概述

VLAN（ Virtual Local Area Network）的中文名為"虛擬局域網"。VLAN 是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。IEEE 于 1999 年頒布了用以標準化 VLAN 實現方案的 802.1Q 協議標準草案。

VLAN 技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個 VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN 有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN 內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網段。由 VLAN的特點可知，一個 VLAN 內部的廣播和單播流量都不會轉發到其他 VLAN 中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

1.1 技術優點

VLAN 是為解決以太網的廣播問題和安全性而提出的一種協議，它的優點如下：

①廣播風暴防范

限制網絡上的廣播，將網絡劃分為多個 VLAN 可減少參與廣播風暴的設備數量。LAN 分段可以防止廣播風暴波及整個網絡。

②安全性

增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。

③性能提高

將第二層平面網絡劃分為多個邏輯工作組（廣播域）可以減少網絡上不必要的流量并提高性能。

④增加網絡連接的靈活性

借助 VLAN 技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地 LAN 一樣方便、靈活、有效.

2.VLAN 介紹

2.1 VLAN 工作原理

圖 1 VLAN 原理示意圖

VLAN 與普通局域網從原理上講沒有什么不同，但從用戶使用和網絡管理的角度來看， VLAN與普通局域網最基本的差異體現在：VLAN 并不局限于某一網絡或物理范圍， VLAN 中的用戶可以位于一個園區的任意位置，甚至位于不同的國家。

2.2VLAN 的劃分

①基于端口劃分的 VLAN

Port VLAN， 基于端口的 VLAN， 這種劃分 VLAN 的方法是根據以太網交換機的端口來劃分，即明確指定各端口屬于哪個 VLAN。

這種劃分的方法的優點是定義 VLAN 成員時非常簡單只要將所有的端口都定義一下就可以了。它的缺點是如果 VLAN 的用戶離開了原來的端口到了一個新的交換機的某個端口那么就必須重新定義，不適合那些需要頻繁改變拓撲結構的網絡，并且當網絡中的計算機數目超過一定數量（比如數百臺）后，設定操作就會變得煩雜無比。

②基于 MAC 地址劃分的 VLAN

這種劃分 VLAN 的方法是根據每個主機的 MAC 地址來劃分即對每個 MAC 地址的主機都配置他屬于哪個 VLAN 組。

這種劃分 VLAN 的方法的最大優點就是當用戶物理位置移動時即從一個交換機換到其他的交換機時，VLAN 不用重新配置。這種方法的缺點是,在設定時必須調查所有連接的計算機的 MAC地址并加以記錄，如果計算機交換了網卡，還需要更改設定。

③基于網絡層劃分的 VLAN

這種劃分 VLAN 的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的。例如，用 IP 地址分組的用戶形成一個 VLAN。

這種方法的優點在于用戶的位置改變了， 不需要重新配置所需的 VLAN，而且可以根據協議類型來劃分 VLAN。而且不需要附加幀標簽來識別 VLAN，以減少網絡通信量。這種方法的缺點是效率低，需要花費時間資源來檢查每個數據包的網絡層地址。

④根據 IP 組播劃分 VLAN

IP 組播實際上也是一種 VLAN 的定義， 即認為一個組播組就是一個 VLAN， 這種劃分的方法將 VLAN 擴大到了廣域網， 因此這種方法具有更大的靈活性， 而且也很容易通過路由器進行擴展， 當然這種方法不適合局域網， 主要是效率不高。

2.3 相關術語

2.3.1 IEEE 802.1Q標準

IEEE 于 1999 年正式簽發了 802.1Q 標準， 即 Virtual Bridged Local Area Networks 協議。IEEE802.1Q 標準定義了 VLAN 網橋操作，從而允許在橋接局域網結構中實現定義、運行以及管理 VLAN 拓樸結構等操作。Tag VLAN 基于 IEEE 802.1Q（ VLAN 標準），用 VID（ VLAN ID）來劃分不同的 VLAN。

圖 2 802.1Q 幀格式

①VLAN Identified( VID )：這是一個 12 位的域， 指明 VLAN 的 ID， 一共 4096 個， 每個支持 802.1Q 協議的主機發送出來的數據包都會包含這個域以指明自己所屬的 VLAN。

②Canonical Format Indicator( CFI )：這一位主要用于總線型的以太網與 FDDI、 令牌環網交換數據時的幀格式。

③Priority：這 3 位指明幀的優先級一共有 8 種優先級主要用于當交換機阻塞時優先發送優先級高的數據包。

2.3.2 VID

VID，即交換機入站數據幀的 VLAN 標識號。交換機根據入站數據幀的 VLAN 標識號（ VID）將它們分類，無標號的為一類，標號相同的為一類。交換機根據 VID 來決定轉發或者丟棄一個數據包，同時交換機也可以分配一個 VID 給一個無標記幀或者貼了優先級標記的幀。

如果一個數據幀沒有標記 VID，交換機將會分配一個 VID 給它，并把這個 VID 插到它的幀頭中，這個過程叫做貼 VLAN 標簽。交換機通過這個過程來處理包的轉發，來填寫數據幀的 VLAN或者優先級信息的標記字段。管理員可以設置優先級別來選擇 VLAN 類型， 選擇 VID 值。

2.3.3 PVID

PVID 為 Port-base VLAN ID，也就是端口的虛擬局域網 ID 號，關系到端口收發數據幀時的VLAN Tag 標記。PVID 是在劃分 VLAN 時候每個端口都有的屬性。

交換機上的端口分為三種， 一種是接入層端口直連設備的，叫做 Access；一種是交換機和交換機之間的端口負責匯聚的叫做 Trunk，還有一種是Access與 Trunk混合的模式，叫做 Hybrid。

Access 端口負責接終端設備，他收到一個幀的時候，如果幀這個沒有標記他就用自己的PVID 給他打上標記，他在發出一個幀時如果 VID=PVID 就去掉標記以保證傳送給終端設備的幀沒有被變動過。ACCESS 端口的特點是只允許符合 PVID 的流量通過。

Trunk 的意思是，它是一條中繼鏈路，允許各種 VLAN 通過。它的規則和 Access 差不多，當收到一個沒有tag的標記的時候就用自己的 PVID給他標記，當發送一個幀時候如果 VID=PVID則去掉 PVID，與 Access 不同的是， Trunk 有一個屬于自己的本征 VLAN，用來發送一些 CDP，BPDU 等交換機間聯系的數據或者管理流量，從交換機自身產生的幀在發出去的時候是不會帶標記的，因為 VID=PVID 所以標記被去掉，而對端接收到沒有標記的幀時候就會用自身本征 VLAN的信息給他加上標記，然后查看交換表如果發現目的地址是自己則去掉標記，如果發現目的 MAC地址不是自己則繼續轉發給其他 Trunk 同時去掉標記。

Hybrid 是 Access 與 Trunk 的混合模式，它允許 VID=PVID。Hybrid 與 Trunk 一樣，在該端口上可以傳送多個 VLAN 的包，一般用于交換機與交換機之間，或者交換機與服務器之間的鏈接。如果收到的數據包不帶 VLAN，則加上 PVID 進行轉發；如果收到的數據包帶 VLAN，則判斷該端口是否允許該 VLAN 進入，如果可以則進行轉發，否則丟棄。

2.3.4 端口處理報文方式

A.端口對發送報文的處理

①Access 端口：將報文的 VLAN 標簽剝離，直接發送出去。

②Trunk 端口：1.比較端口的 PVID 和將要發送報文的 VLAN 標簽；

2.如果兩者相等則轉到第 3 步，否則轉到第 4 步；

3.剝離 VLAN 標簽，再發送；

4.直接發送

B.端口對接收報文的處理

①Access 端口：

1.收到一個報文；

2.判斷是否有 VLAN 標簽：如果沒有則轉到第 3 步，否則轉到第 4 步；

3.打上端口的 PVID，并進行交換轉發；

4.若 VLAN 標簽和 PVID 一致，轉發 VLAN 幀，否則丟棄

②Trunk 端口：

1.收到一個報文；

2.判斷是否有 VLAN 標簽：如果沒有則轉到第 3 步， 否則轉到第 4 步；

3.打上端口的 PVID，并進行交換轉發；

4.判斷該 trunk 端口是否允許該 VLAN 幀進入：如果可以則轉發，否則丟棄

2.4 VLAN 之間互通

圖 3 不同 VLAN 間通過路由器通信

①同一 VLAN 的計算機之間的通信處理在交換機內完成。

②不同 VLAN 間通信時，即使通信雙方都連接在同一臺交換機上，也必須經過如下流程：發送方——交換機——路由器——交換機——接收方

3.參考文獻

IEEE802.1Q

VID

PVID

審核編輯：湯梓紅