VLAN可以隔离广播域
集线器是物理层
交换机在二层数据链路层或者三层网络层
三层交换机或者是路由器工作在网络层,二层交换机基础上添加了路由模块。
主机、集线器收发的数据包,没有VLAN TAG标记,交换机、路由器等设备收发的数据包,可以有,也可以没有vlan tag。
access接口:用于和不能识别vlan tag的客户终端(主机、服务器)相连,只能接收untag帧,且只能为untag帧添加唯一VLAN的tag标记。
trunk接口:连接交换机和路由器等可以同时收发tag和untag报文的设备,可以同时允许多个VLAN的报文携带tag通过。
接口类型:access和trunk。
Aceesss接口:
对接发报文的处理分成接收和发送。
对接收报文的处理:
携带Tag:VLAN ID与缺省VLAN ID相同则接收报文,否则丢弃。
不携带Tag:根据接口分配的VLAN打上Tag。
发送:去掉tag,发送标准以太网帧。
Trunk接口:
对接发报文的处理分成接收和发送。
对接收报文的处理:
携带Tag:当接口允许报文VLAN ID通过时则接收报文,否则丢弃。
不携带Tag:当接口允许缺省VLAN ID通过时,接收报文并且打上缺省VLAN 的Tag标记,不允许通过时则丢弃。
发送:当VLAN ID与缺省VLAN ID相同且接口允许该VLAN ID通过时,去掉TAG,发送报文。当VLAN ID与缺省VLAN ID不同且接口允许该VLAN通过时,保留TAG,发送报文。
交换机在识别一个帧是属于哪个VLAN的时候,可以根据这个帧是从哪个端口进入自己的来进行判定,也可能根据别的信息进行判定。通常,交换机在识别出每个帧是属于哪个VLAN后,会在帧的特定位置添加一个VLAN标签Tag,这个Tag明确表明了这个帧是属于VLAN。即别的交换机收到这个带Tag的帧后,就能轻易地直接根据Tag的信息识别出这个帧是属于哪个VLAN。PC机无法识别VLAN Tag。
当单臂路由的情况,物理接口存在虚拟子接口的情况中,物理接口在收到报文以后,会检查报文是否带VLAN,然后按照下面的规则处理:
如果不带VLAN,就使用主接口,也就是物理接口上的配置处理;
如果携带VLAN,就会检查是否和某个子接口配置的dot1Q VLAN相同。如果相同,就会使用这个子接口上的配置处理;如果不同,就会丢弃报文。
路由器在携带的VLAN 和子接口配置的dot1Q VLAN相同时,就会剥掉报文携带的VLAN ,然后根据目的IP查找路由器的路由表。如果找到,就会加上相应出接口的dot1Q VLAN,然后发送出去;如果找不到,就会丢弃报文。
在一个VLAN交换网络中,以太网帧主要有两种形式:有标记帧(Tagged帧)和无标记帧(Untagged帧)。有标记帧Tagged帧,就是加入了4字节VLAN 标签的帧。无标记帧(Untagged帧)是原始的、未加入4字节VLAN标签的帧。
802.1Q Tag的字段含义: 802.1Q一共4Byte。TPID 两字节长度,标签协议标识符,表示数据帧类型。0x8100表示802.1Q的VLAN数据帧。
PRI优先级,长度3bit。
CFI 标准格式指示位,长度1bit。为0表示MAC地址以标准格式封装。
VID:VLAN ID,12位长度,表示数据帧所属的VLAN编号。VLAN ID的取值范围是0-4095,0和4095是协议保留取值,VLAN ID的有效取值范围是1-4094。
同一VLAN的计算机之间可以进行二层通信(交换数据帧)。不同VLAN的计算机之间必须通过三层接口(网关)进行三层通信(交换IP数据包)。
路由器和PC一样,物理口不可以接收dot1Q数据帧,除非物理接口又有子接口,并且该数据帧的标签与子接口配置的VLAN ID对应。
对于不在同一个网段的报文,PC会把报文发送到网关,由网关来处理。
收到报文以后,路由器会先剥掉二层信息,保留三层及以上数据;在将数据重新发送出去时,还会对数据进行重新封装,加上新的二次信息。
路由器在收到发送的报文后,会检查目的MAC,如果和自己的接口一样就处理,否则就丢弃。路由器会把报文的二层信息全部剥掉,只留下三层及以上的数据。路由器会根据报文的目的IP地址,查找路由表。通过路由表查找到出接口,使用出接口的MAC地址对之前的三层报文进行封装。
网络拓扑图
鼓励话语:吃亏是福!
……