- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-VLAN操作
本章节下载 (211.68 KB)
目 录
传统的以太网是一个平面网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB是物理层设备,没有交换功能,接收的报文会向所有端口转发;交换机是链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除报文入端口之外的所有端口转发。
上述情况使网络中的主机会收到大量并非以自身为目的地的报文,在浪费大量带宽资源的同时,也造成了严重的安全隐患。
隔离广播域的传统方法是使用路由器,但是路由器成本较高,而且端口较少,无法划分细致的网络。
为解决以太网交换机在LAN中无法限制广播的问题,出现了VLAN(Virtual Local Area Network,虚拟局域网)技术。
如图1-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。VLAN内的主机间通信就和在一个LAN内一样,而不同VLAN内的主机不能直接通信。
VLAN的组成不受物理位置的限制。一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。同一VLAN内的各台计算机无须被放置在同一物理空间里,即这些计算机不一定属于同一个物理网段。
与传统以太网相比,VLAN具有如下的优点:
l 广播被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
l 增强了LAN的安全性。VLAN间不能直接通信,即一个VLAN内的主机无法直接访问另一个VLAN内的资源,如果要访问需要通过路由器或三层交换机等三层设备。
l 减少了用户端的网络配置。使用VLAN可以划分不同的用户到不同的虚拟工作组中,当用户的物理位置在VLAN覆盖范围内移动时,不需要改变其网络的配置。
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在第二层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图1-2所示
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型。
IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图1-3 VLAN Tag的组成字段
如图1-3所示,VLAN Tag包含四个字段,分别是TPID,Priority,CFI和VLAN ID。
l TPID用来标识本数据帧是带有VLAN Tag的数据,长度为16bit,在H3C系列以太网交换机上默认取值为0x8100。
l Priority表示802.1P的优先级,长度为3bit,相关内容请参见“QoS&QoS Profile”部分的介绍。
l CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,在本章中不进行具体描述,长度1bit。
l VLAN ID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。
交换机利用VLAN ID来识别报文所属的VLAN,当接收到的报文不携带VLAN Tag时,交换机会为该报文封装带有接收端口缺省VLAN ID的VLAN Tag,将报文划分到接收端口的缺省VLAN中传输。有关端口缺省VLAN设置的内容,请参见《H3C S3100-52P以太网交换机 操作手册》“端口基本配置”部分的介绍。
基于端口的VLAN是最简单的一种VLAN划分方法。通过将设备上连接用户的端口划分到不同VLAN,实现用户间的隔离和虚拟工作组的划分。
这种划分方法具有实现简单,易于管理的优点,适用于连接位置比较固定的用户。
表2-1 VLAN的基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
批量创建多个VLAN |
vlan { vlan-id1 to vlan-id2 | all } |
可选 |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
必选 vlan-id的取值范围为1~4094 |
|
指定当前VLAN的名称 |
name text |
可选 缺省情况下,VLAN的名称为该VLAN的VLAN ID |
|
指定当前VLAN的描述字符串 |
description text |
可选 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID |
注意:
当使用vlan命令创建VLAN时,如果目标VLAN已经存在且是动态VLAN,将自动将其转换为静态VLAN,同时交换机会输出提示信息。
配置VLAN接口之前,首先要创建VLAN。
表2-2 VLAN的基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface Vlan-interface vlan-id |
必选 vlan-id的取值范围为1~4094 |
|
指定当前VLAN接口的描述字符串 |
description text |
可选 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名 |
|
关闭VLAN接口 |
shutdown |
可选 |
|
打开VLAN接口 |
undo shutdown |
可选 |
需要注意的是,打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的打开/关闭状态没有影响。
缺省情况下,VLAN接口的管理状态为打开,此时VLAN接口物理状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为DOWN时,VLAN接口为DOWN状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于UP状态,则VLAN接口处于UP状态。
如果将VLAN接口的管理状态设置为关闭,则VLAN接口的物理状态始终为DOWN,不受VLAN中端口状态的影响。
注意:
S3100-52P以太网交换机只支持创建一个VLAN接口,且该接口所在VLAN必须是交换机的管理VLAN。详情请参见“配置管理VLAN”部分的介绍。
完成上述配置后,在任意视图下执行display命令,可以显示配置VLAN后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表2-3 VLAN配置显示
|
操作 |
命令 |
说明 |
|
显示VLAN接口相关信息 |
display interface Vlan-interface [ vlan-id ] |
display命令可以在任意视图下执行 |
|
显示VLAN相关信息 |
display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ] |
配置基于端口的VLAN之前,首先要创建VLAN。
|
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
为指定的VLAN增加以太网端口 |
port interface-list |
必选 缺省情况下,所有端口都已加入到系统的缺省VLAN(VLAN1)中 |
注意:
以上命令只对Access端口有效。将Trunk端口和Hybrid端口加入VLAN,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现,配置步骤请参见《H3C S3100-52P以太网交换机 操作手册》“端口基本配置”部分的介绍。
l 创建VLAN2、VLAN3,指定VLAN2的描述字符串为home;
l 通过配置将端口Ethernet1/0/1和Ethernet1/0/2加入到VLAN2中,将端口Ethernet1/0/3和Ethernet1/0/4加入到VLAN3中。
图2-1 VLAN配置示例图
# 创建VLAN2并进入其视图。
<H3C> system-view
[H3C] vlan 2
# 指定VLAN2的描述字符串为home。
[H3C-vlan2] description home
# 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。
[H3C-vlan2] port Ethernet 1/0/1 Ethernet 1/0/2
# 创建VLAN3并进入其视图。
[H3C-vlan2] vlan 3
# 向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。
[H3C-vlan3] port Ethernet 1/0/3 Ethernet 1/0/4
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
