大摩注册:首页话说最早的一座古城(交换机)所有的端口都属于一个国家(没有VLAN的概念),其它的古城也属于这个国家,自然古城之间的城门也属于这个国家,天下大同。
后来国家大了,城里的臣民越来越多,遇到屁大点事臣民会叽叽喳喳,闹哄哄不利于管理,于是国王决定将国家分成若干个郡国(VLAN),可能每座古城里都有不同的郡国的臣民。
每个郡国的臣民(Ethernet Frame)进入城门(Access 端口)之后,都会被门卫强制穿上一件属于这个郡国的特定颜色的马甲,有黄色、蓝色、橙色(分属不同VLAN)…,当臣民需要离开古城时,门卫需要强制脱掉马甲,这样臣民就会不穿任何马甲回到自己的家。
当臣民需要到另外一个古城时,需要经过古城之间的城门(Trunk口),有了这些不同颜色的马甲,入口的门卫可以知道这个臣民属于哪个郡国。
如果郡国之间的臣民需要沟通交流,需要经过一个关卡(Gateway),关卡会先脱掉原来郡国颜色的马甲,完成必要得通关手续(路由查找),再穿上目的郡国颜色的马甲,双向都是这么处理,完成通信。
有些权贵阶层(支持802.1Q的主机)抱怨说:罢了,每天经过城门都要被门卫搜身、穿马甲,TMD太烦了,搞的像做贼似的。于是和郡王商量,能否我在家就穿好马甲,免得被门卫搜身?郡王说:善!于是权贵就这么做了,入口时门卫直接放行,权贵们溜达完了,回家的时候途径城门,门卫自然不敢阻拦,于是权贵子弟穿着自己一直穿着的马甲,大摇大摆地离开了城门,到家了再脱掉。
还有一些地头蛇,要到另外一个古城,途径古城城门时对门卫骂骂咧咧:穿着这个破马甲TMD太烦了,老子不穿了,于是仍在地上,门卫自然不敢怠慢:老大,别发火,不穿就不穿好了。于是地头蛇没有穿任何马甲,大摇大摆离开了城门,当到达另外一个城门时,门卫的势力眼一瞅,就明白了,哦,这个赤佬是地头蛇郡国(Native VLAN)的人,于是找来地头蛇郡国的马甲给他穿上,起初地头蛇死活不肯穿,但门卫一句话就让地头蛇焉了:在皇城内不穿马甲,杀无赦!于是地头蛇乖乖就范,穿上了马甲。
皇亲国戚于是又和郡王商量,咱家的主人(IP 电话)在家就套上黄马褂(Voice VLAN),免得被门卫搜身;至于仆人(个人电脑)该怎样就怎样如何? 郡王曰:然!于是主人们套上黄马褂在城门处、城门内横行无阻。而仆人们就没有那么好福气了,在城门入口处被搜身并强制套上马甲,出城时再脱掉。
当臣民需要穿越另外一个国家(穿越另外一个二层交换网络),看清楚了,是另外一个国家,而不是一个郡国。这个国家的国王有命令:不管外来臣民原来穿什么马甲,黄马甲、白马甲,到我的地盘一律给我在外面套上灰马甲(Service VLAN),一直到离开朕的国家,才可以脱掉灰色马甲。
先来回答这个问题,交换机Trunk 口,俗称的主干端口,用于交换机之间的互联,在该主干端口上可以传输任意VLAN的帧,在传输的过程中,需要保留每个VLAN帧的802.1Q,这样对端的交换机可以依据802.1Q里的 VLAN ID值来决定,接收到的帧属于哪个VLAN,便于进一步的处理。
以太网帧从进入交换机的那一刻,就会穿上一个802.1Q 马甲( 缺省情况下,VLAN 1 不需要,至于为什么,接下来会详细阐述),并且会一直穿着这个马甲,直到最终从交换机的端口离开交换网络(有例外情况,接下来会阐述)。
VLAN 给很多初学网络的读者造成了很大的困扰,写这篇文章帮助大家理清VLAN与交换机的概念。
接入端口,用于接入主机、服务器、打印机、IP电话等接入设备,帧进入交换机端口,穿上802.1Q马甲。离开交换机端口,脱掉马甲,毕竟马甲是属于交换机的财产,接入设备(用户电脑)一般也不知道该马甲派何用场,所以不会自己穿马甲,交换机帮它穿上马甲,离开时,交换机帮它脱掉。
一般用于交换机之间的互联端口,也有例外,有些服务器物理接口可以发送、接收 802.1Q帧,所以相连的交换机端口也需要配置Trunk Mode。
还有一种跑在服务器上vSwitch,一种软件交换机,也同样需要连接服务器的交换机端口配置Trunk Mode,因为vSwitch需要支持多VLAN,自然需要配置一个支持多VLAN传输的Trunk 端口。
对于初学者,这是最难以理解的端口类型。举个例子:运营商给某公司提供二层接入,用户的802.1Q帧进入运营商交换机端口,该端口配置为802.1Q Tunnel Mode,交换机就会在用户802.1Q字段前加上属于运营商的802.1Q,于是就有了两个802.1Q,俗称 QinQ。
土著,如果trunk 端口 Native VLAN= 1,则 VLAN 1 帧途径该trunk 端口,则可以不需要穿802.1Q马甲,因为对端交换机也知道该潜规则,到达对端再穿上马甲也不迟。当然,一直穿着马甲更没有什么问题。
熟悉cisco 交换机的读者,一般都见识过 access mode 端口可以配置两个VLAN,一个用于电脑的Data VLAN,一个用于IP电话的Voice VLAN,如何分辨它们呢?
交换机对于Data VLAN,电脑的进出流量在该端口上都是没有穿马甲的,交换机知道该潜规则,知道它属于Data VLAN,会帮它穿上黄马甲。
而对于Voice VLAN的流量则需要在IP电话上先穿上蓝马甲,毕竟IP 电线Q,并且可以正确处理,交换机会保留这个蓝马甲。
不是插入了什么信息,而是设置trunk口之后不删除带有VLAN 的tag。
交换机顾名思义,就是个硬件盒子,提供了很多的接口,让神马电脑啊,服务器(access)啊,或者来连接别的交换机(trunk),有时候呢,服务器压力过大或者一根线断了咋办呢,两根捆绑成一根(channel)。
交换机有个特别好玩的定义,电脑呢,像人一样,有个名字(mac地址)跟身份证号(ip地址),一般离的不远的事情呢,大家吼一嗓子就解决了(mac二层通信),所以呢起初交换机的前身(hub),就是个集线器,谁吼一嗓子大家都能听到,但是也有问题:
so,思科cisco这帮大拿们就搞出来vlan这个概念,简单来说,你想用交换机通信,每次你一进来,每人人(每个端口)发个小牌子(vlan标记,进去交换机就会插入一个字段),然后呢交换机会统计哪些人跟你是同一个组的,然后你只能跟你同组的人通信,并且只要你离开交换机,你的小牌子会回收哦(从电脑看,从来不知道vlan标签这回事)~
别急,你可以用trunk,trunk是门协议,里面会写明了大家不同牌子的交换机之间互联应该这个这样做,那个那样做巴拉巴拉的,简单来说,就是把你吼的那一嗓子给录下来,在另一头(trunk另一端)再放一遍。(注意只给你那边的兄弟听哦~)
access进去打标签,从access出去就去掉标签,这样从终端来看数据是原始的,并不知道vlan的存在。但是有时候需要跨交换机通信trunk,这样需要保留vlan信息,其实就把带标签的数据包直接甩给trunk了,再简单来说:
VLAN中继协议(VTP)是思科的专有协议,在整个局域网中传播虚拟局域网(VLAN)的定义。VTP广告可以通过802.1Q 和 ISL中继线 发送。VTP在大多数Cisco Catalyst家族的产品上都可用。使用VTP,每个Catalyst家族交换机在其主干端口上发布以下信息。
在思科设备上,VTP(VLAN Trunking Protocol)在单个第二层网络中保持VLAN配置的一致性。VTP使用第二层框架来管理VTP客户模式下的交换机对VLAN的添加、删除和重命名。VTP负责在VTP域内同步VLAN信息,并减少了在每个交换机上配置相同的VLAN信息的需要,从而最大限度地减少了改变时产生的配置不一致的可能性。
当一个新的交换机被添加到网络中时,默认情况下,它被配置为没有VTP域名或密码,而是处于VTP服务器模式。
如果没有配置VTP域名,它就会假定它收到的第一个VTP数据包中的域名。由于新交换机的VTP配置版本为0,它将接受任何较新的版本号,如果VTP密码匹配,它将覆盖其VLAN信息。然而,如果你不小心将一台具有正确的VTP域名称和密码,但VTP修订号高于网络目前所具有的VTP修订号的交换机连接到网络上(例如一台从网络中移出进行维护并在返回时删除其VLAN信息的交换机),那么整个VTP域将采用新交换机的VLAN配置,这很可能导致VTP域中所有交换机的VLAN信息丢失,导致网络上出现故障。
由于思科交换机将VTP配置信息与正常配置分开维护,而且这一特殊问题经常发生,因此被俗称为 VTP炸弹。
在交换机上创建将通过VTP传播的VLAN之前,首先必须建立一个VTP域。
一个网络的VTP域是一组具有匹配的VTP设置(域名、密码和VTP版本)的所有连续中继的交换机。同一VTP域中的所有交换机相互共享其VLAN信息,一个交换机只能参加一个VTP管理域。不同域中的交换机不共享VTP信息。不匹配的VTP设置可能导致协商VLAN中继线、端口通道或虚拟端口通道时出现问题。
標簽協議識別符(Tag Protocol Identifier, TPID): 一組16位元的域其數值被設定在0x8100,以用來辨別某個IEEE 802.1Q的幀成為「已被標註的」,而這個域所被標定位置與乙太形式/長度與未標籤幀的域相同,這是為了用來區別未標籤的幀。 優先權代碼點(Priority Code Point, PCP): 以一組3位元的域當作IEEE 802.1p優先權的參考,從0(最低)到7(最高),用來對資料流(音訊、影像、檔案等等)作傳輸的優先順序。 標準格式指示(Canonical Format Indicator, CFI): 1位元的域。若是這個域的值為1,則MAC地址則為非標準格式;若為0,則為標準格式;在乙太交換器中他通常預設為0。在乙太和令牌環中,CFI用來做為兩者的相容。若幀在乙太端中接收資料則CFI的值須設為1,且這個端口不能與未標籤的其他端口橋接。 虛擬局域網識別符(VLAN Identifier, VID): 12位元的域,用來具體指出幀是屬於哪個特定VLAN。值為0時,表示幀不屬於任何一個VLAN;此時,802.1Q標籤代表優先權。12位元的值0x000和0xFFF為保留值,其他的值都可用來做為共4094個VLAN的識別符。在橋接器上,VLAN1在管理上做為保留值。這個12位元的域可分為兩個6位元的域以延伸目的(Destination)與源(Source)之48位元地址,18位元的三重標記(Triple-Tagging)可和原本的48位元相加成為66位元的地址。 使用IEEE 802.2/SNAP涵蓋了一組值為00-00-00的OUI域(所以SNAP信頭的協議ID域屬於乙太形式)。在乙太網以外的情況下,SNAP信頭的乙太形式數值被設為0x8100且前述的額外4個位元會被附加在SNPA開頭之後。 因為插入VLAN標籤會改變幀,在乙太外掛裡802.1Q概括(encapsulation)會強迫檢驗原始的幀檢查序列(Frame Check Sequence, FCS)域。這同時也會增加幀4位元組的上限容量。 雙重標記(IEEE 802.1ad)對於網際網路提供者(ISP)是非常有用的。他允許當已被VLAN標籤的混合資料從客戶端送出時ISP仍能在內部使用VLAN。外部(outer, next to Source MAC and represening ISP VLAN)標籤會先於內部(inner)標籤。此時,一個可變的TPID在16進位值可能為9100、9200或是9300,通常作為外部標籤;然而在值為88a8時會違反802.1ad而無法作為外部標籤。 三重標記 也同樣可行。12位元的VID延伸出48位元的目的與源地址成66位元。中間3位元的PCP域可作為虛擬TTL或Hop-Count以確保封包不會成為無限迴圈;更複雜的形式則是使其中一位元超載成為ingress-egress的編碼形式。PCP域的末三碼用來替檔案內容分層,從000 NR至111 XXX。在Payload段落找到的CFI3位元被組合並編碼成Next Header(或是協定),僅有其中兩碼會被使用而產生4個協定,[NOP、ICMP、UDP、ENCAP]。 NOP, No Protocol:用作IP byte/管流(pipe streams)中微小的Payload段落。 ICMP供做控制用途。UDP增加端口數量,是一個從IP送出的半冗沉(semi-redundant)即可選擇的校驗和。ENCAP協定或是Payload形是允許前述所有的協定,不需序文就可以封中;其中內容必須包含CRC\FCS標籤。TTL和長度(length)被置於48位元的地址域前讓硬體優先讀取以減少延遲。 中繼端口及原生VLAN 1998 802.1Q標準定義封裝協議的第9項,藉由加入VLAN標籤可使複數VLAN透過一個連結多路複用,然而他卻能夠傳送所有幀不論是否已被標記。因此,為了能夠辨識所傳送的幀是否需要標籤,有些廠商(尤其是思科系統)經常將中繼端口以及原生VLAN的想法應用在中繼器上。 中繼端口的想法基於設計一個中繼端口,他能夠接收並轉送幀。若中繼端口接收到未標籤的幀,此幀就會連結這個端口與原生VLAN。 假設有個802.1Q的端口有VLAN2、3、4,且VLAN2被當作原生VLAN,則在VLAN2中的幀會在不帶有802.1Q信頭的情況下離開前述的端口(它們屬於普通的乙太網)。;在此帧未帶802.1Q信頭時進入端口會被放入VLAN2裡。與VLAN3和VLAN4的資訊流行為是可預測的,也就是說送抵VLAN3和4的幀是帶有標記以辨識他們,而離開VLAN3和4的幀也會攜帶各自的VLAN標籤。 然而並不是所有的廠商都會使用這樣的概念。 多重VLAN註冊協議 另外,IEEE 802.1Q定義了多重VLAN註冊協議(Mutiple VLAN Registration Protocol, MVRP),它可應用於橋接器在具體網路上與VLAN的溝通。 在2007年,MVRP和IEEE 802.1ak-2007修正案取代了速度較慢的GARP VALN註冊協議(GVRP)。 多重生成樹協議 2003年時推行了多重生成樹協議(Mutiple Spanning Tree Protocol, MSTP)並定義了原始的IEEE 802.1s
数据帧进入交换机内部的时候会被插入vlan tag,转发数据的时候,匹配vlan tag和pvid,出交换机的时候vlan tag被移除. trunk口放开了这一限制,可以处理不带vlan tag的数据和带有不同vlan tag的数据(细细品味一下下,相信你还是很难理解的...这种学术范的描述就是这么蛋疼,但是理解之后会觉得真特么严谨)
