VLAN

29 Jun

交换机买来即使不配置,直接插上通电就能用。但交换机不配置的话默认是一个广播域。一个广播域可能会导致管理不便。而且会有大量的未知泛洪(※1)。收到广播或组播帧,会向广播域内其他所有接口转发,导致有大量的组播流量。因此交换机一般要设置VLAN(Virtual LAN),VLAN的目的就是用于隔离/控制广播域大小。

一个VLAN就是一个广播域,交换机上每个端口都可以分配给不同的VLAN(不手动划分的话,默认所有端口都属于VLAN1),也可以把不同交换机 上的端口划入同一VLAN。将端口划分VLAN后,不同VLAN间在二层上就无法通信了(※2),实现了隔离/控制广播域的目的。

二层交换机的所有端口默认都是VLAN1,VLAN1默认是no shutdown的,其他VLAN默认是shutdown的。因此常把VLAN1称为管理VLAN。当然你可以改变状态,将其他VLAN(如VLAN4) 改成no shutdown,此时VLAN1就将自动变为shutdown,而VLAN4将成为管理VLAN,因为二层交换机只允许一个VLAN处于Up状态。

为何需要管理VLAN呢?因为你需要远程(Telnet)管理交换机。通常会给管理VLAN(默认是VLAN1)配置一个IP地址,该IP又称为管理IP。管理VLAN(默认是VLAN1)是no shutdown的,因此配好IP地址后,可以接收IP流量,相当于一个三层端口,远程可以通过管理IP来管理交换机。注意这里说“相当于”而非“等于” 一个三层端口。因为shutdonw是针对端口而非VLAN的,二层流量和VLAN是否shutdown无关,可以直接转发。另外,你可以为每个VLAN 都配置一个IP,但除了管理VLAN外,其他VLAN都是shutdown的,即使配好IP也无法接收三层IP流量,远端也连不上该IP。

(最后这里稍微延伸一下,管理IP和SVI口IP地址作用不同。前者是远程管理交换机用,后者是让连接不同VLAN端口的终端在三层能通信用的。二层交换机只能设管理IP不能设SVI的IP,三层交换机两者都能设。具体以后SVI里再详细介绍。)

VLAN的范围:

0保留,1思科默认

2-1001供以太网用(通常我们只在2-1001范围间指定VLAN)

1002-1005供FDDI和TokenRIng用

1006-4094以太网可用但某些旧平台上不支持

4095保留

VLAN的配置:

20160104111847985

交换机所有端口默认都属于vlan1。在上面SW1上新建两个VLAN,并将两个端口分别划入不同的VLAN:

20160104112051574

现在可以查看一下SW1的VLAN表:

20151228215116697

原本R1和R2间接上SW1后,是可以互相收到对方的数据帧的。因为交换机所有端口都默认属于VLAN1,R1和R2属于同一VLAN里相当于直连。现在将交换机连接R1和R2的端口分别划入不同的VLAN,因此R1和R2互相就收不到对方的帧了

※1:

交换机基于源MAC地址学习,基于目标MAC地址转发,没目标MAC地址的向广播域里(即本VLAN)的其他所有接口泛洪,但不会泛洪到其他VLAN。这就是未知泛洪。

※2:

不同VLAN间要通信在二层是行不通的,只有靠三层路由才能实现。但也有特殊情况,能让处于相同网段的终端在二层通信。

特例1:不同VLAN间链路的端口全是Access(Access表示不会打/拆VLAN标记)。举个例 子:PC1->SW1->SW2->PC2。SW1两个接口在VLAN10里,SW2两个接口在VLAN20里,且SW1和SW2间链 路为Access,那PC2能收到PC1的帧。因为SW1的端口收到PC1的帧,该端口在VLAN10里,因此可以从另一个VLAN10端口转发出去,即透明桥接。SW2的端口收到帧,该端口在VLAN20里,因此可以从另一个VLAN20端口转发出去给PC2。但通常两台交换机间是用Trunk连接的, 那PC2就收不到PC1的帧了。这在介绍Trunk时再详细介绍。

特例2:Trunk链路上配置Native VLAN(也不会打/拆VLAN标记)。这在介绍Native VLAN时再详细介绍。

现在简单地记住:不同VLAN间在二层无法通信即可。

Leave a Reply

Your email address will not be published. Required fields are marked *