VLAN是什么意思？

前言

?以太網是一種基于CSMA/CD的數據網絡通信技術，其特征是共享通信介質。當主機數目較多時會導致安全隱患、廣播泛濫、性能顯著下降甚至造成網絡不可用。

?在這種情況下出現了VLAN (Virtual Local Area Network)技術解決以上問題。

?在本課程中，將介紹VLAN技術的相關概念，介紹不同二層接口的工作原理，并且會介紹VLAN的應用及其數據轉發原理和相關配置。

傳統以太網的問題

?廣播域：

?如圖是一個典型的交換網絡，網絡中只有終端計算機和交換機。在這樣的網絡中，如果某一臺計算機發送了一個廣播幀，由于交換機對廣播幀執行泛洪操作，結果所有其他的計算機都會收到這個廣播幀。

?把廣播幀所能到達的整個訪問范圍稱為二層廣播域，簡稱廣播域 (Broadcast Domain)。顯然，一個交換網絡其實就是一個廣播域。

?網絡安全問題和垃圾流量問題：

?如圖：如果PC1向PC2發送了一個單播幀。此時SW1、SW3、SW7的MAC地址表中存在關于PC2的MAC地址表項，但SW2和SW5不存在關于PC2的MAC地址表項。那么，SW1和SW3將對該單播幀執行點對點的轉發操作，SW7將對該單播幀執行丟棄操作，SW2和SW5將對該單播幀執行泛洪操作。最后的結果是，PC2雖然收到了該單播幀，但網絡中的很多其他非目的主機，同樣收到了不該接收的數據幀。

?顯然，廣播域越大，網絡安全問題和垃圾流量問題就越嚴重。

?在典型交換網絡中，當某臺主機發送一個廣播幀或未知單播幀時，該數據幀會被泛洪，甚至傳遞到整個廣播域。

?廣播域越大，產生的網絡安全問題、垃圾流量問題，就越嚴重。

虛擬局域網 (VLAN, Virtual LAN)

?為了解決廣播域帶來的問題，人們引入了VLAN (Virtual Local Area Network)，即虛擬局域網技術：

?通過在交換機上部署VLAN，可以將一個規模較大的廣播域在邏輯上劃分成若干個不同的、規模較小的廣播域，由此可以有效地提升網絡的安全性，同時減少垃圾流量，節約網絡資源。

?VLAN的特點：

?一個VLAN就是一個廣播域，所以在同一個VLAN內部，計算機可以直接進行二層通信；而不同VLAN內的計算機，無法直接進行二層通信，只能進行三層通信來傳遞信息，即廣播報文被限制在一個VLAN內。

?VLAN的劃分不受地域的限制。

?VLAN的好處：

?靈活構建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。

?限制廣播域：廣播域被限制在一個VLAN內，節省了帶寬，提高了網絡處理能力。

?增強局域網的安全性：不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信。

?提高了網絡的健壯性：故障被限制在一個VLAN內，本VLAN內的故障不會影響其他VLAN的正常工作。

?注：二層，即數據鏈路層。

虛擬局域網VLAN可以隔離廣播域。

特點：

不受地域限制。

同一VLAN內的設備才能直接進行二層通信。

如何實現VLAN

?Switch1與Switch2同屬一個企業，該企業統一規劃了網絡中的VLAN。其中VLAN10用于A部門，VLAN20用于B部門。A、B部門的員工在Switch1和Switch2上都有接入。

?PC1發出的數據經過Switch1和Switch2之間的鏈路到達了Switch2。如果不加處理，后者無法判斷該數據所屬的VLAN，也不知道應該將這個數據輸出到本地哪個VLAN中。

VLAN標簽 (VLAN Tag)

?交換機如何識別接收到的數據幀屬于哪個VLAN？

?如圖所示，SW1識別出某個幀是屬于哪個VLAN后，會在這個幀的特定位置上添加一個標簽。這個標簽明確地標明了這個幀是屬于哪個VLAN的。其他交換機（如SW2）收到這個帶標簽的數據幀后，就能輕而易舉地直接根據標簽信息識別出這個幀屬于哪個VLAN。

?IEEE 802.1Q定義了這種帶標簽的數據幀的格式。滿足這種格式的數據幀稱為IEEE 802.1Q數據幀，也稱VLAN數據幀。

VLAN標簽：

?要使交換機能夠分辨不同VLAN的報文，需要在報文中添加標識VLAN信息的字段。

?IEEE 802.1Q協議規定，在以太網數據幀中加入4個字節的VLAN標簽，又稱VLAN Tag，簡稱Tag。

VLAN數據幀

?在一個VLAN交換網絡中，以太網幀主要有以下兩種形式：

?有標記幀（Tagged幀）：IEEE 802.1Q協議規定，在以太網數據幀的目的MAC地址和源MAC地址字段之后、協議類型字段之前加入4個字節的VLAN標簽（又稱VLAN Tag，簡稱Tag）的數據幀。

?無標記幀（Untagged幀）：原始的、未加入4字節VLAN標簽的數據幀。 ?VLAN數據幀中的主要字段：

?TPID：2字節，Tag Protocol Identifier（標簽協議標識符），表示數據幀類型。

?取值為0x8100時表示IEEE 802.1Q的VLAN數據幀。如果不支持802.1Q的設備收到這樣的幀，會將其丟棄。

?各設備廠商可以自定義該字段的值。當鄰居設備將TPID值配置為非0x8100時，為了能夠識別這樣的報文，實現互通，必須在本設備上修改TPID值，確保和鄰居設備的TPID值配置一致。 ?PRI：3 bit，Priority，表示數據幀的優先級，用于QoS。

?取值范圍為0～7，值越大優先級越高。當網絡阻塞時，交換機優先發送優先級高的數據幀。

VLAN的實現

?Switch1和Switch2之間的鏈路要承載多個VLAN的數據，需要一種基于VLAN的數據“標記”手段，以便對不同VLAN的數據幀進行區分。

?IEEE 802.1Q標準（也被稱為Dot1Q）定義了該“標記”方法。該標準對傳統的以太網數據幀進行修改，在幀頭中插入802.1Q Tag，而在該Tag中，便可以寫入VLAN信息。

VLAN的劃分方式

整個網絡是如何劃分VLAN的？

VLAN劃分方式

VLAN 10

VLAN 20

基于接口

GE0/0/1，GE0/0/3

GE0/0/2，GE0/0/4

基于MAC地址

MAC 1，MAC 3

MAC 2，MAC 4

基于IP子網劃分

10.0.1.*

10.0.2.*

基于協議劃分

IP

IPv6

基于策略

10.0.1.* + GE0/0/1+ MAC 1

10.0.2.* + GE0/0/2 + MAC 2

基于接口的VLAN劃分

?劃分原則：

?將VLAN ID配置到交換機的物理接口上，從某一個物理接口進入交換機的、由終端計算機發送的Untagged數據幀都被劃分到該接口的VLAN ID所表明的那個VLAN。

?特點：

?這種劃分原則簡單而直觀，實現容易，是目前實際的網絡應用中最為廣泛的劃分VLAN的方式。 ?當計算機接入交換機的端口發生了變化時，該計算機發送的幀的VLAN歸屬可能會發生變化。

?缺省VLAN，PVID (Port VLAN ID)

?每個交換機的接口都應該配置一個PVID，到達這個端口的Untagged幀將一律被交換機劃分到PVID所指代的VLAN。 ?默認情況下，PVID的值為1。

基于接口的VLAN劃分

?原理

?根據交換機的接口來劃分VLAN。

?網絡管理員預先給交換機的每個接口配置不同的PVID，將該接口劃入PVID對應的VLAN。

?當一個數據幀進入交換機時，如果沒有帶VLAN標簽，該數據幀就會被打上接口指定PVID的Tag，然后數據幀將在指定PVID中傳輸。

?缺省VLAN，PVID

?Port VLAN ID，是接口上的缺省VLAN。

?取值：1~4094。

基于MAC地址的VLAN劃分

SW1的MAC地址與VLAN表

MAC地址

VLAN ID

MAC 1

10

MAC 2

10

……

……

?劃分原則：

?交換機內部建立并維護了一個MAC地址與VLAN ID的對應表。當交換機接收到計算機發送的Untagged幀時，交換機將分析幀中的源MAC地址，然后查詢MAC地址與VLAN ID的對應表，并根據對應關系把這個幀劃分到相應的VLAN中。

?特點：

?這種劃分實現稍微復雜，但靈活性得到了提高。

?當計算機接入交換機的端口發生了變化時，該計算機發送的幀的VLAN歸屬不會發生變化（因為計算機的MAC地址沒有變）。

?但這種類型的VLAN劃分安全性不是很高，因為惡意計算機很容易偽造MAC地址。

基于MAC地址的VLAN劃分

?原理

?根據數據幀的源MAC地址來劃分VLAN。

?網絡管理員預先配置MAC地址和VLAN ID映射關系表。

?當交換機收到的是Untagged幀時，就依據該表給數據幀添加指定VLAN的Tag，然后數據幀將在指定VLAN中傳輸。

?映射表

?記錄了MAC地址和VLAN ID的關聯情況。

以太網二層接口類型

接口類型

?Access接口

交換機上常用來連接用戶PC、服務器等終端設備的接口。Access接口所連接的這些設備的網卡往往只收發無標記幀。Access接口只能加入一個VLAN。

?Trunk接口

Trunk接口允許多個VLAN的數據幀通過，這些數據幀通過802.1Q Tag實現區分。Trunk接口常用于交換機之間的互聯，也用于連接路由器、防火墻等設備的子接口。

?Hybrid接口

Hybrid接口與Trunk接口類似，也允許多個VLAN的數據幀通過，這些數據幀通過802.1Q Tag實現區分。用戶可以靈活指定Hybrid接口在發送某個（或某些）VLAN的數據幀時是否攜帶Tag。

Access接口

?上文已經介紹了交換機如何識別數據幀屬于哪個VLAN以及VLAN的劃分方式，那交換機對于Untagged幀和Tagged幀又是如何處理的呢？

?Access接口特點：

?僅允許VLAN ID與接口PVID相同的數據幀通過。

?Access接口接收數據幀：

?當Access接口從鏈路上收到一個Untagged幀，交換機會在這個幀中添加上VID為PVID的Tag，然后對得到的Tagged幀進行轉發操作（泛洪、轉發、丟棄）。

?當Access接口從鏈路上收到一個Tagged幀，交換機會檢查這個幀的Tag中的VID是否與PVID相同。如果相同，則對這個Tagged幀進行轉發操作；如果不同，則直接丟棄這個Tagged幀。 ?Access接口發送數據幀：

?當一個Tagged幀從本交換機的其他接口到達一個Access接口后，交換機會檢查這個幀的Tag中的VID是否與PVID相同：

?如果相同，則將這個Tagged幀的Tag進行剝離，然后將得到的Untagged幀從鏈路上發送出去；

?如果不同，則直接丟棄這個Tagged幀。

Trunk接口

?對于Trunk接口，除了要配置PVID外，還必須配置允許通過的VLAN ID列表，其中VLAN 1是默認存在的。

?Trunk接口特點：

?Trunk接口僅允許VLAN ID在允許通過列表中的數據幀通過。

?Trunk接口可以允許多個VLAN的幀帶Tag通過，但只允許一個VLAN的幀從該類接口上發出時不帶Tag（即剝除Tag）。

?Trunk接口接收數據幀：

?當Trunk接口從鏈路上收到一個Untagged幀，交換機會在這個幀中添加上VID為PVID的Tag，然后查看PVID是否在允許通過的VLAN ID列表中。如果在，則對得到的Tagged幀進行轉發操作；如果不在，則直接丟棄得到的Tagged幀。

?當Trunk接口從鏈路上收到一個Tagged幀，交換機會檢查這個幀的Tag中的VID是否在允許通過的VLAN ID列表中。如果在，則對這個Tagged幀進行轉發操作；如果不在，則直接丟棄這個Tagged幀。

?Trunk接口發送數據幀：

?當一個Tagged幀從本交換機的其他接口到達一個Trunk接口后，如果這個幀的Tag中的VID不在允許通過的VLAN ID列表中，則該Tagged幀會被直接丟棄。

?當一個Tagged幀從本交換機的其他接口到達一個Trunk接口后，如果這個幀的Tag中的VID在允許通過的VLAN ID列表中，則會比較該Tag中的VID是否與接口的PVID相同：

?如果相同，則交換機會對這個Tagged幀的Tag進行剝離，然后將得到的Untagged幀從鏈路上發送出去；

?如果不同，則交換機不會對這個Tagged幀的Tag進行剝離，而是直接將它從鏈路上發送出去。

Access接口與Trunk接口舉例

?請描述主機之間數據訪問的全流程。

SW1與SW2的Trunk接口

允許通過列表

VLAN ID

1

10

20

?在本例中，SW1和SW2連接主機的接口為Access接口，PVID如圖所示。SW1和SW2互連的接口為Trunk接口，PVID都為1，此Trunk接口的允許通過的VLAN ID列表也如圖所示。 ?請描述主機之間數據互訪的全流程。

Hybrid接口

?對于Hybrid接口，除了要配置PVID外，還存在兩個允許通過的VLAN ID列表，一個是Untagged VLAN ID列表，另一個是Tagged VLAN ID列表，其中VLAN 1默認在Untagged VLAN列表中。這兩個允許通過列表中的所有VLAN的幀都是允許通過這個Hybrid接口的。

?Hybrid接口特點：

?Hybrid接口僅允許VLAN ID在允許通過列表中的數據幀通過。

?Hybrid接口可以允許多個VLAN的幀帶Tag通過，且允許從該類接口發出的幀根據需要配置某些VLAN的幀帶Tag、某些VLAN的幀不帶Tag。

?與Trunk最主要的區別就是，能夠支持多個VLAN的數據幀，不帶標簽通過。

?Hybrid接口接收數據幀：

?當Hybrid接口從鏈路上收到一個Untagged幀，交換機會在這個幀中添加上VID為PVID的Tag，然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在，則對得到的Tagged幀進行轉發操作；如果不在，則直接丟棄得到的Tagged幀。

?當Hybrid接口從鏈路上收到一個Tagged幀，交換機會檢查這個幀的Tag中的VID是否在Untagged或Tagged VLAN ID列表中。如果在，則對這個Tagged幀進行轉發操作；如果不在，則直接丟棄這個Tagged幀。

?Hybrid接口發送數據幀：

?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后，如果這個幀的Tag中的VID既不在Untagged VLAN ID列表中，也不在Tagged VLAN ID列表中，則該Tagged幀會被直接丟棄。 ?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后，如果這個幀的Tag中的VID在Untagged VLAN ID列表中，則交換機會對這個Tagged幀的Tag進行剝離，然后將得到的Untagged幀從鏈路上發送出去。

?當一個Tagged幀從本交換機的其他接口到達一個Hybrid接口后，如果這個幀的Tag中的VID在Tagged VLAN ID列表中，則交換機不會對這個Tagged幀的Tag進行剝離，而是直接將它從鏈路上發送出去。

Hybrid接口舉例

?請描述主機訪問服務器的全流程。

?在本例中，SW1和SW2連接主機的接口以及互連的接口均為Hybrid接口，PVID如圖所示，Hybrid接口的允許通過的VLAN ID列表也如圖所示。 ?請描述兩個主機互訪服務器的全流程。

交換機1的允許通過列表

交換機2的允許通過列表

小結