一文詳解交換機間VLAN的通信過程

VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)），通過在支持VLAN的交換機上添加VLAN，并且動態(tài)的調(diào)整每個端口所屬VLAN（默認端口都屬于VLAN1），實現(xiàn)一臺物理交換機上可以有多個LAN，每個LAN稱作VLAN，VLAN之間的廣播互不可達，VLAN間互不影響。每個VLAN是一個獨立的廣播域，如果不同VLAN中的結(jié)點想要互相訪問，需要通過一臺三層或三層以上設備才能實現(xiàn)（比如路由器、三層交換機、防火墻等）。這樣就增加了安全性，可以在三層設備上配置訪問列表來達到流量控制的目的。

為了提高處理效率，交換機內(nèi)部的數(shù)據(jù)幀一律都帶有VLANTag，以統(tǒng)一方式處理。當一個數(shù)據(jù)幀進入交換機接口時，如果沒有帶VLANTag，且該接口上配置了PVID（PortDefaultVLANID），那么，該數(shù)據(jù)幀就會被標記上接口的PVID。如果數(shù)據(jù)幀已經(jīng)帶有VLANTag，那么，即使接口已經(jīng)配置了PVID，交換機不會再給數(shù)據(jù)幀標記VLANTag。

由于接口類型不同，交換機對幀的處理過程也不同。下面根據(jù)不同的接口類型分別介紹。

表1各類型接口對數(shù)據(jù)幀的處理方式

交換機間VLAN通信過程

這一部分結(jié)合下圖，講解一下802.1Q干線協(xié)議的工作流程：

圖中PC1和PC2屬于VLAN2，PC3和PC4屬于VLAN3，SW1和SW2通過干線相連，干線運行的是802.1Q協(xié)議。

假設PC1發(fā)送消息給PC2，剛開始PC1不知道PC2的MAC地址，所以它首先發(fā)送ARP查詢包，查詢PC2的MAC地址，ARP查詢包以廣播形式發(fā)送。

交換機SW1收到PC1發(fā)送過來的ARP查詢廣播包，SW1知道數(shù)據(jù)是從fa0/0接收到的，fa0/0被劃分到VLAN2中，是一個接入端口，SW1知道這是一個來自VLAN2的廣播包，SW1在MAC地址表中加入PC1的MAC和VLAN號以及對應的端口號，非VLAN交換機和VLAN交換機都會根據(jù)數(shù)據(jù)的源地址進行學習，只不過VLAN交換機除了記錄源MAC地址，還需要記錄源MAC所對應的VLAN號。

SW1在收到的數(shù)據(jù)幀中加入VLAN2的標識（VLAN交換機從Access（接入）端口收

到數(shù)據(jù)時需要插入VLAN標識），接著SW1將這個VLAN2的廣播包從除接收端口以外的所有屬于VLAN2的接口以及主干發(fā)送出去，在從所有屬于VLAN2的接入接口發(fā)送出去前需要去掉VLAN標識（VLAN交換機從Access將數(shù)據(jù)發(fā)出時要去掉VLAN標識，否則其他計算機不能識別這個加了標識的幀），從主干發(fā)送出去的幀不需要去掉VLAN標識（后面介紹到的本地VLAN除外）。也就是說如果此時SW1上還有一個非主干端口也被分配到VLAN2中，這個廣播從這接入端口送出前要去掉VLAN標識，而從SW1的fa0/2發(fā)往SW2的數(shù)據(jù)幀不需要去掉VLAN標識（本地VLAN除外）。

PC3接收不到PC1發(fā)出的ARP廣播請求，因為連接PC3的端口被劃分到VLAN3中了，不屬于VLAN2，一個VLAN是一個廣播域。

當SW2從自己的fa0/2接口（主干接口）接收到一個數(shù)據(jù)幀時，SW2查看數(shù)據(jù)幀中的VLAN標識，并在本地MAC地址表中添加了幀中源MAC地址、VLAN號以及對應的端口號fa0/2。接下來SW2將決定往哪轉(zhuǎn)發(fā)這個收到的數(shù)據(jù)幀，SW2通過查看VLAN標識和目的MAC地址，知道這是一個VLAN2的廣播ARP查詢包，SW2將這個包從除接收接口（fa0/2）以外的所有屬于VLAN2的接口以及其他的主干接口（如果有）發(fā)送出去，同理，在發(fā)出去之前，如果接口屬于接入接口，則去掉VLAN標識，如果是主干端口則保留VLAN標識。

PC4是收不到這個廣播包的，因為不屬于VLAN2，這個時候PC2收到了這個ARP請求包，發(fā)現(xiàn)請求的是自己的MAC地址，PC2封裝ARP應答包發(fā)給SW2。

SW2收到這個應答包，首先學習PC2的MAC地址和VLAN號以及對應端口到自己的MAC地址表，然后給這個數(shù)據(jù)幀添加VLAN2標識，之后SW2查詢MAC地址表，找到PC1對應的MAC號、VLAN號和端口號，SW2比較數(shù)據(jù)幀的源MAC和目的MAC在同一個VLAN2中，SW2將數(shù)據(jù)幀從目的MAC對應的fa0/2接口發(fā)出（PC1的MAC是第5步中收到SW1

發(fā)來的數(shù)據(jù)幀的時候記錄的）。

SW1收到這個數(shù)據(jù)幀，首先也是對源MAC、VLAN號以及對應端口進行學習，然后查看數(shù)據(jù)幀中的目的MAC，之前已經(jīng)保存過PC1的MAC，SW1將目的MAC所在VLAN號和源MAC所在VLAN號進行對比，發(fā)現(xiàn)他們處于同一個VLAN2下，SW2將這個數(shù)據(jù)幀中的VLAN標記去除并直接從目的MAC（PC1的MAC）所對應的端口fa0/0發(fā)給PC1。

PC1成功收到ARP應答包，接下來的通信過程和這個步驟類似。

總結(jié)：交換機何時添加802.1Q標簽頭（VLAN標簽）與交換機的接口有關，如果交換機的接口接的是一臺計算機，那么這個端口是接入端口，在數(shù)據(jù)幀進入時被添加802.1Q標簽頭，數(shù)據(jù)幀從接入端口發(fā)出時去掉標簽頭；如果交換機的接口接的是另外一臺交換機，那么這個接口就屬于主干接口（Trunk），數(shù)據(jù)從這種接口發(fā)出一般不會去掉標簽頭（后面演示的NativeVLAN除外）。
責任編輯人：CC