它是一种通过将局域网内的设备逻辑地(而不是物理地)划分成一个个网段,从而实现虚拟工作组的技术。为了建立起安全的、独立的广播域或者组播域,可以将交换机上的端口组合成多个虚拟局域网(vlan)。设置vlan的主要目的是为了限制广播包的传播范围和降低广播包的影响。所有以太网数据包,如单播(unicast)、组播(multicast)、广播(broadcast), 以及未知(unknown)的数据包,都将只在vlan内传送。这样在一定程度上,可以提高网络的安全性。
vlan的另一个优点是可以改变网络的拓扑结构,但并不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动。可以仅仅改动工作站的vlan设置,就可将工作站从一个vlan(如销售部vlan)“移到”了另一个vlan(市场部vlan)这可使网络节点的移动、变换、增加变得非常灵活和容易。
netcore 6124nsm 交换机上支持两种vlan:port based vlan、802.1q的vlan。但在交换机上任何时刻都只能激活一种vlan。这样,你需要选择一种最适合你的网络环境的vlan类型来设置交换机。
ieee 802.1qvlan的去标记特性(untagging)使得它可以与所有合法的、无法识别vlan标记(vlantag)的交换机或网卡在一起工作。而ieee802.1q延伸到多个兼容ieee 802.1q的交换机上。并允许生成树(spanning tree)在所有端口上都能够正常地工作。
1、port based vlan
基于端口(port-based)的vlan是一种简化的802.1qvlan。基于端口的vlan的理解和实现非常简便,如果网络管理员想快速且简易地设置vlan,以限制广播包在网络上的传输,可选择这种最简单的基于端口的vlan划分方法。
为了能可靠地执行vlan的设置,请确保设备都已经直接连接在交换机上。如果是通过一台hub、交换机或其它中继器将节点连接到交换机的端口上的,连接在该hub、交换机或其它中继器上的所有节点都将成为该vlan的成员。
如果想设置基于端口的vlan,只需为其选择一个vlan id(交换机所有端口缺省的vid都为1),并为vlan起一个名字,指定哪些端口属于这个vlan就可以了,其余的端口将被自动地隔离在外。
netcore6124nsm交换机支持49个port-based vlan。
2、802.1q的vlan
802.1q协议,即virtual bridged local area networks协议,主要规定了vlan的国际标准,内容是一种在逻辑上划分网络桥接的局域网结构,并提供定义用户组在跨越不同交换设备vlan之间的连接服务,这使得不同厂商之间的vlan互通成为可能。vlan的最大数目也不受交换机端口数目的限制,最大可达到4094个。
在802.1qvlan中,网卡(nic)不必去识别数据包头部分的802.1q标记(tag),网卡只需发送和接收普通的以太网数据包。tag的信息由交换机的端口根据相应的pvid加入到数据包中。交换机根据包头中的tag信息决定如何转发这个数据包。
在理解ieee 802.1qvlan时,有两个非常重要的名词需要掌握,就是端口vlan的id(port vlanid numbers 简写为pvid)和vlan的id(vlanid numbers 简写为vid)。这两个变量都是定义在端口上的,但是两者间有很大的区别。用户可以仅为每个交换机端口定义一个pvid。 pvid 定义了交换机将向哪一个vlan转发数据包,以及什么时候数据包会需要转发到另一台交换机的端口上,或者网络中的某个地方。另外,用户也可以定义某个端口同时属于多个vlan(即vids),使得它可以接收网络中多个vlan的数据包。pvid 和vid 这两个变量用于控制端口发送和接收vlan数据流的能力,而两者之间的区别在于后者还允许信息可以在多个vlan间共享。
netcore6124nsm交换机支持512个802.1q vlan。
6.4.1.2 vlan的相关术语
1、tagging
将802.1qvlan的信息加入数据帧头。具有加标记能力的(tagging enabled)端口会将pvid、优先级和其它vlan信息加入到所有进出该端口的数据帧中。如果在此前数据包已经被做过标记,端口将不对该数据包进行改动,让其保持其已有的vlan信息。标记(tagging)使得数据包能够从一台支持802.1q的交换机能够传送到另一台同类的交换机上。
2、untagging
将802.1qvlan的信息从数据帧头去掉。具有去标记能力的(untagging enabled)端口会将vid、优先级和其它vlan信息从所有进出该端口的数据包包头中去掉。如果在此前数据包内没有被标记过,端口将不对该数据包进行改动。去标记(untagging)使得数据包能够从一台支持802.1q的交换机传送到其它不支持802.1q的交换机上。
3、access 链路
即untagging,是将802.1qvlan的信息从数据帧头去掉。具有去标记能力的(untagging enabled)端口会将vid、优先级和其它vlan信息从所有出该端口的数据包包头中去掉。如果在此前数据包内没有被标记过,端口将不对该数据包进行改动。去标记(untagging)使得数据包能够从一台支持802.1q的交换机传送到其它不支持802.1q的交换机上。
4、trunk 链路
是将某端口设定为对某一个vlan的数据帧untagging,而对其他您所选定的vlan的数据帧tagging,tagging是将802.1qvlan的信息加入数据帧头。具有加标记能力的(tagging enabled)端口会将pvid、优先级和其它vlan信息加入到所有进出该端口的数据帧中。如果在此前数据包已经被做过标记,端口将不对该数据包进行改动,让其保持其已有的vlan信息。标记(tagging)使得数据包能够从一台支持802.1q的交换机能够传送到另一台同类的交换机上。
5、pvid
是端口所属的vid号。
6.4.1.3 netcore 6124nsm交换机的vlan设置方法
1、port based vlan
下列操作设置图例中的port-based vlan。如图所示,将netcore6124nsm交换机的1~4端口设为vlan2,5~8端口为vlan3。
第一步:在vlan配置中选中使用“port-based vlan”点击确定。
第二步:“port-based vlan”配置页面中点击“增加/修改”按钮。
上图所示的vlan1是交换机的默认vlan/“default vlan” vid=1。在初始情况下交换机的所有端口都属于default vlan,当该端口加入新的vlan时,自动从default vlan中删除。
第三步:现在开始进行将netcore6124nsm交换机的1~4端口设为vlan1,5~8端口为vlan2的设置。在“vlan名称”框输入vlan2、“vid”框输入2,然后点击“确定”。然后选中“port1”~“port4”点击“增加”将端口加入vlan2。
第四步:返回“图6.25”所示页面,点击“查看 vlan成员” 可以看到已成功设置了vlan2。
port1-port4添加到vlan2后,交换机自动从vlan1中删除了port1-port4 四个端口
将“port5”~“port8”加入vlan3的步骤同上类似。
第五步:返回“port-based vlan”配置页面中点击vlan名称可以进行修改vlan配置,如下图所示。
2、802.1qvlan
在支持802.1q的交换机(802.1q-compliant switches)之间的数据传送原理,如下图所示。
结合上图在netcore6124nsm二层交换机上的具体操作:
第一步:启用802.1q。在vlan配置中选中使用“802.1qvlan”点击确定。
第二步:这时您可以看到所有端口的vlan信息显示。
交换机的802.1q的配置是基于每一个端口来配置所属vlan的信息,首先按第三步进入端口配置该端口所属vlan信息。
第三步:点击您所需要设定的端口,进入设置页面。
上图所示的vlan1是交换机的默认vlan/“default vlan” vid=1。在初始情况下交换机的所有端口都属于default vlan,当该端口加入新的vlan时,自动从default vlan中删除。
第四步:增加一个新的vlan
增加vlan。输入vlan名称,输入vid的值,
新增加的vlan会显示在vlan列表中
增加了vlan后,可以对应每个端口的配置,通过配置pvid和trunk 端口属性,决定是否将该端口加入一个vlan 。
第五步:将端口加入一个vlan
a 配置pvid:通过配置pvid,将端口加入一个vlan
交换机默认将pvid与vid与vlan 对应。pvid=2 相当于将一个端口设置为vlan2 的成员。
例如:将端口2的链路设置为access,并将port2的pvid设置为2 ,此时已经将端口2配置为vlan2的成员
b 配置vlan的trunk端口
c 在vlan列表中选择您从该端口需要tagging的vlan(选中表明已经将端口加入到某个vlan)
,增加到右边的“加入vlan的trunk端口”列表中。如果端口属于多个vlan,没有选中的vlan的从该端口出去时都不带tag头。
例如:选中vlan2。,从该端口出去的vlan2数据都必须带tag头。
第六步:返回图6.27所示页面,点击“查看vlan成员”,查看该交换机二层交换机的802.1qvlan成员信息。
例:pc1与pc3属于同一vlan ;pc2与交换2上某一台机器属于同一vlan
分析:根据需求需要创建两个vlan :vlan2和vlan3 ,假设pc1在port1上;pc2 在port3上,hub接在port2上。需要将端口1、2加入vlan2;将端口2、3加入vlan3(端口2既属于vlan2又属于vlan3)。并且让从端口2出去的vlan2的数据untagging(因为pc只能接受不带tag头的包)对vlan3的数据tagging,也就是将port2的链路设置为trunk链路,即要传输带tag的包又要传输不带tag头的包。
a 首先创建vlan2和vlan3
创建vlan3类似。
b 配置端口1
将端口1配置为vlan2,将端口1的pvid设置为2 ,系统会自动加端口1加入vlan2 ,因为端口1直接接pc,链路应该设置为access
c 配置端口3
将端口3配置为vlan3,就是将端口3的pvid设置为3 ,系统会自动加端口3加入vlan3 ,因为端口3直接接pc,链路应该设置为access
d 配置端口2
先将链路类型设置为trunk。再配pvid,由于端口2同属于vlan2和vlan3,那么pvid应该怎么配呢?如果将pvid配置成2 ,那么系统会自动将从该端口出去的vlan2的数据都不带tag头,而需求要求vlan的数据是不能带tag头的,所以将pvid配置成2。需求要求vlan3的数据要带tag,那么需要在“配置vlan的trunk端口”中选中vlan3。这样vlan3的数据从端口2出去时是带tag的数据。
配置完成后可以去查看所有vlan的配置信息
再查看vlan的成员列表
