VLAN

【概述】

在交换机组成的交换网络中，所有的主机都处于同一个广播域，当主机数量极多时，可能会造成网络风暴，并影响到网络整体的传输性能。

虚拟局域网(VLAN,Virtual LAN)，属于第二层网络的逻辑分区，是使用路由器分割的广播域，同一个 VLAN 中的用户间通信就和在一个局域网内一样。

每一个 VLAN 都是一个广播域，通常使用自己的 IP 网络，这使得广播只有 VLAN 中的成员才能收到，不会传输到其他的 VLAN 中去，从而能够控制不必要的广播风暴的产生。

同时，VLAN 之间相互隔离，数据包只能通过路由器在不同 VLAN 之间传递，以此提高了不同工作组之间的信息安全性。

根据特定用户分组实施访问和安全策略，网络管理员根可根据功能、项目组或应用等因素划分 VLAN，而不考虑用户或设备的物理位置。

【VLAN 种类】

根据 VLAN 划分要求的不同，VLAN 可分为以下几类：

• 基于端口的 VLAN：针对交换机的端口进行 VLAN 的划分，不受主机的变化影响
• 基于协议的 VLAN：在一个物理网络中针对不同的网络层协议进行安全划分
• 基于 MAC 地址的 VLAN：基于主机的 MAC 地址进行 VLAN 划分，主机可以任意在网络移动而不需要重新划分
• 基于组播的 VLAN：基于组播应用进行用户的划分
• 基于 IP 子网的 VLAN：针对不同的用户分配不同子网的 IP 地址，从而隔离用户主机，一般情况下结合基于端口的 VLAN 进行应用

而根据 VLAN 的作用，又有如下的划分方法：

• 数据 VLAN：用户生成的流量
• 本地 VLAN：用于未标记的流量，默认情况下，本地 VLAN 是 VLAN1
• 默认 VLAN：在配置交换机之前，所有交换机端口都是此 VLAN 的一部分，默认情况下，所有的端口都分配给 VLAN 1，通过 show vlan brief 命令即可查看
• 管理 VLAN：用于访问交换机管理功能的 VLAN，默认情况下，管理 VLAN 是管理 VLAN1，而如要创建管理 VLAN，要将该 VLAN 的交换机虚拟接口(SVI)将分配 IP 地址和子网掩码，使交换机通过 HTTP、Telnet、SSH 或 SNMP 进行管理

【VLAN 中继】

VLAN 中继是传输多个 VLAN 流量的点对点链路，由于 VLAN 中继通常在交换机之间建立，因此，即使物理连接至不同交换机，同一 VLAN 的设备也可以通信。

VLAN 中继不与任何 VLAN 相关联，用于建立中继链路的中继端口也不与任何 VLAN 相关联。

交换机通过标记帧，来确定它们所属的 VLAN，一般均支持 IEEE802.1Q 的 VLAN 中继协议，该协议是一个标记协议，定义了添加到帧的标记报头的结构。

该协议在将 VLAN 标记放入中继链路前，交换机会将 VLAN 标记添加到帧(帧标记)，而且，通过非中继端口转发帧之前会删除标记。

一旦正确标记，帧可以通过中继链路经过任意数量的交换机，并且仍在目的地的正确 VLAN 中进行转发。

需要注意的是，发送到本地 VLAN 上的控制流量不应添加标记，收到的无标记帧将保持无标记，而且，在转发时会放在本地 VLAN 中。

如果没有与本地 VLAN 相关联的端口，也没其他中继链路，那么将丢弃无标记帧，因此，在交换机上配置交换机端口时，要将设备配置为不发送本地 VLAN 上的有标记帧。