VLAN在企業(yè)網(wǎng)、校園網(wǎng)等基礎(chǔ)組網(wǎng)中發(fā)揮著重要作用。VLAN 不僅使工程師能夠很好地控制他們的網(wǎng)絡(luò)系統(tǒng)，而且提高了網(wǎng)絡(luò)的安全性和可擴展性。它是在虛擬化領(lǐng)域提供管理的基礎(chǔ)，即使虛擬機不斷遷移，挑戰(zhàn)網(wǎng)絡(luò)管理的基礎(chǔ)。在本教程中，將探討 VLAN 配置、VLAN 標記和 VLAN 間路由等基礎(chǔ)知識。

什么是 VLAN，為什么需要它？

通過VLAN，可以將局域網(wǎng)網(wǎng)絡(luò)劃分為不同的組，A組中的數(shù)據(jù)不能轉(zhuǎn)發(fā)給B組或其他組，提高了網(wǎng)絡(luò)安全性，簡化了管理。如下圖所示。

那么為什么網(wǎng)絡(luò)中需要VLAN呢？VLAN 通過將大型網(wǎng)絡(luò)邏輯分割成許多較小的網(wǎng)絡(luò)來減少獨占廣播，控制廣播流量并提高網(wǎng)絡(luò)效率。

您可以在了解虛擬 LAN (VLAN)技術(shù)中了解 有關(guān) VLAN 技術(shù)的更多信息。

VLAN 配置

通常，配置 VLAN 有兩種方式——靜態(tài) VLAN 和動態(tài) VLAN。并且配置取決于VLAN的需要。

靜態(tài) VLAN：通過將端口分配給一個 VLAN 來創(chuàng)建。而如果用戶將接入端口更改為VLAN，則需要重新配置端口，對于那些較大的網(wǎng)絡(luò)來說，這很難管理。

動態(tài)VLAN：比靜態(tài)VLAN靈活得多。它通常使用軟件或協(xié)議創(chuàng)建。

通常，動態(tài) VLAN 可以分為三類：基于 MAC 的 VLAN、基于 IP 子網(wǎng)的 VLAN 和基于用戶的 VLAN。

您可以在了解虛擬 LAN (VLAN) 技術(shù)中了解 有關(guān) VLAN 類型的更多信息。

VLAN 連接鏈路的類型

談到 VLAN，Trunk 和 Access 鏈路是不容忽視的。在 VLAN 的世界中有兩種類型的接口或鏈路。這些鏈路使管理員能夠?qū)⒍鄠€交換機連接在一起，或者只是簡單的網(wǎng)絡(luò)設(shè)備，如將訪問 VLAN 網(wǎng)絡(luò)的 PC。

訪問鏈接

接入鏈路是最常見的鏈路類型，可以在任何 VLAN 交換機上看到。要訪問本地網(wǎng)絡(luò)，所有網(wǎng)絡(luò)主機都需要連接交換機的訪問鏈路。這些鏈路是每個以太網(wǎng)交換機上的非常普通的端口，并以特殊方式配置。因此，用戶可以插入計算機并訪問網(wǎng)絡(luò)。一個 VLAN 交換機上的接入鏈路端口（下圖中的 24x100/1000BASE-T 端口）可以配置為一個或多個 VLAN。

圖 2：FS.COM S5850-48T4Q VLAN 交換機上的訪問端口

中繼鏈路

與接入鏈路不同，VLAN 中繼鏈路通常配置為承載多個 VLAN。中繼端口通常位于交換機之間的連接中。通過 VLAN 中繼，用戶可以將 VLAN 擴展到整個網(wǎng)絡(luò)。例如，有四個用戶（標記為 A、B、C 和 D）位于一棟辦公樓的不同樓層。用戶 A 和 C 屬于一個 VLAN，B 和 D 屬于另一個 VLAN。如何有效地將它們配置在一個 VLAN 中？就是設(shè)置一個trunk端口。

圖 3：不同 VLAN 連接的 VLAN 中繼端口

為了區(qū)分流量，通過中繼鏈路的所有幀在交換機之間通過時都用特殊標簽進行標記。它稱為 VLAN 標記。在上面的示例中，來自用戶 A 的幀在通過交換機 1 上的中繼端口時將被添加一個特殊標簽。當它到達交換機 2 時，中繼端口識別該特殊標簽并告知它屬于哪個 VLAN。然后特殊標簽將被刪除，幀將被轉(zhuǎn)發(fā)給用戶 C。

VLAN 標記

這里介紹可以實現(xiàn)交換機間VLAN創(chuàng)建的常用VLAN tagging方法。

IEEE 802.1Q：也稱為“Dot One Q”，它是用于標記 VLAN 中繼上的幀的 IEEE 標準，最多支持 4096 個 VLAN。在這種方法中，在原始幀中插入一個 4 字節(jié)的標簽，并在通過中繼鏈路發(fā)送幀之前重新計算 FCS（幀校驗序列）。并且在接收端去除標簽，然后將幀發(fā)送到分配的VLAN。FS.COM中的所有第 2 層交換機都支持 4096 個 VLAN。

圖 4：VLAN 標記——IEEE 802.1Q

注： TPID 指 Tag Protocol Identifier；TCI 指標簽控制信息。用戶優(yōu)先級是一個 3 位字段，允許在幀中編碼優(yōu)先級信息。CFI 是一個 1 位指示器，對于以太網(wǎng)交換機，始終設(shè)置為零。VID字段涉及VLAN的標識符。

ISL（Inter-Switch Link）： ISL 是一種類似于 IEEE 802.1Q 的協(xié)議。它是 Cisco 專有協(xié)議，用于互連多個交換機，并在流量在交換機之間傳輸時維護 VLAN 信息。ISL 最多支持 1000 個 VLAN。在 ISL 中，在通過中繼鏈路的幀之前添加了一個額外的報頭。在接收端，標頭被刪除，幀被發(fā)送到分配的 VLAN。

圖 5：ISL（交換機間鏈路）

VLAN間路由：不同VLAN之間的橋接

正如我們上面所說的，每個 VLAN 都是獨立的，不同 VLAN 之間的數(shù)據(jù)是互不干擾的。那么如何實現(xiàn)跨VLAN的信息傳輸呢？這是VLAN間路由。管理員可以通過三層交換機或路由器實現(xiàn) VLAN 間路由。在接下來的部分中，本文將重點介紹使用路由器進行 VLAN 間路由。

我們知道，每個 VLAN 都是一個唯一的廣播域，當路由器與交換機相連時，各個 VLAN 之間的流量都可以通過路由器進行轉(zhuǎn)發(fā)。為了節(jié)省成本和簡化網(wǎng)絡(luò)管理，Trunk Link也用于VLAN間路由。這里舉一個例子來說明這個過程是如何工作的。如下圖所示。交換機分為兩個 VLAN，用不同的顏色標記。現(xiàn)在需要計算機 A 和 C 之間的通信。

來自計算機 A 的幀將通過中繼端口并添加屬于 VLAN 1 的特殊標記。標記的幀將被路由器識別，然后由路由器上屬于 VLAN 1 的端口接收。在路由器內(nèi)部，tagged frame 的目的 MAC 地址會更改為計算機 C 的地址，屬于 VLAN 1 的特殊 tag 會被移除。但是標簽屬于VLAN 2。由于計算機C連接的是公共接入端口，因此幀的標簽將被去除，然后轉(zhuǎn)發(fā)到計算機C。

圖 6：VLAN 間路由

如果 VLAN 間路由在同一個 VLAN 內(nèi)，則該幀不會通過路由器，路由將在交換機中完成。此外，隨著 VLAN 之間流量的增長，第 3 層交換機因其高性能和容量而成為 VLAN 間路由的更好選擇。

概括

VLAN是當今網(wǎng)絡(luò)建設(shè)和管理中的一項重要技術(shù)。它使網(wǎng)絡(luò)用戶在不同的應(yīng)用程序中相互通信，但連接到同一個物理網(wǎng)絡(luò)。而VLAN技術(shù)目前還在發(fā)展中。