网络基本功系列:细说VLAN和Trunk

     网络性能是影响业务效率的一个重要因素。将大型广播域分段是提高网络性能的方法之一。路由器能够将广播包阻隔在一个接口上,但是,路由器的LAN接口数量有限,它的主要功能是在网络间传输数据,而不是对终端设备提供网络接入。访问LAN的功能还是由接入层交换机来实现。与三层交换机相类似,通过在二层交换机上创建VLAN来减少广播域。现代交换机就是通过VLAN来构造的,因此在某种程度上,学习交换机就是学习VLAN。

1、问题的产生:

     上一节已经讲过广播域的概念:即广播帧传播覆盖的范围。如下图所示,当网络上的所有设备在广播域产生大量的广播以及多播帧,就会与数据流竞争带宽。这是由网络管理数据流组成,如:ARP,DHCP,STP等。如下图所示,假设PC 1产生ARP,Windows登录,DHCP等请求:

     这些广播帧到达交换机1之后,遍历整个网络并到达所有节点直至路由器。随着网络节点增加,开销的总数也在增长,直至影响交换机性能。通过实施VLAN断开广播域将数据流隔离开来,能够解决这一问题。

2、什么是VLAN:

    VLAN(virtual local area network)是一组与位置无关的逻辑端口。VLAN就相当于一个独立的三层网络。VLAN的成员无需局限于同一交换机的顺序或偶数端口。下图显示了一个常规的部署,左边这张图节点连接到交换机,交换机连接到路由器。所有的节点都位于同一IP网络,因为他们都连接到路由器同一接口。

    图中没有显示的是,缺省情况下,所有节点实际上都是同一VLAN。因此,这种拓扑接口可看作是基于同一VLAN的,如上面右图所示。例如,Cisco设备默认VLAN是VLAN 1,也称为管理VLAN。默认配置下包含所有的端口,体现在源地址表(source address table,SAT)中。该表用于交换机按照目的MAC地址将帧转发至合适的二层端口。引入VLAN之后,源地址表按照VLAN将端口与MAC地址相对应起来,从而使得交换机能够做出更多高级转发决策。下图显示了show
mac address table和show vlan命令的显示输出。所有端口(FA0/1 – FA0/24)都在VLAN 1。

    另一种常用的拓扑结构是两个交换机被一个路由器分离开来,如下图所示。这种情况下,每台交换机各连接一组节点。每个交换机上的各节点共享一个IP地址域,这里有两个网段:192.168.1.0和192.168.2.0。

    注意到两台交换机的VLAN相同。非本地网络数据流必须经过路由器转发。路由器不会转发二层单播,多播以及广播帧。这种拓扑逻辑在两个地方类似于多VLAN:同一VLAN下的节点共享一个通用地址域,非本地数据流(对应多VLAN情况不同VLAN的节点)需通过路由器转发。在一台交换机上添加一个VLAN,去掉另一台交换机的话,结构如下所示:

    每一个VLAN相当于一个独立的三层IP网络,因此,192.168.1.0上的节点试图与192.168.2.0上的节点通信时,不同VLAN通信必须通过路由器,即使所有设备都连接到同一交换机。二层单播,多播和广播数据只会在同一VLAN内转发及泛洪,因此VLAN 1产生的数据不会为VLAN 2节点所见。只有交换机能看得到VLAN,节点和路由器都感觉不到VLAN的存在。添加了路由决策之后,可以利用3层的功能来实现更多的安全设定,更多流量以及负载均衡。

3、VLAN的作用:

    安全性:每一个分组的敏感数据需要与网络其他部分隔离开,减少保密信息遭到破坏的可能性。如下图所示,VLAN 10上的教职工主机完全与学生和访客数据隔离。

    节约成本:无需昂贵的网络升级,并且带宽及上行链路利用率更加有效。

    性能提高:将二层网络划分成多个逻辑工作组(广播域)减少网络间不必要的数据流并提升性能。

    缩小广播域:减少一个广播域上的设备数量。如上图所示:网络上有六台主机但有三个广播域:教职工,学生,访客。

    提升IT管理效率:网络需求相似的用户共享同一VLAN,从而网络管理更为简单。当添加一个新的交换机,在指定端口VLAN时,所有策略和步骤已配置好。

    简化项目和应用管理:VLAN将用户和网络设备汇集起来,以支持不同的业务或地理位置需求。

    每一个VLAN对应于一个IP网络,因此,部署VLAN的时候必须结合考虑网络地址层级的实现情况。

4、交换机间VLAN:

    多交换机的情况下,VLAN是怎么工作的呢?下图所示的这种情况,两个交换机VLAN相同,都是默认VLAN 1,即两个交换机之间的联系同在VLAN 1之内。路由器是所有节点的出口。

    这时单播,多播和广播数据自由传输,所有节点属于同一IP地址。这时节点之间的通信不会有问题,因为交换机的SAT显示它们在同一VLAN。

    而下面这种连接方式就会有问题。由于VLAN在连接端口的主机之间创建了三层边界,它们将无法通信。

    仔细看上图,这里有很多问题。第一,所有主机都在同一IP网,尽管连接到不同的VLAN。第二,路由器在VLAN 1,因此与所有节点隔离。最后,两台交换机通过不同的VLAN互连。每一点都会造成通信阻碍,合在一起,网络各元素之间会完全无法通信。

    交换机用满或同一管理单元物理上彼此分离的情形是很常见的。这种情况下,VLAN需要通过trunk延伸至相邻交换机。trunk能够连接交换机,在网络间传载VLAN信息。如下图所示:

    对之前的拓扑的改进包括:

    * PC 1和PC 2分配到192.168.1.0网段以及VLAN 2。

    * PC 3和PC 4分配到192.168.2.0网段以及VLAN 3。

    * 路由器接口连接到VLAN 2和VLAN 3。

    * 交换机间通过trunk线互连。

    注意到trunk端口出现在VLAN 1,他们没有用字母T来标识。trunk在任何VLAN都没有成员。现在VLAN跨越多交换机,同一VLAN下的节点可以物理上位于任何地方。

5、什么是Trunk:

    Trunk是在两个网络设备之间承载多于一种VLAN的端到端的连接,将VLAN延伸至整个网络。没有VLAN Trunk,VLAN也不会非常有用。VLAN Trunk允许VLAN数据流在交换机间传输,所以设备在同一VLAN,但连接到不同交换机,能够不通过路由器来进行通信。

    一个VLAN trunk不属于某一特定VLAN,而是交换机和路由器间多个VLAN的通道。如下图所示,交换机S1和S2,以及S1和S3之间的链路,配置为传输从VLAN10,20,30以及90的数据流。该网络没有VLAN trunk就无法工作。

    当安装好trunk线之后,帧在trunk线传输是就可以使用trunk协议来修改以太网帧。这也意味着交换机端口有不止一种操作模式。缺省情况下,所有端口都称为接入端口。当一个端口用于交换机间互连传输VLAN信息时,这种端口模式改变为trunk,节点也路由器通常不知道VLAN的存在并使用标准以太网帧或“untagged”帧。trunk线能够使用“tagged”帧来标记VLAN或优先级。

    因此,在trunk端口,运行trunk协议来允许帧中包含trunk信息。如下图所示:

    PC 1在经过路由表处理后向PC 2发送数据流。这两个节点在同一VLAN但不同交换机。步骤如下:

    * 以太网帧离开PC 1到达Switch 1。

    * Switch 1的SAT表明目的地是trunk线的另一端。

    * Switch 1使用trunk协议在以太网帧中添加VLAN id。

    * 新帧离开Switch 1的trunk端口被Switch 2接收。

    * Switch 2读取trunk id并解析trunk协议。

    * 源帧按照Switch 2的SAT转发至目的地(端口4)。

    VLAN tag如下图所示,包含类型域,优先级域,CFI(Canonical Format Indicator)指示MAC数据域,VLAN ID。

时间: 2024-09-07 01:01:37

网络基本功系列:细说VLAN和Trunk的相关文章

网络基本功系列:概述

    注:本系列博客主要转载自EMC-Community,特别感谢Zhang Jiawen .      常言道:欲练神功,必先练好基本功.本系列文章着重于讲解网络管理实际应用中常常涉及的重要知识点,尽量以实用为主.     主要内容为: 网络传输 交换机 VLAN与Trunk 路由(上) 路由(下) 链路聚合 IP地址与子网 TCP滑动窗口 TCP重传 TCP确认机制 TCP窗口调整与流控 细说Linux网络配置(上) 细说Linux网络配置(下) 常用诊断工具:ping  常用诊断工具:n

网络基本功系列:细说路由(下)

介绍:       静态路由是指由网络管理员手工配置的路由信息.当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息.动态路由是指路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程.是基于某种协议来实现的.本文详细阐述这两者的实现过程. 静态路由:       静态路由是指由网络管理员手动配置在路由器上的表项.对于特定的目标地址,以及在小型或稳定的网络环境,手动配置静态路由可以非常成功地应用.通过使用静态路由,网络管理员确定了通向一目标网络

网络基本功系列:细说交换机

1.帧转发:     网络及电信中的交换概念     以太网上的帧包含源MAC地址与目的MAC地址.交换机从源设备接收到帧并快速发往目的地址.交换的基本概念指基于以下两条准则做出决策的设备:     * 进入(ingress)端口     * 目的地址     术语ingress用于描述帧通过特定端口进入设备,egress用于描述设备通过特定端口离开设备.交换机做出转发决定的时候,是基于进入端口以及消息的目的地址的.     LAN交换机维护一张表,通过这张表决定如何转发数据流.LAN交换机唯一

网络基本功系列:细说路由(上)

介绍:       以太网交换机工作在第二层即数据链路层,用于在同一网络内部转发以太网帧.但是,当源和目的IP地址位于不同网络时,以太网帧必须发送给路由器.路由器负责在不同网络间传输报文,通过路由表来决定最佳转发路径.当主机将报文发送至不同IP地址时,由于主机无法直接与本地网络以外的设备通信,报文被转发至默认网关.默认网关就是数据流从本地网络路由至远端设备的目的地.它通常用来连接本地网与公共网. 报文转发过程:       路由器在一个接口接收报文并将它从另一个接口转发出去,这一过程的关键步骤是

完成端口(CompletionPort)详解 - 手把手教你玩转网络编程系列之三

转载自 PiggyXP(小猪) 完成端口(CompletionPort)详解 - 手把手教你玩转网络编程系列之三 手把手叫你玩转网络编程系列之三    完成端口(Completion Port)详解                                                              ----- By PiggyXP(小猪) 前 言         本系列里完成端口的代码在两年前就已经写好了,但是由于许久没有写东西了,不知该如何提笔,所以这篇文档总是在酝酿之中

思科网络工程师笔记:VLAN技术

VLAN的 基本概念1.VLAN是以交换式网络为基础,把网络上用户的终端设备划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN.2.VLAN技术提供了动态组织工作环境的功能,它简化了网络的物理结构,提高了网络的易管理性和安全性,提高了网络的性能.VLAN的技术特性(1)VLAN工作在数据链路层.(2)每个VLAN都是一个独立的逻辑网段,一个独立的广播域.VLAN的广播信息仅发送给 同一个VLAN的成员.(3)每个VLAN又是一个独立的逻辑网络, 它们 都有唯一的子网号.VLAN之间不能直接通

网络“投毒”系列报告:全国多省软件升级劫持攻击事件数据分析

本文讲的是网络"投毒"系列报告:全国多省软件升级劫持攻击事件数据分析, 概述 初步披露了基于域名bjftzt.cdn.powercdn.com的一组大规模软件升级劫持事件.在这个事件的第一阶段中,用户尝试升级若干知名软件客户端时,HTTP URL会被劫持,实际下载得到的是"加料"的恶意软件.在第二阶段中,恶意软件会在表面上正常安装知名软件客户端的同时,另外在后台偷偷下载安装推广其他软件. 基于网络层面的监测计算,此次软件升级劫持的影响范围远超WannaCry勒索蠕虫

HDwiki “网络阅读系列专题”隆重推出

中介交易 SEO诊断 淘宝客 云主机 技术大厅 2010年10月12日,HDwiki官方隆重推出"网络阅读系列专题".专题内容主要围绕网站运营.网站推广.网络营销.网络基础知识.网站管理以及网络回顾等六大系列展开. "读好文,看好书,学网站建设"," 网络阅读系列专题"第1期已经推出!此次专题为大家带来了诸多精彩文章! 维基百科类网站以词媒体的形式呈现,信息展现形式简洁.易记忆.易传播.随着用户基础的增大,该类网站正逐步成长为新型互联网垂直媒体.

虚拟化实战:网络设计之二vLAN

vLAN tagging 在VMware网络设计中有三种实施的选择.我们首先要问的不是技术上能实现什么,而是客户的需求是什么,然后再选择合适的方案. 情景一  (Virtual Switch Tagging) 这是最常见的一种方式.vSwitch上的每一个Port group对应一个vLAN.   当数据包从物理交换机经过虚拟交换机时,去除标签.当数据包经过虚拟交换机向物理交换机传输时绑定标签. 最大的好处是ESXi的一个物理网卡可以支持多个vLAN.  而虚拟机无需任何驱动可以绑定到某个vLA