华为和思科VLAN实现的分析与比较.docx

华为和思科VLAN实现的分析与比较 摘要：该文介绍了VLAN功能和作用；分析数据帧在实现VLAN时的标记过程；对比思科和华为讨论了两者在VLAN实现上的共同点和差异；对交换机端口的几种基本模式进行比较；通过案例分析了hybrid模式的使用。 关键词：VLAN；标记；hybrid 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）27-0027-03 虚拟局域网（Virtual Local Area Network）是交换技术中常见的技术，在大中型局域网的设计、组建、维护中应用VLAN是普遍的现象。在改造、扩建、合并、管理网络的过程中，可能会遇到多种品牌的网络设备。 本文讨论的范围仅限VLAN的应用。在众多品牌设备中选取华为与思科这两种具有代表性的品牌进行比较分析。在介绍时使用软件仿真的方式，选用思科的packet tracer以及华为的eNSP作为实验平台。 1 VLAN概述 VLAN是在逻辑上对局域网中的设备和用户进行划分，使得划分后相同VLAN内的设备和用户之间的通信就像同一网段中一样。这些设备和用户可以不受物理位置的限制，可以根据功能、部门和应用等来进行划分。网络中引入VLAN技术，可以解决以下问题： 一是为了限制局域网中的广播。就目前的IPv4而言，局域网内的广播应用是不可避免的，比如ARP、DHCP。交换机在处理广播帧时，是向所有其他相连的端口转发该广播报文。这样就使得局域网的规模越大，局域网中所有节点接收处理的广播帧就越多，从而使网络不堪重负性能下降甚至瘫痪。除此之外，由于蠕虫病毒、交换机故障、网卡故障、交换机没有启用生成树协议形成环路等其他原因，也可能导致类似问题，这就是“广播风暴”。 将局域网划分VLAN后，可以使得同一VLAN内设备不接收其他VLAN的广播，将可能产生的故障范围限制到一定的区域。故而，在小型局域网，较少应用VLAN；在大中型局域网，普遍会应用VLAN。 二是为了网络的安全和管理。划分VLAN后，属于不同VLAN的设备间不能直接通信，这样就为网络的安全和管理提供了一种技术手段。比如将含有敏感信息的用户组划分为某个VLAN（如VLAN 10），其他不属于该VLAN的用户则不能访问该VLAN（VLAN 0）。 反之，如果VLAN间的用户需要互相访问，得借助三层交换或单臂路由等其他手段来完成通信。这里值得一提的是，华为提供了更多的技术手段来实现这一目的。 2 VLAN标记 所有品牌的交换机都支持的VLAN标记标准是802.1Q，它是IEEE于1999年颁布的用以标准化VLAN的实现方案。思科还可以使用私有协议ISL进行封装，由于很少使用这里不作讨论。802.1Q包含以下字段： TPID（16b）：表明当前帧的类型，0X8100即802.1Q。 PRI（3b）：优先级，用于对QoS的支持。 CFI（1b）：令牌环网标识。 VLAN ID（12b）：表示所属VLAN的ID。 思科交换机端口支持三种常用模式，接入模式（access）、中继模式（trunk）、动态模式（dynamic）；华为交换机端口支持三种常用模式，接入模式（access）、中继模式（trunk）、混杂模式（hybrid）。除以上模式外，还有一种用于Q-in-Q隧道的dot1q-tunnul模式，这里不作讨论。 2.1 access模式与trunk模式 在同一端口上，access模式与trunk模式只能选择其一。配置成access模式的端口通常连接终端设备，配置成trunk模式的端口通常用来连接网络设备（如交换机或路由器）。access模式下端口只能划分给某一个VLAN，如：端口Fa0/1配置了access模式，划分到了VLAN 2，如果再划分到VLAN 3，则该端口不属于VLAN 2了。trunk模式则是为了允许多个VLAN通过而设计的。 为了安全和管理，trunk模式可以控制指定VLAN流量能否通过该端口。在trunk模式下存在着本征VLAN这一概念，它是由思科最早提出的，本征VLAN的数据流量在经过trunk链路时不打标记。华为对trunk pvid配置后，其效果和思科的本征VLAN是一样的。 在trunk模式下发送数据帧时，当trunk端口允许相应的VLAN通过时，思科和华为交换机对除了本征VLAN外的其他VLAN进行标记。在access模式下发送数据帧时，当access端口收到和本接口所属VLAN ID（简称VID）相同的数据帧才进行转发，不同则不进行转发――由此实现了VLAN间的数据隔离。在转发数据帧时，配置为access模式的端口，思科和华为都不带标记。 设计实验图拓扑为下，分别在思科和华为模拟器上进行。将S1和S2之间的链路上两端接口都配置成access模式，观察数据帧标记情况，切换为trunk