基本概念

概述
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样

作用

  • 有效控制广播域范围
  • 增强局域网的安全性
  • 灵活构建虚拟工作组

image.png

广播风暴隔离

image.png
所谓广播帧就是在二层环境中设备发出的广播帧在广播域中传播,这样会导致广播帧占用网络带宽,降低设备性能。

使用三层设备路由器隔离广播域
image.png
广播帧属于二层并不会跨越三层,所以为了解决广播风暴,可以使用三层设备隔离广播域,减小广播域范围。比如使用路由器来隔离广播域,由于路由器是三层设备,对数据的转发容易形成瓶颈,所以一般我们使用VLAN来隔离广播域。

VLAN隔离广播
image.png
二层交换机使用VLAN隔离广播,用来减小广播域范围。这样的话,不同VLAN之间是无法进行通信的,假设PCA发送一个广播帧,只会在VLAN1之间传播并不会传播到VLAN2,这样既限制了广播域的范围,又保证了VLAN2的安全性。

VLAN分类

基于端口的VLAN
image.png
基于端口的VLAN划分方法是最常用的一种划分方法,就是一个或者几个端口属于一个VLAN,这个端口下面的用户也就属于该 VLAN。假设以上图中,E1/0/1和E1/0/2属于VLAN10,E1/0/3和E1/0/4属于VLAN20,那么PCA和PCB也都都属于 VLAN10,可以互相通信,PCC和PCD属于VLAN20,也可以互相通信。
这种划分方法的优先就是配置比较方便,只要在交换机上将相应的端口加入相应的 VLAN 即可,缺点是对于用户来说如果更改了交换机的端口也就更换了VLAN ID。
基于MAC地址的VLAN
image.png
基于 MAC 地址的 VLAN 就是在划分 VLAN 的时候根据 MAC 地址划分 VLAN,比如将 PCA和 PCB 的 MAC 地址划分在 vlan10中,那么 PCA 和 PCB 就属于 VLAN10,PCC 和 PCD 同理。
这种划分方法的优点是对于用户来说不受地理位置的闲置,不管PCA用户接在哪个接口,都属于VLAN10,缺点是配置较基于端口的划分方法繁琐。
基于协议的VLAN
image.png
这种划分方法是指运行不同的协议划分到相同的VLAN中,比如PCA和PCB都运行的是IP协议,属于VLAN10,PCC和PCD同理。
此种划分方法优点依旧是不受物理位置的影响,不管PCA接在交换机的哪个接口,都属于VLAN10。缺点的其实PC真正可以运行的协议并没有很多,有划分vlan数量上的限制。
基于子网的VLAN
image.png
这种划分方法是根据子网划分,比如10.0.0.0/24属于VLAN10,20.0.0.0/24属于vlan20;

Vlan技术原理

VLAN标签
image.png
对于交换机来说,是根据VLAN标签来区分不同VLAN的以太网帧的。比如PCA发送一个目的地址为PCB的数据帧,到达交换机,交换机会打上VLAN 10的标签,然后根据vlan表确定从PCB的端口转发出去交给PCB。
802.1Q帧格式:
image.png
PC发送的数据并不带VLAN标签,VLAN ID的标签是在数据中进入交换机端口的时候打上的,出交换机的时候交换机需要对数据帧的VLAN标签进行剥离再转发给相对应的PC。在标准的以太网帧的源地址SA和类型Type之间打上的Tag标签,此tag标签中含有VLAN ID,VLAN ID的范围为4096,去掉一个默认的vlan 1和vlan4096作为保留vlan,实际可用的vlan ID个数为4094个。
单交换机VLAN标签操作:
image.png