概述

    VLAN（ Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實現(xiàn)方案的 802.1Q 協(xié)議標(biāo)準(zhǔn)草案。

    VLAN 技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個 VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN 有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN 內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段。由 VLAN的特點可知，一個 VLAN 內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他 VLAN 中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

1.1 技術(shù)優(yōu)點

    VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它的優(yōu)點如下：

    ①廣播風(fēng)暴防范

    限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個 VLAN 可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN 分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)。

    ②安全性

    增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。

    ③性能提高

    將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。

    ④增加網(wǎng)絡(luò)連接的靈活性

    借助 VLAN 技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地 LAN 一樣方便、靈活、有效.

2.VLAN 介紹

2.1 VLAN 工作原理

    VLAN 與普通局域網(wǎng)從原理上講沒有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來看， VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN 并不局限于某一網(wǎng)絡(luò)或物理范圍， VLAN 中的用戶可以位于一個園區(qū)的任意位置，甚至位于不同的國家。

2.2VLAN 的劃分

    ①基于端口劃分的 VLAN

    Port VLAN， 基于端口的 VLAN， 這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機的端口來劃分，即明確指定各端口屬于哪個 VLAN。

    這種劃分的方法的優(yōu)點是定義 VLAN 成員時非常簡單只要將所有的端口都定義一下就可以了。它的缺點是如果 VLAN 的用戶離開了原來的端口到了一個新的交換機的某個端口那么就必須重新定義，不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，并且當(dāng)網(wǎng)絡(luò)中的計算機數(shù)目超過一定數(shù)量（比如數(shù)百臺）后，設(shè)定操作就會變得煩雜無比。

    ②基于 MAC 地址劃分的 VLAN

    這種劃分 VLAN 的方法是根據(jù)每個主機的 MAC 地址來劃分即對每個 MAC 地址的主機都配置他屬于哪個 VLAN 組。

這種劃分 VLAN 的方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時即從一個交換機換到其他的交換機時，VLAN 不用重新配置。這種方法的缺點是,在設(shè)定時必須調(diào)查所有連接的計算機的 MAC地址并加以記錄，如果計算機交換了網(wǎng)卡，還需要更改設(shè)定。

    ③基于網(wǎng)絡(luò)層劃分的 VLAN

    這種劃分 VLAN 的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的。例如，用 IP 地址分組的用戶形成一個 VLAN。

這種方法的優(yōu)點在于用戶的位置改變了， 不需要重新配置所需的 VLAN，而且可以根據(jù)協(xié)議類型來劃分 VLAN。而且不需要附加幀標(biāo)簽來識別 VLAN，以減少網(wǎng)絡(luò)通信量。這種方法的缺點是效率低，需要花費時間資源來檢查每個數(shù)據(jù)包的網(wǎng)絡(luò)層地址。

    ④根據(jù) IP 組播劃分 VLAN

    IP 組播實際上也是一種 VLAN 的定義， 即認(rèn)為一個組播組就是一個 VLAN， 這種劃分的方法將 VLAN 擴(kuò)大到了廣域網(wǎng)， 因此這種方法具有更大的靈活性， 而且也很容易通過路由器進(jìn)行擴(kuò)展， 當(dāng)然這種方法不適合局域網(wǎng)， 主要是效率不高。

    2.3 相關(guān)術(shù)語

    2.3.1 IEEE 802.1Q標(biāo)準(zhǔn)

    IEEE 于 1999 年正式簽發(fā)了 802.1Q 標(biāo)準(zhǔn)， 即 Virtual Bridged Local Area Networks 協(xié)議。IEEE802.1Q 標(biāo)準(zhǔn)定義了 VLAN 網(wǎng)橋操作，從而允許在橋接局域網(wǎng)結(jié)構(gòu)中實現(xiàn)定義、運行以及管理 VLAN 拓樸結(jié)構(gòu)等操作。Tag VLAN 基于 IEEE 802.1Q（ VLAN 標(biāo)準(zhǔn)），用 VID（ VLAN ID）來劃分不同的 VLAN。

    ①VLAN Identified( VID )：這是一個 12 位的域， 指明 VLAN 的 ID， 一共 4096 個， 每個支持 802.1Q 協(xié)議的主機發(fā)送出來的數(shù)據(jù)包都會包含這個域以指明自己所屬的 VLAN。

    ②Canonical Format Indicator( CFI )：這一位主要用于總線型的以太網(wǎng)與 FDDI、 令牌環(huán)網(wǎng)交換數(shù)據(jù)時的幀格式。

    ③Priority：這 3 位指明幀的優(yōu)先級一共有 8 種優(yōu)先級主要用于當(dāng)交換機阻塞時優(yōu)先發(fā)送優(yōu)先級高的數(shù)據(jù)包。

2.3.2 VID

    VID，即交換機入站數(shù)據(jù)幀的 VLAN 標(biāo)識號。交換機根據(jù)入站數(shù)據(jù)幀的 VLAN 標(biāo)識號（ VID）將它們分類，無標(biāo)號的為一類，標(biāo)號相同的為一類。交換機根據(jù) VID 來決定轉(zhuǎn)發(fā)或者丟棄一個數(shù)據(jù)包，同時交換機也可以分配一個 VID 給一個無標(biāo)記幀或者貼了優(yōu)先級標(biāo)記的幀。

    如果一個數(shù)據(jù)幀沒有標(biāo)記 VID，交換機將會分配一個 VID 給它，并把這個 VID 插到它的幀頭中，這個過程叫做貼 VLAN 標(biāo)簽。交換機通過這個過程來處理包的轉(zhuǎn)發(fā)，來填寫數(shù)據(jù)幀的 VLAN或者優(yōu)先級信息的標(biāo)記字段。管理員可以設(shè)置優(yōu)先級別來選擇 VLAN 類型， 選擇 VID 值。

2.3.3 PVID

    PVID 為 Port-base VLAN ID，也就是端口的虛擬局域網(wǎng) ID 號，關(guān)系到端口收發(fā)數(shù)據(jù)幀時的VLAN Tag 標(biāo)記。PVID 是在劃分 VLAN 時候每個端口都有的屬性。

    交換機上的端口分為三種， 一種是接入層端口直連設(shè)備的，叫做 Access；一種是交換機和交換機之間的端口負(fù)責(zé)匯聚的叫做 Trunk，還有一種是Access與 Trunk混合的模式，叫做 Hybrid。

    Access 端口負(fù)責(zé)接終端設(shè)備，他收到一個幀的時候，如果幀這個沒有標(biāo)記他就用自己的PVID 給他打上標(biāo)記，他在發(fā)出一個幀時如果 VID=PVID 就去掉標(biāo)記以保證傳送給終端設(shè)備的幀沒有被變動過。ACCESS 端口的特點是只允許符合 PVID 的流量通過。

    Trunk 的意思是，它是一條中繼鏈路，允許各種 VLAN 通過。它的規(guī)則和 Access 差不多，當(dāng)收到一個沒有tag的標(biāo)記的時候就用自己的 PVID給他標(biāo)記，當(dāng)發(fā)送一個幀時候如果 VID=PVID則去掉 PVID，與 Access 不同的是， Trunk 有一個屬于自己的本征 VLAN，用來發(fā)送一些 CDP，BPDU 等交換機間聯(lián)系的數(shù)據(jù)或者管理流量，從交換機自身產(chǎn)生的幀在發(fā)出去的時候是不會帶標(biāo)記的，因為 VID=PVID 所以標(biāo)記被去掉，而對端接收到?jīng)]有標(biāo)記的幀時候就會用自身本征 VLAN的信息給他加上標(biāo)記，然后查看交換表如果發(fā)現(xiàn)目的地址是自己則去掉標(biāo)記，如果發(fā)現(xiàn)目的 MAC地址不是自己則繼續(xù)轉(zhuǎn)發(fā)給其他 Trunk 同時去掉標(biāo)記。

    Hybrid 是 Access 與 Trunk 的混合模式，它允許 VID=PVID。Hybrid 與 Trunk 一樣，在該端口上可以傳送多個 VLAN 的包，一般用于交換機與交換機之間，或者交換機與服務(wù)器之間的鏈接。如果收到的數(shù)據(jù)包不帶 VLAN，則加上 PVID 進(jìn)行轉(zhuǎn)發(fā)；如果收到的數(shù)據(jù)包帶 VLAN，則判斷該端口是否允許該 VLAN 進(jìn)入，如果可以則進(jìn)行轉(zhuǎn)發(fā)，否則丟棄。

2.3.4 端口處理報文方式

    A.端口對發(fā)送報文的處理

    ①Access 端口：將報文的 VLAN 標(biāo)簽剝離，直接發(fā)送出去。

    ②Trunk 端口：1.比較端口的 PVID 和將要發(fā)送報文的 VLAN 標(biāo)簽；

    2.如果兩者相等則轉(zhuǎn)到第 3 步，否則轉(zhuǎn)到第 4 步；

    3.剝離 VLAN 標(biāo)簽，再發(fā)送；

    4.直接發(fā)送

    B.端口對接收報文的處理

    ①Access 端口： 

    1.收到一個報文；

    2.判斷是否有 VLAN 標(biāo)簽：如果沒有則轉(zhuǎn)到第 3 步，否則轉(zhuǎn)到第 4 步；

    3.打上端口的 PVID，并進(jìn)行交換轉(zhuǎn)發(fā)；

    4.若 VLAN 標(biāo)簽和 PVID 一致，轉(zhuǎn)發(fā) VLAN 幀，否則丟棄

    ②Trunk 端口： 

    1.收到一個報文；

    2.判斷是否有 VLAN 標(biāo)簽：如果沒有則轉(zhuǎn)到第 3 步， 否則轉(zhuǎn)到第 4 步；

    3.打上端口的 PVID，并進(jìn)行交換轉(zhuǎn)發(fā)；

    4.判斷該 trunk 端口是否允許該 VLAN 幀進(jìn)入：如果可以則轉(zhuǎn)發(fā)，否則丟棄

2.4 VLAN 之間互通

    ①同一 VLAN 的計算機之間的通信處理在交換機內(nèi)完成。

    ②不同 VLAN 間通信時，即使通信雙方都連接在同一臺交換機上，也必須經(jīng)過如下流程：發(fā)送方——交換機——路由器——交換機——接收方

3.參考文獻(xiàn)

IEEE802.1Q

VID

PVID