VLAN介绍

在交换式以太网出现后，同一个交换机下不同的端口处于不同的冲突域中，交换式以太网的效率大大增加，但是，在交换式以太网中，由于交换机的所有端口都处于一个广播域内，导致一台计算机发出的广播帧，局域网中所有的计算机都能够接收到，使局域网中的有限网络资源被无用的广播信息占用。就像上图中，四台终端主机发出的广播帧在整个局域网中广播，假如每台主机的广播帧流量是100kbps，则四台主机达到400kbps；如果链路是100mbps带宽，则广播帧占用带宽达到0.4%，但如果网络内主机达到400台，则占用带宽达到40%，网络上到处充斥真广播流，网络带宽被极大的占用，并且，过多的广播流会造成CPU的负担过重，系统反应变慢甚至死机。ＶＬＡＮ的介绍目录CONTENTS01020304虚拟局域网简介VLAN的种类VLAN的汇聚链接与封装协议VLAN间路由VLAN的规划原则0５虚拟局域网简介VLAN（虚拟局域网）：一种逻辑上的设备和用户，将物理网络进行逻辑划分，不受地理位置限制。工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。虚拟局域网简介VLAN是在一个物理网络上划分出来的逻辑网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。每个VLAN具有物理网络的所有特性。虚拟局域网简介vlan的作用：有效控制广播域范围-即隔离广播包，使广播包只在本VLAN中传播，在一定程度上提高整个网络的处理能力增强局域网安全性-即一个VLAN内的用户和其他VLAN内的用户不能互访，提高了网络的安全性。灵活构建虚拟工作组，可以把不同物理地点的用户划分到同一工作组。ＶＬＡＮ的种类静态VLAN静态VLAN又被称为基于端口的VLAN（PortbasedVLAN)。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。由于需要一个个端口的指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得繁杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓扑结构的网络。ＶＬＡＮ的种类动态VLAN每个端口所连的计算机随时改变端口所属的VLAN。避免了静态VLAN更改设定之类的操作动态VLAN可大致分为：基于MAC地址的VLAN（MACBasedVLAN）基于子网的VLAN（SubnetBasedVLAN）基于用户的VLAN（UserBasedVLAN）基于MAC地址的VLAN，通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。MACVLANA1BCD122VLAN2VLAN112341234MAC:AMAC:BMAC:CMAC:DMAC:CMAC:BMAC:AMAC:D即使计算机改变了所连接的端口，交换机仍会查出它的MAC地址，并正确指定端口所属的VLAN。由于是基于MAC地址决定所属VLAN的，因此可以理解为这是一种在OSI的第二层设定访问链接的办法。但是，基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。基于子网的VLAN，通过所连计算机的IP地址，来决定端口所属VLAN的。网络地址VLAN192.168.1.0/241192.168.2.0/242VLAN2VLAN112341234即使计算机改变了所连接的端口，交换机仍会通过IP地址正确指定端口所属的VLAN。IP地址192.168.1.1IP地址192.168.1.2IP地址192.168.2.1IP地址192.168.2.2IP地址192.168.1.1IP地址192.168.2.1IP地址192.168.1.2IP地址192.168.1.1IP地址192.168.2.2基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事先确认。种类解说静态VLAN（基于端口的VLAN）将交换机的各端口固定指派给VLAN动态VLAN基于MAC地址的VLAN根据各端口所连计算机的MAC地址设定基于子网的VLAN根据各端口所连计算机的IP地址设定基于用户的VLAN根据端口所连计算机上登录用户设定交换机的端口类型交换机的端口，可以分为以下三种：●访问链接（AccessLink）●混合链接（HybridLink）●汇聚链接（TrunkLink）端口模式主要是指在输入输出端口对VLAN数据包的处理。即在输入端口是AdmitAllFrames还是AdmitOnlyVLANTaggedFrames，是OnlyframesthatshareaVIDassignedtothisbridgeportareadmitted还是Allframesareforwarded；在输出端口输出数据包类型是taggedframes还是untaggedframes。不同的端口模式对数据包的处理不同。汇聚链接汇聚链接（TrunkLink）指的是能够转发多个不同VLAN的通信的口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。交换机1交换机2ACBD数据数据数据TrunkLinkTrunkLink通过汇聚链路时，自动附加VLAN识别信息通过识别VLAN标识，转发给相应的端口，同时去除VLAN标识，恢复成原始数据帧。为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。封装协议IEEE802.1Q：IEEE802.1Q，俗称“DotOneQ”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。EthernetVersion26Bytes6Bytes2Bytes46～1500Bytes4Bytes目标MAC地址发送源MAC地址CRC数据部分类型目标MAC地址发送源MAC地址CRC数据部分TPIDTCI类型6Bytes6Bytes2Bytes46～1500Bytes4BytesIEEE802.1Q0x81002Bytes2Bytes内含12bit的VLAN标识CRC经过重新计算TPIDTCI16bits3bits1bit12bitsTPIDTCIPCPCFIVID封装协议ISL（InterSwitchLink）ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISLHeader）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之，就是总共增加了30字节的信息。EthernetVersion2ISL6Bytes6Bytes2Bytes46～1500Bytes4Bytes目标MAC地址发送源MAC地址CRC数据部分类型6Bytes6Bytes2Bytes46～1500Bytes4Bytes目标MAC地址发送源MAC地址CRC数据部分类型CRC4BytesISL包头26Bytes包含VLAN编号保留原CRC不变对从ISL包头到原CRC为止重新计算CRC由于ISL是Cisco独有的协议，因此只能用于Cisco网络设备之间的互联。ＶＬＡＮ间路由使用一条网线连接路由器与交换机、进行VLAN间路由时，需要用到汇聚链接。具体实现过程为：首先将用于连接路由器的交换机端口设为汇聚链接，而路由器上的端口也必须支持汇聚链路。双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口（SubInterface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。交换机支持汇聚链路的路由器连接蓝色VLAN的子接口汇聚链接连接红色VLAN的子接口VLAN间路由交换机路由器端口的MAC地址：R连接蓝色VLAN的子接口,192.168.2.100/24连接红色VLAN的子接口,192.168.1.100/24123456A192.168.1.1/24GW192.168.1.0B192.168.1.2/24GW192.168.1.0C192.168.2.1/24GW192.168.2.0D192.168.2.2/24GW192.168.2.0数据帧源MAC：A；目标MAC:R源IP：192.168.1.1/24目标IP：192.168.2.1/24①数据帧②数据帧③数据帧源MAC：R；目标MAC:C源IP：192.168.1.1/24目标IP：192.168.2.1/24④ＶＬＡＮ间路由现在，我们知道只要能提供VLAN间路由，就能够使分属不同VLAN的计算机互相通信。但是，如果使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，很可能导致路由器成为整个网络的瓶颈。而路由器基本上是基于软件处理的，即使以缆线速度接收到的数据包也无法在不限速的条件下转发出去，这就造成了速度瓶颈。使用路由器进行VLAN间路由时的问题VLAN间路由使用三层交换机进行VLAN间路由（VLAN间通信）路由模块交换模块A（MAC）192.168.1.1/24GW192.168.1.0B（MAC）192.168.1.2/24GW192.168.1.0C（MAC）192.168.2.1/24GW192.168.2.0D（MAC）192.168.2.2/24GW192.168.2.0红色VLAN接口192.168.1.100/24蓝色VLAN接口192.168.2.100/24源MAC:A;目标MAC:B源IP：192.168.1.1目标IP：192.168.1.21234VLAN内通信在交换模块内部完成ＶＬＡＮ间路由路由模块交换模块A（MAC）192.168.1.1/24GW192.168.1.0B（MAC）192.168.1.2/24GW192.168.1.0C（MAC）192.168.2.1/24GW192.168.2.0D（MAC）192.168.2.2/24GW192.168.2.0红色VLAN接口192.168.1.100/24蓝色VLAN接口192.168.2.100/24Frame1源MAC:A;目标MAC:R源IP：192.168.1.1目标IP：192.168.2.11234Frame2附加红色VLAN识别信息源MAC:A;目标MAC:R源IP：192.168.1.1目标IP：192.168.2.1Frame3附加蓝色VLAN识别信息源MAC:R;目标MAC:C源IP：192.168.1.1目标IP：192.168.2.1Frame4源MAC:R;目标MAC:C源IP：192.168.1.1目标IP：192.168.2.1VLAN间路由路由器的必要性用于与WAN连接：三层交换机终究是“交换机”。也就是说，绝大多数机型只配有LAN（以太网）接口。在少数高端交换机上也有用于连接WAN的串行接口或是ATM接口，但在大多数情况下，连接WAN还是需要用到路由器。保证网络安全：在三层交换机上，通过数据包过滤也能确保一定程度的网络安全。但是使用路由器所提供的各种网络安全功能，用户可以构建更为安全可靠的网络。路由器提供的网络安全功能中，除了最基本的数据包过滤功能外，还能基于IPSec构建VPN（VirtualPrivateNetwork）、利用RADIUS进行用户认证等等。支持除TCP/IP以外的网络架构：尽管TCP/IP已经成为当前网络协议架构的主流，但还有不少网络利用NovellNetware下的IPX/SPX或Macintosh下的Appletalk等网络协议。三层交换机中，除了部分高端机型外基本上还只支持TCP/IP。因此