S2700, S3700 V100R006C05 配置指南-以太网
设备支持的VLAN特性
设备支持的VLAN特性包括VLAN的划分、VLAN间的通信、VLAN聚合、MUX VLAN、管理VLAN。
VLAN各特性间的逻辑关系
通过VLAN,可灵活构建虚拟工作组和隔离广播域,并且可以实现VLAN内或VLAN间用户互相通信。
VLAN的划分
划分VLAN是VLAN的基本配置,VLAN划分成功后,即可实现同一VLAN中的用户可以互相通信。不同的场景采用不同的划分方式,如表2-1所示。
VLAN划分方式 |
优点 |
缺点 |
应用场景 |
|---|---|---|---|
基于接口划分 |
配置过程简单明了,是最常用的VLAN划分方式。 |
配置不够灵活,当VLAN中的成员接口移动时需要重新配置VLAN。这对于拥有众多移动用户的网络来说,网络管理者将会花费更多的时间进行维护。 |
适用于规模大、安全需求不高的场景中。 |
基于MAC地址划分 |
用户在变换物理位置时,不需要重新划分VLAN。提高了终端用户的安全性和接入的灵活性。 |
网络管理者需要事先将归属到指定VLAN的终端MAC地址配置到交换机上。这对拥有大量终端的网络来说,初始配置时,配置工作量较大。 |
适用于安全和移动性需求较高的场景中。 |
基于子网划分 |
基于子网划分VLAN和基于协议划分VLAN统称为基于网络层划分VLAN。 基于网络层划分VLAN,不但大大减少了人工配置VLAN的工作量,同时保证了用户自由地增加、移动和修改。 |
交换机需要解析源IP地址并进行相应转换,导致交换机响应速度慢。 |
适用于对安全需求不高,对移动性和简易管理需求较高的场景中。 |
基于协议划分 |
交换机需要分析各种协议的地址格式并进行相应转换,导致交换机响应速度慢。 |
目前支持AppleTalk、ipv4、ipv6、ipx、llc等协议划分VLAN。 说明:
S2700不支持此配置。 |
如果设备同时支持多种方式划分VLAN,设备规定的优先使用顺序是:
基于MAC地址划分VLAN和基于子网划分VLAN
缺省情况下,优先基于MAC地址划分VLAN。但是可以通过命令vlan precedence改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级,从而决定优先划分VLAN的方式。
- 基于协议划分VLAN
基于接口划分VLAN
基于接口划分VLAN的优先级最低,但是是最常用的VLAN划分方式。
基于接口划分VLAN支持配置接口类型,不同接口类型对应不同的用途,如表2-2所示。
接口属性 |
对接收不带Tag的报文处理 |
对接收带Tag的报文处理 |
对发送报文的处理 |
用途 |
|---|---|---|---|---|
Access接口 |
接收该报文,并打上缺省VLAN的Tag。 |
|
去掉Tag,发送该报文。 |
接口只能属于1个VLAN,用于设备与计算机直接连接。 |
Trunk接口 |
|
|
|
接口允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接。 |
Hybrid接口 |
当VLAN ID是该接口允许通过的VLAN ID时,发送该报文。可以通过命令设置发送时是否携带Tag。 |
接口允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于网络设备与用户设备之间连接。 |
||
| QinQ接口 | QinQ接口是使用QinQ协议的接口。QinQ接口可以给数据帧加上双层VLAN
Tag,即在原来Tag的基础上,给帧加上一个新的Tag,从而可以支持多达4094×4094个VLAN,满足网络对VLAN数量的需求。详细内容请参见QinQ概述。 说明:
S2700SI和S2710SI不支持QinQ。 |
|||
对于Access类型接口,PVID的数值表示当前接口所属的VLAN。
对于Trunk、Hybrid类型接口,由于Hybrid类型接口和Trunk类型接口允许多个VLAN数据帧通过,也可理解为这两种类型的接口属于多个VLAN,所以需要配置PVID。
由于设备所有的接口都默认加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。对于不需要加入VLAN1的接口及时退出VLAN1,避免环路。
VLAN间的通信
划分VLAN后,同一VLAN内的用户可以互相通信,但是属于不同VLAN的用户不能直接通信。为了实现VLAN间通信,可通过配置逻辑的三层接口(VLANIF接口)来实现,如图2-2所示。
三层交换技术是将路由技术与交换技术合二为一的技术,提高了网络的整体性能。三层交换机基于路由表转发同一数据流的第一个报文后,会生成一个MAC地址与IP地址的映射表项。当同一数据流的后续报文经过时,将根据此表项直接进行二层交换而不是三层路由转发。
为了保证数据流中的第一个报文正常转发,路由表中必须有正确的路由表项。因此必须在交换机上部署VLANIF接口以及路由协议,实现三层路由可达。
在图2-2中的Switch上配置与VLAN对应的三层逻辑接口VLANIF,VLANIF接口的IP地址作为对应VLAN中主机的缺省网关。VLAN2中主机发给VLAN3中主机的报文都先发送给网关,由网关做三层转发,从而实现VLAN间的通信。
VLAN聚合
在大型网络中,为了业务的需要,可能会划分大量的VLAN,而为了VLAN间通信,如果每个VLAN都配置一个VLANIF接口的IP地址,则需要消耗大量的IP地址。为了节省IP地址,可以使用VLAN聚合功能。
VLAN聚合的原理是将一个Super-VLAN和多个Sub-VLAN关联,Super-VLAN不能加入物理接口,但可以创建对应的VLANIF接口,VLANIF接口下可以配置IP地址。Sub-VLAN可以加入物理接口,但不能创建对应的VLANIF接口,所有Sub-VLAN内的接口共用Super-VLAN的VLANIF接口IP地址,这样不同Sub-VLAN之间二层是隔离的,但是三层可以使用同一个VLANIF接口作为网关实现互通。从而在保证了各个Sub-VLAN作为一个独立广播域实现广播隔离的同时,将从前使用普通VLAN浪费掉的IP地址节省下来。
图2-3为典型的VLAN聚合组网。通过在Switch上配置Super VLAN和Sub-VLAN相关联,从而VLAN2和VLAN3的用户可以使用同一个子网网段,提高了IP地址的利用率。
MUX VLAN
MUX VLAN提供了一种在VLAN的接口间进行流量灵活隔离及互通的机制。MUX VLAN分为主VLAN和从VLAN,从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信,不同从VLAN之间不能相互通信。互通型从VLAN接口之间可以互相通信,隔离型从VLAN接口之间不能互相通信。
在企业网络中,企业所有用户都可以访问企业的服务器。但对于企业来说,希望企业内部部分用户之间可以互相交流,而部分用户之间是隔离的,不能够互相访问。可以部署MUX VLAN特性,如图2-4所示,用Principal port连接企业服务器,Separate port连接不需要互访的用户,Group port连接需要互访的用户。不但能够实现企业需求,同时也节约了VLAN ID,便于网络管理者维护。
| MUX VLAN | VLAN类型 | 所属接口 | 通信权限 |
|---|---|---|---|
| Principal VLAN(主VLAN) | - | Principal port | Principal port可以和MUX VLAN内的所有接口进行通信。 |
| Subordinate VLAN(从VLAN) | Separate VLAN(隔离型从VLAN) | Separate port | Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。 每个Separate VLAN必须绑定一个Principal VLAN。 |
| Group VLAN(互通型从VLAN) | Group port | Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 每个Group VLAN必须绑定一个Principal VLAN。 |