概述

VLAN（ Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實(shí)現(xiàn)方案的 802.1Q 協(xié)議標(biāo)準(zhǔn)草案。

VLAN 技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶(hù)邏輯地劃分成不同的廣播域，每一個(gè) VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段。由 VLAN的特點(diǎn)可知，一個(gè) VLAN 內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他 VLAN 中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

1.1 技術(shù)優(yōu)點(diǎn)

VLAN 是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它的優(yōu)點(diǎn)如下：

①?gòu)V播風(fēng)暴防范

限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè) VLAN 可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN 分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。

②安全性

增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶(hù)組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。

③性能提高

將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。

④增加網(wǎng)絡(luò)連接的靈活性

借助 VLAN 技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶(hù)組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地 LAN 一樣方便、靈活、有效.

2.VLAN 介紹

2.1 VLAN 工作原理

圖 1 VLAN 原理示意圖

VLAN 與普通局域網(wǎng)從原理上講沒(méi)有什么不同，但從用戶(hù)使用和網(wǎng)絡(luò)管理的角度來(lái)看， VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN 并不局限于某一網(wǎng)絡(luò)或物理范圍， VLAN 中的用戶(hù)可以位于一個(gè)園區(qū)的任意位置，甚至位于不同的國(guó)家。

2.2VLAN 的劃分

①基于端口劃分的 VLAN

Port VLAN， 基于端口的 VLAN， 這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分，即明確指定各端口屬于哪個(gè) VLAN。

這種劃分的方法的優(yōu)點(diǎn)是定義 VLAN 成員時(shí)非常簡(jiǎn)單只要將所有的端口都定義一下就可以了。它的缺點(diǎn)是如果 VLAN 的用戶(hù)離開(kāi)了原來(lái)的端口到了一個(gè)新的交換機(jī)的某個(gè)端口那么就必須重新定義，不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，并且當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過(guò)一定數(shù)量（比如數(shù)百臺(tái)）后，設(shè)定操作就會(huì)變得煩雜無(wú)比。

②基于 MAC 地址劃分的 VLAN

這種劃分 VLAN 的方法是根據(jù)每個(gè)主機(jī)的 MAC 地址來(lái)劃分即對(duì)每個(gè) MAC 地址的主機(jī)都配置他屬于哪個(gè) VLAN 組。

這種劃分 VLAN 的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí)即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN 不用重新配置。這種方法的缺點(diǎn)是,在設(shè)定時(shí)必須調(diào)查所有連接的計(jì)算機(jī)的 MAC地址并加以記錄，如果計(jì)算機(jī)交換了網(wǎng)卡，還需要更改設(shè)定。

③基于網(wǎng)絡(luò)層劃分的 VLAN

這種劃分 VLAN 的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類(lèi)型(如果支持多協(xié)議)劃分的。例如，用 IP 地址分組的用戶(hù)形成一個(gè) VLAN。

這種方法的優(yōu)點(diǎn)在于用戶(hù)的位置改變了， 不需要重新配置所需的 VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分 VLAN。而且不需要附加幀標(biāo)簽來(lái)識(shí)別 VLAN，以減少網(wǎng)絡(luò)通信量。這種方法的缺點(diǎn)是效率低，需要花費(fèi)時(shí)間資源來(lái)檢查每個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址。

④根據(jù) IP 組播劃分 VLAN

IP 組播實(shí)際上也是一種 VLAN 的定義， 即認(rèn)為一個(gè)組播組就是一個(gè) VLAN， 這種劃分的方法將 VLAN 擴(kuò)大到了廣域網(wǎng)， 因此這種方法具有更大的靈活性， 而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展， 當(dāng)然這種方法不適合局域網(wǎng)， 主要是效率不高。

2.3 相關(guān)術(shù)語(yǔ)

2.3.1 IEEE 802.1Q標(biāo)準(zhǔn)

IEEE 于 1999 年正式簽發(fā)了 802.1Q 標(biāo)準(zhǔn)， 即 Virtual Bridged Local Area Networks 協(xié)議。IEEE802.1Q 標(biāo)準(zhǔn)定義了 VLAN 網(wǎng)橋操作，從而允許在橋接局域網(wǎng)結(jié)構(gòu)中實(shí)現(xiàn)定義、運(yùn)行以及管理 VLAN 拓樸結(jié)構(gòu)等操作。Tag VLAN 基于 IEEE 802.1Q（ VLAN 標(biāo)準(zhǔn)），用 VID（ VLAN ID）來(lái)劃分不同的 VLAN。

圖 2 802.1Q 幀格式

①VLAN Identified( VID )：這是一個(gè) 12 位的域， 指明 VLAN 的 ID， 一共 4096 個(gè)， 每個(gè)支持 802.1Q 協(xié)議的主機(jī)發(fā)送出來(lái)的數(shù)據(jù)包都會(huì)包含這個(gè)域以指明自己所屬的 VLAN。

②Canonical Format Indicator( CFI )：這一位主要用于總線型的以太網(wǎng)與 FDDI、 令牌環(huán)網(wǎng)交換數(shù)據(jù)時(shí)的幀格式。

③Priority：這 3 位指明幀的優(yōu)先級(jí)一共有 8 種優(yōu)先級(jí)主要用于當(dāng)交換機(jī)阻塞時(shí)優(yōu)先發(fā)送優(yōu)先級(jí)高的數(shù)據(jù)包。

2.3.2 VID

VID，即交換機(jī)入站數(shù)據(jù)幀的 VLAN 標(biāo)識(shí)號(hào)。交換機(jī)根據(jù)入站數(shù)據(jù)幀的 VLAN 標(biāo)識(shí)號(hào)（ VID）將它們分類(lèi)，無(wú)標(biāo)號(hào)的為一類(lèi)，標(biāo)號(hào)相同的為一類(lèi)。交換機(jī)根據(jù) VID 來(lái)決定轉(zhuǎn)發(fā)或者丟棄一個(gè)數(shù)據(jù)包，同時(shí)交換機(jī)也可以分配一個(gè) VID 給一個(gè)無(wú)標(biāo)記幀或者貼了優(yōu)先級(jí)標(biāo)記的幀。

如果一個(gè)數(shù)據(jù)幀沒(méi)有標(biāo)記 VID，交換機(jī)將會(huì)分配一個(gè) VID 給它，并把這個(gè) VID 插到它的幀頭中，這個(gè)過(guò)程叫做貼 VLAN 標(biāo)簽。交換機(jī)通過(guò)這個(gè)過(guò)程來(lái)處理包的轉(zhuǎn)發(fā)，來(lái)填寫(xiě)數(shù)據(jù)幀的 VLAN或者優(yōu)先級(jí)信息的標(biāo)記字段。管理員可以設(shè)置優(yōu)先級(jí)別來(lái)選擇 VLAN 類(lèi)型， 選擇 VID 值。

2.3.3 PVID

PVID 為 Port-base VLAN ID，也就是端口的虛擬局域網(wǎng) ID 號(hào)，關(guān)系到端口收發(fā)數(shù)據(jù)幀時(shí)的VLAN Tag 標(biāo)記。PVID 是在劃分 VLAN 時(shí)候每個(gè)端口都有的屬性。

交換機(jī)上的端口分為三種， 一種是接入層端口直連設(shè)備的，叫做 Access；一種是交換機(jī)和交換機(jī)之間的端口負(fù)責(zé)匯聚的叫做 Trunk，還有一種是Access與 Trunk混合的模式，叫做 Hybrid。

Access 端口負(fù)責(zé)接終端設(shè)備，他收到一個(gè)幀的時(shí)候，如果幀這個(gè)沒(méi)有標(biāo)記他就用自己的PVID 給他打上標(biāo)記，他在發(fā)出一個(gè)幀時(shí)如果 VID=PVID 就去掉標(biāo)記以保證傳送給終端設(shè)備的幀沒(méi)有被變動(dòng)過(guò)。ACCESS 端口的特點(diǎn)是只允許符合 PVID 的流量通過(guò)。

Trunk 的意思是，它是一條中繼鏈路，允許各種 VLAN 通過(guò)。它的規(guī)則和 Access 差不多，當(dāng)收到一個(gè)沒(méi)有tag的標(biāo)記的時(shí)候就用自己的 PVID給他標(biāo)記，當(dāng)發(fā)送一個(gè)幀時(shí)候如果 VID=PVID則去掉 PVID，與 Access 不同的是， Trunk 有一個(gè)屬于自己的本征 VLAN，用來(lái)發(fā)送一些 CDP，BPDU 等交換機(jī)間聯(lián)系的數(shù)據(jù)或者管理流量，從交換機(jī)自身產(chǎn)生的幀在發(fā)出去的時(shí)候是不會(huì)帶標(biāo)記的，因?yàn)?VID=PVID 所以標(biāo)記被去掉，而對(duì)端接收到?jīng)]有標(biāo)記的幀時(shí)候就會(huì)用自身本征 VLAN的信息給他加上標(biāo)記，然后查看交換表如果發(fā)現(xiàn)目的地址是自己則去掉標(biāo)記，如果發(fā)現(xiàn)目的 MAC地址不是自己則繼續(xù)轉(zhuǎn)發(fā)給其他 Trunk 同時(shí)去掉標(biāo)記。

Hybrid 是 Access 與 Trunk 的混合模式，它允許 VID=PVID。Hybrid 與 Trunk 一樣，在該端口上可以傳送多個(gè) VLAN 的包，一般用于交換機(jī)與交換機(jī)之間，或者交換機(jī)與服務(wù)器之間的鏈接。如果收到的數(shù)據(jù)包不帶 VLAN，則加上 PVID 進(jìn)行轉(zhuǎn)發(fā)；如果收到的數(shù)據(jù)包帶 VLAN，則判斷該端口是否允許該 VLAN 進(jìn)入，如果可以則進(jìn)行轉(zhuǎn)發(fā)，否則丟棄。

2.3.4 端口處理報(bào)文方式

A.端口對(duì)發(fā)送報(bào)文的處理

①Access 端口：將報(bào)文的 VLAN 標(biāo)簽剝離，直接發(fā)送出去。

②Trunk 端口：1.比較端口的 PVID 和將要發(fā)送報(bào)文的 VLAN 標(biāo)簽；

2.如果兩者相等則轉(zhuǎn)到第 3 步，否則轉(zhuǎn)到第 4 步；

3.剝離 VLAN 標(biāo)簽，再發(fā)送；

4.直接發(fā)送

B.端口對(duì)接收?qǐng)?bào)文的處理

①Access 端口：

1.收到一個(gè)報(bào)文；

2.判斷是否有 VLAN 標(biāo)簽：如果沒(méi)有則轉(zhuǎn)到第 3 步，否則轉(zhuǎn)到第 4 步；

3.打上端口的 PVID，并進(jìn)行交換轉(zhuǎn)發(fā)；

4.若 VLAN 標(biāo)簽和 PVID 一致，轉(zhuǎn)發(fā) VLAN 幀，否則丟棄

②Trunk 端口：

1.收到一個(gè)報(bào)文；

2.判斷是否有 VLAN 標(biāo)簽：如果沒(méi)有則轉(zhuǎn)到第 3 步， 否則轉(zhuǎn)到第 4 步；

3.打上端口的 PVID，并進(jìn)行交換轉(zhuǎn)發(fā)；

4.判斷該 trunk 端口是否允許該 VLAN 幀進(jìn)入：如果可以則轉(zhuǎn)發(fā)，否則丟棄

2.4 VLAN 之間互通

圖 3 不同 VLAN 間通過(guò)路由器通信

①同一 VLAN 的計(jì)算機(jī)之間的通信處理在交換機(jī)內(nèi)完成。

②不同 VLAN 間通信時(shí)，即使通信雙方都連接在同一臺(tái)交換機(jī)上，也必須經(jīng)過(guò)如下流程：發(fā)送方——交換機(jī)——路由器——交換機(jī)——接收方

3.參考文獻(xiàn)

IEEE802.1Q

VID

PVID

審核編輯：湯梓紅