VLAN的概念

把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，广播报文就被限制在一个VLAN内

VLAN的作用

隔离广播域，让每个节点（比如电脑、手机）不需要收到太多无关的广播包，从而减少计算性能和网络带宽的无谓消耗。从而保证局域网的性能。

隔离常见病毒与攻击，这样即使某个主机感染了arp攻击病毒、dhcp攻击病毒等常见局域网病毒，影响的范围也只限于本vlan，不会影响到其他vlan，可以将故障限制在比较小的范围。一来造成的影响小，二来排查故障也更加容易。

VLAN数据帧头

IEEE 802.1Q(俗称Dot One Q)标准在以太网数据帧中“发送源MAC地址”与“类别域(Type Field)”之间附加4字节的Vlan识别信息(标签)，

     TPID(Tag Protocol Identifier，标签协议标识)值规定为0x8100。设备缺省采用协议规定的TPID值，交换机通过TPID来确定数据帧是否附加基于IEEE802.1Q的VLAN信息。

     TCI(Tag Control Information，标签控制信息)字段分为Pri、CFI和VLAN三部分。Pri表示报文优先级(也称1p优先级、COS或1q优先级)，CFI(Canonical Format Indicator)标识MAC地址在不同传输介质中是否以标准格式进行封装，通常为0(标准格式)。Vlan ID标识该报文所属的VLAN编号，取值范围为 0～4095，一般0和4095保留(中兴设备Vid=0表示priority-tagged帧)。

     在交换网络环境中，以太网帧有两种格式：有些帧未附加四字节标签，称为未标记帧(ungtagged frame)，有些帧附加四字节标签，称为带标记帧(tagged frame)。

     在基于端口划分的Vlan中，每个802.1Q端口都会分配一个默认的Vlan ID，称为PVID(Port Vlan ID)或端口默认Vlan ID(default Vid)，CISCO称之为native Vlan。端口接收到的所有untagged帧都认为属于端口默认Vlan ID，并在端口默认Vlan ID内转发。

     注意，插入或剥除Vlan标签时均会对数据帧重新计算CRC。

VLAN的端口

Access端口：

交换机上连接用户主机的端口，只能连接接入链路。Access端口只属于一个Vlan，且仅向该Vlan转发数据帧。该Vlan的Vid = 端口PVid，故Vlan内所有端口都处于untagged状态。Access端口在从主机接收帧时，给帧加上Tag标签；在向主机发送帧时，将帧中的Tag标签剥掉。

Trunk端口：

交换机上与其他交换机或路由器连接的端口，只能连接汇聚链路。Trunk端口允许多个Vlan的带标签帧通过，在收发帧时保留Tag标签。在它所属的这些Vlan中，对于Vid = 端口PVid的Vlan，它处于Untagged port状态；对于Vid ≠ 端口PVid的Vlan，它处于Tagged port状态。

Hybrid端口：

交换机上既可连接用户主机又可连接其他交换机的端口，它既可连接接入链路又可连接汇聚链路。Hybrid 端口允许多个Vlan的帧通过，并可在出端口方向将某些Vlan帧的Tag标签剥掉。

     注意，Access、Trunk和Hybrid端口是厂家对某种端口的称谓，并非IEEE802.1Q协议标准定义。

     Access端口只属于一个Vlan，PVid就是其所在Vlan，故不用设置；Trunk和Hybrid端口属于多个Vlan，故需要设置PVid(缺省为1)。若设置端口PVid，则当端口收到不带Vlan Tag的数据帧时，对该帧加上Tag标记(Vid设置为端口所属的默认Vlan编号)并转发到属于PVid的端口；当端口发送Vlan Tag的数据帧时，若收帧的Vlan Tag和端口PVid相同，剥除Vlan Tag后再发送该帧。

     Hybrid端口与Trunk端口在接收数据时处理方法相同，区别在于发送数据时：Hybrid端口允许多个Vlan的数据帧发送时不带标签，而Trunk端口只允许默认Vlan的数据帧发送时不带标签。在同一交换机上Hybrid端口和Trunk端口不能并存，实际使用中可用Hybrid代替Trunk。

     本Hybrid端口的PVid和相连的对端交换机Hybrid端口的PVid必须一致

 

VLAN的划分

单台交换机上划分VLAN

多台交换机上划分VLAN

这里讲到了多个交换机划分，则其中有必要讲到我们的汇聚链接

汇聚链接就是能够转发多个不同VLAN的通信的端口。

在汇聚链接上的的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息

A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。

交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。

蓝色VLAN发送数据帧时的情形也与此相同。

通过汇聚链路时附加的VLAN识别信息，有可能支持标准的“IEEE 802.1Q”协议，也可能是Cisco产品独有的“ISL(Inter Switch Link)”。如果交换机支持这些规格，那么用户就能够高效率地构筑横跨多台交换机的VLAN。

另外，汇聚链路上流通着多个VLAN的数据，自然负载较重。因此，在设定汇聚链接时，有一个前提就是必须支持100Mbps以上的传输速度。

另外，默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据。换一个角度看，可以认为汇聚链接(端口)同时属于交换机上所有的VLAN。由于实际应用中很可能并不需要转发所有VLAN的数据，因此为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。

VLAN的分类

静态VLAN

基于端口的Vlan (Port Based Vlan)，即明确指定各端口属于哪个Vlan。

但由于需要逐个端口地指定Vlan，因此当网络中主机数目较多时，操作就变得非常烦杂。并且，主机每次变更所连端口时，必须同时更改该端口所属Vlan的设定——这显然不适合那些需要频繁改变拓扑结构的网络。

动态VLAN

基于MAC地址的VLAN，就是通过查询并记录端口所连主机网卡的MAC地址来决定端口所属Vlan

且不论主机跟换连接到哪个接口都不改变其所属VLAN

基于子网的VLAN，通过所连主机的IP地址来决定端口所属Vlan。同一子网的所有数据帧属于同一Vlan，从而将同一子网内的用户划分在一个Vlan内(与路由器相似)。即使主机MAC地址改变，只要其IP地址不变，就仍可加入原先设定的Vlan

基于用户的VLAN，则是根据交换机各端口所连的主机上当前登录的用户，来决定该端口属于哪个Vlan。用户识别信息一般是主机操作系统登录的用户，如Windows域中使用的用户名。

VLAN的转发

普通转发流程

交换机的二层转发涉及到两个关键的线程：mac地址学习流程和报文转发流程。

MAC地址学习流程：

1. MAC的学习：交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC地址来建立MAC地址表；
2. MAC的漂移：交换机如果发现一个包文的入端口和报文中源MAC地址的所在端口不同，就产生端口移动，将MAC地址重新学习到新的端口；
3. MAC的老化： 如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC地址就会被删除，等下次报文来的时候会重新学习。

二层报文转发流程:

1. 已知单播-转发：交换机在MAC地址表中查找数据帧中的目的MAC地址，如果找到，就将该数据帧发送到相应的端口
2. 未知单播-泛洪：如果找不到，就向入端口以外的其它所有端口发送；
3. 同端口-不转发：如果交换机收到的报文中源MAC地址和目的MAC地址所在的端口相同，则丢弃该报文；
4. 组播和广播-泛洪：交换机向入端口以外的其它所有端口转发广播报文。

基于vlan转发流程

基于Vlan的二层转发流程主要包括：确定和查找Vlan、查找和学习源MAC、查找目的MAC并转发数据帧。

     1) 确定和查找Vlan：交换机端口接收到一个数据帧时，首先通过TPID值判断该帧是否带标签。

• 若是tagged帧，且Vid≠0，则在端口所属的Vlan表中查找该帧标签中的Vid是否存在，若存在，则进入下一步，否则丢弃该帧(或提交CPU处理)；
• 若是tagged帧，且Vid=0(即priority帧)，则对该帧附加端口PVid使之成为tagged帧；
• 若是untagged帧，则对该帧附加端口PVid并指定优先级使之成为tagged帧。

     注：①为提高处理效率，交换机内部所有数据帧均携带Vlan标签，以统一方式处理。故需对输入交换机的数据帧进行标签检查并按需加上标签。

      ②802.1Q Vlan环境下，帧可分为tagged、untagged和priority-tagged三种。Tagged帧根据其携带的标签Vid进行MAC学习转发。Untagged和Priority-tagged帧进入交换机端口后根据PVid进行MAC学习转发。

     2) 查找和学习源MAC：交换机在MAC转发表(Mac+Vid+Port)中查找收帧Vid对应的源MAC表项，未找到则学习收帧源MAC (将“源MAC+Vid+Port”添加到MAC表中)；若找到则更新该表项的老化时间。

     注：MAC地址学习只学习单播地址，对于广播和组播地址不进行学习。组播MAC表项通过CPU配置建立。

     3) 查找目的MAC：若目的MAC是广播或组播，则在所属的Vlan中广播或组播；否则在MAC表中查找是否存在Vid对应的目的MAC表项。

     4) 转发数据帧：若在MAC表中查找到完全匹配的DMAC+Vid表项，则将该帧转发到表项中的相应端口(若相应端口为收帧端口，则应丢弃该帧)；否则向所属Vlan内除收包端口外的其他所有端口洪泛该帧(洪泛广播的是未知单播帧而不是广播帧)。

 

 三个端口的转发

 

VLAN的不足

1.VLAN 使用 12-bit 的 VLAN ID，所以 VLAN 的第一个不足之处就是它最多只支持 4094 个 VLAN 网络（有两个不能使用）

2.VLAN只支持同一个VLAN间的通信，不能支持不同VLAN间通信

3.VLAN 操作需手工介入较多，这对于管理成千上万台机器的管理员来说是难以接受的。