介紹

網(wǎng)絡(luò)性能是影響業(yè)務(wù)效率的一個(gè)重要因素。將大型廣播域分段是提高網(wǎng)絡(luò)性能的方法之一。路由器能夠?qū)V播包阻隔在一個(gè)接口上，但是，路由器的LAN接口數(shù)量有限，它的主要功能是在網(wǎng)絡(luò)間傳輸數(shù)據(jù)，而不是對(duì)終端設(shè)備提供網(wǎng)絡(luò)接入。訪問LAN的功能還是由接入層交換機(jī)來實(shí)現(xiàn)。與三層交換機(jī)相類似，通過在二層交換機(jī)上創(chuàng)建VLAN來減少廣播域?，F(xiàn)代交換機(jī)就是通過VLAN來構(gòu)造的，因此在某種程度上，學(xué)習(xí)交換機(jī)就是學(xué)習(xí)VLAN。

更多信息

問題的產(chǎn)生:

上一節(jié)已經(jīng)講過廣播域的概念：即廣播幀傳播覆蓋的范圍。如下圖所示，當(dāng)網(wǎng)絡(luò)上的所有設(shè)備在廣播域產(chǎn)生大量的廣播以及多播幀，就會(huì)與數(shù)據(jù)流競(jìng)爭(zhēng)帶寬。這是由網(wǎng)絡(luò)管理數(shù)據(jù)流組成，如：ARP，DHCP，STP等。如下圖所示，假設(shè)PC 1產(chǎn)生ARP，Windows登錄，DHCP等請(qǐng)求：

這些廣播幀到達(dá)交換機(jī)1之后，遍歷整個(gè)網(wǎng)絡(luò)并到達(dá)所有節(jié)點(diǎn)直至路由器。隨著網(wǎng)絡(luò)節(jié)點(diǎn)增加，開銷的總數(shù)也在增長(zhǎng)，直至影響交換機(jī)性能。通過實(shí)施VLAN斷開廣播域?qū)?shù)據(jù)流隔離開來，能夠解決這一問題。

什么是VLAN：

VLAN（virtual local area network）是一組與位置無關(guān)的邏輯端口。VLAN就相當(dāng)于一個(gè)獨(dú)立的三層網(wǎng)絡(luò)。VLAN的成員無需局限于同一交換機(jī)的順序或偶數(shù)端口。下圖顯示了一個(gè)常規(guī)的部署，左邊這張圖節(jié)點(diǎn)連接到交換機(jī)，交換機(jī)連接到路由器。所有的節(jié)點(diǎn)都位于同一IP網(wǎng)絡(luò)，因?yàn)樗麄兌歼B接到路由器同一接口。

圖中沒有顯示的是，缺省情況下，所有節(jié)點(diǎn)實(shí)際上都是同一VLAN。因此，這種拓?fù)浣涌诳煽醋魇腔谕籚LAN的，如上面右圖所示。例如，Cisco設(shè)備默認(rèn)VLAN是VLAN 1，也稱為管理VLAN。默認(rèn)配置下包含所有的端口，體現(xiàn)在源地址表（source address table，SAT）中。該表用于交換機(jī)按照目的MAC地址將幀轉(zhuǎn)發(fā)至合適的二層端口。引入VLAN之后，源地址表按照VLAN將端口與MAC地址相對(duì)應(yīng)起來，從而使得交換機(jī)能夠做出更多高級(jí)轉(zhuǎn)發(fā)決策。下圖顯示了show mac address table和show vlan命令的顯示輸出。所有端口（FA0/1 – FA0/24）都在VLAN 1。

另一種常用的拓?fù)浣Y(jié)構(gòu)是兩個(gè)交換機(jī)被一個(gè)路由器分離開來，如下圖所示。這種情況下，每臺(tái)交換機(jī)各連接一組節(jié)點(diǎn)。每個(gè)交換機(jī)上的各節(jié)點(diǎn)共享一個(gè)IP地址域，這里有兩個(gè)網(wǎng)段：192.168.1.0和192.168.2.0。

注意到兩臺(tái)交換機(jī)的VLAN相同。非本地網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過路由器轉(zhuǎn)發(fā)。路由器不會(huì)轉(zhuǎn)發(fā)二層單播，多播以及廣播幀。這種拓?fù)溥壿嬙趦蓚€(gè)地方類似于多VLAN：同一VLAN下的節(jié)點(diǎn)共享一個(gè)通用地址域，非本地?cái)?shù)據(jù)流（對(duì)應(yīng)多VLAN情況不同VLAN的節(jié)點(diǎn)）需通過路由器轉(zhuǎn)發(fā)。在一臺(tái)交換機(jī)上添加一個(gè)VLAN，去掉另一臺(tái)交換機(jī)的話，結(jié)構(gòu)如下所示：

每一個(gè)VLAN相當(dāng)于一個(gè)獨(dú)立的三層IP網(wǎng)絡(luò)，因此，192.168.1.0上的節(jié)點(diǎn)試圖與192.168.2.0上的節(jié)點(diǎn)通信時(shí)，不同VLAN通信必須通過路由器，即使所有設(shè)備都連接到同一交換機(jī)。二層單播，多播和廣播數(shù)據(jù)只會(huì)在同一VLAN內(nèi)轉(zhuǎn)發(fā)及泛洪，因此VLAN 1產(chǎn)生的數(shù)據(jù)不會(huì)為VLAN 2節(jié)點(diǎn)所見。只有交換機(jī)能看得到VLAN，節(jié)點(diǎn)和路由器都感覺不到VLAN的存在。添加了路由決策之后，可以利用3層的功能來實(shí)現(xiàn)更多的安全設(shè)定，更多流量以及負(fù)載均衡。

VLAN的作用：

安全性：每一個(gè)分組的敏感數(shù)據(jù)需要與網(wǎng)絡(luò)其他部分隔離開，減少保密信息遭到破壞的可能性。如下圖所示，VLAN 10上的教職工主機(jī)完全與學(xué)生和訪客數(shù)據(jù)隔離。

節(jié)約成本：無需昂貴的網(wǎng)絡(luò)升級(jí)，并且?guī)捈吧闲墟溌防寐矢佑行А?/p>

性能提高：將二層網(wǎng)絡(luò)劃分成多個(gè)邏輯工作組（廣播域）減少網(wǎng)絡(luò)間不必要的數(shù)據(jù)流并提升性能。

縮小廣播域：減少一個(gè)廣播域上的設(shè)備數(shù)量。如上圖所示：網(wǎng)絡(luò)上有六臺(tái)主機(jī)但有三個(gè)廣播域：教職工，學(xué)生，訪客。

提升IT管理效率：網(wǎng)絡(luò)需求相似的用戶共享同一VLAN，從而網(wǎng)絡(luò)管理更為簡(jiǎn)單。當(dāng)添加一個(gè)新的交換機(jī)，在指定端口VLAN時(shí)，所有策略和步驟已配置好。

簡(jiǎn)化項(xiàng)目和應(yīng)用管理：VLAN將用戶和網(wǎng)絡(luò)設(shè)備匯集起來，以支持不同的業(yè)務(wù)或地理位置需求。

每一個(gè)VLAN對(duì)應(yīng)于一個(gè)IP網(wǎng)絡(luò)，因此，部署VLAN的時(shí)候必須結(jié)合考慮網(wǎng)絡(luò)地址層級(jí)的實(shí)現(xiàn)情況。

交換機(jī)間VLAN：

多交換機(jī)的情況下，VLAN是怎么工作的呢？下圖所示的這種情況，兩個(gè)交換機(jī)VLAN相同，都是默認(rèn)VLAN 1，即兩個(gè)交換機(jī)之間的聯(lián)系同在VLAN 1之內(nèi)。路由器是所有節(jié)點(diǎn)的出口。

這時(shí)單播，多播和廣播數(shù)據(jù)自由傳輸，所有節(jié)點(diǎn)屬于同一IP地址。這時(shí)節(jié)點(diǎn)之間的通信不會(huì)有問題，因?yàn)榻粨Q機(jī)的SAT顯示它們?cè)谕籚LAN。

而下面這種連接方式就會(huì)有問題。由于VLAN在連接端口的主機(jī)之間創(chuàng)建了三層邊界，它們將無法通信。

仔細(xì)看上圖，這里有很多問題。第一，所有主機(jī)都在同一IP網(wǎng)，盡管連接到不同的VLAN。第二，路由器在VLAN 1,因此與所有節(jié)點(diǎn)隔離。最后，兩臺(tái)交換機(jī)通過不同的VLAN互連。每一點(diǎn)都會(huì)造成通信阻礙，合在一起，網(wǎng)絡(luò)各元素之間會(huì)完全無法通信。

交換機(jī)用滿或同一管理單元物理上彼此分離的情形是很常見的。這種情況下，VLAN需要通過trunk延伸至相鄰交換機(jī)。trunk能夠連接交換機(jī)，在網(wǎng)絡(luò)間傳載VLAN信息。如下圖所示：

對(duì)之前的拓?fù)涞母倪M(jìn)包括：

· PC 1和PC 2分配到192.168.1.0網(wǎng)段以及VLAN 2。

· PC 3和PC 4分配到192.168.2.0網(wǎng)段以及VLAN 3。

· 路由器接口連接到VLAN 2和VLAN 3。

· 交換機(jī)間通過trunk線互連。

注意到trunk端口出現(xiàn)在VLAN 1，他們沒有用字母T來標(biāo)識(shí)。trunk在任何VLAN都沒有成員。現(xiàn)在VLAN跨越多交換機(jī)，同一VLAN下的節(jié)點(diǎn)可以物理上位于任何地方。

什么是Trunk：

Trunk是在兩個(gè)網(wǎng)絡(luò)設(shè)備之間承載多于一種VLAN的端到端的連接，將VLAN延伸至整個(gè)網(wǎng)絡(luò)。沒有VLAN Trunk，VLAN也不會(huì)非常有用。VLAN Trunk允許VLAN數(shù)據(jù)流在交換機(jī)間傳輸，所以設(shè)備在同一VLAN，但連接到不同交換機(jī)，能夠不通過路由器來進(jìn)行通信。

一個(gè)VLAN trunk不屬于某一特定VLAN，而是交換機(jī)和路由器間多個(gè)VLAN的通道。如下圖所示，交換機(jī)S1和S2，以及S1和S3之間的鏈路，配置為傳輸從VLAN10,20,30以及90的數(shù)據(jù)流。該網(wǎng)絡(luò)沒有VLAN trunk就無法工作。

當(dāng)安裝好trunk線之后，幀在trunk線傳輸是就可以使用trunk協(xié)議來修改以太網(wǎng)幀。這也意味著交換機(jī)端口有不止一種操作模式。缺省情況下，所有端口都稱為接入端口。當(dāng)一個(gè)端口用于交換機(jī)間互連傳輸VLAN信息時(shí)，這種端口模式改變?yōu)閠runk，節(jié)點(diǎn)也路由器通常不知道VLAN的存在并使用標(biāo)準(zhǔn)以太網(wǎng)幀或“untagged”幀。trunk線能夠使用“tagged”幀來標(biāo)記VLAN或優(yōu)先級(jí)。

因此，在trunk端口，運(yùn)行trunk協(xié)議來允許幀中包含trunk信息。如下圖所示：

PC 1在經(jīng)過路由表處理后向PC 2發(fā)送數(shù)據(jù)流。這兩個(gè)節(jié)點(diǎn)在同一VLAN但不同交換機(jī)。步驟如下：

· 以太網(wǎng)幀離開PC 1到達(dá)Switch 1。

· Switch 1的SAT表明目的地是trunk線的另一端。

· Switch 1使用trunk協(xié)議在以太網(wǎng)幀中添加VLAN id。

· 新幀離開Switch 1的trunk端口被Switch 2接收。

· Switch 2讀取trunk id并解析trunk協(xié)議。

· 源幀按照Switch 2的SAT轉(zhuǎn)發(fā)至目的地（端口4）。

VLAN tag如下圖所示，包含類型域，優(yōu)先級(jí)域，CFI（Canonical Format Indicator）指示MAC數(shù)據(jù)域，VLAN ID。