把一個LAN劃分成多個邏輯的LAN——VLAN

以太網(wǎng)是一種基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，載波偵聽多路訪問/沖突檢測）的共享通訊介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通訊技術(shù)，當(dāng)主機(jī)數(shù)目較多時會導(dǎo)致沖突嚴(yán)重、廣播泛濫、性能顯著下降甚至使網(wǎng)絡(luò)不可用等問題。通過交換機(jī)實(shí)現(xiàn)LAN互聯(lián)雖然可以解決沖突（Collision）嚴(yán)重的問題，但仍然不能隔離廣播報文。在這種情況下出現(xiàn)了VLAN（Virtual Local Area Network）技術(shù)，這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN——VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。同一個VLAN內(nèi)的主機(jī)通過傳統(tǒng)的以太網(wǎng)通信方式進(jìn)行報文的交互，而不同VLAN內(nèi)的主機(jī)之間則需要通過路由器或三層交換機(jī)等網(wǎng)絡(luò)層設(shè)備進(jìn)行通信。如圖所示。

VLAN的優(yōu)點(diǎn)如下：

1) 提高網(wǎng)絡(luò)性能。將廣播包限制在VLAN內(nèi)，從而有效控制網(wǎng)絡(luò)的廣播風(fēng)暴，節(jié)省了網(wǎng)絡(luò)帶寬，從而提高網(wǎng)絡(luò)處理能力。

2) 增強(qiáng)網(wǎng)絡(luò)安全。不同VLAN的設(shè)備不能互相訪問，不同VLAN的主機(jī)不能直接通信，需要通過路由器或三層交換機(jī)等網(wǎng)絡(luò)層設(shè)備對報文進(jìn)行三層轉(zhuǎn)發(fā)。

3) 簡化網(wǎng)絡(luò)管理。同一個虛擬工作組的主機(jī)不會局限在某個物理范圍內(nèi)，簡化了網(wǎng)絡(luò)的管理，方便了不同區(qū)域的人建立工作組。

VLAN的劃分不受物理位置的限制，不在同一物理位置范圍的主機(jī)可以屬于同一個VLAN；一個VLAN包含的用戶可以連接在同一個交換機(jī)上，也可以跨越交換機(jī)。本交換機(jī)支持的VLAN劃分方式包括802.1Q VLAN、MAC VLAN和協(xié)議VLAN三種。MAC VLAN和協(xié)議VLAN僅對untag數(shù)據(jù)包和優(yōu)先級tag數(shù)據(jù)包生效，當(dāng)一個數(shù)據(jù)包同時滿足802.1Q VLAN、MAC VLAN和協(xié)議VLAN時，交換機(jī)將按照MAC VLAN、協(xié)議VLAN、PVID的順序來處理數(shù)據(jù)包，在相應(yīng)VLAN中轉(zhuǎn)發(fā)數(shù)據(jù)包。

802.1Q VLAN

由于普通交換機(jī)工作在OSI模型的數(shù)據(jù)鏈路層，若要交換機(jī)能夠識別不同VLAN的數(shù)據(jù)包，只能對數(shù)據(jù)包的數(shù)據(jù)鏈路層封裝進(jìn)行VLAN識別。因此，VLAN識別字段被添加到數(shù)據(jù)鏈路層封裝中。

IEEE 802.1Q協(xié)議為了標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案，對帶有VLAN標(biāo)識的數(shù)據(jù)包結(jié)構(gòu)進(jìn)行了統(tǒng)一規(guī)定。協(xié)議規(guī)定在目的MAC地址和源MAC地址之后封裝4個字節(jié)的VLAN Tag，用以標(biāo)識VLAN的相關(guān)信息，如圖所示。VLAN Tag包含四個字段，分別是TPID（Tag Protocol Identifier，標(biāo)簽協(xié)議標(biāo)識符）、Priority、CFI（Canonical Format Indicator，標(biāo)準(zhǔn)格式指示位）和VLAN ID。

1) TPID：用來表示本數(shù)據(jù)幀是帶有VLAN Tag的數(shù)據(jù)。該字段長度為16bit。協(xié)議規(guī)定的缺省取值為0x8100。

2) Priority：用來表示數(shù)據(jù)包的傳輸優(yōu)先級。

3) CFI：以太網(wǎng)交換機(jī)中，CFI總被設(shè)置為0。由于兼容特性，CFI常用于以太網(wǎng)類網(wǎng)絡(luò)和令牌環(huán)類網(wǎng)絡(luò)之間，如果在以太網(wǎng)端口接收的幀CFI設(shè)置為1，表示該幀不進(jìn)行轉(zhuǎn)發(fā)，這是因?yàn)橐蕴W(wǎng)端口是一個無標(biāo)簽端口。

4) VLAN ID：用來標(biāo)識該報文所屬VLAN的編號。該字段長度為12bit，取值范圍為0~4095。由于0和4095通常不使用，所以VLAN ID的取值范圍一般為1~4094。VLAN ID簡稱VID。

交換機(jī)利用VLAN ID來識別報文所屬的VLAN，當(dāng)接收到的數(shù)據(jù)包不攜帶VLAN Tag時，交換機(jī)會為該數(shù)據(jù)包封裝帶有接收端口缺省VLAN ID的VLAN Tag，將數(shù)據(jù)包在接收端口的缺省VLAN中進(jìn)行傳輸。

MAC VLAN

MAC VLAN是VLAN的另一種劃分方法，根據(jù)每個主機(jī)的MAC地址來劃分VLAN，即對每個主機(jī)的MAC地址均劃分到VLAN中。MAC VLAN的優(yōu)點(diǎn)在于，將MAC地址與VLAN綁定后，該MAC地址對應(yīng)的設(shè)備可以隨意切換端口，只要連接到相應(yīng)VLAN的成員端口即可，而不必改變VLAN成員的配置。

MAC VLAN中數(shù)據(jù)包處理有如下特點(diǎn)：

當(dāng)端口收到UNTAG數(shù)據(jù)包時，首先查看是否創(chuàng)建配置相應(yīng)的MAC VLAN，若已創(chuàng)建MAC VLAN，則給數(shù)據(jù)包插入MAC VLAN的TAG；若沒有相應(yīng)的MAC VLAN，則根據(jù)接收端口的PVID值給數(shù)據(jù)包插入TAG，并將數(shù)據(jù)包在相應(yīng)的VLAN中轉(zhuǎn)發(fā)。

當(dāng)端口收到TAG數(shù)據(jù)包時，交換機(jī)按照802.1Q VLAN的方式處理該幀。如果接收端口允許該VLAN的數(shù)據(jù)包通過，則正常轉(zhuǎn)發(fā)；如果不允許，則丟棄該數(shù)據(jù)包。

將某個主機(jī)的MAC劃分到802.1Q VLAN中后，為了保證該主機(jī)能夠在此VLAN內(nèi)正常通信，請將其接入端口設(shè)置成相應(yīng)的802.1Q VLAN成員。詳情請查看。

協(xié)議 VLAN

協(xié)議VLAN是按照網(wǎng)絡(luò)層協(xié)議來劃分VLAN，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個交換機(jī)，同時用戶在網(wǎng)絡(luò)內(nèi)部可以自由移動且無須改變其VLAN成員身份。對于希望針對具體應(yīng)用和服務(wù)來管理用戶的網(wǎng)絡(luò)管理員，可通過劃分協(xié)議VLAN來進(jìn)行管理。

本交換機(jī)可針對常見的協(xié)議類型劃分VLAN，常用協(xié)議類型值見下表。請根據(jù)實(shí)際需要創(chuàng)建協(xié)議VLAN。

協(xié)議VLAN中數(shù)據(jù)包處理有如下特點(diǎn)：

1.當(dāng)端口收到UNTAG數(shù)據(jù)包時，首先查看是否創(chuàng)建配置相應(yīng)的協(xié)議VLAN，若已創(chuàng)建協(xié)議VLAN，則給數(shù)據(jù)包插入?yún)f(xié)議VLAN的TAG；若沒有相應(yīng)的協(xié)議VLAN，則根據(jù)接收端口的PVID值給數(shù)據(jù)包插入TAG，并將數(shù)據(jù)包在相應(yīng)的VLAN中轉(zhuǎn)發(fā)。

2.當(dāng)端口收到TAG數(shù)據(jù)包時，交換機(jī)按照802.1Q VLAN的方式處理該幀。如果接收端口屬于攜帶該VLAN TAG的數(shù)據(jù)包通過，則正常轉(zhuǎn)發(fā)；如果不屬于，則丟棄該數(shù)據(jù)包。

3.劃分了協(xié)議VLAN后，為了保證數(shù)據(jù)的正常傳輸，請將協(xié)議VLAN的使能端口設(shè)置為相應(yīng)802.1Q VLAN成員。詳情請查看表 端口類型與VLAN數(shù)據(jù)處理關(guān)系。