IP网络基础3--虚拟局域网技术

最新推荐文章于 2025-08-06 23:34:35 发布

原创最新推荐文章于 2025-08-06 23:34:35 发布 · 1k 阅读

21 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #tcp/ip #服务器

1.冲突域

(1)概念：冲突域是指能够发生电信号冲突的物理网段。

(2)HUB的所有接口都在同一个冲突域中，终端主机共享 HUB的带宽。

交换机每个接口都是一个冲突域，终端主机独占接口的全部带宽。

2.广播域

(1)概念：广播域是指广播帧（目的MAC:FFFF.FFFF.FFFF）能够到达的范围。

(2)路由器的三层接口处于独立的广播域中，终端主机发出的广播帧在三层接口被终止。也就是路由器可以隔离广播域。

(3)一个交换机的所有端口都在一个广播域中。

3.虚拟局域网（VLAN）

3.1传统局域网的缺陷

(1)广播域过大导致性能瓶颈：

传统二层网络（交换机 + 集线器）中，所有设备处于同一广播域，广播帧会泛洪到全网，导致带宽浪费和设备负载过高（如 ARP 广播、DHCP 请求）。

当网络规模扩大时，广播风暴可能导致网络瘫痪。

(2)物理位置限制与管理低效：

设备必须通过物理布线连接到交换机端口，若需调整网络分组（如部门重组），需重新布线，成本高、灵活性差。

(3)安全性不足：

同一广播域内的设备可直接监听彼此通信（如 ARP 欺骗、嗅探攻击），缺乏逻辑隔离手段。

3.2虚拟局域网

为解决传统局域网存在的问题，提出了虚拟局域网技术。

3.2.1虚拟局域网的概念及作用

(1)虚拟局域网：

VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。

(2)虚拟局域网的作用：

3.2.2虚拟局域网的划分方式

(1)基于mac地址划分

(2)基于协议划分

(3)基于子网划分：适用于小型网络

(4)基于端口划分

a.定义

基于端口的 VLAN 划分是将交换机的物理端口直接分配至特定 VLAN，接入该端口的所有设备自动属于该 VLAN。

基于交换机接口进行VLAN划分；现网一般都使用基于接口的VLAN。

默认情况下，交换机上只存在Vlan1，且所有接口都划分在Vlan1中。

3.3VLAN标签

(1)定义

VLAN 标签是遵循 IEEE 802.1Q 标准的帧头扩展字段，用于标识以太网帧所属的 VLAN ID，使帧能在跨交换机的 VLAN 网络中正确传输。其本质是在二层帧中嵌入逻辑分组标识，实现 “同 VLAN 通信、异 VLAN 隔离” 的机制。

(2)VLAN标签格式---引入虚拟局域网的概念的帧格式

a.原以太网帧结构是目的 MAC + 源 MAC + 类型/长度 + 数据 + 校验（FCS）

b.802.1Q 在源 MAC 和类型 / 长度（Len/type）之间插入 4 字节的 TAG 标签，用于标识 VLAN 信息。

c.标签字段说明

字段名	长度	作用说明
TPID	16比特	标签协议标识，固定值0x8100，告诉交换机“这是带802.1Q标签的帧”，区分普通以太网帧
priority	3比特	优先级，用于QoS（服务质量），0~7共8级，7最高（如语音、视频优先）
CFI	1比特	规范格式指示，以太网环境下固定为0（主要用于令牌环网兼容，可忽略）
VLAN ID	12比特	VLAN标识符，0~4095取值，0和4095保留，实际可用1~4094(4094个)，标识帧属于哪个VLAN

其中VLAN ID：

注：默认情况下，交换机上只存在Vlan1，且所有接口都划分在Vlan1中。

(3)交换机端口与 VLAN 绑定

终端发的帧进交换机时 “贴标签认组”，出交换机时 “撕标签给终端”，以此实现同一组（VLAN）设备互通，不同组隔离

3.3.1如何实现"加标签"与"剥标签"？

Access 端口（连终端）

收到不带标签的帧，自动打上端口所属 VLAN 的标签；发出时剥离标签，给终端发 “干净” 的以太网帧。

3.3.2如何让''标签''在网络设备间传递？

Trunk 端口（连交换机 / 路由器）

带有VLAN标签的以太网帧在交换机间传递；

传递带标签的帧，通过 VLAN ID 区分不同 VLAN 的流量，实现多 VLAN 数据在同一物理链路传输。

3.3.3PVID

(1)Access 端口主要用于连接终端设备，如计算机、服务器、IP 电话等。对于 Access 端口而言，PVID 就是该端口所属的 VLAN ID ，并且一个 Access 端口只能属于一个 VLAN。这意味着 Access 端口的 PVID 是固定的，且与端口所划分到的 VLAN 保持一致。

(2)PVID 是指 Trunk 接口的默认 VLAN ID。当 Trunk 接口接收到一个不带 802.1Q VLAN 标签的数据帧时，交换机会自动为该数据帧打上此接口的 PVID 标签；而当 Trunk 接口发送数据帧时，若数据帧的 VLAN ID 与 PVID 相同，且该 VLAN 在 Trunk 允许通过的 VLAN 列表中，交换机会剥去这个数据帧的 VLAN 标签再进行转发。转发到另一端的交换机的Trunk端口则会打上默认PVID再继续转发。

注：相连接的两个Trunk接口的PVID值是相同。

注：思科交换机默认接口为access接口；华为和华三交换机默认接口是Hybrid接口

3.4虚拟局域网VLAN的缺点

VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。

4.不同VLAN之间通信

4.1路由器多接口互联

(1)原理：用路由器的多个物理接口，分别连接到交换机上不同 VLAN 对应的端口。每个接口对应一个独立的 IP 子网，也就是一个独立的广播域。当不同 VLAN 中的主机需要通信时，数据帧从源 VLAN 所在的交换机端口发出，进入连接到该 VLAN 的路由器物理接口，路由器根据目的 IP 地址，通过路由表查找，将数据从连接目标 VLAN 的物理接口转发出去，最终到达目标 VLAN 中的主机。

(2)拓扑图

(3)优缺点

优点：
- 配置相对简单直观：直接通过路由器的物理接口与不同 VLAN 相连，对于初学者来说，逻辑上比较容易理解。
- 性能表现较好：由于每个 VLAN 对应一个独立的路由器接口，数据转发相对独立，在一定程度上减少了接口之间的干扰，能满足一些对带宽和转发性能有一定要求的场景。
缺点：
- 成本较高：需要路由器提供多个物理接口，对于接口数量需求较多的网络，会增加路由器的采购成本和维护成本。
- 扩展性差：当网络中 VLAN 数量增加时，路由器的接口数量可能无法满足需求，而且重新配置和布线也比较麻烦。
- 管理复杂：多个接口的配置和管理相对繁琐，尤其是在网络规模较大时，维护和故障排查的难度会增加。

4.2单臂路由

(1)原理：通过路由器的一个接口连接到交换机的 Trunk 端口，路由器在逻辑上划分子接口（每个子接口对应一个 VLAN）。当不同 VLAN 的主机需要通信时，数据帧先从交换机的 Access 端口进入，打上相应的 VLAN 标签后通过 Trunk 链路传输到路由器的子接口，子接口剥离标签，根据 IP 地址进行路由转发，再将数据帧重新打上目标 VLAN 的标签，通过 Trunk 链路返回交换机，最后由交换机转发到目标主机所在的 Access 端口。

(2)网络拓扑图

(3)优缺点

优点：
- 成本低：仅需路由器 1 个物理接口，节省硬件成本，利用现有设备。
- 易扩展：新增 VLAN 时，通过配置子接口即可，无需新增物理接口。
- 管理简：配置集中在路由器单接口的子接口，逻辑清晰，便于维护。
缺点：
- 性能瓶颈：所有 VLAN 流量挤 1 个接口，易拥塞；路由器需频繁处理标签，占用 CPU。
- 可靠性差：单接口故障会致所有 VLAN 间通信中断，故障排查涉及多环节，较复杂。
- 配置稍繁：需精准映射子接口与 VLAN，协调交换机 Trunk 端口参数，易出错。