VLAN虛擬局域網技術（一）-計算機網絡

　　本文主要知識來源於學校課程，部分知識來自於H3C公司教材，未經許可，禁止轉載。如需轉載，請聯繫做者並註明出處。

　　1.  VLAN（Virtual LAN）：咱們稱之爲虛擬局域網,它的做用就是將物理上互連的網絡在邏輯上劃分爲多個互不相干的網絡，這些網絡之間是沒法通信的，就好像互相之間沒有鏈接同樣，所以廣播也就隔離開了。　　

　　實現原理：經過交換機的控制，某一VLAN成員發出的數據包交換機只發給同一VLAN的其它成員，而不會發給該VLAN成員之外的計算機。簡言之，一個VLAN就是一個廣播域。

　　爲何須要VLAN？

　　位於協議第2層的交換機雖然能隔離衝突域，提升每個端口的性能，但並不能隔離廣播域，不能進行子網劃分，不能層次化規劃網絡，更沒法造成網絡的管理策略，由於這些功能全都屬於網絡的第三層———網絡層。所以，若是隻用交換機來構造一個大型計算機網絡，將會造成一個巨大的廣播域，結果是，網絡的性能會下降以致沒法工做，網絡的管理一籌莫展，這樣的網絡是不可想象的。

　　舉個栗子：傳統的二層交換機全部端口都屬於一個廣播域，這樣就不便於管理和網絡變化，假設一個用戶如今屬於工做組1，與工做組1內的用戶在同一個LAN中，一段時間後要把該用戶劃分到工做組2中，要加入到工做組2中的LAN，那麼必須從新連線。這種給網絡管理帶來了不方便。這樣就在傳統二層交換機上引入了VLAN（Virtual LAN）。每一個VLAN中的全部節點在同一個廣播域，每一個VLAN是邏輯LAN，VLAN之間是二層隔離的。

　　VLAN產生由來：交換機的設計者們借鑑了路由結構中子網的思路，得出了虛網的概念，即經過對網絡中的IP地址或MAC地址或交換端口進行劃分，使之分屬於不一樣的部分，每個部分造成一個虛擬的局域網絡，共享一個單獨的廣播域。這樣就能夠把一個大型交換網絡劃分爲許多個獨立的廣播域，即VLAN。

　　VLAN命令配置：

　　

　　這麼作的好處呢？(摘自H3C公司技術甜甜圈)

　　(1). 廣播域被限制在一個VLAN內，節省了帶寬，提升了網絡處理能力

　　(2). 加強局域網的安全性：VLAN間不能直接通訊，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通訊，而須要經過路由器或三層交換機等三層設備

　　(3). 靈活構建虛擬工做組：用VLAN能夠劃分不一樣的用戶到不一樣的工做組，同一工做組的用戶也沒必要侷限於某一固定的物理範圍，網絡構建和維護更方便靈活

　　2.   跨設備的VLAN互連與802.1Q協議

　　跨設備的VLAN成員互連的組網，就必然涉及到不一樣VLAN流量識別的問題，以下圖。

　　

　　爲了解決VLAN流量識別的問題，思科公司和IEEE分別提出了ISL和802.1Q標準。

　　交換鏈路內協議(ISL)，是思科私有協議，咱們在這不詳細談。

　　想看ISL幀格式我就放個圖好了：封裝以太網幀哦。802.1Q是插入標籤，不是封裝，這是差異。

　　

　　着重來看一下IEEE 提出的802.1Q標準是怎麼解決VLAN流量識別的問題的吧？

　　802.1Q協議：在跨設備轉發時給報文打上VLAN信息，如打上VLAN標籤，標識報文所屬的VLAN，交換機經過對報文中VLAN信息的識別進行相應的轉發。

　　IEEE 802.1Q幀格式是在傳統以太網幀格式上定義一個新的以太網幀字段。

　　

　　上圖中的0x8100爲固定字段，英文爲Etype。標識報文的封裝類型爲以太網的802.1Q封裝。

　　Pri優先級主要用於當交換機出端口發生擁塞時,交換機經過識別該優先級,優先發送優先級高的數據包。

　　CFI：規範格式指示器，老是被設置爲0.  CFI經常使用於以太網類網絡和令牌環類網絡之間，若是在以太網端口接收的幀具備CFI，那麼設置爲1，表示該幀不進行轉發（打這條線是由於這知識只做瞭解便可）

　　VLAN ID: 該字段爲12bit，最大支持4096個VLAN，由於2^12=4096。

　　關於VLAN ID，下面給出一個具體的表，細節就不贅述了。

　　

　　以爲仍是講講NATIVE VLAN比較好。

　　Native VLAN：本地VLAN，一個VLAN的幀只能轉發到屬於同一個VLAN的端口或者幹道端口。

　　只有發往幹道端口的幀才須要加上VLAN ID。從幹道收到的幀中若是沒有VLAN ID，則認爲是本地VLAN(Native VLAN)，默認爲VLAN 1。

　　ISL就沒有Native VLAN這個概念了。只有IEEE 802.1Q標準纔有。