【疑問解答】關於VLAN技術您了解多少？

當以太網中主機數量過多時會導致衝突嚴重、廣播泛濫、性能明顯下降甚至造成網絡無法使用等問題，雖說可以通過交換機實現LAN互連解決衝突嚴重的問題，但是仍然無法實現廣播報文隔離，提高網絡質量。為解決這一些列問題，VLAN技術應運而生。VLAN到底是什麼？有什麼作用？是如何進行工作的？又該如何配置呢？您真的了解嗎？

什麼是VLAN？為什麼要使用VLAN？

VLAN（即虛擬局域網）是將一個物理LAN在邏輯上劃分成多個廣播域的通信技術。也就是說，它可以把一個LAN劃分成多個邏輯的VLAN，每個VLAN是一個廣播域，在VLAN內主機之間的通信就如同LAN內一樣，但不同VLAN之間不能直接互通，這樣同一個廣播域的報文就會被限制在一個VLAN內。

有人可能會問，我們為什麼要使用VLAN進行廣播域分割？答案很簡單，因為如果僅有一個廣播域，很有可能會影響到整個網絡的傳輸性能，為了確保網絡良好的傳輸性能，使用VLAN是有必要的。

如下圖所示，在早前LAN的組網方案中，當主機A想要與主機B進行通信時，必須要向同一局域網中的所有交換機和其他主機廣播ARP（地址解析協議）請求，然後獲得主機B的MAC地址（因為以太網通信必須在數據幀中指定目標MAC地址才能正常通信）。

如上圖，當交換機A收到ARP請求（廣播幀）之後，會將它轉發給除接收端口以外的其他所有端口（也就是Flooding泛洪），交換機B、C同樣也會Flooding（泛洪），最終ARP請求會被轉發到同一網絡中的所有設備上。這樣會致使網絡被主機和交換機發送的報文轟炸，導致主機的CPU運算能力和整個網絡的帶寬將會被大量消耗，產生廣播風暴，甚至導致整個網絡崩潰。使用VLAN技術可有效的避免這種情況發生。

通過配置VLAN，可以將網絡分段為不同的廣播域（VLAN），ARP請求（廣播幀）將會被限制只能發送到同一VLAN的端口，並不會發送到其他VLAN的端口，如下圖，這樣可較大程度的節省網絡資源和帶寬，從而提高網絡的靈活性及其性能。

VLAN有什麼作用？您能從中獲得什麼？

VLAN除了能將網絡劃分為多個廣播域，有效防止廣播風暴以外，它還能提高網絡安全性，使網絡管理更便捷、靈活等。

• 限制廣播域（提高網絡處理能力）：可將廣播域限制在一個VLAN內，節省帶寬，提高網絡處理能力。

• 端口分隔：即便是在同一個交換機上，處於不同VLAN的端口也不能通信。這時一個物理交換機可以當做多個邏輯交換機使用。

• 增強局域網安全性：不同VLAN內的報文在傳輸的過程中是相互隔離的狀態，因此信不同VLAN不能直接通，可有效杜絕不安全的廣播信息。

• 提高網絡可靠性：由於每個VLAN之間相對獨立，因此當某個VLAN內發生故障時，也不會影響到其他VLAN的正常工作。

• 構建靈活的虛擬工作組：VLAN可將不同的用戶劃分到不同的工作組中，同一個工作組的用戶不會局限於某一個固定的物理範圍，使得網絡構建和維護更加靈活便捷。

與此同時，網絡管理也相對靈活，當用戶所屬網絡發生更改時，無需更換端口和連線，只需更改軟件配置即可。

VLAN是如何工作的？VLAN原理概述

1. VLAN基本通信原理

簡單來說，當報文進入到VLAN所處的交換機端口時，會被添加上識別的VLAN字段（打標封裝），如VLAN標籤（國際標準協議）、ISL標籤（思科專有VLAN標記手段），當帶有識別VLAN手段的數據幀從另一個端口輸出時，該標籤將會被剝離。下面以國際標準協議為例：

第一步，識別VLAN報文

為了讓交換機分辨不同VLAN的報文，會在報文中添加識別VLAN的字段，根據IEEE 802.1Q協議規定，需在以太網數據幀的目的MAC地址和源MAC地址字段之後、協議類型字段之前加入4個字節的VLAN標籤，如下圖。

VLAN標籤（VLAN Tag，簡稱Tag）是一種VLAN標識符，包含了TPID、PRI、CFI、VID四個字段，一般添加在數據鏈路層封裝中。

註：在同一個VLAN交換網絡中，存在Tagged幀（有標記幀）和Untagged幀（無標記幀）兩種數據幀,Tagged幀表示加入了4字節VLAN標籤的幀；Untagged幀表示原始的、沒有加入4字節VLAN標籤的幀。

第二步：轉發VLAN報文

以太網接口類型不同，交換機對數據幀的處理過程也不同。

根據接口連接對象的不同，以太網接口可分為Access、Trunk、Hybrid、QinQ四種類型，如下：

接收數據幀

• 當接收到帶有VLAN標籤的數據幀（Tagged幀）時，Access、Trunk、Hybrid接口都會根據數據幀的VID來判斷其是否為允許通過的VLAN，若是則接收該數據幀。

• 當接收到不帶VLAN標籤的數據幀（Untagged幀）時，Access、Trunk、Hybrid接口都會給數據幀打上VLAN標籤，其中Trunk、Hybrid接口都會根據數據幀的VID來判斷其是否為允許通過的VLAN，若是則接收；而Access接口無需判斷就直接將所有數據幀無條件接收。

註：QinQ接口會給數據幀添加雙重Tag，在原有的Tag基礎上再添加一個802.1Q的Tag，即數據幀有兩層802.1Q Tag（一層公網Tag，一層私網Tag）。

發送數據幀

當交換機將數據幀發出時，Access接口會直接剝離數據幀中的VLAN標籤，然後發送出去；Trunk接口則是只有當數據幀中的VID與接口的PVID相等時，才會剝離數據幀中的VLAN標籤，然後將其發送出去；Hybrid接口則是根據接口上的配置來判斷是否剝離數據幀中的VLAN標籤，剝離數據幀中的VLAN標籤，將其發送出去。

2. VLAN內通信原理

VLAN內通信是指在位於相同網段的同一個VLAN內的用戶進行通信。VLAN內通信可以是發生在同交換機上，也可以發生在跨交換機（也就是說不同交換機）上，但無論是什麼類型，VLAN內通信主要分為以下三個步驟：

(1)主機報文轉發：在發起通信之前，源主機會將自身的IP地址與目的主機的IP地址進行匹配，若是兩者位於同一網段，則獲取目的主機的MAC地址，並將其作為目的MAC地址封裝進報文；若是兩者位於不同網段，源主機將其報文遞交給網關，獲取網關的MAC地址，並將其作為目的MAC地址封裝進報文。

(2)交換機內部的以太網交換：交換機根據接收到的報文目的MAC地址和VID以及三層轉發標誌位置來判斷進行二層交換還是三層交換。

(3)VLAN標籤的添加和剝離：在設備之間交互時，根據交換機接口的設置添加或剝離Tag。

3. VLAN間通信原理

由於廣播幀只能在同一個VLAN內進行轉發，因此不同VLAN的用戶之間無法實現二層相互通信。但在實際應用中，處於不同VLAN中的用戶會存在相互通信的需求，因此，若想實現不同VLAN之間的通信就需要藉助三層交換機虛擬端口或單臂路由。具體如下：

單臂路由——使用中繼端口實現多個VLAN和路由器子接口的模式，實現單臂路由。如下圖，先將路由器和交換機之間的連接端口配置為中繼端口（該鏈路為Trunk鏈路）；然後刪除與交換機相連的路由器物理端口的IP地址，並啟用物理端口；最後在路由器上為每個邏輯子接口進行VLAN的封裝、IP地址和子網掩碼的配置。該種方式，可有效節約交換機和路由器端口，但轉髮帶寬會受到中繼鏈路帶寬限制。

三層交換機虛擬端口——其實就是藉助三層交換機的交換技術及路由功能。如下圖，先在三層交換機上創建VLAN；然後在三層交換機上使用“IP Routing”命令啟用IP路由轉發功能，為每個VLAN創建SVI接口（交換機虛擬接口，是一種與VLAN ID相關聯的虛擬VLAN接口），並配置IP地址和子網掩碼。該種方式採用內部交換鏈路進行交換，具備速度高、無衝突等優勢。

其實我們還可以將每個VLAN與路由器端口連接，利用路由協議實現VLAN之間的路由，如下圖。但該種方式，會使每個VLAN在路由器上都需要一個物理端口，會佔用大量路由器端口，導致成本增加，因此，該種方式使用較少。

如何劃分VLAN？怎麼配置VLAN？

劃分VLAN可有效減少廣播風暴、簡化網絡管理、提高網絡的安全性，是用戶最常使用的配置。VLAN劃分方式主要分為基於接口、基於MAC地址、基於協議、基於子網以及基於策略五種，其中基於接口劃分使用最為常見的方式。

1. 基於接口劃分VLAN

基於接口劃分VLAN是根據交換機的接口來劃分VLAN。該方式定義成員簡單，只需將所有接口都定義為相應的VLAN即可，適用於位置固定的網絡。

該方式的配置需要網絡管理員預先給交換機的每個接口配置不同的PVID，當數據幀進入到交換機時，若是沒有攜帶VLAN標籤，則會為該數據幀加上接口制定PVID的Tag，然後讓該數據幀在指定的PVID中傳輸。欲知更多詳細的命令配置可訪問《飛速（FS） S3900系列交換機如何基於接口劃分VLAN？》。

2. 基於MAC地址劃分VLAN

基於MAC地址劃分VLAN是根據數據幀的源MAC地址劃分VLAN，可有效提高網絡安全性和接入的靈活性，適用於位置經常發生變動但網卡不變的小型網絡，如移動PC。

該方式的配置需要網絡管理員預先配置MAC地址和VLAN ID映射關係表，當交換機收到Untagged幀時，會根據該表為數據幀加上指定VLAN的Tag，然後讓其在指定VLAN中進行傳輸。欲知更多詳細的命令配置可訪問《飛速（FS） S3900系列交換機如何基於MAC地址劃分VLAN？》。

3. 基於子網劃分VLAN

基於子網劃分VLAN是根據數據幀中的源IP地址和子網掩碼來劃分VLAN，即便是位置發生改變也無需重新配置VLAN，同時，可將VLAN擴大廣域網（也就是廣播域跨越多個交換機），減少網絡通信量，適用於對安全性要求不高，但對移動性和簡易管理性要求較高的網絡，如PC需要配置多個IP地址分別訪問不同網段的服務器等。

該方式的配置需要網絡管理員預先配置IP地址和VLAN ID映射關係表，當交換機收到Untagged幀時，會根據該表為數據幀加上指定VLAN的Tag，然後該數據幀將在指定VLAN中進行傳輸。欲知更多詳細的命令配置可訪問《飛速（FS） S3900系列交換機如何基於IP子網劃分VLAN？》。

4. 基於協議劃分VLAN

基於協議劃分VLAN是根據數據幀所屬的協議類型及封裝格式來劃分VLAN，可根據網絡提供的服務類型與VLAN綁定，便於管理和維護，適用於同時運行多協議的網絡。

該方式的配置需要網絡管理員先配置以太網幀中的協議域和VLAN ID的映射關係表，當交換機收到Untagged幀時，會根據該表給數據幀添加指定VLAN 的Tag，然後該數據幀會在指定VLAN中進行傳輸。欲知更多詳細命令配置可訪問《飛速（FS） S3900系列交換機如何基於協議劃分VLAN？》。

5. 基於策略劃分VLAN

基於策略劃分VLAN是根據配置的策略劃分VLAN，可實現多組合的劃分方式，如接口、MAC地址、IP地址等，其具備較高的安全性且靈活性，可根據實際需求以及其管理管理模式選擇劃分的方式，適用於需求比較複雜的網絡。

該方式的配置需要網絡管理員預先配置策略，當交換機收到Untagged幀，且匹配到配置的策略時，會給該數據幀添加指定VLAN的 Tag，然後讓該數據幀在指定VLAN中進行傳輸。

若是Untagged幀匹配到多種劃分VLAN方式時，其優先級從高到低的順序為：基於策略劃分VLAN＞基於MAC地址劃分VLAN、基於子網劃分VLAN（兩者的優先級可通過命令改變）＞基於協議劃分VLAN＞基於接口劃分VLAN。