虚拟局域网(VLAN)用于创建多个广播域。默认情况下,交换机只有一个广播域,因为所有端口都分配到默认VLAN,VLAN 1。 默认情况下,所有端口都被分配至VLAN 1(用蓝色表示)。因此,来自PC 1所有类型的流量都将达到PC 2。PC-1上的广播风暴会影响PC-2的性能(图1(仅提供英文版))。
图 1:图1:默认配置下VLAN的表示形式。
交换机被划分为两个VLAN,体现为蓝色的VLAN和橙色的VLAN。PC-1将无法与PC-2通信,因为它们在不同的VLAN中(图2(仅提供英文版))。因此,来自PC-1的广播流量仅能到达出现在蓝色VLAN中的设备,无法到达出现在橙色VLAN中的设备。我们应该实施vlan间路由,以便来自PC-1中的流量可以到达PC-2,但广播流量将无法到达PC-2,因为我们在VLAN之间路由流量,路由器会阻止流量。图2:创建VLAN后的交换机表示形式
VLAN可以帮助我们将交换机细分为多个广播域。因为广播流量将对网络性能产生严重影响,VLAN可以帮助限制广播域。VLAN还可以帮助设置接入限制。例如,使用VLAN,我们可以停止公司独立部门之间(例如销售部门和生产部门)的网络通信。
下面介绍一个VLAN的真实使用案例:
使用情形-1
Dell Pc8164上配置了VLAN 10和VLAN 20。端口1-10分配至VLAN 10,端口11-20分配至VLAN 20。VLAN 10中的一台计算机感染了病毒并发送广播流量,进而对网络性能产生了影响。由于我们配置了VLAN,广播流量仅会侵害VLAN 10中的设备,并不会转发到VLAN 20中的设备。
在上述使用案例中,由于我们将这款交换机分为多个广播域,因此VLAN 20中的设备不会因为VLAN 10受到广播流量的侵害。
VLAN使用VLAN ID(VLAN标识符)进行标记。VLAN ID是1–4096的数值,归类方式如下,
因为我们在802.1Q VLAN报头中的VLAN Identifier(VLAN标识符)字段分配了12个二进制数字,所以我们不能将VLAN范围扩展至4096以外。VLAN ID 1和4096为预留范围,不可用于转发流量。
以下步骤将详细介绍在交换机上创建VLAN的流程
默认情况下,VLAN 1中的所有端口,(图3(仅提供英文版))将显示“show vlan”命令的输出。要创建VLAN,我们将使用(图4(仅提供英文版))中显示的命令vlan,为VLAN命名的步骤可选,如果不为VLAN命名,将为VLAN分配一个系统生成的名称。如果创建VLAN 10,系统将为VLAN分配VLAN0010的名称。我们使用用户友好的名称为VLAN命名,以便让识别过程更简单,(图4(仅提供英文版))可显示使用命令name对VLAN进行描述的过程。要验证并查看交换机中出现的VLAN列表,我们可以使用如(图5(仅提供英文版))所示的命令show vlan。
图 3:图3:N4032 Show Vlan命令的输出。
图 4:命名 VLAN 10 作为销售
图 5:图5:创建VLAN 10后Show Vlan命令的输出
创建VLAN的最后一个重要步骤是向VLAN分配端口。可将端口配置为标记或不标记VLAN信息。(图6(仅提供英文版))可显示将端口Tengigabitethernet 1/0/1分配给VLAN 10的过程。端口配置为访问端口,这意味着从端口将流量发送到工作站时,交换机将删除VLAN标记,从工作站将流量发送到交换机时,端口将插入VLAN标记10。
图 6:分配端口 Te1/0/1 至 VLAN 10
第3层(L3)交换机可进行路由。VLAN间路由是在两个不同的VLAN之间传递流量的过程。由于这里的流量要经过路由,未经过交换的广播流量将不会在VLAN之间转发。
L3接口是逻辑接口,带VLAN ID。(图7(仅提供英文版))可显示VLAN 10 L3接口的配置。
图 7:创建 VLAN 10 个 L3 接口
我们可以使用“show ip interface”命令来查看配置的L3接口,如(图8(仅提供英文版))所示。
图 8:显示 ip 接口的输出
注:可以使用 Iperf 对网络性能进行测试,如在使用 "Iperf" L3 接口 ID 测试可用网络带宽时所述
FTOS系统可使用命令“interface vlan X”创建VLAN,其中X是VLAN ID。命令“untagged switchport X”(其中X是端口号)用于为VLAN分配端口。(图9(仅提供英文版))可显示来自FTOS系统的VLAN配置输出。
图 9:图9:FTOS系统上的L2 VLAN配置
VLAN信息显示在帧的802.1Q包层中。如果帧中有802.1Q报头信息,则可认为帧被标记为VLAN ID。进行标记的帧会被发送到设备,这些帧可以通过智能的方式来理解VLAN信息。
例如,两个交换机之间的链路可以携带已进行标记的帧,因为交换机可以理解进行标记的帧,其中发送到工作站的帧会被取消标记,因为工作站不理解标记的帧。
未进行标记的帧意味着从端口传输帧之前,交换机会删除VLAN信息,并且不会出现802.1Q包层。