VLAN IEEE802.1Q

1、 VLAN產生緣由-廣播風暴 傳統的局域網使用的是HUB，HUB只有一根總線，一根總線就是一個衝突域。因此傳統的局域網是一個扁平的網絡，一個局域網屬於同一個衝突域。任何一臺主機發出的報文都會被同一衝突域中的全部其它機器接收到。後來，組網時使用網橋（二層交換機）代替集線器（HUB），每一個端口能夠當作是一根單獨的總線，衝突域縮小到每一個端口，使得網絡發送單播報文的效率大大提升，極大地提升了二層網絡的性能。可是網絡中全部端口仍然處於同一個廣播域，網橋在傳遞廣播報文的時候依然要將廣播報文複製多份，發送到網絡的各個角落。隨着網絡規模的擴大，網絡中的廣播報文愈來愈多，廣播報文佔用的網絡資源愈來愈多，嚴重影響網絡性能，這就是所謂的廣播風暴的問題。 因爲網橋二層網絡工做原理的限制，網橋對廣播風暴的問題無能爲力。爲了提升網絡的效率，通常須要將網絡進行分段：把一個大的廣播域劃分紅幾個小的廣播域。 過去每每經過路由器對LAN進行分段。用路由器替換中心節點交換機，使得廣播報文的發送範圍大大減少。這種方案解決了廣播風暴的問題，可是用路由器是在網絡層上分段將網絡隔離，網絡規劃複雜，組網方式不靈活，而且大大增長了管理維護的難度。作爲替代的LAN分段方法，虛擬局域網被引入到網絡解決方案中來，用於解決大型的二層網絡環境面臨的問題。 虛擬局域網（VLAN——Virtual Local Area Network）邏輯上把網絡資源和網絡用戶按照必定的原則進行劃分，把一個物理上實際的網絡劃分紅多個小的邏輯的網絡。這些小的邏輯的網絡造成各自的廣播域，也就是虛擬局域網VLAN 虛擬局域網將一組位於不一樣物理網段上的用戶在邏輯上劃分紅一個局域網內，在功能和操做上與傳統LAN基本相同，能夠提供必定範圍內終端系統的互聯。VLAN與傳統的LAN相比，具備如下優點：

1. 減小移動和改變的代價 即所說的動態管理網絡，也就是當一個用戶從一個位置移動到另外一個位置時，他們的網絡屬性不須要從新配置，而是動態的完成。 2.虛擬工做組 使用VLAN的最終目標就是創建虛擬工做組模型，廣播包限制在該VLAN上，不影響其餘VLAN。一我的若是從一個辦公地點換到另一個地點，而他任然在該部門，那麼，該用戶的配置無須改變；同時，若是一我的雖然辦公地點沒有變，但他更換了部門，那麼，只需網絡管理員更改一下該用戶的配置便可。 用戶不受到物理設備的限制，VLAN用戶能夠處於網絡中的任何地方； VLAN對用戶的應用不產生影響； VLAN的應用解決了許多大型二層交換網絡產生的問題： 有效地解決了廣播風暴帶來的性能降低問題。 加強通信的安全性: 一個VLAN的數據包不會發送到另外一個VLAN，這樣，其餘VLAN的用戶的網絡上是收不到任何該VLAN的數據包，這樣就確保了該VLAN的信息不會被其餘VLAN的人竊聽，從而實現了信息的保密； 加強網絡的健壯性: 當網絡規模增大時，部分網絡出現問題每每會影響整個網絡，引入VLAN以後，能夠將一些網絡故障限制在一個VLAN以內。 VLAN是邏輯上對網絡進行劃分，組網方案靈活，配置管理簡單，下降了管理維護的成本。

2、VLAN的類型 1.基於端口的VLAN 這種劃分VLAN的方法是根據以太網交換機的端口來劃分，這些屬於同一VLAN的端口能夠不連續，如何配置，由管理員決定。

2.基於MAC地址的VLAN 這種劃分VLAN的方法是根據每一個主機的MAC地址來劃分，即對全部主機都根據它的MAC地址配置主機屬於哪一個VLAN；交換機維護一張VLAN映射表，這個VLAN表記錄MAC地址和VLAN的對應關係。這種劃分VLAN的方法的最大優勢就是當用戶物理位置移動時，即從一個交換機換到其餘的交換機時，VLAN不用從新配置，因此，能夠認爲這種根據MAC地址的劃分方法是*基於用戶的_VLAN。 缺點是初始化時，全部的用戶都必須進行配置，若是用戶不少，配置的工做量是很大的。此外這種劃分的方法也致使了交換機執行效率的下降，由於在每個交換機的端口均可能存在不少個VLAN組的成員，這樣就沒法限制廣播包。另外，對於使用筆記本電腦的用戶來講，他們的網卡可能常常更換，這樣，VLAN就必須不停的配置。

3.基於協議的VLAN 根據二層數據幀中協議字段進行VLAN的劃分。經過二層數據中協議字段，能夠判斷出上層運行的網絡協議，如IP協議或者是IPX協議。若是一個物理網絡中既有IP網絡又有IPX等多種協議運行的時候，能夠採用這種VLAN的劃分方法。

4.基於子網的VLAN 基於IP子網的VLAN根據報文中的IP地址決定報文屬於哪一個VLAN：同一個IP子網的全部報文屬於同一個VLAN。這樣，能夠將同一個IP子網中的用戶被劃分在一個VLAN內。 利用IP子網定義VLAN有如下幾點優點： 1)這種方式能夠按傳輸協議劃分網段。這對於但願針對具體應用的服務來組織用戶的網絡管理者來講是很是有誘惑力的。 2)用戶能夠在網絡內部自由移動而不用從新配置本身的工做站，尤爲是使用TCP/IP的用戶。 缺點是效率，由於檢查每個數據包的網絡層地址是很費時的。同時因爲一個端口也可能存在多個VLAN的成員，對廣播報文也沒法有效抑制。

####IEEEE802.1Q協議

IEEE802.1Q是虛擬橋接局域網的正式標準，定義了同一個物理鏈路上承載多個子網的數據流的方法。IEEE802.1Q定義了VLAN幀格式，爲識別幀屬於哪一個VLAN提供了一個標準的方法。這個格式統一了標識VLAN的方法，有利於保證不一樣廠家設備配置的VLAN能夠互通。 IEEE 802.1Q定義了一下內容: VLAN的架構； VLAN中所提供的服務； VLAN實施中涉及的協議和算法；

1、VLAN幀格式 四個字節的802.1Q標籤頭包含了2個字節的標籤協議標識（TPID）和2個字節的標籤控制信息（TCI）。 TPID（Tag Protocol Indentifier）是IEEE定義的新的類型，代表這是一個加了802.1Q標籤的幀。TPID包含了一個固定的值0x8100。 TCI是包含的是幀的控制信息，它包含了下面的一些元素： Priority：這3 位指明幀的優先級。一共有8種優先級，0－7。IEEE 802.1Q標準使用這三位信息。 Canonical Format Indicator( CFI )：CFI值爲0說明是規範格式，1爲非規範格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。 VLAN Identified( VLAN ID ): 這是一個12位的域，指明VLAN的ID，一共4096個，每一個支持802.1Q協議的交換機發送出來的數據包都會包含這個域，以指明本身屬於哪個VLAN。 在一個交換網絡環境中，以太網的幀有兩種格式：有些幀是沒有加上這四個字節標誌的，稱爲未標記的幀（ungtagged frame），有些幀加上了這四個字節的標誌，稱爲帶有標記的幀（tagged frame）。

2、VLAN鏈路 接入鏈路 幹道鏈路 接入鏈路指的是用於鏈接主機和交換機的鏈路。一般狀況下主機並不須要知道本身屬於哪些VLAN，主機的硬件也不必定支持帶有VLAN標記的幀。主機要求發送和接收的幀都是沒有打上標記的幀。 接入鏈路屬於某一個特定的端口，這個端口屬於一個而且只能是一個VLAN。這個端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN發送信息。不一樣VLAN的信息必須經過三層路由處理才能轉發到這個端口上。 幹道鏈路是能夠承載多個不一樣VLAN數據的鏈路。幹道鏈路一般用於交換機間的互連，或者用於交換機和路由器之間的鏈接。 數據幀在幹道鏈路上傳輸的時候，交換機必須用一種方法來識別數據幀是屬於哪一個VLAN的。IEEE 802.1Q定義了VLAN幀格式，全部在幹道鏈路上傳輸的幀都是打上標記的幀（tagged frame）。經過這些標記，交換機就能夠肯定哪些幀分別屬於哪一個VLAN。 和接入鏈路不一樣，幹道鏈路是用來在不一樣的設備之間（如交換機和路由器之間、交換機和交換機之間）承載VLAN數據的，所以幹道鏈路是不屬於任何一個具體的VLAN的。經過配置，幹道鏈路能夠承載全部的VLAN數據，也能夠配置爲只能傳輸指定的VLAN的數據。 幹道鏈路雖然不屬於任何一個具體的VLAN，可是能夠給幹道鏈路配置一個pvid（port VLAN ID）。當幹道鏈路不論由於什麼緣由，trunk鏈路上出現了沒有帶標記的幀，交換機就給這個幀增長帶有pvid的VLAN標記，而後進行處理。

3、VLAN幀在網絡中的通訊 對於主機來講，它是不須要知道VLAN的存在的。主機發出的報文都是untagged的報文；交換機接收到這樣的報文以後，根據配置規則（如端口信息）判斷出報文所屬VLAN進行處理。若是報文須要經過另一臺交換機發送，則該報文必須經過幹道鏈路傳輸到另一臺交換機上。爲了保證其它交換機正確處理報文的VLAN信息，在幹道鏈路上發送的報文都帶上了VLAN標記。 當交換機最終肯定報文發送端口後，將報文發送給主機以前，將VLAN的標記從以太網幀中刪除，這樣主機接收到的報文都是不帶VLAN的標記的以太網幀。 因此，通常狀況下，幹道鏈路上傳送的都是Tagged Frame，接入鏈路上傳送的都是Untagged Frame。這樣作的最終結果是：網絡中配置的VLAN能夠被全部的交換機正確處理，而主機不須要了解VLAN信息。

4、Trunk和VLAN 一個VLAN就肯定了一個廣播域。廣播報文可以被在一個廣播域中的全部主機接收到，也就是說，廣播報文必須被髮送到一個VLAN中的全部端口。由於VLAN可能跨越多個交換機，當一個交換機從某VLAN的一個端口收到廣播報文以後，爲了保證同屬一個VLAN的全部主機都接收到這個廣播報文，交換機必須按照以下原則將報文進行轉發： 1.發送給本交換機中同一個VLAN中的其餘端口 2.將這個包報文發送給本交換機的包含這個VLAN的全部幹道鏈路，以便讓其餘交換機上的同一個VLAN的端口也發送該報文。 將一個端口設置爲Trunk端口，也就是說，和這個端口相連的鏈路被設置爲Trunk鏈路，同時還能夠配置哪些VLAN的報文能夠經過這個幹道鏈路。配置容許經過的VLAN，須要根據網絡的配置狀況進行考慮，而不該該讓幹道鏈路傳輸全部的VLAN：由於某一VLAN的全部廣播報文必須被髮送到這個VLAN的每個端口，若是讓幹道鏈路傳輸全部的VLAN，這些廣播報文將被幹道鏈路傳送到全部的其它交換機上。若是在幹道鏈路的另一端沒有這個VLAN的成員端口，那麼帶寬和處理時間就會被白白浪費。

對於多數用戶來講，手工配置太麻煩了。一個規模比較大的網絡可能包含多個VLAN，並且網絡的配置也會隨時發生變化，致使根據網絡的拓撲結構逐個交換機配置Trunk端口過於複雜。這個問題能夠由GVRP協議來解決：GVRP協議根據網絡狀況動態配置幹道鏈路。

www.huawei.com