华为交换机系列 局域网VLAN 基础理论知识(全)

) \! ?; T! @& `1 g4 Z) W4 l  s
9 H  @+ G8 D% |! m一、简介

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。

当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。

通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

使用VLAN能给用户带来以下受益：

1、限制广播域：

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

2、增强局域网的安全性：

不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

3、提高了网络的健壮性：

故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。

4、灵活构建虚拟工作组：

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

在物理vlan中，各主机可以直接通过网络体系结构中的第二层（数据链路层）进行通信，但划分vlan后，不同vlan中的主机不可用直接通过第二层进行通信，必须通过第三层（网络层）才能通信。

从物理来看待vlan：

即同一台交换机上不同的vlan间不通；处于同一IP网段不同vlan位于不同交换机有时是可以直接互通的；从逻辑来看待vlan：一个vlan可以跨越多台物理交换机，即vlan的中继（trunk）功能。

同一物理交换机不可能存在两个相同的vlan；不同交换机可以有相同的vlan，且不同物理交换机上的相同vlan间一般情况下是可以直接互访的（前提是他们都位于同一IP网段，且物理连接端口上允许这些vlan通过）；位于不同交换机上不同vlan处于同一IP网段，且交换机之间连接的两个端口分别隶属于双方vlan的access或不带vlan标签的hybrid端口，则这两个vlan也可以直接通信。

Vlan中继：

一台交换机上的vlan配置信息可以传播、复制到网络中相连的其他交换机上，采用GVRP自动注册来实现

中继端口：

trunk（中继）端口指在一个交换机端口允许一个或多个vlan通信到达网络中相连的另一台交换机上相同的vlan中。

        vlanID取值范围0-4095,0和4095为协议保留。

+ d6 k3 A: I* B6 w' ~( c
7 F5 Q; J1 X8 s4 |4 l5 F0 D! N
' {1 J, q6 q: Z( ~5 [9 X6 k* Q
1 G% n/ a, B0 \: X7 z% D

二、VLAN基本概念

1、VLAN的帧格式

传统的以太网数据帧在目的MAC地址和源MA

C地址之后封装的是上层协议的类型字段，如下图1所示。

  

华为无线局域网VLAN 基础理论知识(全)

3 k' d2 k7 z1 G

图1 传统的以太网数据帧格式

2 r+ Z7 S7 ~% ^5 n& L

IEEE 802.1Q是虚拟桥接局域网的正式标准，对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag，如下图2所示。

1 {8 `. x7 e6 `/ K% P3 i9 H% D

华为无线局域网VLAN 基础理论知识(全)

图2 802.1Q帧格式

802.1Q Tag包含4个字段，各字段解释如下所示：

1、TPID  

长度2bytes，Tag Protocol Identifier（标签协议标识符），表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

2、PRI   

长度3bits，Priority，表示帧的优先级。    取值范围为0～7，值越大优先级越高。用于当交换机阻塞时，优先发送优先级高的数据帧。

3、CFI     

长度1bit ，Canonical Format Indicator（标准格式指示位），表示MAC地址是否是经典格式。 CFI为0说明是经典格式，CFI为1表示为非经典格式。用于兼容以太网和令牌环网。在以太网中，CFI的值为0。

4、VID   

长度12bits，VLAN ID，表示该帧所属的VLAN。VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。

每台支持802.1Q协议的交换机发送的数据包都会包含VLAN ID，以指明交换机属于哪一个VLAN。因此，在一个VLAN交换网络中，以太网帧有以下两种形式：

有标记帧（tagged frame）：

加入了4字节802.1Q Tag的帧

无标记帧（untagged frame）：

原始的未加入4字节802.1Q Tag的帧

; {! Y; k( V; W% g
; Q1 P+ B* R5 Q. H, e# ]

2、链路类型

如下图3所示，VLAN中有以下两种链路类型：

华为无线局域网VLAN 基础理论知识(全)

      图3 链路类型示意图

1、接入链路（Access Link）：

用于连接用户主机和交换机的链路。

通常情况下，主机并不需要知道自己属于哪个VLAN，主机硬件通常也不能识别带有VLAN标记的帧。因此，主机发送和接收的帧都是untagged帧。

2、干道链路（Trunk Link）：

用于交换机间的互连或交换机与路由器之间的连接。

干道链路可以承载多个不同VLAN数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个VLAN，所以在干道链路上传输的帧都是Tagged帧。

8 T! z7 F+ j* Q' d8 _6 o

    说明：

对于主机来说，它不需要知道VLAN的存在。主机发出的是untagged报文。

交换设备接收到报文后，根据配置规则（如接口信息）判断出报文所属的VLAN后，再进行处理。

如果报文需要通过另一台交换机转发，则该报文必须通过干道链路透传到对端交换设备上。为了保证其它交换设备能够正确处理报文中的VLAN信息，在干道链路上传输的报文必须都打上了VLAN标记。

当交换设备最终确定报文出接口后，将报文发送给主机前，需要将VLAN标记从帧中删除，这样主机接收到的报文都是不带VLAN标记的以太网帧。

所以，一般情况下，干道链路上传输的都是tagged帧，接入链路上传送到的都是untagged帧。这样处理的好处是：网络中配置的VLAN信息可以被所有交换设备正确处理，而主机不需要了解VLAN信息。

3、接口类型

在802.1Q中定义VLAN帧后，设备的有些接口可以识别VLAN帧，有些接口则不能识别VLAN帧。根据对VLAN帧的识别情况，将接口分为4类：

1、Access接口

如上图3所示，Access接口是交换机上用来连接用户主机的接口，它只能连接接入链路。仅仅允许唯一的VLAN ID通过本接口，这个VLAN ID与接口的缺省VLAN ID相同，Access接口发往对端设备的以太网帧永远是不带标签的帧。

9 k" B; d% Z& t+ g! k7 b! `

2、Trunk接口

如上图3所示，Trunk接口是交换机上用来和其他交换机连接的接口，它只能连接干道链路，允许多个VLAN的帧（带Tag标记）通过。

0 S6 q# n* K' B' w2 U# n

3、Hybrid接口

如下图4所示，Hybrid接口是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。Hybrid接口允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的Tag剥掉。

                  

                图4 接口示意图

Access和Trunk类型接口既可以手工配置，也可以通过LNP协商确定。

4、QinQ接口

QinQ（802.1Q-in-802.1Q）接口是使用QinQ协议的接口。QinQ接口可以给帧加上双重Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094×4094个VLAN，满足网络对VLAN数量的需求。

QinQ帧的格式如下图5所示。

                  

                                                                  图5 QinQ帧格式

外层的标签通常被称作公网Tag，用来存放公网的VLAN ID。内层标签通常被称作私网Tag，用来存放私网的VLAN ID。

) K. P  }2 q( O" j( U

5、缺省VLAN

每种类型的接口都可以配置一个缺省VLAN，对应的VLAN ID为PVID（Port Default VLAN ID）。接口类型不同，缺省VLAN的含义也有所不同。

关于不同类型接口的PVID以及对以太网帧的处理方式请参见各类型接口对数据帧的处理方式。

- s8 e8 W$ D: {9 Q( \9 b

三、vlan划分

可以基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。

不同方式的VLAN划分原理及优缺点比较如下表所示。

VLAN划分方式	原理	优点	缺点
基于接口	给交换机的每个接口配置不同的PVID，即一个接口缺省属于的VLAN。 当一个数据帧进入交换机接口时，如果没有带VLAN标签，且该接口上配置了PVID，那么，该数据帧就会被打上接口的PVID。 如果进入的帧已经带有VLAN标签，那么交换机不会再增加VLAN标签，即使接口已经配置了PVID。 对VLAN帧的处理由接口类型决定。	定义成员简单。	成员移动需重新配置VLAN。
基于MAC地址	先配置好MAC地址和VLAN ID映射关系表，如果交换机收到的是untagged（不带VLAN标签）帧，则依据该表添加VLAN ID。	当终端用户的物理位置发生改变，不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性。	只适用于网卡不经常更换、网络环境较简单的场景中。 需要预先定义网络中所有成员。
基于子网划分	先配置好子网与vlan映射表，如果交换设备收到的是untagged（不带VLAN标签）帧，交换设备根据报文中的源IP地址信息，确定添加的VLAN ID。	将指定网段或IP地址发出的报文在指定的VLAN中传输，减轻了网络管理者的任务量，且有利于管理。	网络中的用户分布需要有规律，且多个用户在同一个网段。
基于协议划分	需要配置以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是untagged（不带VLAN标签）帧，则依据该表添加VLAN ID。	基于协议划分VLAN，将网络中提供的服务类型与VLAN相绑定，方便管理和维护。	需要对网络中所有的协议类型和VLAN ID的映射关系表进行初始配置。 需要分析各种协议的地址格式并进行相应的转换，消耗交换机较多的资源，速度上稍具劣势。
基于匹配策略（MAC地址、IP地址、接口）	先在交换机上配置好终端的MAC地址和IP地址，并与VLAN关联。 只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后，严禁修改IP地址或MAC地址，否则会导致终端从指定VLAN中退出。	安全性非常高，基于MAC地址和IP地址成功划分VLAN后，禁止用户改变IP地址或MAC地址。 相较于其他VLAN划分方式，基于MAC地址和IP地址组合策略划分VLAN是优先级最高的VLAN划分方式。	针对每一条策略都需要手工配置。

若入方向untagged报文同时匹配多种划分VLAN的方式，则优先级顺序从高至低依次是：

基于匹配策略划分VLAN->基于MAC地址划分VLAN->基于子网划分VLAN->基于协议划分VLAN->基于接口划分VLAN。

可以通过命令改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级，从而决定优先划分VLAN的方式。

攻城狮论坛弄的不错 请大家多多支持 http://bbs.vlan5.com;

感谢楼主分享！

我是个凑数的。。。

有竞争才有进步嘛

真是 收益 匪浅

学习了，谢谢分享、、、

有道理。。。感谢攻城狮论坛

看帖回帖是美德！:lol