VLAN基本概念

1、VLAN（Virtual Local Area Network ）技術(shù)的基本概念和應(yīng)用1什么是VLAN？² VLAN是虛擬局域網(wǎng)的英文縮寫，是基于一個廣播域的交換機(jī)端口的集合。IEEE 802.1Q標(biāo)準(zhǔn)定義了VLAN的基本概念和實現(xiàn)原理。² VLAN的主要作用是隔離廣播域。將一個物理網(wǎng)絡(luò)劃分成多個邏輯上的VLAN，可以將一個廣播域劃分成多個小的廣播域，每個VLAN對應(yīng)一個小的廣播域，一個VLAN中的廣播不能傳播到其他的VLAN，這樣有效地控制廣播風(fēng)暴的發(fā)生。² VLAN可分為：基于端口的VLAN、基于MAC地址的VLAN、基于IP地址的VLAN、基于IP子網(wǎng)的VL

2、AN、基于協(xié)議的VLAN和用戶自定義的VLAN。其中最常用的也是最基本的是：基于端口的VLAN，它按照接收端口來確定一個數(shù)據(jù)包的VLAN屬性。² VLAN的屬性是指：當(dāng)一個交換機(jī)端口接收到一個數(shù)據(jù)包時，確定這個數(shù)據(jù)包屬于哪個VLAN。2VLAN的主要功能² 通過VLAN可以非常靈活地將一個物理網(wǎng)絡(luò)按照需求劃分成多個邏輯子網(wǎng)。例如，某公司由于各部門的業(yè)務(wù)不同以及安全的需求，可以按照市場部、工程部、財務(wù)部將公司的網(wǎng)絡(luò)劃分成三個不同的VLAN，各部門不能直接訪問，下面是一個使用cisco交換機(jī)組網(wǎng)的例子：在這個網(wǎng)絡(luò)中，一個部門網(wǎng)絡(luò)的成員可以在不同的樓層，可以與不同的交換機(jī)端口相連

3、，組網(wǎng)方式非常靈活。通過把公司網(wǎng)絡(luò)劃分成三個VLAN，廣播報文只限制在一個VLAN內(nèi)傳播，大大提高了網(wǎng)絡(luò)的使用效率。² 簡化端站的移動、增加與更換。當(dāng)一臺終端站被移動到新的物理位置，它的屬性可以從一臺管理工作站上通過簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）或用戶接口菜單重新分配。若端站在同一VLAN中移動，在新的位置它將保持原有的屬性。若端站移動到不同的VLAN，那它將被賦予新的VLAN的屬性。² 網(wǎng)絡(luò)安全。把一個物理網(wǎng)絡(luò)劃分成若干個VLANs，每個VLAN中的廣播只能在本VLAN所屬的交換機(jī)端口傳播，提高整個網(wǎng)絡(luò)的安全性。3VLAN的實現(xiàn)² IEEE 802.1Q標(biāo)準(zhǔn)定義了

4、動態(tài)實現(xiàn)VLAN的機(jī)制。這里不作介紹。² 為了實現(xiàn)VLAN，IEEE 802.1Q標(biāo)準(zhǔn)定義了一種新的幀格式。它在標(biāo)準(zhǔn)的以太網(wǎng)幀的源MAC地址后面加入了一個Tag header（4字節(jié)），此格式用下圖表示： DA SA Type Data CRC 標(biāo)準(zhǔn)以太網(wǎng)幀 DA SA Tag Type Data CRC 0x8100PriorityCFIVLAN ID IEEE 802.1Q標(biāo)準(zhǔn)幀格式 其中： DA目的MAC地址； SA源MAC地址； Data幀中所攜帶的用戶數(shù)據(jù)； CRC循環(huán)冗余校驗； Priority用戶優(yōu)先級； VLAN ID用來標(biāo)識一個VLAN的ID號，取值范圍：14094

5、。 在幀中加入tag的目的是為了攜帶VLAN信息，表明這個數(shù)據(jù)幀屬于哪個 VLAN，即確定數(shù)據(jù)幀的屬性。² VLAN中端口成員的確定： VLAN端口成員的確定與VLAN的類型有關(guān)。分為基于端口的VLAN 和基于策略的VLAN?；诓呗缘腣LAN又分為基于MAC地址的VLAN、 基于協(xié)議的VLAN、基于IP子網(wǎng)的VLAN、用戶自定義VLAN。 對于基于端口的VLAN，屬于這個VLAN的端口都被網(wǎng)絡(luò)管理軟件明確 配置為這個VLAN的成員。 對于基于策略的VLAN，VLAN中的成員端口既可以由軟件明確指定某 一端口固定屬于某一VLAN，也可以由軟件將某一端口設(shè)為該VLAN的潛在 的成員。對

6、于潛在的成員，需根據(jù)該VLAN的類型確定一些具體的策略。路 由交換機(jī)監(jiān)視從該端口進(jìn)入的數(shù)據(jù)包，如果數(shù)據(jù)包滿足策略要求的條件，則 該端口成為該VLAN的臨時成員。路由交換機(jī)繼續(xù)監(jiān)視該端口，如果在一定 時間內(nèi)沒有收到滿足該條件的數(shù)據(jù)包。將該端口從VLAN中刪除。對于基于 MAC地址的VLAN，路由交換機(jī)需要保持一個對該VLAN的MAC地址表。 對于其它幾種類型的VLAN，路由交換機(jī)也需要根據(jù)具體VLAN類型確定該 種VLAN所需策略。² 確定數(shù)據(jù)包的VLAN屬性 對于帶有802.1Q Tag的數(shù)據(jù)包，則直接根據(jù)數(shù)據(jù)包中所帶標(biāo)記確定其 VLAN屬性。對于未帶有Tag的數(shù)據(jù)包，則交換機(jī)根據(jù)數(shù)

7、據(jù)包內(nèi)容和各VLAN 具體規(guī)則確定其所屬VLAN。² VLAN成員端口屬性VLAN成員端口分為帶標(biāo)記(tagged)與不帶標(biāo)記(untagged)。可以通過網(wǎng)管來設(shè)置端口為帶標(biāo)記端口。一般當(dāng)端口連接的設(shè)備支持802.1Q標(biāo)準(zhǔn)時將端口設(shè)置為帶標(biāo)記端口；否則當(dāng)端口連接的設(shè)備不支持802.1Q時，設(shè)置端口為不帶標(biāo)記端口。1) 帶標(biāo)記端口帶標(biāo)記端口即從該端口發(fā)出的所有數(shù)據(jù)包都必須帶有該數(shù)據(jù)包所屬VLAN標(biāo)記。可設(shè)置該端口在接收數(shù)據(jù)包時是否丟棄不帶標(biāo)記的數(shù)據(jù)包或按各VLAN具體規(guī)則確定其所屬VLAN。同時判斷從本端口收發(fā)的數(shù)據(jù)包所屬VLAN是否為本端口所屬VLAN，若不是，則需決定是否丟棄該數(shù)

8、據(jù)包。2) 不帶標(biāo)記端口不帶標(biāo)記端口即從該端口發(fā)出的所有數(shù)據(jù)包都不能帶有該數(shù)據(jù)包所屬VLAN標(biāo)記。可設(shè)置該端口在接收數(shù)據(jù)包時是否丟棄帶標(biāo)記的數(shù)據(jù)包或按標(biāo)記確定其VLAN屬性。同時判斷從本端口收發(fā)的數(shù)據(jù)包所屬VLAN是否為本端口所屬VLAN，若不是，則需決定是否丟棄該數(shù)據(jù)包。4下面通過張宏的組網(wǎng)方案來進(jìn)一步說明VLAN的功能及應(yīng)用中須注意的問題。5VLAN Routing的概念和基本原理1) VLAN Routing的基本概念 由于在交換機(jī)中引入了VLAN的概念，通過在網(wǎng)絡(luò)中劃分VLAN可以實現(xiàn)廣播域的隔離，大大提高了網(wǎng)絡(luò)的性能，但是卻限制了一個VLAN中的用戶訪問其他VLAN中的用戶。由于VL

9、AN是第二層的技術(shù)，它在選路時使用的是以太網(wǎng)的MAC地址，所以沒有辦法實現(xiàn)VLAN之間的互訪問。為解決這個問題，借鑒路由器的功能，引入VLAN間路由（三層交換機(jī)）功能。 路由交換機(jī)完成線速第三層交換采用的是一種“一次路由，多次交換”的思想?！耙淮温酚伞笔侵府?dāng)?shù)谝淮螌Υ藞笪倪M(jìn)行選路時，交給CPU中運行的路由協(xié)議（如：OSPF，RIP）來運算并給出路由信息，然后將此路由信息存儲在交換芯片的CACHE表中，當(dāng)發(fā)往該目的IP地址的報文再次進(jìn)行路由時，由于CACHE表中已經(jīng)有了該目的IP地址，因此數(shù)據(jù)包可以直接由硬件按照CACHE 中該目的IP路由進(jìn)行交換，以達(dá)到線速交換。2) VLAN間路由的具體實現(xiàn)

10、過程 在交換機(jī)中的路由是指VLAN之間進(jìn)行路由。每個VLAN都可以配置一個或多個接口IP地址和MAC地址對，每個接口等同于路由器的接口。VLAN之間路由是指在VLAN的接口間進(jìn)行路由。其路由原理與路由器一樣。 路由過程如下： 對于從外部進(jìn)入的數(shù)據(jù)包，路由交換機(jī)首先檢查是否為路由交換機(jī)自已的 獨立端口或VLAN接口的MAC地址。如果是，則交由第三層軟、硬件聯(lián)合進(jìn)行第三層交換。否則進(jìn)行第二層硬件交換。對于交由第三層處理的數(shù)據(jù)包，交換芯片首先在CACHE的主機(jī)路由表中查找該數(shù)據(jù)包的目的IP地址是否存在，如果存在則按相應(yīng)端口轉(zhuǎn)發(fā)；如果不存在，則查找網(wǎng)絡(luò)路由CACHE表，如果有相應(yīng)的路由，則按路由轉(zhuǎn)發(fā)；

11、如果該地址不存在，則交換芯片將該數(shù)據(jù)發(fā)往CPU，由路由協(xié)議軟件按常規(guī)路由處理方法對該數(shù)據(jù)包進(jìn)行處理。當(dāng)軟件處理完該數(shù)據(jù)包的選路事項后，將該數(shù)據(jù)包發(fā)往正確的端口。同時在ASIC的CACHE表中填入一項。當(dāng)下一次發(fā)往該目的IP地址的數(shù)據(jù)包再次出現(xiàn)后，由于CACHE表中已經(jīng)有了該目的IP路由，因此數(shù)據(jù)包可以直接由硬件按照CACHE中該目的IP地址項進(jìn)行交換，達(dá)到線速轉(zhuǎn)發(fā)的目的。 下面，通過一個例子來說明VLAN間路由的具體實現(xiàn)過程。一個24端口三層交換機(jī)，將112端口劃分為VLAN 2，將1324端口劃分為VLAN 3，缺省VLAN為VLAN 1。為VLAN 2配置一個接口，IP地址為10.0.0.

12、1，子網(wǎng)掩碼為255.255.0.0；為VLAN 3配置一個接口，IP地址為20.0.0.1，子網(wǎng)掩碼為255.255.0.0。端口1連接一個主機(jī)，IP地址為10.0.0.2，缺省網(wǎng)關(guān)為VLAN 2的接口IP地址。端口21連接一個主機(jī)，IP地址為20.0.0.2，缺省網(wǎng)關(guān)為VLAN 3的接口IP地址。二層交換機(jī)2二層交換機(jī)1主機(jī)2主機(jī)120.0.0.1/255.255.0.010.0.0.1/255.255.0.0三層交換機(jī)21120.0.0.2/255.255.0.010.0.0.2/255.255.0.0數(shù)據(jù)包的傳遞過程（以第一次路由為例）：i. 當(dāng)主機(jī)1向主機(jī)2發(fā)送數(shù)據(jù)時，由于主機(jī)2的I

13、P地址與主機(jī)1的IP地址不在一個網(wǎng)段內(nèi)，所以主機(jī)1向它的缺省網(wǎng)關(guān)發(fā)送目的IP地址為VLAN 2接口IP地址的ARP報文，二層交換機(jī)1接收ARP報文后向VLAN 2除接收端口外其他所有成員端口轉(zhuǎn)發(fā)。ii. 三層交換機(jī)從二層交換機(jī)1的級聯(lián)端口接收到此ARP報文，然后返回VLAN 2接口的MAC地址。iii. 二層交換機(jī)將三層交換機(jī)返回的報文，線速轉(zhuǎn)發(fā)給與主機(jī)1相連的端口，即將轉(zhuǎn)發(fā)給主機(jī)1。iv. 主機(jī)1按照返回的MAC地址，向VLAN 2的接口發(fā)送數(shù)據(jù)包。v. 交換機(jī)接收到數(shù)據(jù)包后查找主機(jī)路由CACHE表以及網(wǎng)絡(luò)路由CACHE表，看有沒有主機(jī)2的路由。沒有則提交給CPU，由路由算法來計算路由，計算結(jié)果為VLAN 3的接口所在網(wǎng)段，于是交由VLAN 3的接口進(jìn)行轉(zhuǎn)發(fā)。vi. VLAN 3的接口如果不知道主機(jī)2的MAC地址，則向VLAN 3的所有成員端口發(fā)送目的IP地址為主機(jī)2 IP地址的ARP報文。二層交換機(jī)2接收到此ARP報文后向VLAN 3除級