学习VALN相关笔记

VLAN相关知识

1.VLAN封装格式

目标MAC （6B）

源MAC （6B）

TPID （2B）

TCI （2B）

类型（2B）

数据部分 （46-1500B）

FCS （4B）

 

TCI
Pri（3b）	CFI（1b）	VID（12b）

VLAN是封装在MAC帧中源MAC和类型之间的，上图中TPID和TCI。

TPID：标签协议标识，固定为0x8100（标志着网络帧承载的是802.1Q类型，交换机就是通过它来确定数据帧内附加了基于IEEE 802.1Q的VLAN信息），另外TPID也有可能0x9100（具体的不清楚）。

TCI：包含帧的控制信息

Pri：Priority这三位指的帧的优先级，这主要为QOS提供参考依据（COS），一共八种优先级，7优先级最高，0优先级最低。优先级的划分根据网络延迟敏感度来划分的，比如语音信息，优先级很高，其次视频信息，接下来email、文件传输等。

CFI:标准格式指示位，CFI=0表明是标准格式，CFI=1表示非标准格式。

VID：指的是VLAN的ID，12位，范围是0-4095，每个支持802.1Q协议的交换机发送出来的数据包都会包含这个值，用以指明自己属于哪一个VALN。

 

2.什么是VLAN，为什么有VLAN的存在？

  VALN指的是“虚拟局域网”，是不拘泥于物理上的位置，从逻辑上灵活地把局域网划分逻辑子网的一种网络技术。

  第一是基于网络性能的考虑。对于大型网络，当网络规模很大时，网上的广播信息会很多，会使网络性能恶化，甚至形成广播风暴，引起网络堵塞。可以通过划分很多VLAN，广播信息是不会跨过VLAN的，这样就缩小了广播范围，用术语讲就是缩小了广播域，就可以提高网络性能了。第二是基于安全性的考虑。在大规模的网络，比如说大的集团公司，有财务部、采购部、客户部，它们之间的数据是保密的，互相之间只能提供接口数据，其它数据是保密的。我们可以通过划分VLAN对不同部门进行隔离。 第三是基于组织结构上考虑。同一部门的人员分散在不同的物理地点，比如集团公司的财务部在各子公司均有分部，但都属于财务部管理，这样这些数据都是要保密的，但需统一结算，可以跨地域（也就是跨交换机）将其设在同一VLAN之中，实现数据安全和共享。

3.什么是广播风暴？

一个数据帧或包被传输到本地网段上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪

4.为何要划分广播域？

若只有一个广播域可能会影响网络整体传输性能，举个例子，如下图A想与B通信

基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求信息”，来尝试获取计算机B的MAC地址。  交换机1收到广播帧(ARP请求)后，会将它转发给除接收端口外的其他所有端口。接着，交换机2收到广播帧后也会将它转发到其他端口。交换机3、4、5也会。最终ARP请求会被转发到同一网络中的所有客户机上。

这样广播帧就会传播到网络中所有主机，消耗网络带宽，造成每一台主机cpu负担。

5.VLAN的划分

1).静态VLAN（将交换机每个端口静态的指派给不同VLAN），不适合频繁改变拓扑结构的网络

*Access模式

访问链接，指只属于一个VLAN，并且只向该VLAN转发数据帧的端口

Access收发报文规则：

收到报文：如果带有VLANtag，直接丢弃；如果不带VLANtag，则打上自己端口的PVID（端口VID），然后转发

发送报文：如果带有VLANtag，去掉之后发送；如果不带VLANtag，直接丢弃。

*Trunk模式

汇聚链接，同时属于多个VLAN，Trunk口属于多个VLAN，能够转发多个VALN数据帧的端口。

Trunk收发报文规则：

收到报文：如果带VLANtag，判断Trunk口是否允许带此VLAN信息发送，允许则携带原有VALNtag之后转发，不允许则直接丢弃；如果不带VLANtag，打上自己端口PVID，然后转发

发送报文：如果报文所带VLANtag与端口PVID相同，则去掉VLANtag后转发，如果不同则直接转发。

下面以一个例子说明报文转发规则

（1）PC1 不能ping通PC3

PC1发送一个不带tag的数据帧，到f0/1，被打上VLAN 20的标签，然后access端口转发带VLAN20标签的数据帧到f0/3口，f0/3将此带tag数据帧与自己PVID作比较，发现不相等，直接丢弃

（2）PC1不能ping通PC2

PC1发送一个不带tag的数据帧，到f0/1，被打上VLAN 20的标签，然后access端口转发带VLAN20标签的数据帧到f0/2口，f0/2口将此带tag的数据帧与自己PVID比较，发现不等，直接转发，但是PC不能识别带tag的数据帧；

（3）PC2能ping通PC3

PC2发送一个不带tag的数据帧，到f0/2，trunk口会判断是否有tag，没有tag则打上自己PVLAN ，然后转发带tag的数据帧到f0/3口，f0/3口将此带tag的数据帧与自己PVID比较，发现相等，然后去掉tag，发给PC3

（4）PC2不能ping通PC1

PC2发送一个不带tag的数据帧，到f0/2，trunk口会判断是否有tag，没有tag则打上自己PVLAN ，然后转发带tag的数据帧到f0/1口，f0/1口将此带tag的数据帧与自己PVID比较，发现不等，直接丢弃

（5）PC3能ping通PC2

PC3发送一个不带tag的数据帧，到f0/3，被打上VLAN 10的标签，然后access端口转发带VLAN10标签的数据帧到f0/2口，f0/2将此带tag数据帧与自己PVID作比较，发现相等，然后去掉tag，转发到PC2

（6）PC3不能ping通PC1，原理和（1）一样。

 

 

2).动态VLAN（根据端口所连的计算机，随时改变端口的VLAN）

*基于MAC地址的VLAN（通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属）

橙色VLAN1；蓝色VLAN2

假定有一个MAC地址“A”被交换机设定为属于VLAN100，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN 100中去。计算机连在端口1时，端口1属于VLAN 100;而计算机连在端口2时，则是端口2属于VLAN 10。

*基于IP的VLAN（通过所连计算机的IP地址，来决定端口所属VLAN的）

*基于用户的VLAN

根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个 VLAN。用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows 域中使用的用户名。