VLAN Basics
如何在1個交換性的網絡裏,分割廣播域呢?答案是創建VLAN.VLAN是連接到定義好了的switch的端口的網絡用戶和資源的邏輯分組.給不同的子網分配不同的端口,就可以創建更小的廣播域.默認情況下,在某個VLAN中的主機是不可以與其他VLAN通信的,除非你使用router來創建VLAN間的通信
VLAN的一些特點:
1.網絡的增加,移動和改變,只需要在適當的VLAN中配置合適的端口
2.安全,因為不同VLAN的用戶不能互相通信,除非依靠router來做VLAN間的通信
3.因為VLAN可以被認為是按功能劃分的邏輯分組,所以VLAN和物理位置,地理位置無關
4.VLAN增加安全性
5.VLAN增加廣播域的數量,而減小廣播域的大小
Broadcast
Control
每種協議都會有廣播的現象發生,至於發生不頻率,次數,一般由以下幾點決定:
1.協議類型
2.在網絡上運行的應用程序
3.這些服務如何的被使用
Security
安全性是VLAN的1大特點,不同VLAN的用戶不能互相通信,除非依靠router來做VLAN間的通信
Flexibility
and Scalability
VLAN的靈活性和可擴展性:
1.可以不管物理位置如何,把適當的端口分配到適當的
VLAN中就可以了.可以把VLAN理解正下面的樣子:
VLAN的一些特點:
1.網絡的增加,移動和改變,只需要在適當的VLAN中配置合適的端口
2.安全,因為不同VLAN的用戶不能互相通信,除非依靠router來做VLAN間的通信
3.因為VLAN可以被認為是按功能劃分的邏輯分組,所以VLAN和物理位置,地理位置無關
4.VLAN增加安全性
5.VLAN增加廣播域的數量,而減小廣播域的大小
Broadcast
Control
每種協議都會有廣播的現象發生,至於發生不頻率,次數,一般由以下幾點決定:
1.協議類型
2.在網絡上運行的應用程序
3.這些服務如何的被使用
Security
安全性是VLAN的1大特點,不同VLAN的用戶不能互相通信,除非依靠router來做VLAN間的通信
Flexibility
and Scalability
VLAN的靈活性和可擴展性:
1.可以不管物理位置如何,把適當的端口分配到適當的
VLAN中就可以了.可以把VLAN理解正下面的樣子:
2.當VLAN增加的太大以後,你可以劃分更多的VLAN,來減少廣播消耗掉更多帶寬的影響,在VLAN中的用戶越少,被廣播影響的就越少,來比較下下面2個圖,明顯可以發現,圖2,即VLAN的具有更高的靈活性和可擴展性,如下:
VLAN Memberships
手動由管理員分配端口劃分的VLAN叫靜態VLAN(static VLAN);使用智慧管理軟體,動態劃分VLAN的叫動態VLAN(dynamic VLAN)
Static VLANs
靜態VLAN:靜態VLAN安全性較高,手動劃分端口給VLAN,和設備的物理位置沒什麼關係.而且,每個VLAN中的主機必須擁有正確的IP地址信息,如VLAN2配置為172.16.20.0/24
Dynamic VLANs
動態VLAN:使用智慧管理軟體,可以基於MAC地址,協議,甚至應用程序來動態創建VLAN.Cisco設備管理員可以使用VLAN管理策略服務器(VLAN Management Policy Server,VMPS)的服務來建立個MAC地址數據庫,來根據這個動態創建VLAN,VMPS數據庫把MAC地址映射VLAN上
Identifying VLANs
當幀在網絡中被交換,switches根據類型對其跟蹤,加上根據硬體地址來判斷如何對它們進行操作.有1點要記住的是:在不同類型的連接中,幀被處理的方式也不一樣要交換環境中的2種連接類型:
1.access links:指的是只屬於一個VLAN,且僅向該VLAN轉發數據幀的端口,也叫做native VLAN.switches把幀發送到access-link設備之前,移去任何的VLAN信息.而且access-link設備不能與VLAN外通信,除非數據包被路由。
2.trunk links:指的是能夠轉發多個不同VLAN的通信的端口.trunk link必須使用100Mbps以上的端口來進行點對點連接,1次最多可以攜帶1005個VLAN信息.trunk link使你的單獨的1個端口同時成為數個VLAN的端口,這樣可以不需要層
3設備.當你在switches之間使用了trunk link,多個VLAN的信息將從這個連接上通過;如果在你switches之間沒有使用trunk link而使用一般的連接,那麼只有VLAN1的信息通過這個連接被互相傳遞.VLAN1默認作為管理VLAN
Frame Tagging
frame tagging:幀的鑒別方法.當幀到達每個switch,首先先檢查VLAN ID,然後決定如何對幀進行處理.當幀到達和VLAN ID所匹配的access link的時候,switch移去VLAN標識符
VLAN Identification Method
VLAN標識符:在交換機的trunk link上,可以通過對數據幀附加VLAN信息,構建跨越多臺交換機的VLAN.附加VLAN信息的方法,最具有代表性的有:
1.Inter-Switch Link(ISL):屬於Cisco私有,只能在快速和千兆以太網連接中使用,ISL路由可以使用在switch的斷端口,router的接口和服務器接口卡等
2.IEEE 802.1Q:俗稱dot 1 Q.由IEEE創建,所以在Cisco和非Cisco設備之間,就不能使用ISL必須使用802.1Q.802.1Q所附加的VLAN識別信息,位於數據幀中的源MAC地址與類型字段之間.基於IEEE802.1Q附加的VLAN信息,就像在傳遞物品時附加的標簽。
當然ISL和802.1Q的主要目的是提供VLAN間通信。
手動由管理員分配端口劃分的VLAN叫靜態VLAN(static VLAN);使用智慧管理軟體,動態劃分VLAN的叫動態VLAN(dynamic VLAN)
Static VLANs
靜態VLAN:靜態VLAN安全性較高,手動劃分端口給VLAN,和設備的物理位置沒什麼關係.而且,每個VLAN中的主機必須擁有正確的IP地址信息,如VLAN2配置為172.16.20.0/24
Dynamic VLANs
動態VLAN:使用智慧管理軟體,可以基於MAC地址,協議,甚至應用程序來動態創建VLAN.Cisco設備管理員可以使用VLAN管理策略服務器(VLAN Management Policy Server,VMPS)的服務來建立個MAC地址數據庫,來根據這個動態創建VLAN,VMPS數據庫把MAC地址映射VLAN上
Identifying VLANs
當幀在網絡中被交換,switches根據類型對其跟蹤,加上根據硬體地址來判斷如何對它們進行操作.有1點要記住的是:在不同類型的連接中,幀被處理的方式也不一樣要交換環境中的2種連接類型:
1.access links:指的是只屬於一個VLAN,且僅向該VLAN轉發數據幀的端口,也叫做native VLAN.switches把幀發送到access-link設備之前,移去任何的VLAN信息.而且access-link設備不能與VLAN外通信,除非數據包被路由。
2.trunk links:指的是能夠轉發多個不同VLAN的通信的端口.trunk link必須使用100Mbps以上的端口來進行點對點連接,1次最多可以攜帶1005個VLAN信息.trunk link使你的單獨的1個端口同時成為數個VLAN的端口,這樣可以不需要層
3設備.當你在switches之間使用了trunk link,多個VLAN的信息將從這個連接上通過;如果在你switches之間沒有使用trunk link而使用一般的連接,那麼只有VLAN1的信息通過這個連接被互相傳遞.VLAN1默認作為管理VLAN
Frame Tagging
frame tagging:幀的鑒別方法.當幀到達每個switch,首先先檢查VLAN ID,然後決定如何對幀進行處理.當幀到達和VLAN ID所匹配的access link的時候,switch移去VLAN標識符
VLAN Identification Method
VLAN標識符:在交換機的trunk link上,可以通過對數據幀附加VLAN信息,構建跨越多臺交換機的VLAN.附加VLAN信息的方法,最具有代表性的有:
1.Inter-Switch Link(ISL):屬於Cisco私有,只能在快速和千兆以太網連接中使用,ISL路由可以使用在switch的斷端口,router的接口和服務器接口卡等
2.IEEE 802.1Q:俗稱dot 1 Q.由IEEE創建,所以在Cisco和非Cisco設備之間,就不能使用ISL必須使用802.1Q.802.1Q所附加的VLAN識別信息,位於數據幀中的源MAC地址與類型字段之間.基於IEEE802.1Q附加的VLAN信息,就像在傳遞物品時附加的標簽。
當然ISL和802.1Q的主要目的是提供VLAN間通信。