前言

•以太网是一种基于CSMA/CD的数据网络通信技术，其特点是通信介质共享。主机数量过多可能会造成安全风险、广播溢出、性能下降甚至网络不可用等问题。

•在这种情况下，使用VLAN (Virtual Local Area Network)技术来解决上述问题。

•本课程介绍VLAN技术的概念、不同二层接口的工作原理、VLAN的应用、数据转发原理及相关配置。

传统以太网的问题

广播域：如图所示是一个典型的交换网络，网络中只有终端计算机和交换机。在这样的网络中，如果一台计算机发送广播帧，由于交换机泛洪广播帧，所有其他计算机都接收到该广播帧。受限制的广播帧可以到达的整个访问范围称为第二广播域，简称“广播域”(Broadcast Domain)。显然，交换网络只是一个广播域。网络安全、垃圾流量问题：如图所示：当PC1向PC2发送单播帧时。SW1、SW3和SW7有PC2的MAC地址表项，SW2和SW5没有PC2的MAC地址表项。SW1和SW3点到点转发单播帧，SW7丢弃单播帧，SW2和SW5淹没单播帧。结果，PC2收到了单播帧，但网络上的许多其他非目的主机也收到了错误的数据帧。•显然，广播域越大，网络安全问题和垃圾邮件流量问题就越严重。•在典型的交换网络中，当主机发送广播帧或未知的单播帧时，数据帧会被淹没甚至传输到整个广播域。

•广播域越大，网络安全和垃圾流量问题就越严重。

虚拟局域网(VLAN, Virtual LAN)

•为解决广播域带来的问题，引入了VLAN技术：通过在交换机上部署VLAN，将一个较大的广播域在逻辑上划分为几个不同的、较小的广播域，可以有效地提高网络安全性，减少垃圾流，节约网络资源。•VLAN特性：受受一个VLAN是广播域，因此在同一VLAN内，一台计算机可以分层直接通信；不同vlan的计算机不能在第二层直接通信，只能在第三层传输信息。即将广播报文限制在一个VLAN内。受限制的VLAN划分不受区域限制。受限制创建虚拟工作组：使用一个VLAN可以将不同的用户划分为不同的工作组，同一组用户不必局限于固定的物理范围，网络的创建和维护更加方便、灵活。受限制广播域：将广播域限制在一个VLAN内，节省带宽，提高网络容量。加强局域网(LAN)的安全性：不同的VLAN消息在传输过程中被孤立，也就是说，VLAN VLAN的用户无法和其他用户直接沟通。受限制的故障限制在一个VLAN内，该VLAN内的故障不影响其他VLAN的正常工作。•注：第2层，即数据链路层。虚拟LAN的vlan可以隔离广播域。

特点：

它不受地域限制。

只有同一VLAN内的设备可以直接进行二层通信。

如何实现VLAN

•Switch1和Switch2属于同一企业，由企业统一规划网络中的vlan。部门A使用VLAN10，部门B使用VLAN20。部门A和部门B的员工分别连接Switch1和Switch2。

•PC1发送的数据通过Switch1和Switch2之间的链路到达Switch2。如果不进行数据处理，则无法确定数据所属的VLAN，也不知道数据导出到本地的哪个VLAN。

VLAN Tag (VLAN Tag)

•交换机如何识别接收到的数据帧属于哪个VLAN ?

•如图所示，SW1识别帧属于哪个VLAN，并在特定位置为帧添加标签。这个标签指定帧属于哪个VLAN。其他交换机(如SW2)收到该帧后，可以很容易地根据标签信息识别该帧所属的VLAN。IEEE 802.1Q定义了标签数据帧的格式。满足这种格式的数据帧称为IEEE 802.1Q数据帧，也称为VLAN数据帧。VLAN标记：

•为了使交换机能够区分不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。

•根据IEEE 802.1Q协议，在以太网数据帧中添加4字节的VLAN标签(也称为VLAN标签)。

VLAN数据帧

在VLAN交换网络中，以太网帧基本有以下两种形式：受受受标记帧(frame)标记：根据IEEE 802.1Q协议，在以太网数据帧的目的MAC地址和源MAC地址字段的协议类型字段前面，添加一个4字节的VLAN Tag(以下简称VLAN Tag)。受受无标记帧(Untagged frames):原始的、未加入VLAN tag的4字节数据帧。数据帧的VLAN主字段：受限制的TPID: 2字节，标签协议标识符(Tag Protocol Identifier)，表示数据帧类型。0x8100表示IEEE 802.1Q VLAN数据帧。如果不支持802.1Q的设备接收到该帧，则丢弃该帧。每个设备制造商可以自定义该字段的值。如果邻居设备的TPID值设置为0x8100以外的值，则需要在本端设备上修改TPID值，使其与邻居设备的TPID值保持一致。受限制的数据帧优先级为3bit，优先级，优先级为QoS。取值范围为0 ~ 7。该值越大，优先级越高。当网络拥塞时，交换机优先发送优先级高的数据帧。VLAN的实现

•Switch1和Switch2之间的链路需要承载多个vlan的数据。因此，需要基于vlan的数据标注方法来区分不同vlan的数据帧。

•IEEE 802.1Q标准(也称为Dot1Q)定义了这种“标记”方法。该标准通过在帧报头中插入802.1Q标签来修改传统的以太网数据帧。VLAN信息可以写入Tag。

VLAN划分方式

如何在网络中划分vlan ?

VLAN划分方式	VLAN 10	VLAN 20
基于接口	GE0/0/1，GE0/0/3	GE0/0/2，GE0/0/4
基于MAC地址	MAC 1，MAC 3	MAC 2，MAC 4
基于IP子网划分	10.0.1.*	10.0.2.*
基于协议划分	IP	IPv6
基于策略	10.0.1.* + GE0/0/1+ MAC 1	10.0.2.* + GE0/0/2 + MAC 2

根据接口划分VLAN

分类原则：受受受交换机物理接口上配置VLAN ID的限制，从单个物理接口转为交换机，由终端计算机发送的Untagged数据帧被划分为该接口的VLAN ID所显示的VLAN。特点：受此分类原理简单直观，实现容易，是目前实际网络中应用最广泛的划分VLAN的方式。受受受交换机端口连接的计算机发生变化时，计算机发送的帧可能发生变化。默认VLAN, PVID(端口VLAN ID)受受限制的每个交换机接口都应配置一个PVID，到达该端口的Untagged帧将被交换机划分为PVID所指的VLAN。受限制的PVID默认值为1。基于接口的VLAN划分

•原则

受受交换机接口划分VLAN的限制。

受受网络管理员提前切换不同PVID各接口配置，将各接口划分为PVID对应的VLAN。

受一个数据帧进入交换机时，如果不带VLAN Tag，该数据帧将在接口指定的PVID Tag上播放，然后该数据帧将在指定的PVID上传输。

•缺省VLAN为PVID

受限制端口VLAN ID，为接口所在的默认VLAN。

受限制的值：1 ~ 4094。

根据MAC地址划分VLAN

SW1的MAC地址和VLAN表

MAC地址	VLAN ID
MAC 1	10
MAC 2	10
……	……

，分类原则：受受受交换机内部建立并维护一个MAC地址和VLAN ID对应表的限制。交换机从计算机接收到Untagged帧后，分析帧中的源MAC地址，查询MAC地址与VLAN id的映射表，并根据映射关系将帧分配给相应的VLAN。特点：受限制的受限制设备实现复杂了一点，但灵活性也得到了提高。受受连接交换机端口的计算机发生变化时，计算机发送的帧所属VLAN没有变化(因为计算机的MAC地址没有变化)。但vlan这种类型的安全并不是很高，因为恶意电脑很容易伪造的MAC地址。根据MAC地址划分VLAN

•原则

受受按源MAC地址的数据帧划分VLAN的限制。

受受网络管理员提前配置MAC地址和VLAN ID映射表。

受受交换机Untagged帧时，按表添加指定VLAN Tag的数据帧，然后在指定VLAN中传输该数据帧。

•映射表

受受记录VLAN ID关联的MAC地址。

二层以太网接口类型

接口类型

•访问接口

交换机用于连接pc、服务器等终端设备。Access接口所连接的这些设备的网卡只能发送和接收未标记的帧。一个Access接口只能加入一个VLAN。

•主干接口

Trunk接口允许多个vlan的数据帧通过。这些数据帧通过802.1Q标签来区分。Trunk接口用于交换机之间的互连，也可用于连接路由器、防火墙等设备的子接口。

•混合界面

Hybrid接口与Trunk接口类似，允许多个vlan的数据帧通过。这些帧通过802.1Q标签来区分。Hybrid接口在发送VLAN(或多个VLAN)的帧时，可以灵活指定是否携带Tag。

访问接口

•描述了交换机如何识别数据帧属于哪个VLAN以及VLAN如何划分，那么交换机如何处理Untagged和Tagged帧？访问接口特性：受一个数据帧限制，只允许VLAN ID与接口PVID相同。受限制的访问接口接收到数据帧：受限制的访问接口从链路接收到一个Untagged帧时，交换机会对该帧添加VID为PVID Tag，然后进行带Tag的帧转发操作(flood、forwarding、丢弃)。受限制的访问接口收到一个Tagged帧时，从链路交换机会中检查该VID是否与Tag帧中的PVID相同。如果相同，则转发Tagged帧。否则，标记帧将被丢弃。发送数据访问接口帧：受受交换机其他接口的一个带标签的帧到一个受受接口时，交换机会检查该帧的VID是否与该帧的PVID相同：如果是，则取消该带标签帧的标签，并将生成的无标签帧通过链路发送；如果不是，丢弃Tagged帧。主干接口

•对于Trunk接口，除了配置PVID外，还需要配置允许通过的VLAN id列表。缺省情况下存在VLAN 1。•Trunk接口特点：受受受Trunk接口只允许一个VLAN ID在通过列表的数据帧被允许通过。受限制的Trunk接口允许多个带Tag的VLAN帧，但在无Tag的类接口(即剥离Tag)出接口时只允许一个VLAN帧。受限制的数据帧：受限制的数据帧受限制。受限制的数据帧受限制。受限制的数据帧受限制。受限制的数据帧受限制。受限制的数据帧受限制。如果是，则转发Tagged帧。否则，该帧将被丢弃。受受受Trunk接口从链路接收到Tagged帧时，交换机会检查该Tag帧中的VID是否允许通过列表的VLAN ID。如果是，则转发Tagged帧。否则，标记帧将被丢弃。Trunk接口发送数据帧：受受受的帧从本交换机的其他接口转到Trunk接口时，如果Tag帧中的VID不允许通过列表的VLAN ID，则受受的帧直接被丢弃。受受受交换机其他接口上有标签的帧转到Trunk接口时，如果VLAN ID列表中VID的Tag允许的帧，则将该帧与Tag中的PVID的接口进行比较：如果相同，则取消该帧的标签，并将由此产生的Untagged帧跨链路发送。如果没有，交换机不会取消标记，而是直接通过链路发送。以Access接口和Trunk接口为例

•描述主机间的数据访问过程。

SW1和SW2的Trunk接口

允许通过列表
VLAN ID	1
	10
	20

•本例中，SW1和SW2通过Access接口连接到主机，如图所示为PVID。SW1和SW2连接一个Trunk接口，PVID为1。允许通过Trunk接口的VLAN id也列在下图中。描述主机间数据交换的过程。混合界面

•对于Hybrid类型的接口，除了PVID之外，还支持两种VLAN ID列表：Untagged VLAN ID列表和Tagged VLAN ID列表。缺省情况下，VLAN 1在Untagged VLAN列表中。允许通过列表中所有vlan的帧都允许通过Hybrid接口。•Hybrid接口特点：受受Hybrid接口只允许一个VLAN ID在通过列表的数据帧将被允许通过。受受混合接口允许多个VLAN帧带Tag，并允许从类接口帧中根据需要配置一些带Tag的VLAN帧，一些不带Tag的VLAN帧。受受中继与受受中继的主要区别在于可以支持多个VLAN数据帧，通过时不带标签。•Hybrid接口接收到数据帧：受限制的Hybrid接口从链路接收到Untagged帧时，在该帧上交换机会为PVID Tag添加VID，然后查看列表中是否有Untagged或Tagged VLAN ID的PVID。如果是，则转发Tagged帧。否则，该帧将被丢弃。受受Hybrid接口从链路接收到Tagged帧时，交换机会检查Untagged或Tagged VLAN ID列表中Tag帧中的VID。如果是，则转发Tagged帧。否则，标记帧将被丢弃。•Hybrid接口发送数据帧：受受受的帧从本交换机的其他接口转到Hybrid接口时，如果该帧的Tag既不在Untagged VLAN ID列表中，也不在Tagged VLAN ID列表中，则该Tagged帧直接被丢弃。受受一个带标签的帧从本交换机的其他接口转到Hybrid接口时，如果该帧的Tag在Untagged VLAN ID列表中，则交换机会将该带标签帧的Tag进行剥离，然后将得到Untagged帧从链路上发送出去。受受受的帧从本交换机的其他接口转到Hybrid接口时，如果该帧的Tag属于Tagged VLAN ID列表中的VID，则交换机不是该Tagged帧的Tag，而是将其直接从链路中发送出去。混合接口示例

•描述主机访问服务器的过程。

•本例中SW1和SW2与主机连接和互通的端口为“Hybrid”端口。PVID和Hybrid端口允许通过的VLAN id如下图所示。•描述两台主机相互通信的过程。允许的交换机列表

0

总结