H3C MSR 路由器 VLAN 配置

H3C MSR 路由器VLAN 配置

第1章 VLAN配置

1.1 VLAN简介

1.1.1 VLAN概述

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN 内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，如图1-1所示。

图1-1 VLAN示意图

VLAN的划分不受物理位置的限制：不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。

VLAN的优点如下：

●限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

●增强局域网的安全性。VLAN间的二层报文是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需通过路由器或三层交换机等三层设备。

●灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

1.1.2 VLAN原理

要使网络设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层，只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案，对带有VLAN标识的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段，如图1-2所示。

图1-2 传统以太网帧封装格式

其中DA表示目的MAC地址，SA表示源MAC地址，Type表示报文所属协议类型。

IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag，用以标识VLAN的相关信息。

图1-3 VLAN Tag的组成字段

如图1-3所示，VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。

●TPID用来标识本数据帧是带有VLAN Tag的数据，长度为16bit，取值为0x8100。

●Priority表示报文的802.1P优先级，长度为3bit，相关内容请参见“QoS分册”中的“QoS配置”。

●CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装，长度为1bit，取值为0表示MAC

地址以标准格式进行封装，为1表示以非标准格式封装，缺省取值为0。

●VLAN ID标识该报文所属VLAN的编号，长度为12bit，取值范围为0～4095。由于0和4095为协议保留取值，所以VLAN ID的取值范围为1～4094。

网络设备利用VLAN ID来识别报文所属的VLAN，根据报文是否携带VLAN Tag以及携带的VLAN Tag值，来对报文进行处理。详细的处理方式请参见“1.4.1 基于端口的VLAN简介”。

说明：

这里的帧格式以Ethernet II型封装为例，以太网还支持802.2 LLC、802.2 SNAP和802.3 raw封装格式。对于这些封装格式的报文，也会添加VLAN Tag字段，用来区分不同VLAN的报文。

1.1.3 VLAN划分

VLAN根据划分方式不同可以分为不同类型，下面列出了6种最常见的VLAN类型：●基于端口的VLAN

●基于MAC地址的VLAN

●基于协议的VLAN

●基于IP子网的VLAN

●基于策略的VLAN

●其它VLAN

本章将分别介绍基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN和基于IP子网的VLAN。如果某个接口下同时使能以上四种VLAN，则缺省情况下VLAN 的匹配将按照MAC VLAN、IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行。

1.2 配置VLAN基本属性

表1-1 配置VLAN基本属性

说明：

●VLAN1为系统缺省VLAN，用户不能手工创建和删除。

●保留VLAN是系统为实现特定功能预留的VLAN，用户也不能手工创建和删除。

●不能通过undo vlan命令删除设备上动态学习到的VLAN。

●如果某个VLAN有相关的QoS策略配置，则不允许删除该VLAN。

●对于Isolate-user-vlan或Secondary VLAN，如果已经使用isolate-user-vlan命令建

立了映射关系，则只有在解除映射关系后才能删除该VLAN。

●如果某个VLAN已经配置成远程镜像VLAN，则不能通过undo vlan命令删除该VLAN；只

有先删除远程镜像VLAN的配置才能够删除这个VLAN。

●broadcast-suppression命令的支持情况与设备的型号有关，请以设备的实际情况为准。

●广播风暴抑制操作用来限制当前VLAN上允许通过的广播流量的大小。当广播流量超过用

户设置的最大值后，系统将超出最大值的广播流量作丢弃处理，保证网络的正常运行。