2.二层以太网子接口用于解决二层报文不能跨VLAN转发的问题。 通过配置二层以太网子接口,可以使一个子接口所在VLAN中的二层以太网报文转发到其他子接口所在的VLAN中,
这个子接口可以是同物理以太网接口上的子接口,也可以是不同物理以太网接口上的子接口。
也就是通过二层以太网子接口,在相同或者不同物理以太网接口上可实现VLAN间报文的相互转发,
实现二层VLAN间相互通信。
3.三层以太网子接口(就是配置了IP地址的以太网子接口),可以解决三层物理以太网接口不能识别二层VLAN报文的问题。
用户可以在一个物理三层以太网接口上配置多个三层以太网子接口后,来自不同VLAN的数据包就可以 从不同的子接口进行转发(如我们通常所说的单臂膀路由就是利用三层子接口实现的),为用户提供了很高的灵活性。
没有革命的理论就没有革命的运动4.三层以太网子接口就相当于所加入的对应二层VLAN的默认网关(此时要求各VLAN的VLAN接口不要配置IP地址,仅作为二层接口,否则各
VLAN接口就作为了对应VLAN的默认网关了,这样对应的子接口就不能作为网关作用了),而且在同一路由器上的以太网子接口所连接的
各VLAN网段是以直连方式连接的路由,也就是说各子接口所连接的网络是直接连接的,无需经过中间的路由接口。从一个子接口所的VL
AN中发出的包先到达对应子接口上,然后子接口转发到路由器的路由模块,再由路由模块根据目的IP地址转发到对应目的子接口上,最内蒙古财经学院学报
后再由目的子接口转发到VLAN中的目的主机上。
5.在一个路由器的一个或多个物理以太网接口上配置多个绑定了对应VLAN的子接口后就可以实现各VLAN间的三层路由通信了,这也就是单
臂路由的应用了。“单臂”的意思就是仅通过一个物理以太网接口就实现了多个网段的路由互联,其中起作用的就是这些物理以太网接口
中划分的子接口了。这样在一个物理以太网接口就包括了多个直接连接的不同网段的网关接口。
======================================================================================================================
802.1Q VLAN 技术原理
2010年12月08日 星期三 上午 11:37
在数据通信和宽带接入设备里,只要涉及到二层技术的,就会遇到VLAN。而且,通常情况下,VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生,还是已经在这个行业打拼了很多年的前辈,都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题,在工作中也经常被问起关于VLAN的这样或那样的问题,所以,有了想写一点东西的冲动。
大部分
童鞋接触交换这门技术都是从思科技术开始的,讨论的时候也脱离不了思科的影子。值得说明的是,VLAN是一种标准技术,思科在实现VLAN的时候加入了自己的专有名词,这些名词可能不是通用的,尽管它们已经深深印在各位童鞋们的脑海里。本文的描述是从基本原理开始的,有些说法会和思科技术有些出入,当然,也会讲到思科交换中的VLAN。
1. 传统以太网交换原理
VLAN的概念是基于以太网交换的,所以,为了保持连贯性,还是先从交换原理讲起。不过,这里没有长篇累牍的举例和配置,都是一些最基本的原理。本节所说的以太网交换原理,是针对‘传统’的以太网交换机来说的。所谓‘传统’,是指不支持VLAN。简单的讲,以太网交换原理可以概括为‘源地址学习,目的地址转发’。考虑到IP层也涉及到地址问题,为了避免混淆,可以修改为‘源MAC学习,目的MAC转发’。从语文的语法角度来讲,可能还有些问题,就再修改一下‘根据源MAC进行学习,根据目的MAC进行转发’。总之,根据个人习惯了。本人比较喜欢 ‘源MAC学习,目的MAC转发’的口诀。 稍微解释一下:所谓的‘源MAC学习’,是指交换机根据收到的以太网帧的帧头中的源MAC地址来建立自己的MAC地址表。
所谓的‘目的MAC转发’,是指交换机根据收到的以太网帧的帧头中的目的MAC地址和本地的MAC地址表来决定如何转发,确定的说,是如何交换。例子:
Figure 1-1:
|-------------------------------|
| SW1 (Ethernet Switch) |
基尔霍夫定律
|-------------------------------|
| |
|port1 |port 2
| |
|-------| |-------|
| PC1| | PC2|
|-------| |-------|
简单描述一下PC1 发送ping报文之前前会发送ARP请求
(ARP,即地址解析协议,实现通过IP地址得知其物理地址,也就是根据目的主机的IP地址,获得其MAC地址)
(所谓地址解析(address resolution)就是主机在发送报文前将目标IP地址转换成目标MAC地址的过程)
PC2的过程:(这里假设,PC1和PC2位于同一个IP网段,IP地址分别为IP_PC1和IP_PC2,MAC地
址分别为MAC_PC1和MAC_PC2)
1). PC1首先发送ARP请求,请求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(广播);源MAC=MAC_PC1。
SW1收到该广播数据帧后,根据帧头中的源MAC地址,首先学习到了PC1的MAC,建立MAC地址表如下:
MAC_PC1 PORT 1
2). 由于ARP请求为广播帧,所以,SW1向除了PORT1之外的所有UP的端口广播。
注意,该帧没有任何变化。换句话说,交换机没有对帧做任何修改。这就是传说中的透明传输。
3). P
C2收到该ARP请求帧,本地建立ARP表项,同时单播回送ARP应答帧。目的MAC=MAC_PC1;源MAC=MAC_PC2。
SW1收到该单播帧手,根据帧头中的源MAC地址,学习到了PC2的MAC,建立MAC地址表如下:
MAC地址 端口
MAC_PC1 PORT 1
MAC_PC2 PORT 2
4). SW1根据帧头中的目的MAC地址(MAC_PC1)将数据帧从PORT 1转发。
5). PC1收到ARP响应,ARP交互过程成功。接下来进行单播PING包交互。
SW1根据数据帧的目的MAC进行透明转发单播帧,同时刷新本地MAC地址表的老化定时器。
2. 802.1Q VLAN的基本原理
严格来说,802.1Q VLAN不是一个协议,因为互连的设备之间没有协议层面的报文交互。802.1Q VLAN只定义了数据帧的封装格式,即,在以太网帧头中插入了4个字节的VLAN字段。其主要内容为VLAN TAG,紧随其后的数据类型和802.1p报文优先级的标识。
Figure 2-1 以太网帧格式
|-----------------------------------------------------------------------------|
| DMAC(6bytes) | SMAC(6bytes) | Ether-Type(2bytes) | DATA |
|-----------------------------------------------------------------------------|
Figure 2-2 带VLAN TAG的以太网帧格式
|-------------------------------------------------------------------------------------------------|
| DMAC(6bytes) | SMAC(6bytes) | Ether-Type(0x8100) | VLAN(4bytes) | DATA |
|-------------------------------------------------------------------------------------------------|
Figure 2-3 VLAN TAG的格式
|---------------------------------------------------------------------------------|
| PRI(3bits) | CFI(1bit) | TAG(12bits) | Ether-Type(2bytes) | DATA |
|---------------------------------------------------------------------------------|
PRI:帧优先级,就是通常所说的802.1p。
CFI:规范标识位,0为规范格式,用于802.3或EthII。
TAG:就是我们通常说的VLAN ID
Ether-Type:标识紧随其后的数据类型。
本人所理解的VLAN技术要点主要有两点:1.支持VLAN的交换机的内部交换原理;2.设备之间(交换机之间,交换机与路由器之间,交换机与主机之间)交互时,VLAN TAG的添加和移除。下面就按照这个思路来描述。
2.1 支持VLAN的交换机的交换原理
引入VLAN概念后,数据帧只在相应的VLAN进行交换。用通俗一点的话来讲,一个交换机被虚拟出了多个逻辑交换机,每一个VLAN内的端口都是一个逻辑上的交换机。用专业一点的话来讲,一个交换机被划分了多个不同的广播域,每一个VLAN内的端口,在同一个广播域内。
引入VLAN后的交换原理与传统的交换原理相比,并没有本质上的改变,同样遵循‘源MAC学习,目的MAC转发’的基本原则。唯一不同的是,学习和转发都只在同一个VLAN中进行,数据帧不能跨VLAN交
换或转发。
2.1.1 数据帧该在哪个VLAN中进行交换?
前面提到,支持VLAN的交换机将数据帧限制在同一个VLAN中进行交换,那么数据帧到底该在哪个VLAN中交换呢?
如果收到的数据帧携带了VLAN信息 (通常称为’TAGED数据帧‘,前面已经介绍了带VLAN TAG的以太帧格式),该VLAN信息中的VLAN TAG就是交换该帧的VLAN。
如果收到的数据帧没有携带VLAN信息(通常称为‘UNTAGED’数据帧),收到该帧的端口的PVID就是交换该帧的VLAN。
该规则在2.2.3节中有详细的描述。
根据上面的原则,也定义了PVID的概念。当端口收到一个UNTAGED数据帧时,无法确定在哪个VLAN中进行交换,PVID定义了在这种情形下交换该帧的VLAN。从某种意义上讲,可以把PVID理解为端口的default VLAN。在支持VLAN的交换机中,每个端口都有一个PVID值,该值有一个缺省值,当然你也可以更改它。
2.2.2 MAC地址学习和MAC地址表
引入VLAN概念后,MAC地址的学习也在相应的VLAN中进行。从某种意义上理解,一台交换机有多张MAC地址表,每个VLAN一张表,在交换数据帧进行查表时,只需要在相应的VLAN中进行查。
很显然,MAC地址表项中,增加了VLAN TAG属性。
VLAN MAC地址 端口
VLAN1 MAC_PC1 PORT 1
VLAN1 MAC_PC2 PORT 2
VLAN2 MAC_PC1 PORT 1
VLAN2 MAC_PC2 PORT 2
喙鼻畸形孩子2.2 VLAN TAG的添加和移除规则
为了保证设备之间的互联互通,需要理解VLAN TAG的添加和移除规则。也就是说,交换机在转发数据帧时,什么时候应该打TAG,什么时候应该不打TAG,什么时候又会丢弃数据帧。
为什么要有这么‘复杂’(其实也没那么复杂)的规则呢?为什么不把所有的数据帧都打上TAG呢,这样威海市城里中学
不是简单多了?其实,这样做也是为了适应不同设备的工作原理,有些设备是不支持VLAN TAG的。
2.2.1 典型设备
先介绍一下几种典型的设备:
PC:大部分的PC(专用的,或用于测试的除外)是工作在应用层的,缺省情况下是不支持(其实也不需要)VLAN TAG的。也就是说,PC发出的都是UNTAGED数据帧。
Router:路由器是支持VLAN TAG的。也就是说,路由器可以发出TAGED数据帧,也可以发出UNTAGED数据帧。需要说明的是,路由器是处理数据包的三层信息的,对于二层信息(包括VLAN信息),路由器只是检查其有效性,之后将其剥离。这个过程就是我们常说的‘终结’,也就是说,路由器会终结掉报文的VLAN信息的。
Switch:这里的switch是指以太网交换机。VLAN技术就是主要针对于交换机提出的,所以,在讨论VLAN概念时都是立
足于交换机来讨论。很显然,交换机既支持收发TAGED数据帧,也支持收发UNTAGED数据帧。从严格意义上讲,引入VLAN后,交换机的行为不再是‘透明传输’,因为数据帧经过交换机后可能发生了变化。
了解了几种典型设备的工作原理后,就应该觉得交换机上TAG的添加和移除原则的必要性了。
2.2.2 VLAN中的端口属性
一个VLAN可以包含多个端口,而一个端口也可以属于多个VLAN。一个端口在一个VLAN中有不同的属性,TAG的添加和移除原则就是根据这个属性而定的。
TAGED:如果一个端口在一个VLAN中的属性是TAG的,那么,从该端口转发出去的数据帧就是TAGED。(当然,该数据帧是在该VLAN中交换的)
UNTAGED:如果一个端口在一个VLAN中的属性是UNTAG的,那么,从该端口转发出去的数据帧就是UNTAGED。(当然,该数据帧是在该VLAN中交换的)
2.2.3 交换机收发数据帧的处理总结
我们分几种情况讨论交换机的接收和发送处理:接收端口和发送端口在VLAN中属性;收到的数据帧是TAG的还是UNTAG的。
1). 端口接收到数据帧
a). 如果是TAG的数据帧,检查该接收端口是否在该VLAN(数据帧中所携带的VLAN TAG)中
- 接收端口在该VLAN中,则在该VLAN中根据交换原理(即,'源MAC学习,目的MAC转发'的原理)交换该数据包
- 接收端口不在该VLAN中,丢弃该数据帧
b). 如果是UNTAG的数据帧,检查该接收端口是否在某个VLAN中的属性是UNTAG
- 接收端口在某个VLAN中的属性是UNTAG的,则在该VLAN中根据交换原理交换该数据包
- 接收端口在任何VLAN中的属性都不是UNTAG的,丢弃该数据包
注:根据这个原理可知,一个端口最多在一个VLAN中的属性是UNTAG的,否则,收到一个UNTAG的数据帧之后,就无法确定在哪个VLAN中进行交换。其实,端口UNTAG所在的VLAN,就是2.1.1节中所提到的PVID的概念。
2). 端口发送数据帧
a).检查该端口在该VLAN(就是交换该数据帧的VLAN)中的属性
- 该端口在该VLAN种的属性是TAG的,发送的数据帧为TAG的数据帧
-
该端口在该VLAN种的属性是UNTAG的,发送的数据帧为UNTAG的数据帧
注:由于数据已经被交换到该端口,说明该端口肯定在该VLAN里。
2.2.4 典型配置
简单介绍一下,交换机连接不同典型设备时的常用配置。粉末冶金网
1). 连接PC
上面介绍了在通常情况下,PC只支持收发UNTAG的数据帧,所以,连接PC的端口只需要加入一个VLAN,而且,在该VLAN中的属性为UNTAG。
2). 连接Router
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议