H3C MSR 路由器 VLAN 配置

H3C MSR 路由器 VLAN 配置

第1章 VLAN配置

1.1 VLAN简介

1.1.1 VLAN概述

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，如图1-1所示。

图1-1 VLAN示意图

VLAN的划分不受物理位置的限制：不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。 VLAN的优点如下：

? 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

? 增强局域网的安全性。VLAN间的二层报文是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用

户直接通信，如果不同VLAN要进行通信，则需通过路由器或三层交换机等三层设备。

? 灵活构建虚拟工作组。用

VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某

一固定的物理范围，网络构建和维护更方便灵活。

1.1.2 VLAN原理

要使网络设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层，只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。 IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案，对带有VLAN标识的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段，如图1-2所示。

图1-2 传统以太网帧封装格式

其中DA表示目的MAC地址，SA表示源MAC地址，Type表示报文所属协议类型。 IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag，用以标识VLAN的相关信息。

图1-3 VLAN Tag的组成字段

如图1-3所示，VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。

? TPID

用来标识本数据帧是带有VLAN Tag的数据，长度为16bit，取值为0x8100。

表示报文的802.1P优先级，长度为3bit，相关内容请参见“QoS分册”中的“QoS配置”。

? Priority

? CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装，长度为1bit，取值为0表示MAC

地址以标准格式进行封装，为1表示以非标准格式封装，缺省取值为0。

? VLAN ID

标识该报文所属VLAN的编号，长度为12bit，取值范围为0～4095。由于0和4095为协议保留

取值，所以VLAN ID的取值范围为1～4094。

网络设备利用VLAN ID来识别报文所属的VLAN，根据报文是否携带VLAN Tag以及携带的VLAN Tag值，来对报文进行处理。详细的处理方式请参见“1.4.1 基于端口的VLAN简介”。

? 说明：

这里的帧格式以Ethernet II型封装为例，以太网还支持802.2 LLC、802.2 SNAP和802.3 raw封装格式。对于这些封装格式的报文，也会添加VLAN Tag字段，用来区分不同VLAN的报文。

1.1.3 VLAN划分

VLAN根据划分方式不同可以分为不同类型，下面列出了6种最常见的VLAN类型：

? 基于端口的

VLAN

? 基于MAC地址的VLAN

VLAN

? 基于协议的

? 基于IP子网的VLAN

VLAN

? 基于策略的

? 其它VLAN

本章将分别介绍基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN和基于IP子网的VLAN。如果某个接口下同时使能以上四种VLAN，则缺省情况下VLAN的匹配将按照MAC VLAN、IP子网VLAN、协议VLAN、端口VLAN的先后顺序进行。

1.2 配置VLAN基本属性

表1-1 配置VLAN基本属性

配置 进入系统视图 命令 system-view 说明 -

? 说明：配置 命令 说明 可选 创建VLAN vlan { vlan-id1 [ to vlan-id2 ] | all } 该命令主要用于批量创建VLAN 必选 如果指定的VLAN不存在，则该命令先完成VLAN的创建，然后再进入该VLAN进入VLAN视图 vlan vlan-id 的视图 缺省情况下，系统只有一个缺省VLAN（VLAN1） 可选 设置VLAN的广播风暴抑制 broadcast-suppression ratio 缺省情况下，设备不对广播流量进行抑制 可选 为VLAN指定一个描述字符串 description text 缺省情况下，VLAN的描述字符串为该VLAN的VLAN ID，如“VLAN 0001” ? VLAN1

为系统缺省VLAN，用户不能手工创建和删除。

? 保留VLAN是系统为实现特定功能预留的VLAN，用户也不能手工创建和删除。

? 不能通过

undo vlan命令删除设备上动态学习到的VLAN。 ? 如果某个

VLAN有相关的QoS策略配臵，则不允许删除该VLAN。

? 对于Isolate-user-vlan或Secondary VLAN，如果已经使用isolate-user-vlan命令建

立了映射关系，则只有在解除映射关系后才能删除该VLAN。

? 如果某个

VLAN已经配臵成远程镜像VLAN，则不能通过undo vlan命令删除该VLAN；只

有先删除远程镜像VLAN的配臵才能够删除这个VLAN。

? broadcast-suppression

命令的支持情况与设备的型号有关，请以设备的实际情况为准。

? 广播风暴抑制操作用来限制当前

VLAN上允许通过的广播流量的大小。当广播流量超过用

户设臵的最大值后，系统将超出最大值的广播流量作丢弃处理，保证网络的正常运行。