VLAN在企業(yè)網(wǎng)、校園網(wǎng)等基礎(chǔ)組網(wǎng)中發(fā)揮著重要作用。VLAN 不僅使工程師能夠很好地控制他們的網(wǎng)絡(luò)系統(tǒng)，而且提高了網(wǎng)絡(luò)的安全性和可擴(kuò)展性。它是在虛擬化領(lǐng)域提供管理的基礎(chǔ)，即使虛擬機(jī)不斷遷移，挑戰(zhàn)網(wǎng)絡(luò)管理的基礎(chǔ)。在本教程中，將探討 VLAN 配置、VLAN 標(biāo)記和 VLAN 間路由等基礎(chǔ)知識。

什么是 VLAN，為什么需要它？

通過VLAN，可以將局域網(wǎng)網(wǎng)絡(luò)劃分為不同的組，A組中的數(shù)據(jù)不能轉(zhuǎn)發(fā)給B組或其他組，提高了網(wǎng)絡(luò)安全性，簡化了管理。如下圖所示。

那么為什么網(wǎng)絡(luò)中需要VLAN呢？VLAN 通過將大型網(wǎng)絡(luò)邏輯分割成許多較小的網(wǎng)絡(luò)來減少獨(dú)占廣播，控制廣播流量并提高網(wǎng)絡(luò)效率。

您可以在了解虛擬 LAN (VLAN)技術(shù)中了解 有關(guān) VLAN 技術(shù)的更多信息。

VLAN 配置

通常，配置 VLAN 有兩種方式——靜態(tài) VLAN 和動(dòng)態(tài) VLAN。并且配置取決于VLAN的需要。

靜態(tài) VLAN：通過將端口分配給一個(gè) VLAN 來創(chuàng)建。而如果用戶將接入端口更改為VLAN，則需要重新配置端口，對于那些較大的網(wǎng)絡(luò)來說，這很難管理。

動(dòng)態(tài)VLAN：比靜態(tài)VLAN靈活得多。它通常使用軟件或協(xié)議創(chuàng)建。

通常，動(dòng)態(tài) VLAN 可以分為三類：基于 MAC 的 VLAN、基于 IP 子網(wǎng)的 VLAN 和基于用戶的 VLAN。

您可以在了解虛擬 LAN (VLAN) 技術(shù)中了解 有關(guān) VLAN 類型的更多信息。

VLAN 連接鏈路的類型

談到 VLAN，Trunk 和 Access 鏈路是不容忽視的。在 VLAN 的世界中有兩種類型的接口或鏈路。這些鏈路使管理員能夠?qū)⒍鄠€(gè)交換機(jī)連接在一起，或者只是簡單的網(wǎng)絡(luò)設(shè)備，如將訪問 VLAN 網(wǎng)絡(luò)的 PC。

訪問鏈接

接入鏈路是最常見的鏈路類型，可以在任何 VLAN 交換機(jī)上看到。要訪問本地網(wǎng)絡(luò)，所有網(wǎng)絡(luò)主機(jī)都需要連接交換機(jī)的訪問鏈路。這些鏈路是每個(gè)以太網(wǎng)交換機(jī)上的非常普通的端口，并以特殊方式配置。因此，用戶可以插入計(jì)算機(jī)并訪問網(wǎng)絡(luò)。一個(gè) VLAN 交換機(jī)上的接入鏈路端口（下圖中的 24x100/1000BASE-T 端口）可以配置為一個(gè)或多個(gè) VLAN。

圖 2：FS.COM S5850-48T4Q VLAN 交換機(jī)上的訪問端口

中繼鏈路

與接入鏈路不同，VLAN 中繼鏈路通常配置為承載多個(gè) VLAN。中繼端口通常位于交換機(jī)之間的連接中。通過 VLAN 中繼，用戶可以將 VLAN 擴(kuò)展到整個(gè)網(wǎng)絡(luò)。例如，有四個(gè)用戶（標(biāo)記為 A、B、C 和 D）位于一棟辦公樓的不同樓層。用戶 A 和 C 屬于一個(gè) VLAN，B 和 D 屬于另一個(gè) VLAN。如何有效地將它們配置在一個(gè) VLAN 中？就是設(shè)置一個(gè)trunk端口。

圖 3：不同 VLAN 連接的 VLAN 中繼端口

為了區(qū)分流量，通過中繼鏈路的所有幀在交換機(jī)之間通過時(shí)都用特殊標(biāo)簽進(jìn)行標(biāo)記。它稱為 VLAN 標(biāo)記。在上面的示例中，來自用戶 A 的幀在通過交換機(jī) 1 上的中繼端口時(shí)將被添加一個(gè)特殊標(biāo)簽。當(dāng)它到達(dá)交換機(jī) 2 時(shí)，中繼端口識別該特殊標(biāo)簽并告知它屬于哪個(gè) VLAN。然后特殊標(biāo)簽將被刪除，幀將被轉(zhuǎn)發(fā)給用戶 C。

VLAN 標(biāo)記

這里介紹可以實(shí)現(xiàn)交換機(jī)間VLAN創(chuàng)建的常用VLAN tagging方法。

IEEE 802.1Q：也稱為“Dot One Q”，它是用于標(biāo)記 VLAN 中繼上的幀的 IEEE 標(biāo)準(zhǔn)，最多支持 4096 個(gè) VLAN。在這種方法中，在原始幀中插入一個(gè) 4 字節(jié)的標(biāo)簽，并在通過中繼鏈路發(fā)送幀之前重新計(jì)算 FCS（幀校驗(yàn)序列）。并且在接收端去除標(biāo)簽，然后將幀發(fā)送到分配的VLAN。FS.COM中的所有第 2 層交換機(jī)都支持 4096 個(gè) VLAN。

圖 4：VLAN 標(biāo)記——IEEE 802.1Q

注： TPID 指 Tag Protocol Identifier；TCI 指標(biāo)簽控制信息。用戶優(yōu)先級是一個(gè) 3 位字段，允許在幀中編碼優(yōu)先級信息。CFI 是一個(gè) 1 位指示器，對于以太網(wǎng)交換機(jī)，始終設(shè)置為零。VID字段涉及VLAN的標(biāo)識符。

ISL（Inter-Switch Link）： ISL 是一種類似于 IEEE 802.1Q 的協(xié)議。它是 Cisco 專有協(xié)議，用于互連多個(gè)交換機(jī)，并在流量在交換機(jī)之間傳輸時(shí)維護(hù) VLAN 信息。ISL 最多支持 1000 個(gè) VLAN。在 ISL 中，在通過中繼鏈路的幀之前添加了一個(gè)額外的報(bào)頭。在接收端，標(biāo)頭被刪除，幀被發(fā)送到分配的 VLAN。

圖 5：ISL（交換機(jī)間鏈路）

VLAN間路由：不同VLAN之間的橋接

正如我們上面所說的，每個(gè) VLAN 都是獨(dú)立的，不同 VLAN 之間的數(shù)據(jù)是互不干擾的。那么如何實(shí)現(xiàn)跨VLAN的信息傳輸呢？這是VLAN間路由。管理員可以通過三層交換機(jī)或路由器實(shí)現(xiàn) VLAN 間路由。在接下來的部分中，本文將重點(diǎn)介紹使用路由器進(jìn)行 VLAN 間路由。

我們知道，每個(gè) VLAN 都是一個(gè)唯一的廣播域，當(dāng)路由器與交換機(jī)相連時(shí)，各個(gè) VLAN 之間的流量都可以通過路由器進(jìn)行轉(zhuǎn)發(fā)。為了節(jié)省成本和簡化網(wǎng)絡(luò)管理，Trunk Link也用于VLAN間路由。這里舉一個(gè)例子來說明這個(gè)過程是如何工作的。如下圖所示。交換機(jī)分為兩個(gè) VLAN，用不同的顏色標(biāo)記。現(xiàn)在需要計(jì)算機(jī) A 和 C 之間的通信。

來自計(jì)算機(jī) A 的幀將通過中繼端口并添加屬于 VLAN 1 的特殊標(biāo)記。標(biāo)記的幀將被路由器識別，然后由路由器上屬于 VLAN 1 的端口接收。在路由器內(nèi)部，tagged frame 的目的 MAC 地址會更改為計(jì)算機(jī) C 的地址，屬于 VLAN 1 的特殊 tag 會被移除。但是標(biāo)簽屬于VLAN 2。由于計(jì)算機(jī)C連接的是公共接入端口，因此幀的標(biāo)簽將被去除，然后轉(zhuǎn)發(fā)到計(jì)算機(jī)C。

圖 6：VLAN 間路由

如果 VLAN 間路由在同一個(gè) VLAN 內(nèi)，則該幀不會通過路由器，路由將在交換機(jī)中完成。此外，隨著 VLAN 之間流量的增長，第 3 層交換機(jī)因其高性能和容量而成為 VLAN 間路由的更好選擇。

概括

VLAN是當(dāng)今網(wǎng)絡(luò)建設(shè)和管理中的一項(xiàng)重要技術(shù)。它使網(wǎng)絡(luò)用戶在不同的應(yīng)用程序中相互通信，但連接到同一個(gè)物理網(wǎng)絡(luò)。而VLAN技術(shù)目前還在發(fā)展中。