵件數據庫訪問以及其它常用于商業用途的共享網絡應用程序。
Scavenger 類型:
Scavenger 類型的作用是為某些應用程序提供等級比“盡最大努力”服務更低的服務。
交換機端口成員資格模式:
VLAN 交換機端口模式:配置 VLAN 時,必須為它分配一個數字 ID,也可根據需要為其指定一個名稱。VLAN 實施過程中需要以靈活的方式將端口與特定的 VLAN 相關聯。要將幀轉發到特定的 VLAN,您必須配置相應的端口。可以將端口配置為以下 VLAN 類型:
? 靜態 VLAN - 交換機上的端口以手動方式分配給 VLAN。靜態 VLAN 通過 Cisco CLI 配置,也可通過 GUI 管理應用程序(例如 Cisco Network Assistant)完成配置。
? 動態 VLAN - 可以根據源MAC地址來自動的給他分配VLAN。
? 語音 VLAN - 將端口配置到語音模式可以使端口支持連接到該端口的 IP 電話。
通過VLAN控制廣播域:
沒有 VLAN 的網絡:以常規方式運作時,如果交換機在某個端口上收到廣播幀,它會將該幀從交換機的所有端口上轉發出去。
有 VLAN 的網絡:那么交換機會對數據幀的VLANID部分進行查看,然后只會發送給相同VLAN的用戶。
通過交換機和路由器控制廣播域:將大型的廣播域細分成幾個較小的廣播域可以減少廣播流量,并提升網絡性能。
VLAN 內通信:當用戶需要和其他VLAN的用戶通信時,數據包就是發送給網關設備(第3層設備)有網關設備進行發送。
SVI:SVI 是針對特定 VLAN 配置的邏輯接口。如果您想要在 VLAN 之間路由或想使 IP 主機連接至交換機,則需要配置 SVI。默認情況下會為默認 VLAN (VLAN 1) 創建一個 SVI,以方便遠程管理交換機。
VLAN中繼:
VLAN 中繼的定義:中繼是兩臺網絡設備之間的點對點鏈路,負責傳輸多個 VLAN 的流量。VLAN 中繼可讓 VLAN 擴展到整個網絡上。(VLAN 中繼不屬于具體某個 VLAN,而是作為 VLAN 在交換機或路由器之間的管道。)
802.1Q 幀標記:請記住,交換機屬于第 2 層設備。它只根據以太網幀頭信息來轉發數據包。幀頭本身并不包含到底太網幀應該屬于哪個 VLAN 的相關信息。因此,當以太網幀進入中繼后,以太網幀需要額外的信息來標識自己屬于哪個 VLAN。(當交換機在配置了靜態 VLAN 的接入模式端口上收到幀后,交換機會拆開該幀、插入 VLAN 標記、重新計算 FCS,然后將標記后的幀從中繼端口發送出去。)
VLAN 標記字段詳細信息:VLAN 標記字段包含一個 EtherType(以太類型)字段、一個標記控制信息字段和 FCS 字段。
EtherType 字段:此字段設置為十六進制值 0x8100。此值也稱為標記協議 ID (TPID) 值。通過將 EtherType 字段設置為 TPID 值,收到幀的交換機便知道去查找標記控制信息字段中的信息。
標記控制信息字段:
標記控制信息字段包含:
? 3 位的用戶優先級 - 用于 802.1p 標準,此標準指出如何加速第 2 層幀的傳輸。
? 1 位的規范格式標識符 (CFI) - 使令牌環幀輕松地通過以太網鏈路傳送。
? 12 位的 VLAN ID (VID) - VLAN 標識號,最多支持 4096 個 VLAN ID。
FCS 字段:交換機插入 EtherType 字段和標記控制信息字段后,它會重新計算 FCS 值并將結果插入幀中。
本征VLAN和802.1Q中繼:
本征VLAN上有標記幀:
? 被交換機丟棄
? 設備不應當標記發往本征VLAN的控制流量
本征VLAN上的無標記:
? 將PVID更改為以配置的本征VLAN的值
? 保持為無標記
? 在以配置的本征VLAN上轉發
中繼工作方式:
到一個數據包時會檢查接受此數據幀的端口是否有標記,有就給數據幀加上標記
(VLANID)到達目的地時就會將標記刪除轉發給終端設備。
中繼模式:傳統網絡可能仍在使用 ISL,因此有必要了解這兩種中繼端口。
? IEEE 802.1Q 中繼端口同時支持有標記流量和無標記流量。802.1Q 中繼端口分配有默認的 PVID,所有的無標記流量都在端口默認 PVID 上傳輸。所有無標記流量以及 VLAN ID 為空的有標記流量都被視為屬于端口默認 PVID。如果數據包的 VLAN ID 等于傳出端口的默認 PVID,則該數據包將作為無標記流量發送。所有其它的流量則會附加 VLAN 標記后發送。
? 在 ISL 中繼端口上,所有收到的數據包都應該封裝有 ISL 幀頭,并且所有發送的數據包也都有 ISL 幀頭。從 ISL 中繼端口收到的本征幀(無標記幀)會被丟棄。ISL 是不再建議使用的一種中繼端口模式,許多 Cisco 交換機也不再支持該模式。
DTP(動態中繼協議)是 Cisco 的專有協議。其它廠商的交換機不支持 DTP。當交換機端口上配置了某些中繼模式后,此端口上會自動啟用 DTP。