七彩-穎欣老師

如果一個辦公網(wǎng)絡(luò)中電腦非常多，經(jīng)常出現(xiàn)網(wǎng)絡(luò)沖突怎么辦？如何徹底的解決這樣的問題呢？有沒有好的辦法？

企業(yè)網(wǎng)通用的網(wǎng)絡(luò)類型為以太網(wǎng)，是一種基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通訊介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通訊技術(shù)。當主機數(shù)目較多時會導致沖突嚴重、廣播泛濫、性能顯著下降甚至造成網(wǎng)絡(luò)不可用等問題。通過交換機實現(xiàn)LAN互連雖然可以解決沖突嚴重的問題，但仍然不能隔離廣播報文和提升網(wǎng)絡(luò)質(zhì)量。

在這種情況下出現(xiàn)了VLAN技術(shù)，這種技術(shù)可以把一個LAN劃分成多個邏輯的VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文就被限制在一個VLAN內(nèi)。

上圖是一個典型的VLAN應(yīng)用組網(wǎng)圖。兩臺設(shè)備Router1和Router2放置在不同的地點，比如寫字樓的不同樓層。每臺設(shè)備分別連接兩臺計算機，它們分別屬于兩個不同的VLAN，比如不同的企業(yè)客戶。

使用VLAN能給用戶帶來以下受益。

• 限制廣播域：廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。

• 增強局域網(wǎng)的安全性：不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。

• 提高了網(wǎng)絡(luò)的健壯性：故障被限制在一個VLAN內(nèi)，本VLAN內(nèi)的故障不會影響其他VLAN的正常工作。

• 靈活構(gòu)建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。

VLAN原理描述

VLAN基本概念

1、VLAN標簽

要使設(shè)備能夠分辨不同VLAN的報文，需要在報文中添加標識VLAN信息的字段。IEEE 802.1Q協(xié)議規(guī)定，在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后、協(xié)議類型字段之前加入4個字節(jié)的VLAN標簽（又稱VLAN Tag，簡稱Tag），用以標識VLAN信息。

在一個VLAN交換網(wǎng)絡(luò)中，以太網(wǎng)幀主要有以下兩種形式：

• 有標記幀（Tagged幀）：加入了4字節(jié)VLAN標簽的幀。

• 無標記幀（Untagged幀）：原始的、未加入4字節(jié)VLAN標簽的幀。

  
  

常用設(shè)備中：

• 用戶主機、服務(wù)器、Hub只能收發(fā)Untagged幀。

• 交換機、路由器和AC既能收發(fā)Tagged幀，也能收發(fā)Untagged幀。

• 語音終端、AP等設(shè)備可以同時收發(fā)一個Tagged幀和一個Untagged幀。

為了提高處理效率，設(shè)備內(nèi)部處理的數(shù)據(jù)幀一律都是Tagged幀。

2、鏈路類型和接口類型

設(shè)備內(nèi)部處理的數(shù)據(jù)幀一律都帶有VLAN標簽，而現(xiàn)網(wǎng)中的設(shè)備有些只會收發(fā)Untagged幀，要與這些設(shè)備交互，就需要接口能夠識別Untagged幀并在收發(fā)時給幀添加、剝除VLAN標簽。同時，現(xiàn)網(wǎng)中屬于同一個VLAN的用戶可能會被連接在不同的設(shè)備上，且跨越設(shè)備的VLAN可能不止一個，如果需要用戶間的互通，就需要設(shè)備間的接口能夠同時識別和發(fā)送多個VLAN的數(shù)據(jù)幀。

為了適應(yīng)不同的連接和組網(wǎng)，設(shè)備定義了Access接口、Trunk接口和Hybrid接口3種接口類型，以及接入鏈路（Access Link）和干道鏈路（Trunk Link）兩種鏈路類型，如圖所示。

鏈路類型：

根據(jù)鏈路中需要承載的VLAN數(shù)目的不同，以太網(wǎng)鏈路分為：

• 接入鏈路

接入鏈路只可以承載1個VLAN的數(shù)據(jù)幀，用于連接設(shè)備和用戶終端（如用戶主機、服務(wù)器等）。通常情況下，用戶終端并不需要知道自己屬于哪個VLAN，也不能識別帶有Tag的幀，所以在接入鏈路上傳輸?shù)膸际荱ntagged幀。

• 干道鏈路

干道鏈路可以承載多個不同VLAN的數(shù)據(jù)幀，用于設(shè)備間互連。為了保證其它網(wǎng)絡(luò)設(shè)備能夠正確識別數(shù)據(jù)幀中的VLAN信息，在干道鏈路上傳輸?shù)臄?shù)據(jù)幀必須都打上Tag。

接口類型：

根據(jù)接口連接對象以及對收發(fā)數(shù)據(jù)幀處理的不同，以太網(wǎng)接口分為：

• Access接口

Access接口一般用于和不能識別Tag的用戶終端（如用戶主機、服務(wù)器等）相連，或者不需要區(qū)分不同VLAN成員時使用。它只能收發(fā)Untagged幀，且只能為Untagged幀添加唯一VLAN的Tag。

• Trunk接口

Trunk接口一般用于連接交換機、路由器、AP以及可同時收發(fā)Tagged幀和Untagged幀的語音終端。它可以允許多個VLAN的幀帶Tag通過，但只允許一個VLAN的幀從該類接口上發(fā)出時不帶Tag（即剝除Tag）。

VLAN應(yīng)用場景

通過劃分VLAN實現(xiàn)用戶二層隔離

如圖所示，某商務(wù)樓內(nèi)有多家公司，為了降低成本，多家公司共用網(wǎng)絡(luò)資源，各公司分別連接到設(shè)備Router2的不同接口，并通過統(tǒng)一的出口訪問Internet。

為了保證各公司業(yè)務(wù)的獨立和安全，可將每個公司所連接的接口劃分到不同的VLAN，實現(xiàn)公司間業(yè)務(wù)數(shù)據(jù)的完全隔離?？梢哉J為每個公司擁有獨立的“虛擬路由器”，每個VLAN就是一個“虛擬工作組”。

?通過VLANIF實現(xiàn)VLAN間三層互訪

根據(jù)屬于不同VLAN的用戶互通時需要跨越的三層設(shè)備數(shù)，通過VLANIF實現(xiàn)VLAN間三層互訪主要有兩種場景：同設(shè)備三層互訪和跨設(shè)備三層互訪。

1、同設(shè)備三層互訪

如圖所示，某小型公司的部門1和部門2分別通過二層交換機接入到一臺路由器，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經(jīng)過一臺路由器。

可在Switch_1和Switch_2上劃分VLAN并將VLAN透傳到Router上，然后在Router上為每個VLAN配置一個VLANIF接口，實現(xiàn)VLAN2和VLAN3間的路由。

2、跨設(shè)備三層互訪

如圖所示，某大中型公司的部門1和部門2之間跨越兩臺或多臺路由器，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經(jīng)過兩臺或多臺路由器。

可在Switch上劃分VLAN并將VLAN透傳到Router_1和Router_2；在Router_1和Router_2上為每個用戶VLAN配置一個VLANIF接口，并為互聯(lián)VLAN配置VLANIF接口；在其他三層設(shè)備上為互聯(lián)VLAN配置VLANIF接口。除此以外，還需要在Router_1和上Router_2之間配置靜態(tài)路由或運行動態(tài)路由協(xié)議（跨兩臺以上設(shè)備時，建議運行動態(tài)路由協(xié)議）。

VLAN配置舉例

配置劃分VLAN示例

1、組網(wǎng)需求

如圖所示，某企業(yè)的設(shè)備連接有很多用戶，且相同業(yè)務(wù)用戶通過不同的設(shè)備接入企業(yè)網(wǎng)絡(luò)。

為了通信的安全性，同時為了避免廣播風暴，企業(yè)希望業(yè)務(wù)相同用戶之間可以互相訪問，業(yè)務(wù)不同用戶不能直接訪問。

可以在設(shè)備上配置基于接口劃分VLAN，把業(yè)務(wù)相同的用戶連接的接口劃分到同一VLAN。這樣屬于不同VLAN的用戶不能直接進行二層通信，同一VLAN內(nèi)的用戶可以直接互相通信。

2、配置思路

采用如下的思路配置VLAN：

1.創(chuàng)建VLAN并將連接用戶的接口加入VLAN，實現(xiàn)不同業(yè)務(wù)用戶之間的二層流量隔離。

2.配置RouterA和RouterB之間的鏈路類型及通過的VLAN，實現(xiàn)相同業(yè)務(wù)用戶通過RouterA和RouterB通信。

3、操作步驟

1.在RouterA創(chuàng)建VLAN2和VLAN3，并將連接用戶的接口分別加入VLAN。RouterB的配置與RouterA類似，不再贅述。

<Huawei> system-view

[Huawei] sysname RouterA

[RouterA] vlan batch 2 3

[RouterA] interface ethernet 2/0/1

[RouterA-Ethernet2/0/1] port link-type access

[RouterA-Ethernet2/0/1] port default vlan 2

[RouterA-Ethernet2/0/1] quit

[RouterA] interface ethernet 2/0/2

[RouterA-Ethernet2/0/2] port link-type access

[RouterA-Ethernet2/0/2] port default vlan 3

[RouterA-Ethernet2/0/2] quit

2.配置RouterA上與RouterB連接的接口類型及通過的VLAN。RouterB的配置與RouterA類似，不再贅述。

[RouterA] interface ethernet 2/0/3

[RouterA-Ethernet2/0/3] port link-type trunk

[RouterA-Ethernet2/0/3] port trunk allow-pass vlan 2 3

3.驗證配置結(jié)果

# 將User1和User2配置在一個網(wǎng)段，比如192.168.100.0/24；將User3和User4配置在一個網(wǎng)段，比如192.168.200.0/24。

# User1和User2能夠互相Ping通，但是均不能Ping通User3和User4。User3和User4能夠互相Ping通，但是均不能Ping通User1和User2。

配置通過VLANIF實現(xiàn)同設(shè)備VLAN間通信示例

1、組網(wǎng)需求

企業(yè)的不同用戶擁有相同的業(yè)務(wù)，且位于不同的網(wǎng)段?，F(xiàn)在相同業(yè)務(wù)的用戶所屬的VLAN不相同，需要實現(xiàn)不同VLAN中的用戶相互通信。

如圖所示，User1和User2中擁有相同的業(yè)務(wù)，但是屬于不同的VLAN且位于不同的網(wǎng)段。現(xiàn)需要實現(xiàn)User1和User2互通。

2、配置思路

采用如下的思路配置VLAN間通過VLANIF接口通信：

1.創(chuàng)建VLAN，確定用戶所屬的VLAN。

2.配置接口加入VLAN，允許用戶所屬的VLAN通過當前接口。

3.創(chuàng)建VLANIF接口并配置IP地址，實現(xiàn)三層互通。

3、操作步驟

1.配置Router

# 創(chuàng)建VLAN

<Huawei> system-view

[Huawei] sysname Router

[Router] vlan batch 10 20

# 配置接口加入VLAN

[Router] interface ethernet 2/0/0

[Router-Ethernet2/0/0] port link-type access

[Router-Ethernet2/0/0] port default vlan 10

[Router-Ethernet2/0/0] quit

[Router] interface ethernet 2/0/1

[Router-Ethernet2/0/1] port link-type access

[Router-Ethernet2/0/1] port default vlan 20

[Router-Ethernet2/0/1] quit

# 配置VLANIF接口的IP地址

[Router] interface vlanif 10

[Router-Vlanif10] ip address 10.10.10.2 24

[Router-Vlanif10] quit

[Router] interface vlanif 20

[Router-Vlanif20] ip address 10.10.20.2 24

[Router-Vlanif20] quit

2.驗證配置結(jié)果

# 在VLAN10中的User1主機上配置IP地址為10.10.10.3/24，缺省網(wǎng)關(guān)為VLANIF10接口的IP地址10.10.10.2/24。

# 在VLAN20中的User2主機上配置IP地址為10.10.20.3/24，缺省網(wǎng)關(guān)為VLANIF20接口的IP地址10.10.20.2/24。

# 配置完成后，VLAN10內(nèi)的User1與VLAN20內(nèi)的User2能夠相互訪問。