VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。每個(gè)VLAN是一個(gè)廣播域,VLAN內(nèi)的主機(jī)間可以直接通信,而VLAN間則不能直接互通。這樣,廣播報(bào)文就被限制在一個(gè)VLAN內(nèi)。
目錄
為什么需要VLAN
VLAN vs 子網(wǎng)
VLAN Tag和VLAN ID
VLAN的接口類型和VLAN標(biāo)簽的處理機(jī)制
VLAN的使用場景
VLAN的相關(guān)協(xié)議
云化場景下,VLAN存在的問題
為什么需要VLAN
早期以太網(wǎng)是一種基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通訊介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通訊技術(shù)。當(dāng)主機(jī)數(shù)目較多時(shí)會(huì)導(dǎo)致沖突嚴(yán)重、廣播泛濫、性能顯著下降甚至造成網(wǎng)絡(luò)不可用等問題。通過二層設(shè)備實(shí)現(xiàn)LAN互連雖然可以解決沖突嚴(yán)重的問題,但仍然不能隔離廣播報(bào)文和提升網(wǎng)絡(luò)質(zhì)量。
在這種情況下出現(xiàn)了VLAN技術(shù)。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的VLAN,每個(gè)VLAN是一個(gè)廣播域,VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣,而VLAN間則不能直接互通,廣播報(bào)文就被限制在一個(gè)VLAN內(nèi)。如下圖所示。
VLAN的作用
因此,VLAN具備以下優(yōu)點(diǎn):
限制廣播域:廣播域被限制在一個(gè)VLAN內(nèi),節(jié)省了帶寬,提高了網(wǎng)絡(luò)處理能力。
增強(qiáng)局域網(wǎng)的安全性:不同VLAN內(nèi)的報(bào)文在傳輸時(shí)相互隔離,即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。
提高了網(wǎng)絡(luò)的健壯性:故障被限制在一個(gè)VLAN內(nèi),本VLAN內(nèi)的故障不會(huì)影響其他VLAN的正常工作。
靈活構(gòu)建虛擬工作組:用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必局限于某一固定的物理范圍,網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。
VLAN vs 子網(wǎng)
通過將IP地址的網(wǎng)絡(luò)部分進(jìn)一步劃分為若干個(gè)子網(wǎng),可以解決IP地址空間利用率低和兩級(jí)IP地址不夠靈活的問題。
與VLAN相類似的是,子網(wǎng)也可以隔離主機(jī)間的通信。屬于不同VLAN的主機(jī)之間不能直接通信,屬于不同的子網(wǎng)的主機(jī)之間也不能直接通信。但二者沒有必然的對(duì)應(yīng)關(guān)系。
VLAN vs 子網(wǎng)
VLAN Tag和VLAN ID
要使交換機(jī)能夠分辨不同VLAN的報(bào)文,需要在報(bào)文中添加標(biāo)識(shí)VLAN信息的字段。IEEE 802.1Q協(xié)議規(guī)定,在以太網(wǎng)數(shù)據(jù)幀中加入4個(gè)字節(jié)的VLAN標(biāo)簽(又稱VLAN Tag,簡稱Tag),用以標(biāo)識(shí)VLAN信息。
IEEE 802.1Q封裝的VLAN數(shù)據(jù)幀格式
數(shù)據(jù)幀中的VID字段標(biāo)識(shí)了該數(shù)據(jù)幀所屬的VLAN,數(shù)據(jù)幀只能在其所屬VLAN內(nèi)進(jìn)行傳輸。VID字段代表VLAN ID,VLAN ID取值范圍是0~4095。由于0和4095為協(xié)議保留取值,所以VLAN ID的有效取值范圍是1~4094。
交換機(jī)內(nèi)部處理的數(shù)據(jù)幀都帶有VLAN標(biāo)簽。而交換機(jī)連接的部分設(shè)備(如用戶主機(jī)、服務(wù)器)只會(huì)收發(fā)不帶VLAN tag的傳統(tǒng)以太網(wǎng)數(shù)據(jù)幀。因此,要與這些設(shè)備交互,就需要交換機(jī)的接口能夠識(shí)別傳統(tǒng)以太網(wǎng)數(shù)據(jù)幀,并在收發(fā)時(shí)給幀添加、剝除VLAN標(biāo)簽。添加什么VLAN標(biāo)簽,由接口上的缺省VLAN(Port Default VLAN ID,PVID)決定。
VLAN的接口類型和VLAN標(biāo)簽的處理機(jī)制
現(xiàn)網(wǎng)中屬于同一個(gè)VLAN的用戶可能會(huì)被連接在不同的交換機(jī)上,且跨越交換機(jī)的VLAN可能不止一個(gè),如果需要用戶間的互通,就需要交換機(jī)間的接口能夠同時(shí)識(shí)別和發(fā)送多個(gè)VLAN的數(shù)據(jù)幀。根據(jù)接口連接對(duì)象以及對(duì)收發(fā)數(shù)據(jù)幀處理的不同,當(dāng)前有VLAN的多種接口類型,以適應(yīng)不同的連接和組網(wǎng)。
不同廠商對(duì)VLAN接口類型的定義可能不同。對(duì)于華為設(shè)備來說,常見的VLAN接口類型有三種,包括:Access、Trunk和Hybrid。
Access接口
Access接口一般用于和不能識(shí)別Tag的用戶終端(如用戶主機(jī)、服務(wù)器)相連,或者不需要區(qū)分不同VLAN成員時(shí)使用。
在一個(gè)VLAN交換網(wǎng)絡(luò)中,以太網(wǎng)數(shù)據(jù)幀主要有以下兩種形式:無標(biāo)記幀(Untagged幀):原始的、未加入4字節(jié)VLAN標(biāo)簽的幀。有標(biāo)記幀(Tagged幀):加入了4字節(jié)VLAN標(biāo)簽的幀。Access接口大部分情況只能收發(fā)Untagged幀,且只能為Untagged幀添加唯一VLAN的Tag。交換機(jī)內(nèi)部只處理Tagged幀,所以Access接口需要給收到的數(shù)據(jù)幀添加VLAN Tag,也就必須配置缺省VLAN。配置缺省VLAN后,該Access接口也就加入了該VLAN。
當(dāng)Access接口收到帶有Tag的幀,并且?guī)蠽ID與PVID相同時(shí),Access接口也能接收并處理該幀。
在發(fā)送帶有Tag的幀前,Access接口會(huì)剝離Tag。
Trunk接口
Trunk接口一般用于連接交換機(jī)、路由器、AP以及可同時(shí)收發(fā)Tagged幀和Untagged幀的語音終端。它可以允許多個(gè)VLAN的幀帶Tag通過,但只允許屬于缺省VLAN的幀從該類接口上發(fā)出時(shí)不帶Tag(即剝除Tag)。
Trunk接口上的缺省VLAN,有的廠商也將它定義為native VLAN。當(dāng)Trunk接口收到Untagged幀時(shí),會(huì)為Untagged幀打上Native VLAN對(duì)應(yīng)的Tag。
Hybrid接口
Hybrid接口既可以用于連接不能識(shí)別Tag的用戶終端(如用戶主機(jī)、服務(wù)器)和網(wǎng)絡(luò)設(shè)備(如Hub),也可以用于連接交換機(jī)、路由器以及可同時(shí)收發(fā)Tagged幀和Untagged幀的語音終端、AP。它可以允許多個(gè)VLAN的幀帶Tag通過,且允許從該類接口發(fā)出的幀根據(jù)需要配置某些VLAN的幀帶Tag(即不剝除Tag)、某些VLAN的幀不帶Tag(即剝除Tag)。
Hybrid接口和Trunk接口在很多應(yīng)用場景下可以通用,但在某些應(yīng)用場景下,必須使用Hybrid接口。比如在靈活QinQ中,服務(wù)提供商網(wǎng)絡(luò)的多個(gè)VLAN的報(bào)文在進(jìn)入用戶網(wǎng)絡(luò)前,需要?jiǎng)冸x外層VLAN Tag,此時(shí)Trunk接口不能實(shí)現(xiàn)該功能,因?yàn)門runk接口只能使該接口缺省VLAN的報(bào)文不帶VLAN Tag通過。
VLAN的使用場景 VLAN的常見使用場景包括:VLAN間用戶的二層隔離,VLAN間用戶的三層互訪。
VLAN間用戶的二層隔離
如下圖所示,某商務(wù)樓內(nèi)有多家公司,為了降低成本,多家公司共用網(wǎng)絡(luò)資源,各公司分別連接到一臺(tái)二層交換機(jī)的不同接口,并通過統(tǒng)一的出口訪問Internet。
基于接口的VLAN劃分組網(wǎng)圖
為了保證各公司業(yè)務(wù)的獨(dú)立和安全,可將每個(gè)公司所連接的接口劃分到不同的VLAN,實(shí)現(xiàn)公司間業(yè)務(wù)數(shù)據(jù)的完全隔離。可以認(rèn)為每個(gè)公司擁有獨(dú)立的“虛擬路由器”,每個(gè)VLAN就是一個(gè)“虛擬工作組”。
再比如,某公司有兩個(gè)部門,分別分配了固定的IP網(wǎng)段。為加強(qiáng)員工間的學(xué)習(xí)與交流,員工的位置有時(shí)會(huì)相互調(diào)動(dòng),但公司希望各部門員工訪問的網(wǎng)絡(luò)資源的權(quán)限不變。
基于IP的VLAN劃分組網(wǎng)圖
為了保證部門內(nèi)員工的位置調(diào)整后,訪問網(wǎng)絡(luò)資源的權(quán)限不變,可在公司的交換機(jī)Switch_1上配置基于IP子網(wǎng)劃分VLAN。這樣,服務(wù)器的不同網(wǎng)段就劃分到不同的VLAN,訪問服務(wù)器不同應(yīng)用服務(wù)的數(shù)據(jù)流就會(huì)隔離,提高了安全性。
VLAN間用戶的三層互訪
如下圖所示,某小型公司的兩個(gè)部門分別通過二層交換機(jī)接入到一臺(tái)三層交換機(jī)Switch_3,所屬VLAN分別為VLAN2和VLAN3,部門1和部門2的用戶互通時(shí),需要經(jīng)過三層交換機(jī)。
通過VLANIF實(shí)現(xiàn)VLAN間用戶的三層互訪
可在Switch_1和Switch_2上劃分VLAN并將VLAN透傳到Switch_3上,然后在Switch_3上為每個(gè)VLAN配置一個(gè)VLANIF接口,實(shí)現(xiàn)VLAN2和VLAN3間的路由。
VLAN的相關(guān)協(xié)議
IEEE 802.1Q
IEEE 802.1Q(也被稱為Dot1q)即Virtual Bridged Local Area Networks協(xié)議,規(guī)定了VLAN的實(shí)現(xiàn)標(biāo)準(zhǔn)。與標(biāo)準(zhǔn)的以太網(wǎng)數(shù)據(jù)幀相比,VLAN數(shù)據(jù)幀增加了1個(gè)4字節(jié)的VLAN標(biāo)簽。
LNP
鏈路類型協(xié)商協(xié)議(Link-type Negotiation Protocol,LNP)用來動(dòng)態(tài)協(xié)商以太網(wǎng)接口的鏈路類型為Access或者Trunk。
以太網(wǎng)接口的鏈路類型協(xié)商為Access,缺省情況下加入VLAN1。
以太網(wǎng)接口的鏈路類型協(xié)商為Trunk,缺省情況下加入VLAN1~4094。
QinQ
QinQ(802.1Q-in-802.1Q)協(xié)議出自IEEE 802.1ad標(biāo)準(zhǔn)協(xié)議,通過在802.1Q標(biāo)簽報(bào)文的基礎(chǔ)上再增加一層802.1Q的Tag來達(dá)到擴(kuò)展VLAN空間的功能,可以使私網(wǎng)VLAN透傳公網(wǎng)。
由于在骨干網(wǎng)中傳遞的報(bào)文有兩層802.1Q Tag(一層公網(wǎng)Tag,一層私網(wǎng)Tag),即802.1Q-in-802.1Q,所以稱之為QinQ協(xié)議。
云化場景下,VLAN存在的問題
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,云計(jì)算憑借其在系統(tǒng)利用率高、人力和管理成本低、靈活性和可擴(kuò)展性強(qiáng)等方面表現(xiàn)出的優(yōu)勢(shì),已經(jīng)成為目前企業(yè)IT建設(shè)的新趨勢(shì)。而服務(wù)器虛擬化作為云計(jì)算的核心技術(shù)之一,得到了越來越多的應(yīng)用。
VLAN作為傳統(tǒng)的網(wǎng)絡(luò)隔離技術(shù),在標(biāo)準(zhǔn)定義中VLAN的數(shù)量只有4096個(gè),無法滿足大型數(shù)據(jù)中心的租戶間隔離需求。另外,VLAN的二層范圍一般較小且固定,無法支持虛擬機(jī)大范圍的動(dòng)態(tài)遷移。
因此,RFC定義了VLAN擴(kuò)展方案VXLAN(Virtual eXtensible Local Area Network,虛擬擴(kuò)展局域網(wǎng))。VXLAN采用MAC in UDP(User Datagram Protocol)封裝方式,是NVO3(Network Virtualization over Layer 3)中的一種網(wǎng)絡(luò)虛擬化技術(shù)。VXLAN完美地彌補(bǔ)了VLAN的上述不足,一方面通過VXLAN中的24比特VNI(VXLAN Network Identifier)字段,提供多達(dá)16M租戶的標(biāo)識(shí)能力,遠(yuǎn)大于VLAN的數(shù)量;另一方面,VXLAN本質(zhì)上在兩臺(tái)交換機(jī)之間構(gòu)建了一條穿越數(shù)據(jù)中心基礎(chǔ)IP網(wǎng)絡(luò)的虛擬隧道,將數(shù)據(jù)中心網(wǎng)絡(luò)虛擬成一個(gè)巨型“二層交換機(jī)”,滿足虛擬機(jī)大范圍動(dòng)態(tài)遷移的需求
審核編輯:湯梓紅
評(píng)論
查看更多