VLAN虚拟局域网技术（一）-计算机网络

　　本文主要知识来源于学校课程，部分知识来自于H3C公司教材，未经许可，禁止转载。如需转载，请联系作者并注明出处。

　　1.  VLAN（Virtual LAN）：我们称之为虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。　　

　　实现原理：通过交换机的控制，某一VLAN成员发出的数据包交换机只发给同一VLAN的其它成员，而不会发给该VLAN成员以外的计算机。简言之，一个VLAN就是一个广播域。

　　为什么需要VLAN？

　　位于协议第2层的交换机虽然能隔离冲突域，提高每一个端口的性能，但并不能隔离广播域，不能进行子网划分，不能层次化规划网络，更无法形成网络的管理策略，因为这些功能全都属于网络的第三层———网络层。因此，如果只用交换机来构造一个大型计算机网络，将会形成一个巨大的广播域，结果是，网络的性能会降低以至无法工作，网络的管理束手无策，这样的网络是不可想象的。

　　举个栗子：传统的二层交换机所有端口都属于一个广播域，这样就不便于管理和网络变化，假设一个用户现在属于工作组1，与工作组1内的用户在同一个LAN中，一段时间后要把该用户划分到工作组2中，要加入到工作组2中的LAN，那么必须重新连线。这种给网络管理带来了不方便。这样就在传统二层交换机上引入了VLAN（Virtual LAN）。每个VLAN中的所有节点在同一个广播域，每个VLAN是逻辑LAN，VLAN之间是二层隔离的。

　　VLAN产生由来：交换机的设计者们借鉴了路由结构中子网的思路，得出了虚网的概念，即通过对网络中的IP地址或MAC地址或交换端口进行划分，使之分属于不同的部分，每一个部分形成一个虚拟的局域网络，共享一个单独的广播域。这样就可以把一个大型交换网络划分为许多个独立的广播域，即VLAN。

　　VLAN命令配置：

　　

　　这么做的好处呢？(摘自H3C公司技术甜甜圈)

　　(1). 广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力

　　(2). 增强局域网的安全性：VLAN间不能直接通信，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，而需要通过路由器或三层交换机等三层设备

　　(3). 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活

　　2.   跨设备的VLAN互连与802.1Q协议

　　跨设备的VLAN成员互连的组网，就必然涉及到不同VLAN流量识别的问题，如下图。

　　

　　为了解决VLAN流量识别的问题，思科公司和IEEE分别提出了ISL和802.1Q标准。

　　交换链路内协议(ISL)，是思科私有协议，我们在这不详细谈。

　　想看ISL帧格式我就放个图好了：封装以太网帧哦。802.1Q是插入标签，不是封装，这是差别。

　　

　　着重来看一下IEEE 提出的802.1Q标准是怎么解决VLAN流量识别的问题的吧？

　　802.1Q协议：在跨设备转发时给报文打上VLAN信息，如打上VLAN标签，标识报文所属的VLAN，交换机通过对报文中VLAN信息的识别进行相应的转发。

　　IEEE 802.1Q帧格式是在传统以太网帧格式上定义一个新的以太网帧字段。

　　

　　上图中的0x8100为固定字段，英文为Etype。标识报文的封装类型为以太网的802.1Q封装。

　　Pri优先级主要用于当交换机出端口发生拥塞时,交换机通过识别该优先级,优先发送优先级高的数据包。

　　CFI：规范格式指示器，总是被设置为0.  CFI常用于以太网类网络和令牌环类网络之间，如果在以太网端口接收的帧具有CFI，那么设置为1，表示该帧不进行转发（打这条线是因为这知识只作了解即可）

　　VLAN ID: 该字段为12bit，最大支持4096个VLAN，因为2^12=4096。

　　关于VLAN ID，下面给出一个具体的表，细节就不赘述了。

　　

　　觉得还是讲讲NATIVE VLAN比较好。

　　Native VLAN：本地VLAN，一个VLAN的帧只能转发到属于同一个VLAN的端口或者干道端口。

　　只有发往干道端口的帧才需要加上VLAN ID。从干道收到的帧中如果没有VLAN ID，则认为是本地VLAN(Native VLAN)，默认为VLAN 1。

　　ISL就没有Native VLAN这个概念了。只有IEEE 802.1Q标准才有。