星期六, 4月 13, 2013

自我理解 VLAN 的原理

這篇文章是翻譯某廠牌某型號Switch的手冊,為了使自己能更了解VLAN的設定與原理,特地翻譯下來,也多方參考Google出來的文章,多方驗證自己觀念,也為自己的英文能力做個檢視,不過不足之處還是很多,還要找機會多多實作才是。

IEEE 802.1Q VLANs
在大型網路路由器通常被用來為每個子網段隔離廣播流量進而劃分不同網域,Switch在Layer 2使用VLAN提供類似的服務劃分網路節點群組進而分隔廣播區域,VLANs限制來源群組的廣播流量且能終止大型網路裡的廣播風暴,這也提供更安全和乾淨的網路環境。

IEEE 802.1Q VLAN是網路埠的群組能夠位於網路的任何位置,但會如同是在相同的實體網路埠通訊。

VLANs經由搬移裝置到新VLAN而不用改變實體連接線進而簡化網路管理工作,VLANs能夠容易地劃分反映出部門群組(像是市場或研發),使用用途群組(像是EMAIL)或群播群組(通常是多媒體像是視訊會議)。

VLANs藉由降低廣播流量提供最大的網路效能,且允許你不用更新IP位址或IP子網段,VLANs天生俱備以往流量必須通過Layer 3連線抵達不同VLAN的高階網路安全性。

這台Switch支援下列功能:

  • 基於802.1Q標準的255 VLANs
  • GVRP協定使用明示或暗示的標籤資訊在多台Switch互相交換VLAN
  • Port overlappingm,允許一個網路埠設定多個VLANs
  • 終端工作站能隸屬多個VLANs
  • 流量支援VLAN裝置與不支援VLAN裝置通過
  • 優先權識別標籤

指派埠給VLAN群組

這台Switch啟用VLANs前,必須指派每一個網路埠給VLAN群組,預設所有的網路埠指派給VLAN 1 untagged,如果想要承載一個以上的VLAN,新增一個網路埠為tagged埠,在任何的中間網路裝置或另一端連接的主機支援VLAN,然後沿著該路徑上其他VLAN網路裝置指派同個VLAN,方法請二選一,不管是用手動或是用自動的GVRP,然而,如果想要這台Switch上的網路埠參與多個VLAN,但是沒有中間網路裝置或另一端連接的主機也沒有支援VLAN,應該新增這個網路埠為VLAN untagged埠。

Note:VLAN-tagged frames能夠通過支援VLAN或不支援VLAN互相連接的網路,但是VLAN tags應該在通過不支援任何的VLAN網路節點時剝離。

VLAN分類-當Switch收到一個frame時會用兩種方式分類,假如frame是untagged,Switch指派關聯的VLAN(基於收到埠的預設VLAN ID),如果frame是tagged的,Switch使用tagged VLAN ID識別這個埠然後廣播frame所屬的網域。

Port-overlapping-Port-overlapping能夠用來允許不同VLAN群組存取共同的分享網路資源,像是檔案伺服器或印表機,記住如果實作VLANs沒有做重疊時,但是仍然需要溝通,你可以在Switch上啟用路由來連接。

Untagged VLANs-Untagged(或static)VLANs典型上用來降低廣播流量和增加安全性,一群網路使用者在Switch的VLAN其他設置中指派VLAN從廣播領域中被分離出來,封包只會轉送在相同的VLAN目的網路埠,Untagged VLANs能手動隔離使用者群組或子網段,然而,你應該使用 IEEE 802.3 tagged VLANs以GVRP來完全地自動VLAN註冊。

自動VLAN註冊 – GVRP (GARP VLAN Registration Protocol)
定義一個系統據此Switch自動學習VLAN並指派每個端點工作站,如果一個端點工作站(或網路卡)支援IEEE 802.1Q VLAN協定,它可以在網路廣播訊息中加入想要的VLAN群組,當Switch收到這些訊息後,這將會自動放置接收的網路埠於指定的VLAN且轉送訊息給其他埠,當這些訊息抵達支援GVRP的其他Switch時,也會放置接收的網路埠於指定的VLANs且在其他所有網路埠流通這些訊息,VLAN要求以這種方式在整個網路傳播,這使得相容GVRP獨立端點工作站能自動配置VLAN群組。

為了實作GVRP,首先新增主機裝置裡需要的VLAN(使用作業系統或其他軟體),以便於VLANs能夠傳播整個網路,例如兩台Edge Switch直接連接主機,一台Core Switch在裝置之間連接並且啟用GVRP,你也應該決定網路的安全邊界和在邊界網路埠關掉GVRP防止傳播宣傳或禁止那些網路埠加入限制的VLAN。

Note:如果有主機裝置連接Switch網路埠但不支援GVRP,應該配置static或untagged VLANs,但你仍然可以在網路的Edge Switch以及Core Switch啟用GVRP。

轉送Tagged/Untagged Frames
如果你想要建立一個直連單台Switch的小型port-based的VLAN,你可以指派網路埠在相同的untagged VLAN,然而,在互相連接橫跨多台Switch中參與的VLAN群組,你應該建立一個VLAN群組且在所有的網路埠啟用tagging。

網路埠能夠指派多個tagged VLANs,但只允許一個untagged VLAN,每個Switch上的網路埠能夠流通tagged或untagged的frames。當從Switch路徑上的任何支援VLAN設備轉送frames時,Switch應該包含VLAN tags,當從Switch路徑上的任何不支援VLAN設備(包含目的網路埠)轉送frames時,Switch轉送前首先必須剝離VLAN tags,當Switch收到一個tagged frames,這將會經由frame tag指出流通過的VLAN(s),然而,當Switch收到一個不支援VLAN設備發出的untagged frames時,首先決定轉送frame到哪裡,然後插入VLAN tag顯示入口網路埠的預設VID。

參考資料:
釐清網管型 Switch 裡與 VLAN + Tag + Untag 之間的觀念
兩台Switch 各自有VLAN2~VLAN5,要如何讓相同VLAN下的電腦能互相溝通

1 則留言: