VLAN在企業(yè)網(wǎng)、校園網(wǎng)等基礎(chǔ)組網(wǎng)中發(fā)揮著重要作用。VLAN 不僅使工程師能夠很好地控制他們的網(wǎng)絡(luò)系統(tǒng)，而且提高了網(wǎng)絡(luò)的安全性和可擴(kuò)展性。它是在虛擬化領(lǐng)域提供管理的基礎(chǔ)，即使虛擬機(jī)不斷遷移，挑戰(zhàn)網(wǎng)絡(luò)管理的基礎(chǔ)。在本教程中，將探討 VLAN 配置、VLAN 標(biāo)記和 VLAN 間路由等基礎(chǔ)知識(shí)。

什么是 VLAN，為什么需要它？

通過(guò)VLAN，可以將局域網(wǎng)網(wǎng)絡(luò)劃分為不同的組，A組中的數(shù)據(jù)不能轉(zhuǎn)發(fā)給B組或其他組，提高了網(wǎng)絡(luò)安全性，簡(jiǎn)化了管理。如下圖所示。

那么為什么網(wǎng)絡(luò)中需要VLAN呢？VLAN 通過(guò)將大型網(wǎng)絡(luò)邏輯分割成許多較小的網(wǎng)絡(luò)來(lái)減少獨(dú)占廣播，控制廣播流量并提高網(wǎng)絡(luò)效率。

您可以在了解虛擬 LAN (VLAN)技術(shù)中了解 有關(guān) VLAN 技術(shù)的更多信息。

VLAN 配置

通常，配置 VLAN 有兩種方式——靜態(tài) VLAN 和動(dòng)態(tài) VLAN。并且配置取決于VLAN的需要。

靜態(tài) VLAN：通過(guò)將端口分配給一個(gè) VLAN 來(lái)創(chuàng)建。而如果用戶將接入端口更改為VLAN，則需要重新配置端口，對(duì)于那些較大的網(wǎng)絡(luò)來(lái)說(shuō)，這很難管理。

動(dòng)態(tài)VLAN：比靜態(tài)VLAN靈活得多。它通常使用軟件或協(xié)議創(chuàng)建。

通常，動(dòng)態(tài) VLAN 可以分為三類(lèi)：基于 MAC 的 VLAN、基于 IP 子網(wǎng)的 VLAN 和基于用戶的 VLAN。

您可以在了解虛擬 LAN (VLAN) 技術(shù)中了解 有關(guān) VLAN 類(lèi)型的更多信息。

VLAN 連接鏈路的類(lèi)型

談到 VLAN，Trunk 和 Access 鏈路是不容忽視的。在 VLAN 的世界中有兩種類(lèi)型的接口或鏈路。這些鏈路使管理員能夠?qū)⒍鄠€(gè)交換機(jī)連接在一起，或者只是簡(jiǎn)單的網(wǎng)絡(luò)設(shè)備，如將訪問(wèn) VLAN 網(wǎng)絡(luò)的 PC。

訪問(wèn)鏈接

接入鏈路是最常見(jiàn)的鏈路類(lèi)型，可以在任何 VLAN 交換機(jī)上看到。要訪問(wèn)本地網(wǎng)絡(luò)，所有網(wǎng)絡(luò)主機(jī)都需要連接交換機(jī)的訪問(wèn)鏈路。這些鏈路是每個(gè)以太網(wǎng)交換機(jī)上的非常普通的端口，并以特殊方式配置。因此，用戶可以插入計(jì)算機(jī)并訪問(wèn)網(wǎng)絡(luò)。一個(gè) VLAN 交換機(jī)上的接入鏈路端口（下圖中的 24x100/1000BASE-T 端口）可以配置為一個(gè)或多個(gè) VLAN。

圖 2：FS.COM S5850-48T4Q VLAN 交換機(jī)上的訪問(wèn)端口

中繼鏈路

與接入鏈路不同，VLAN 中繼鏈路通常配置為承載多個(gè) VLAN。中繼端口通常位于交換機(jī)之間的連接中。通過(guò) VLAN 中繼，用戶可以將 VLAN 擴(kuò)展到整個(gè)網(wǎng)絡(luò)。例如，有四個(gè)用戶（標(biāo)記為 A、B、C 和 D）位于一棟辦公樓的不同樓層。用戶 A 和 C 屬于一個(gè) VLAN，B 和 D 屬于另一個(gè) VLAN。如何有效地將它們配置在一個(gè) VLAN 中？就是設(shè)置一個(gè)trunk端口。

圖 3：不同 VLAN 連接的 VLAN 中繼端口

為了區(qū)分流量，通過(guò)中繼鏈路的所有幀在交換機(jī)之間通過(guò)時(shí)都用特殊標(biāo)簽進(jìn)行標(biāo)記。它稱(chēng)為 VLAN 標(biāo)記。在上面的示例中，來(lái)自用戶 A 的幀在通過(guò)交換機(jī) 1 上的中繼端口時(shí)將被添加一個(gè)特殊標(biāo)簽。當(dāng)它到達(dá)交換機(jī) 2 時(shí)，中繼端口識(shí)別該特殊標(biāo)簽并告知它屬于哪個(gè) VLAN。然后特殊標(biāo)簽將被刪除，幀將被轉(zhuǎn)發(fā)給用戶 C。

VLAN 標(biāo)記

這里介紹可以實(shí)現(xiàn)交換機(jī)間VLAN創(chuàng)建的常用VLAN tagging方法。

IEEE 802.1Q：也稱(chēng)為“Dot One Q”，它是用于標(biāo)記 VLAN 中繼上的幀的 IEEE 標(biāo)準(zhǔn)，最多支持 4096 個(gè) VLAN。在這種方法中，在原始幀中插入一個(gè) 4 字節(jié)的標(biāo)簽，并在通過(guò)中繼鏈路發(fā)送幀之前重新計(jì)算 FCS（幀校驗(yàn)序列）。并且在接收端去除標(biāo)簽，然后將幀發(fā)送到分配的VLAN。FS.COM中的所有第 2 層交換機(jī)都支持 4096 個(gè) VLAN。

圖 4：VLAN 標(biāo)記——IEEE 802.1Q

注： TPID 指 Tag Protocol Identifier；TCI 指標(biāo)簽控制信息。用戶優(yōu)先級(jí)是一個(gè) 3 位字段，允許在幀中編碼優(yōu)先級(jí)信息。CFI 是一個(gè) 1 位指示器，對(duì)于以太網(wǎng)交換機(jī)，始終設(shè)置為零。VID字段涉及VLAN的標(biāo)識(shí)符。

ISL（Inter-Switch Link）： ISL 是一種類(lèi)似于 IEEE 802.1Q 的協(xié)議。它是 Cisco 專(zhuān)有協(xié)議，用于互連多個(gè)交換機(jī)，并在流量在交換機(jī)之間傳輸時(shí)維護(hù) VLAN 信息。ISL 最多支持 1000 個(gè) VLAN。在 ISL 中，在通過(guò)中繼鏈路的幀之前添加了一個(gè)額外的報(bào)頭。在接收端，標(biāo)頭被刪除，幀被發(fā)送到分配的 VLAN。

圖 5：ISL（交換機(jī)間鏈路）

VLAN間路由：不同VLAN之間的橋接

正如我們上面所說(shuō)的，每個(gè) VLAN 都是獨(dú)立的，不同 VLAN 之間的數(shù)據(jù)是互不干擾的。那么如何實(shí)現(xiàn)跨VLAN的信息傳輸呢？這是VLAN間路由。管理員可以通過(guò)三層交換機(jī)或路由器實(shí)現(xiàn) VLAN 間路由。在接下來(lái)的部分中，本文將重點(diǎn)介紹使用路由器進(jìn)行 VLAN 間路由。

我們知道，每個(gè) VLAN 都是一個(gè)唯一的廣播域，當(dāng)路由器與交換機(jī)相連時(shí)，各個(gè) VLAN 之間的流量都可以通過(guò)路由器進(jìn)行轉(zhuǎn)發(fā)。為了節(jié)省成本和簡(jiǎn)化網(wǎng)絡(luò)管理，Trunk Link也用于VLAN間路由。這里舉一個(gè)例子來(lái)說(shuō)明這個(gè)過(guò)程是如何工作的。如下圖所示。交換機(jī)分為兩個(gè) VLAN，用不同的顏色標(biāo)記?，F(xiàn)在需要計(jì)算機(jī) A 和 C 之間的通信。

來(lái)自計(jì)算機(jī) A 的幀將通過(guò)中繼端口并添加屬于 VLAN 1 的特殊標(biāo)記。標(biāo)記的幀將被路由器識(shí)別，然后由路由器上屬于 VLAN 1 的端口接收。在路由器內(nèi)部，tagged frame 的目的 MAC 地址會(huì)更改為計(jì)算機(jī) C 的地址，屬于 VLAN 1 的特殊 tag 會(huì)被移除。但是標(biāo)簽屬于VLAN 2。由于計(jì)算機(jī)C連接的是公共接入端口，因此幀的標(biāo)簽將被去除，然后轉(zhuǎn)發(fā)到計(jì)算機(jī)C。

圖 6：VLAN 間路由

如果 VLAN 間路由在同一個(gè) VLAN 內(nèi)，則該幀不會(huì)通過(guò)路由器，路由將在交換機(jī)中完成。此外，隨著 VLAN 之間流量的增長(zhǎng)，第 3 層交換機(jī)因其高性能和容量而成為 VLAN 間路由的更好選擇。

概括

VLAN是當(dāng)今網(wǎng)絡(luò)建設(shè)和管理中的一項(xiàng)重要技術(shù)。它使網(wǎng)絡(luò)用戶在不同的應(yīng)用程序中相互通信，但連接到同一個(gè)物理網(wǎng)絡(luò)。而VLAN技術(shù)目前還在發(fā)展中。