板块导航
热门下载
- · 8c1813f9e2132502793f32eb5560e213.png
- · 22.jpg
- · 5c4044b84b3bcb737ebf6e161e2e95364e6c1855.jpg@1192w.jpg
- · 08599797568ca78661250ac4deaf640386204270.jpg@1192w.jpg
- · 6a6fdbf80174e59ac5afa264969a2b91.png
- · fc4c134ffb9b4e47b64bbb25bf39a22f.png
- · v2-efa66b8ba8efda68d47fe656ec31264f_1440w.jpg
- · O1CN01IKINtS1F4ohPFvtGr_!!2215195400434-0-cib.jpg
- · cf9920cf8694016df1df82b2dab1ebdd8767050.png@1192w.jpg
- · 675ae28ee1e5a5409.png_e1080.jpg
附件中心&附件聚合2.0
For Discuz! X2.5 © hgcad.com
For Discuz! X2.5 © hgcad.com
279759ee3d6d55fb23808d7620f4c64e21a4dd73.jpg
附件信息右侧广告
- 打开方式: 图片查看器
- 资料大小: 25.02 KB
- 下载次数: 2
- 上传会员: 智慧谋略
- 上传时间: 2025-04-08
- 本站网址: loveto.cc:520
- 查看附件所在的主题
- 下载附件
二层交换机和三层交换机的区别:
在网络工程领域,二层、三层和四层交换机各自扮演着不可或缺的角色。它们不仅决定了数据包如何在网络中传输,还直接影响到网络的性能、安全性和可管理性。
随着网络规模的不断扩大和技术的快速发展,传统的二层交换机已经无法满足日益复杂的网络需求。三层交换机通过引入路由功能解决了跨VLAN通信的问题,而四层交换机则进一步增强了对应用层流量的控制能力,提供了更加精细的服务质量(QoS)管理和安全性保障。
01 二层技术
二层交换机在网络中主要工作在数据链路层(OSI模型的第二层),其核心功能是基于MAC地址进行帧的转发和过滤。
与传统的集线器不同,二层交换机能够智能地学习每个端口连接设备的MAC地址,并根据这些信息将数据帧直接发送到目标设备,从而显著提高网络效率并减少不必要的广播流量。
MAC地址学习:
当一个设备首次向交换机发送数据帧时,交换机会记录该设备的MAC地址及其对应的接口编号。这样,在后续通信中,它就可以准确地知道如何将帧传递给正确的接收者。
帧转发与过滤:
一旦建立了MAC地址表,交换机就可以通过查找表来决定是否应该转发、丢弃或泛洪(即广播)接收到的数据帧。这种机制不仅提高了传输效率,还增强了网络安全。
VLAN(虚拟局域网)技术:
VLAN允许逻辑上分离同一物理网络中的多个广播域,从而实现更灵活的网络分段和更好的资源管理。通过配置不同的VLAN,管理员可以限制特定组之间的直接通信,增加安全性并优化性能。
端口聚合
三层技术
增加了第三层(网络层)的路由功能。这意味着它不仅可以基于MAC地址进行帧转发,还能解析IP地址并执行路由选择,从而实现跨VLAN和子网之间的通信。
通过内置的路由引擎,三层交换机能够快速查找路由表,确定最优路径,并将数据包直接转发到目标网络或下一跳路由器。
DHCP
静态路由与动态路由协议
静态路由:
管理员手动配置特定目的地网络的路由条目。适用于小型、静态网络环境,易于管理和维护。
动态路由协议:
RIP:一种较老的动态路由协议,适用于小型网络,收敛速度慢且开销较大。
OSPF:广泛使用的链路状态路由协议,适用于大型复杂网络,提供快速收敛和良好的扩展性。
BGP:用于自治系统(AS)之间通信的路由协议,适用于互联网服务提供商(ISP)和跨国企业网络。
子接口与逻辑接口
子接口:在同一物理接口上创建多个逻辑接口,每个子接口对应不同的VLAN,允许单个物理端口承载多个VLAN流量。这在Trunk链路上特别有用。
逻辑接口:如前所述,SVI是为每个VLAN配置的逻辑接口,用于实现VLAN间的三层通信。
三层转发:通过内置的路由引擎,三层交换机能够快速查找路由表,确定最优路径,并将数据包直接转发到目标网络或下一跳路由器。
SVI(Switched Virtual Interface):
每个VLAN可以配置一个逻辑接口(SVI),该接口拥有自己的IP地址,使得不同VLAN之间的通信可以通过三层交换机内部路由完成,而无需外部路由器介入。
四层交换机详解
四层交换机在网络中不仅具备二层和三层交换机的功能,还扩展到了传输层(OSI模型的第四层)。
基于端口的应用识别:
通过分析TCP或UDP报文头中的源端口和目的端口,四层交换机可以区分不同的应用程序流量,并据此做出相应的处理决策。
会话跟踪与状态检测:
四层交换机能够维护连接状态信息,确保每个会话的连贯性和安全性,这对于需要长时间保持连接的应用(如HTTP、FTP)尤为重要。
QoS(服务质量)与ACL(访问控制列表)
QoS策略配置:四层交换机可以根据应用类型优先级来分配带宽资源,确保关键业务流量得到优先处理。例如,对于视频会议或VoIP通话,可以通过设置高优先级队列保证其低延迟和高质量传输。
ACL规则应用:通过定义详细的ACL规则,四层交换机可以精确控制哪些类型的流量允许通过,哪些需要被阻止。这对于保护敏感数据和防止未经授权的访问非常有效。
这意味着它不仅可以基于MAC地址和IP地址进行数据包转发,还能解析TCP/UDP端口号,从而实现对应用层流量的更精细控制。
在购买交换机设备的时候我们经常会需要区分设备是作为二层交换机来使用还是三层交换机的使用。但是二层交换机和三层交换机有什么不同的呢?我们最常说的就是在二层网络环境中相同vlan之间可以通信,不同vlan之间不可以通信,如果想通信必须借助三层设备,所以说三层交换机必须要做的事情是路由转发。今天就来深入了解二层交换机和三层交换机的不同,分点详论。
一、工作层级不同:
二层交换机工作在数据链路层,实现二层通信,一般二层常用于扩展接口使用,也就是常说的“傻瓜交换机”;从而使得更多设备或者终端接入到网络,实现多用户上网;
而三层交换机其实也可以用于二层使用,但其路由功能以及更好的性能,更大的带宽承载量和接口,因此,三层交换机工作大多数在网络层,三层交换机不仅实现了数据包的高速转发,还可以根据不同网络状况达到最优网络性能。
二、原理不同:
二层交换机查找MAC表,通过MAC地址表跟ARP协议进行二层转发;而三层交换机的原理也是如此,只是当二层无法通信时,如果交换机判断是需要进行三层通信,就将数据上交网络层,进行三层解析,最后将数据发往网关实现三层通信。而其“一次路由、多次交换”的特点,通俗来说就是第一次进行源到目的的路由,三层交换机会将此数据转到二层,那么下次无论是目的到源还是源到目的都可以进行快速交换。
三、功能不同:
二层交换机基于MAC地址访问,只做数据的转发,并且不能配置IP地址,而三层交换机将二层交换技术和三层转发功能结合在一起,也就是说三层交换机在二层交换机的基础上增加了路由功能,可通过三层逻辑接口vlanif,配置不同vlan的IP地址,vlan之间可通过三层路由实现不同vlan之间通讯。
四、应用不同:
二层交换机主要用于网络接入层和汇聚层,而三层交换机主要用于网络核心层,但是也存在少部分三层交换机用于汇聚层的现象。二层交换机用于局域网底层,三层交换机用于局域网的中上层。
五、支持的协议不同:
二层交换机支持物理层和数据链路层协议,如以太网交换机,二层交换机和集线器HUB的功能差不多,而三层交换机支持物理层、数据链路层及网络层协议。
随着网络规模的不断扩大和技术的快速发展,传统的二层交换机已经无法满足日益复杂的网络需求。三层交换机通过引入路由功能解决了跨VLAN通信的问题,而四层交换机则进一步增强了对应用层流量的控制能力,提供了更加精细的服务质量(QoS)管理和安全性保障。
01 二层技术
二层交换机在网络中主要工作在数据链路层(OSI模型的第二层),其核心功能是基于MAC地址进行帧的转发和过滤。
与传统的集线器不同,二层交换机能够智能地学习每个端口连接设备的MAC地址,并根据这些信息将数据帧直接发送到目标设备,从而显著提高网络效率并减少不必要的广播流量。
MAC地址学习:
当一个设备首次向交换机发送数据帧时,交换机会记录该设备的MAC地址及其对应的接口编号。这样,在后续通信中,它就可以准确地知道如何将帧传递给正确的接收者。
帧转发与过滤:
一旦建立了MAC地址表,交换机就可以通过查找表来决定是否应该转发、丢弃或泛洪(即广播)接收到的数据帧。这种机制不仅提高了传输效率,还增强了网络安全。
VLAN(虚拟局域网)技术:
VLAN允许逻辑上分离同一物理网络中的多个广播域,从而实现更灵活的网络分段和更好的资源管理。通过配置不同的VLAN,管理员可以限制特定组之间的直接通信,增加安全性并优化性能。
端口聚合
三层技术
增加了第三层(网络层)的路由功能。这意味着它不仅可以基于MAC地址进行帧转发,还能解析IP地址并执行路由选择,从而实现跨VLAN和子网之间的通信。
通过内置的路由引擎,三层交换机能够快速查找路由表,确定最优路径,并将数据包直接转发到目标网络或下一跳路由器。
DHCP
静态路由与动态路由协议
静态路由:
管理员手动配置特定目的地网络的路由条目。适用于小型、静态网络环境,易于管理和维护。
动态路由协议:
RIP:一种较老的动态路由协议,适用于小型网络,收敛速度慢且开销较大。
OSPF:广泛使用的链路状态路由协议,适用于大型复杂网络,提供快速收敛和良好的扩展性。
BGP:用于自治系统(AS)之间通信的路由协议,适用于互联网服务提供商(ISP)和跨国企业网络。
子接口与逻辑接口
子接口:在同一物理接口上创建多个逻辑接口,每个子接口对应不同的VLAN,允许单个物理端口承载多个VLAN流量。这在Trunk链路上特别有用。
逻辑接口:如前所述,SVI是为每个VLAN配置的逻辑接口,用于实现VLAN间的三层通信。
三层转发:通过内置的路由引擎,三层交换机能够快速查找路由表,确定最优路径,并将数据包直接转发到目标网络或下一跳路由器。
SVI(Switched Virtual Interface):
每个VLAN可以配置一个逻辑接口(SVI),该接口拥有自己的IP地址,使得不同VLAN之间的通信可以通过三层交换机内部路由完成,而无需外部路由器介入。
四层交换机详解
四层交换机在网络中不仅具备二层和三层交换机的功能,还扩展到了传输层(OSI模型的第四层)。
基于端口的应用识别:
通过分析TCP或UDP报文头中的源端口和目的端口,四层交换机可以区分不同的应用程序流量,并据此做出相应的处理决策。
会话跟踪与状态检测:
四层交换机能够维护连接状态信息,确保每个会话的连贯性和安全性,这对于需要长时间保持连接的应用(如HTTP、FTP)尤为重要。
QoS(服务质量)与ACL(访问控制列表)
QoS策略配置:四层交换机可以根据应用类型优先级来分配带宽资源,确保关键业务流量得到优先处理。例如,对于视频会议或VoIP通话,可以通过设置高优先级队列保证其低延迟和高质量传输。
ACL规则应用:通过定义详细的ACL规则,四层交换机可以精确控制哪些类型的流量允许通过,哪些需要被阻止。这对于保护敏感数据和防止未经授权的访问非常有效。
这意味着它不仅可以基于MAC地址和IP地址进行数据包转发,还能解析TCP/UDP端口号,从而实现对应用层流量的更精细控制。
在购买交换机设备的时候我们经常会需要区分设备是作为二层交换机来使用还是三层交换机的使用。但是二层交换机和三层交换机有什么不同的呢?我们最常说的就是在二层网络环境中相同vlan之间可以通信,不同vlan之间不可以通信,如果想通信必须借助三层设备,所以说三层交换机必须要做的事情是路由转发。今天就来深入了解二层交换机和三层交换机的不同,分点详论。
一、工作层级不同:
二层交换机工作在数据链路层,实现二层通信,一般二层常用于扩展接口使用,也就是常说的“傻瓜交换机”;从而使得更多设备或者终端接入到网络,实现多用户上网;
而三层交换机其实也可以用于二层使用,但其路由功能以及更好的性能,更大的带宽承载量和接口,因此,三层交换机工作大多数在网络层,三层交换机不仅实现了数据包的高速转发,还可以根据不同网络状况达到最优网络性能。
二、原理不同:
二层交换机查找MAC表,通过MAC地址表跟ARP协议进行二层转发;而三层交换机的原理也是如此,只是当二层无法通信时,如果交换机判断是需要进行三层通信,就将数据上交网络层,进行三层解析,最后将数据发往网关实现三层通信。而其“一次路由、多次交换”的特点,通俗来说就是第一次进行源到目的的路由,三层交换机会将此数据转到二层,那么下次无论是目的到源还是源到目的都可以进行快速交换。
三、功能不同:
二层交换机基于MAC地址访问,只做数据的转发,并且不能配置IP地址,而三层交换机将二层交换技术和三层转发功能结合在一起,也就是说三层交换机在二层交换机的基础上增加了路由功能,可通过三层逻辑接口vlanif,配置不同vlan的IP地址,vlan之间可通过三层路由实现不同vlan之间通讯。
四、应用不同:
二层交换机主要用于网络接入层和汇聚层,而三层交换机主要用于网络核心层,但是也存在少部分三层交换机用于汇聚层的现象。二层交换机用于局域网底层,三层交换机用于局域网的中上层。
五、支持的协议不同:
二层交换机支持物理层和数据链路层协议,如以太网交换机,二层交换机和集线器HUB的功能差不多,而三层交换机支持物理层、数据链路层及网络层协议。
虚拟局域网(VLAN)是一种通过逻辑方式划分的局域网技术,允许将物理网络划分为多个独立的广播域,不受设备物理位置的限制。
VLAN的核心概念
什么是VLAN?
VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。
简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能听到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。同时, 若没有路由,不同VLAN之间不能相互通信,从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。
2、未分割VLAN时将会发生什么?
那么,为什么需要分割VLAN(广播域)呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是泛滥了。接着,交换机2收到广播帧后也会泛滥。交换机3、4、5也还会泛滥。最终ARP请求会被转发到同一网络中的所有客户机上,这也就是网络风暴。
我们分析下,这个计算A的ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗,可能会造成网络瘫痪。
二、VLAN的原理
1、实现VLAN的机制
在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。
首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口上泛滥。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
这时,如果在交换机上生成红、蓝两个VLAN;
同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。
再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口。
同样,C发送广播信息时,只会被转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN的端口。
就这样,VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明,以红、蓝两色识别不同的VLAN,在实际使用中则是用“VLAN的ID”来区分的。
但是,VLAN生成的逻辑上的交换机是互不相通的。因此,在交换机上设置VLAN后,如果未做其他处理,VLAN间是无法通信的。
2、需要VLAN间通信时怎么办?
那么,当我们需要在不同的VLAN间通信时又该如何是好呢?
VLAN是广播域。而通常两个广播域之间由路由器连接,广播域之间来往的数据包都是由路由器中继的。因此,VLAN间的通信也需要路由器提供中继服务,这被称作“VLAN间路由”。
VLAN间路由,可以使用普通的路由器,也可以使用三层交换机。大家可以记住不同VLAN间互相通信时需要用到路由功能。
二、VLAN的划分方式
1、静态VALN
静态VLAN也叫做基于端口的VLAN。从意思也能理解,它是固定不变的,就是明确指定交换机各端口属于哪个VLAN的设定方法。
基于端口的vlan这种方法,主要的优点就是定议vlan的成员很简单明了,思路清楚,直接针对交换机现有的端口设置vlan,哪些端口属于同一个vlan,很清楚的理解。
那么它的缺点呢?
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,计算机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然静态VLAN不适合那些需要频繁改变拓补结构的网络和大型网络。
2、动态VLAN
动态VLAN则是根据每个端口所连的计算机,随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类:
● 基于MAC地址的VLAN(MAC Based VLAN)
● 基于子网的VLAN(Subnet Based VLAN)
● 基于用户的VLAN(User Based VLAN)
①、基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个计算机的MAC地址为“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。
例如:计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。
②、基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
说白了,只要电脑ip地址不变,那么它的vlan就不变,很方便,计算机可以换交换机端口,也可以MAC地址了,都不影响。
③、基于用户的VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。
3、总结
综上所述,vlan的设定手法有静态VLAN和动态VLAN两种,其中动态VLAN又可以继续细分成几个小类。
其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。
三、交换机之间的连接方式
那么,如果需要设置跨越多台交换机的VLAN时又如何呢?
1、方法一
在规划企业级网络时,很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况,这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络,且需要将不同楼层的A、C和B、D设置为同一个VLAN。
如下图:
这时最关键的就是“交换机1和交换机2该如何连接才好呢?”
最简单的方法,自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。
但是,这个办法从扩展性和管理效率来看都不好。例如,在现有网络基础上再新建VLAN时,为了让这个VLAN能够互通,就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。
2、方法2
为了避免上面这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。
何谓汇聚链接?
汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。
汇聚链路上流通的数据帧,都被附加了用于识别分属于哪个VLAN的特殊信息。
现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢?用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的一根网线还是普通的UTP线,而不是什么其他的特殊布线。图例中是交换机间互联,因此需要用交叉线来连接。
接下来,让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。
A发送的数据帧从交换机1经过汇聚链路到达交换机2时,在数据帧上附加了表示属于红色VLAN的标记。
交换机2收到数据帧后,经过检查VLAN标识发现这个数据帧是属于红色VLAN的,因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送,是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时,它才会被转发到所有属于红色VLAN的端口。
蓝色VLAN发送数据帧时的情形也与此相同。
四、VLAN间通信的原理
1、同一VLAN内的通信
接下来,我们继续学习使用汇聚链路连接交换机与路由器时,VLAN间路由是如何进行的。如下图所示,为各台计算机以及路由器的子接口设定IP地址。
红色VLAN(VLANID=1)的网络地址为192.168.1.0/24,蓝色VLAN(VLANID=2)的网络地址为192.168.2.0/24。各计算机的MAC地址分别为A/B/C/D,路由器汇聚链接端口的MAC地址为R。交换机通过对各端口所连计算机MAC地址的学习,生成如下的MAC地址列表。
首先考虑计算机A与同一VLAN内的计算机B之间通信时的情形。
计算机A发出ARP请求信息,请求解析B的MAC地址。交换机收到数据帧后,检索MAC地址列表中与收信端口同属一个VLAN的表项。结果发现,计算机B连接在端口2上,于是交换机将数据帧转发给端口2,最终计算机B收到该帧。收发信双方同属一个VLAN之内的通信,一切处理均在交换机内完成。
2、不同VLAN间通信时数据的流程
接下来是这一讲的核心内容,不同VLAN间的通信。让我们来考虑一下计算机A与计算机C之间通信时的情况。
过程1、计算机A从通信目标的IP地址(192.168.2.1)得出C与本机不属于同一个网段。因此会向设定的默认网关(Default Gateway,GW)转发数据帧。在发送数据帧之前,需要先用ARP获取路由器的MAC地址。
过程2、得到路由器的MAC地址R后,接下来就是按图中所示的步骤发送往C去的数据帧。①的数据帧中,目标MAC地址是路由器的地址R、但内含的目标IP地址仍是最终要通信的对象C的地址。
过程3、交换机在端口1上收到①的数据帧后,检索MAC地址列表中与端口1同属一个VLAN的表项。由于汇聚链路会被看作属于所有的VLAN,因此这时交换机的端口6也属于被参照对象。这样交换机就知道往MAC地址R发送数据帧,需要经过端口6转发。
过程4、从端口6发送数据帧时,由于它是汇聚链接,因此会被附加上VLAN识别信息。由于原先是来自红色VLAN的数据帧,因此如图中②所示,会被加上红色VLAN的识别信息后进入汇聚链路。路由器收到②的数据帧后,确认其VLAN识别信息,由于它是属于红色VLAN的数据帧,因此交由负责红色VLAN的子接口接收。
过程5、接着,根据路由器内部的路由表,判断该向哪里中继。
由于目标网络192.168.2.0/24是蓝色VLAN,,且该网络通过子接口与路由器直连,因此只要从负责蓝色VLAN的子接口转发就可以了。这时,数据帧的目标MAC地址被改写成计算机C的目标地址;并且由于需要经过汇聚链路转发,因此被附加了属于蓝色VLAN的识别信息。这就是图中③的数据帧。
过程6、交换机收到③的数据帧后,根据VLAN标识信息从MAC地址列表中检索属于蓝色VLAN的表项。由于通信目标——计算机C连接在端口3上、且端口3为普通的访问链接,因此交换机会将数据帧除去VLAN识别信息后(数据帧④)转发给端口3,最终计算机C才能成功地收到这个数据帧。
进行VLAN间通信时,即使通信双方都连接在同一台交换机上,也必须经过:发送方——交换机——路由器——交换机——接收方
这样一个流程。
VLAN的核心概念
- 定义与作用
VLAN(Virtual Local Area Network)即虚拟局域网,是一种将物理网络逻辑划分为多个独立广播域的技术。它通过VLANID和VLANTAG标识数据包,使不同VLAN间的通信需通过路由器或特定规则(如允许VLANTAG互通)实现。
- 广播域隔离:每个VLAN是一个独立的广播域,有效控制广播风暴,提升网络性能。
- 逻辑灵活性:同一VLAN的设备可分散在不同物理位置,例如不同楼层的部门可通过VLAN逻辑归组。
- 技术原理
- OSI模型层级:工作在第二层(数据链路层)和第三层(网络层),依赖802.1Q协议标准化实现。
- 通信机制:
- 同一VLAN内设备可直接通信;
- 不同VLAN间需通过路由器或三层交换机(传统方式),或通过VLANTAG的互允许规则(高级配置)。
- 安全性提升:限制不同VLAN间的直接访问,减少未授权窃听风险。
- 管理简化:设备移动或新增时,无需调整物理布线,仅需修改VLAN配置。
- 资源优化:减少广播流量占用带宽,提高CPU利用率。
- 划分方式:
- 静态VLAN:基于交换机端口划分(常见于固定设备)。
- 动态VLAN:基于MAC地址或用户身份(适用于移动设备)。
- VLAN ID范围:用户可用范围为1025-4094,其余为系统保留。
- Trunk技术:通过单条链路传输多VLAN数据,使用标签区分(如校园网多楼层互联)。
- 企业网络:按部门划分VLAN(如财务部VLAN 10、研发部VLAN 20),隔离敏感数据。
- 教育机构:不同年级或教学楼对应独立VLAN,通过路由器控制跨区域访问。
总结:VLAN通过逻辑划分打破物理限制,兼具灵活性、安全性和效率,是现代网络设计的核心组件之一。
什么是VLAN?
VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。
简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能听到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。同时, 若没有路由,不同VLAN之间不能相互通信,从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。
2、未分割VLAN时将会发生什么?
那么,为什么需要分割VLAN(广播域)呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是泛滥了。接着,交换机2收到广播帧后也会泛滥。交换机3、4、5也还会泛滥。最终ARP请求会被转发到同一网络中的所有客户机上,这也就是网络风暴。
我们分析下,这个计算A的ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗,可能会造成网络瘫痪。
二、VLAN的原理
1、实现VLAN的机制
在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。
首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口上泛滥。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
这时,如果在交换机上生成红、蓝两个VLAN;
同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。
再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口。
同样,C发送广播信息时,只会被转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN的端口。
就这样,VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明,以红、蓝两色识别不同的VLAN,在实际使用中则是用“VLAN的ID”来区分的。
但是,VLAN生成的逻辑上的交换机是互不相通的。因此,在交换机上设置VLAN后,如果未做其他处理,VLAN间是无法通信的。
2、需要VLAN间通信时怎么办?
那么,当我们需要在不同的VLAN间通信时又该如何是好呢?
VLAN是广播域。而通常两个广播域之间由路由器连接,广播域之间来往的数据包都是由路由器中继的。因此,VLAN间的通信也需要路由器提供中继服务,这被称作“VLAN间路由”。
VLAN间路由,可以使用普通的路由器,也可以使用三层交换机。大家可以记住不同VLAN间互相通信时需要用到路由功能。
二、VLAN的划分方式
1、静态VALN
静态VLAN也叫做基于端口的VLAN。从意思也能理解,它是固定不变的,就是明确指定交换机各端口属于哪个VLAN的设定方法。
基于端口的vlan这种方法,主要的优点就是定议vlan的成员很简单明了,思路清楚,直接针对交换机现有的端口设置vlan,哪些端口属于同一个vlan,很清楚的理解。
那么它的缺点呢?
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,计算机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然静态VLAN不适合那些需要频繁改变拓补结构的网络和大型网络。
2、动态VLAN
动态VLAN则是根据每个端口所连的计算机,随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类:
● 基于MAC地址的VLAN(MAC Based VLAN)
● 基于子网的VLAN(Subnet Based VLAN)
● 基于用户的VLAN(User Based VLAN)
①、基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个计算机的MAC地址为“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。
例如:计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。
②、基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
说白了,只要电脑ip地址不变,那么它的vlan就不变,很方便,计算机可以换交换机端口,也可以MAC地址了,都不影响。
③、基于用户的VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。
3、总结
综上所述,vlan的设定手法有静态VLAN和动态VLAN两种,其中动态VLAN又可以继续细分成几个小类。
其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。
三、交换机之间的连接方式
那么,如果需要设置跨越多台交换机的VLAN时又如何呢?
1、方法一
在规划企业级网络时,很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况,这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络,且需要将不同楼层的A、C和B、D设置为同一个VLAN。
如下图:
这时最关键的就是“交换机1和交换机2该如何连接才好呢?”
最简单的方法,自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。
但是,这个办法从扩展性和管理效率来看都不好。例如,在现有网络基础上再新建VLAN时,为了让这个VLAN能够互通,就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。
2、方法2
为了避免上面这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。
何谓汇聚链接?
汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。
汇聚链路上流通的数据帧,都被附加了用于识别分属于哪个VLAN的特殊信息。
现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢?用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的一根网线还是普通的UTP线,而不是什么其他的特殊布线。图例中是交换机间互联,因此需要用交叉线来连接。
接下来,让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。
A发送的数据帧从交换机1经过汇聚链路到达交换机2时,在数据帧上附加了表示属于红色VLAN的标记。
交换机2收到数据帧后,经过检查VLAN标识发现这个数据帧是属于红色VLAN的,因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送,是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时,它才会被转发到所有属于红色VLAN的端口。
蓝色VLAN发送数据帧时的情形也与此相同。
四、VLAN间通信的原理
1、同一VLAN内的通信
接下来,我们继续学习使用汇聚链路连接交换机与路由器时,VLAN间路由是如何进行的。如下图所示,为各台计算机以及路由器的子接口设定IP地址。
红色VLAN(VLANID=1)的网络地址为192.168.1.0/24,蓝色VLAN(VLANID=2)的网络地址为192.168.2.0/24。各计算机的MAC地址分别为A/B/C/D,路由器汇聚链接端口的MAC地址为R。交换机通过对各端口所连计算机MAC地址的学习,生成如下的MAC地址列表。
首先考虑计算机A与同一VLAN内的计算机B之间通信时的情形。
计算机A发出ARP请求信息,请求解析B的MAC地址。交换机收到数据帧后,检索MAC地址列表中与收信端口同属一个VLAN的表项。结果发现,计算机B连接在端口2上,于是交换机将数据帧转发给端口2,最终计算机B收到该帧。收发信双方同属一个VLAN之内的通信,一切处理均在交换机内完成。
2、不同VLAN间通信时数据的流程
接下来是这一讲的核心内容,不同VLAN间的通信。让我们来考虑一下计算机A与计算机C之间通信时的情况。
过程1、计算机A从通信目标的IP地址(192.168.2.1)得出C与本机不属于同一个网段。因此会向设定的默认网关(Default Gateway,GW)转发数据帧。在发送数据帧之前,需要先用ARP获取路由器的MAC地址。
过程2、得到路由器的MAC地址R后,接下来就是按图中所示的步骤发送往C去的数据帧。①的数据帧中,目标MAC地址是路由器的地址R、但内含的目标IP地址仍是最终要通信的对象C的地址。
过程3、交换机在端口1上收到①的数据帧后,检索MAC地址列表中与端口1同属一个VLAN的表项。由于汇聚链路会被看作属于所有的VLAN,因此这时交换机的端口6也属于被参照对象。这样交换机就知道往MAC地址R发送数据帧,需要经过端口6转发。
过程4、从端口6发送数据帧时,由于它是汇聚链接,因此会被附加上VLAN识别信息。由于原先是来自红色VLAN的数据帧,因此如图中②所示,会被加上红色VLAN的识别信息后进入汇聚链路。路由器收到②的数据帧后,确认其VLAN识别信息,由于它是属于红色VLAN的数据帧,因此交由负责红色VLAN的子接口接收。
过程5、接着,根据路由器内部的路由表,判断该向哪里中继。
由于目标网络192.168.2.0/24是蓝色VLAN,,且该网络通过子接口与路由器直连,因此只要从负责蓝色VLAN的子接口转发就可以了。这时,数据帧的目标MAC地址被改写成计算机C的目标地址;并且由于需要经过汇聚链路转发,因此被附加了属于蓝色VLAN的识别信息。这就是图中③的数据帧。
过程6、交换机收到③的数据帧后,根据VLAN标识信息从MAC地址列表中检索属于蓝色VLAN的表项。由于通信目标——计算机C连接在端口3上、且端口3为普通的访问链接,因此交换机会将数据帧除去VLAN识别信息后(数据帧④)转发给端口3,最终计算机C才能成功地收到这个数据帧。
进行VLAN间通信时,即使通信双方都连接在同一台交换机上,也必须经过:发送方——交换机——路由器——交换机——接收方
这样一个流程。
同一主题附件字上面广告
- 同一主题附件: