什么是VLAN? VLAN基本原理

前言

•以太网是一种基于CSMA/CD的数据网络通信技术，其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。

•在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。

•在本课程中，将介绍VLAN技术的相关概念，介绍不同二层接口的工作原理，并且会介绍VLAN的应用及其数据转发原理和相关配置。

传统以太网的问题

•广播域：
▫如图是一个典型的交换网络，网络中只有终端计算机和交换机。在这样的网络中，如果某一台计算机发送了一个广播帧，由于交换机对广播帧执行泛洪操作，结果所有其他的计算机都会收到这个广播帧。
▫把广播帧所能到达的整个访问范围称为二层广播域，简称广播域 (Broadcast Domain)。显然，一个交换网络其实就是一个广播域。
•网络安全问题和垃圾流量问题：
▫如图：如果PC1向PC2发送了一个单播帧。此时SW1、SW3、SW7的mac地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。那么，SW1和SW3将对该单播帧执行点对点的转发操作，SW7将对该单播帧执行丢弃操作，SW2和SW5将对该单播帧执行泛洪操作。最后的结果是，PC2虽然收到了该单播帧，但网络中的很多其他非目的主机，同样收到了不该接收的数据帧。
•显然，广播域越大，网络安全问题和垃圾流量问题就越严重。

•在典型交换网络中，当某台主机发送一个广播帧或未知单播帧时，该数据帧会被泛洪，甚至传递到整个广播域。

•广播域越大，产生的网络安全问题、垃圾流量问题，就越严重。

虚拟局域网 (VLAN, Virtual LAN)

•为了解决广播域带来的问题，人们引入了VLAN (Virtual Local Area Network)，即虚拟局域网技术：
▫通过在交换机上部署VLAN，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络的安全性，同时减少垃圾流量，节约网络资源。
•VLAN的特点：
▫一个VLAN就是一个广播域，所以在同一个VLAN内部，计算机可以直接进行二层通信；而不同VLAN内的计算机，无法直接进行二层通信，只能进行三层通信来传递信息，即广播报文被限制在一个VLAN内。
▫VLAN的划分不受地域的限制。
•VLAN的好处：
▫灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。
▫限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
▫增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
▫提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
•注：二层，即数据链路层。

虚拟局域网VLAN可以隔离广播域。

特点：

不受地域限制。

同一VLAN内的设备才能直接进行二层通信。

如何实现VLAN

•Switch1与Switch2同属一个企业，该企业统一规划了网络中的VLAN。其中VLAN10用于A部门，VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。

•PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理，后者无法判断该数据所属的VLAN，也不知道应该将这个数据输出到本地哪个VLAN中。

VLAN标签 (VLAN Tag)

•交换机如何识别接收到的数据帧属于哪个VLAN？

•如图所示，SW1识别出某个帧是属于哪个VLAN后，会在这个帧的特定位置上添加一个标签。这个标签明确地标明了这个帧是属于哪个VLAN的。其他交换机（如SW2）收到这个带标签的数据帧后，就能轻而易举地直接根据标签信息识别出这个帧属于哪个VLAN。
•IEEE 802.1Q定义了这种带标签的数据帧的格式。满足这种格式的数据帧称为IEEE 802.1Q数据帧，也称VLAN数据帧。

VLAN标签：

•要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。

•IEEE 802.1Q协议规定，在以太网数据帧中加入4个字节的VLAN标签，又称VLAN Tag，简称Tag。

VLAN数据帧

•在一个VLAN交换网络中，以太网帧主要有以下两种形式：
▫有标记帧（Tagged帧）：IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag）的数据帧。
▫无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的数据帧。
•VLAN数据帧中的主要字段：
▫TPID：2字节，Tag Protocol Identifier（标签协议标识符），表示数据帧类型。
▪取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。
▪各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时，为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。
▫PRI：3 bit，Priority，表示数据帧的优先级，用于QoS。
▪取值范围为0～7，值越大优先级越高。当网络阻塞时，交换机优先发送优先级高的数据帧。

VLAN的实现

•Switch1和Switch2之间的链路要承载多个VLAN的数据，需要一种基于VLAN的数据“标记”手段，以便对不同VLAN的数据帧进行区分。

•IEEE 802.1Q标准（也被称为Dot1Q）定义了该“标记”方法。该标准对传统的以太网数据帧进行修改，在帧头中插入802.1Q Tag，而在该Tag中，便可以写入VLAN信息。

VLAN的划分方式

整个网络是如何划分VLAN的？

基于接口的VLAN划分

•划分原则：
▫将VLAN ID配置到交换机的物理接口上，从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。
•特点：
▫这种划分原则简单而直观，实现容易，是目前实际的网络应用中最为广泛的划分VLAN的方式。
▫当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属可能会发生变化。
•缺省VLAN，PVID (Port VLAN ID)
▫每个交换机的接口都应该配置一个PVID，到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。
▫默认情况下，PVID的值为1。

基于接口的VLAN划分

•原理

▫根据交换机的接口来划分VLAN。

▫网络管理员预先给交换机的每个接口配置不同的PVID，将该接口划入PVID对应的VLAN。

▫当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag，然后数据帧将在指定PVID中传输。

•缺省VLAN，PVID

▫Port VLAN ID，是接口上的缺省VLAN。

▫取值：1~4094。

基于MAC地址的VLAN划分

SW1的MAC地址与VLAN表

•划分原则：
▫交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时，交换机将分析帧中的源MAC地址，然后查询MAC地址与VLAN ID的对应表，并根据对应关系把这个帧划分到相应的VLAN中。
•特点：
▫这种划分实现稍微复杂，但灵活性得到了提高。
▫当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属不会发生变化（因为计算机的MAC地址没有变）。
▫但这种类型的VLAN划分安全性不是很高，因为恶意计算机很容易伪造MAC地址。

基于MAC地址的VLAN划分

•原理

▫根据数据帧的源MAC地址来划分VLAN。

▫网络管理员预先配置MAC地址和VLAN ID映射关系表。

▫当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的Tag，然后数据帧将在指定VLAN中传输。

•映射表

▫记录了MAC地址和VLAN ID的关联情况。

以太网二层接口类型

接口类型

•Access接口

交换机上常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。

•Trunk接口

Trunk接口允许多个VLAN的数据帧通过，这些数据帧通过802.1Q Tag实现区分。Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。

•Hybrid接口

Hybrid接口与Trunk接口类似，也允许多个VLAN的数据帧通过，这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个（或某些）VLAN的数据帧时是否携带Tag。

Access接口

•上文已经介绍了交换机如何识别数据帧属于哪个VLAN以及VLAN的划分方式，那交换机对于Untagged帧和Tagged帧又是如何处理的呢？
•Access接口特点：
▫仅允许VLAN ID与接口PVID相同的数据帧通过。
•Access接口接收数据帧：
▫当Access接口从链路上收到一个Untagged帧，交换机会在这个帧中添加上VID为PVID的Tag，然后对得到的Tagged帧进行转发操作（泛洪、转发、丢弃）。
▫当Access接口从链路上收到一个Tagged帧，交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同，则对这个Tagged帧进行转发操作；如果不同，则直接丢弃这个Tagged帧。
•Access接口发送数据帧：
▫当一个Tagged帧从本交换机的其他接口到达一个Access接口后，交换机会检查这个帧的Tag中的VID是否与PVID相同：
▪如果相同，则将这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去；
▪如果不同，则直接丢弃这个Tagged帧。

Trunk接口

•对于Trunk接口，除了要配置PVID外，还必须配置允许通过的VLAN ID列表，其中VLAN 1是默认存在的。
•Trunk接口特点：
▫Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。
▫Trunk接口可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。
•Trunk接口接收数据帧：
▫当Trunk接口从链路上收到一个Untagged帧，交换机会在这个帧中添加上VID为PVID的Tag，然后查看PVID是否在允许通过的VLAN ID列表中。如果在，则对得到的Tagged帧进行转发操作；如果不在，则直接丢弃得到的Tagged帧。
▫当Trunk接口从链路上收到一个Tagged帧，交换机会检查这个帧的Tag中的VID是否在允许通过的VLAN ID列表中。如果在，则对这个Tagged帧进行转发操作；如果不在，则直接丢弃这个Tagged帧。
•Trunk接口发送数据帧：
▫当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中的VID不在允许通过的VLAN ID列表中，则该Tagged帧会被直接丢弃。
▫当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中的VID在允许通过的VLAN ID列表中，则会比较该Tag中的VID是否与接口的PVID相同：
▪如果相同，则交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去；
▪如果不同，则交换机不会对这个Tagged帧的Tag进行剥离，而是直接将它从链路上发送出去。

Access接口与Trunk接口举例

•请描述主机之间数据访问的全流程。

SW1与SW2的Trunk接口

•在本例中，SW1和SW2连接主机的接口为Access接口，PVID如图所示。SW1和SW2互连的接口为Trunk接口，PVID都为1，此Trunk接口的允许通过的VLAN ID列表也如图所示。
•请描述主机之间数据互访的全流程。

Hybrid接口

•对于Hybrid接口，除了要配置PVID外，还存在两个允许通过的VLAN ID列表，一个是Untagged VLAN ID列表，另一个是Tagged VLAN ID列表，其中VLAN 1默认在Untagged VLAN列表中。这两个允许通过列表中的所有VLAN的帧都是允许通过这个Hybrid接口的。
•Hybrid接口特点：
▫Hybrid接口仅允许VLAN ID在允许通过列表中的数据帧通过。
▫Hybrid接口可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag。
▫与Trunk最主要的区别就是，能够支持多个VLAN的数据帧，不带标签通过。
•Hybrid接口接收数据帧：
▫当Hybrid接口从链路上收到一个Untagged帧，交换机会在这个帧中添加上VID为PVID的Tag，然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在，则对得到的Tagged帧进行转发操作；如果不在，则直接丢弃得到的Tagged帧。
▫当Hybrid接口从链路上收到一个Tagged帧，交换机会检查这个帧的Tag中的VID是否在Untagged或Tagged VLAN ID列表中。如果在，则对这个Tagged帧进行转发操作；如果不在，则直接丢弃这个Tagged帧。
•Hybrid接口发送数据帧：
▫当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果这个帧的Tag中的VID既不在Untagged VLAN ID列表中，也不在Tagged VLAN ID列表中，则该Tagged帧会被直接丢弃。
▫当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果这个帧的Tag中的VID在Untagged VLAN ID列表中，则交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去。
▫当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果这个帧的Tag中的VID在Tagged VLAN ID列表中，则交换机不会对这个Tagged帧的Tag进行剥离，而是直接将它从链路上发送出去。

Hybrid接口举例

•请描述主机访问服务器的全流程。

•在本例中，SW1和SW2连接主机的接口以及互连的接口均为Hybrid接口，PVID如图所示，Hybrid接口的允许通过的VLAN ID列表也如图所示。
•请描述两个主机互访服务器的全流程。

交换机1的允许通过列表

交换机2的允许通过列表

小结