【云计算 IT 基础知识】 5.2.1 VLAN

本帖介绍VLAN知识，不了解的同学可以学习一下

5.2.1 VLAN

概念
虚拟局域网VLAN（Virtual Local Area Network）是一种将局域网（LAN）设备从逻辑上划分成多个网段，从而实现虚拟工作组的数据交换技术。VLAN可以应用于交换机和路由器中，其中主要用在交换机中。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（即VLAN），每一个VLAN都包含一组有着相同需求的计算机。由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

特点
VLAN具有如下优点：
l 控制网络风暴
VLAN内部的广播和单播流量不会被转发到其他VLAN中，从而有助于控制网络流量。
l 提高网络安全性
可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高网络安全性。
l 方便网络管理
可以根据部门职能、对象组或应用将不同地理位置的网络用户划分为一个逻辑网段，以便网络管理和维护，降低维护费用。

VLAN的划分
可以从不同的纬度，对VLAN进行划分：
l 根据端口划分
根据交换机的端口来划分，被设定的端口都在同一个广播域中。该方式是最常见的划分方式，灵活性较强，不受终端物理位置的限制。
l 根据MAC地址划分
根据主机的MAC地址来划分。该方式受物理位置的限制。
l 根据网络层划分
根据每个主机的网络层地址或协议类型划分。该方式优点是物理位置的改变不影响VLAN的归属，方便管理，且不需要附加的帧标签来识别VLAN，可减少网络的通信量。
l 根据IP组播划分
一个组播组即为一个VLAN。该方式将VLAN扩大到了广域网，灵活性较强，容易通过路由器进行扩展，但由于效率不高，所以不适合局域网。
l 根据规则划分
根据一定规则划分，将相关用户连成一体。在已配置好划分规则的情况下，可对站点的加入或移动、改变进行自动配置。该方式比较有效和方便。
l 根据用户定义、非用户授权划分
为了适应特别的VLAN网络，根据具体网络用户的特别要求来定义和设计VLAN，并可让非VLAN群体用户访问VLAN，但需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。该方式安全性比较高。

帧格式
VLAN基于IEEE 802.1Q标准，在普通帧的原MAC地址和类型字段之间插入了4字节的802.1Q Tag标记。VLAN的帧格式如图5-3所示。


802.1Q Tag标记各字段含义如下：
l TYPE：表示帧的类型，0x8100表示802.1Q Tag帧，不支持该类型帧的设备将丢弃该帧。
l PRI：表示优先级，取值范围为0～7，值越大优先级越高。
l CFI：值为0代表以太网的帧，值为1代表是FDDI、令牌环网的帧。
l VID：表示帧所属的VLAN，取值为0～4095。其中0用于识别帧优先级，4095作为预留值，所以VLAN配置的最大可能值为4094。

端口类型
根据端口接入设备的类型，VLAN的端口分为几种（默认的情况下所有的端口属于VLAN1）：
l Access端口：配置了Access类型的端口，只能属于1个VLAN，一般用于连接计算机。VID与端口的PVID（Port Default VLAN ID）相同。
l Trunk端口：配置了Trunk类型的端口，可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接。
l Hybrid端口：配置了Hybrid类型的端口，可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接计算机。
各类型端口示意图如图5-4所示。


原理
VLAN传输帧的基本原理是使用Tag对帧进行标记，并根据Tag的内容进行相应的转发。
VLAN帧在网络中的简化传输过程如图5-5所示。


流程简单说明如下：
1. 源计算机广播不带特定VLAN标记的以太网帧。
2. 源交换机识别到源计算机发出的帧需要转发后，会在帧中加入特定的VLAN标记，再进行转发广播。
3. 目的交换机收到该帧并识别到该帧需要自己转发后，会对VLAN标记进行识别，并在将其拆除后在特定的VLAN进行广播。
4. 目的计算机收到该以太网帧，判断其中目的MAC地址为自己的MAC地址，对该帧进行进一步处理。其他计算机丢弃该帧。