vlan的應(yīng)用在網(wǎng)絡(luò)項(xiàng)目中是非常廣泛的，基本上大部分的項(xiàng)目都需要?jiǎng)澐講lan，前幾天我們講到vlan的配置，有朋友就提到有沒有更基礎(chǔ)一些的內(nèi)容，今天我們就從基礎(chǔ)的vlan的知識(shí)開始，了解vlan的劃分原理。

一、為什么需要VLAN

1、什么是VLAN?

VLAN(Virtual LAN)，翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺(tái)家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域。

簡(jiǎn)單來說，同一個(gè)VLAN中的用戶間通信就和在一個(gè)局域網(wǎng)內(nèi)一樣，同一個(gè)VLAN中的廣播只有VLAN中的 成員才能聽到，而不會(huì)傳輸?shù)狡渌腣LAN中去，從而控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)， 若沒有路由，不同VLAN之間不能相互通信，從而提高了不同工作組之間的信息安全性。網(wǎng)絡(luò) 管理員可以通過配置VLAN之間的路由來全面管理網(wǎng)絡(luò)內(nèi)部不同工作組之間的信息互訪。

2、未分割VLAN時(shí)將會(huì)發(fā)生什么?

那么，為什么需要分割VLAN(廣播域)呢?那是因?yàn)?，如果僅有一個(gè)廣播域，有可能會(huì)影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因，請(qǐng)參看附圖加深理解。

圖中，是一個(gè)由5臺(tái)二層交換機(jī)(交換機(jī)1～5)連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí)，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求(ARP Request)信息”，來嘗試獲取計(jì)算機(jī)B的MAC地址。

交換機(jī)1收到廣播幀(ARP請(qǐng)求)后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是泛濫了。接著，交換機(jī)2收到廣播幀后也會(huì)泛濫。交換機(jī)3、4、5也還會(huì)泛濫。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上，這也就是網(wǎng)絡(luò)風(fēng)暴。

我們分析下，這個(gè)計(jì)算A的ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說：只要計(jì)算機(jī)B能收到就萬事大吉了?？墒鞘聦?shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無謂消耗，可能會(huì)造成網(wǎng)絡(luò)癱瘓。

二、VLAN的原理

1、實(shí)現(xiàn)VLAN的機(jī)制

在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機(jī)是如何使用VLAN分割廣播域的。

首先，在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口上泛濫。例如，計(jì)算機(jī)A發(fā)送廣播信息后，會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。

這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN;

同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。

再?gòu)腁發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。

同樣，C發(fā)送廣播信息時(shí)，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。

就這樣，VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍(lán)兩色識(shí)別不同的VLAN，在實(shí)際使用中則是用“VLAN的ID”來區(qū)分的。

但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。

2、需要VLAN間通信時(shí)怎么辦?

那么，當(dāng)我們需要在不同的VLAN間通信時(shí)又該如何是好呢?

VLAN是廣播域。而通常兩個(gè)廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作“VLAN間路由”。

VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。大家可以記住不同VLAN間互相通信時(shí)需要用到路由功能。

三、VLAN的劃分方式

1、靜態(tài)VALN

靜態(tài)VLAN也叫做基于端口的VLAN。從意思也能理解，它是固定不變的，就是明確指定交換機(jī)各端口屬于哪個(gè)VLAN的設(shè)定方法。

基于端口的vlan這種方法，主要的優(yōu)點(diǎn)就是定議vlan的成員很簡(jiǎn)單明了，思路清楚，直接針對(duì)交換機(jī)現(xiàn)有的端口設(shè)置vlan，哪些端口屬于同一個(gè)vlan，很清楚的理解。

那么它的缺點(diǎn)呢?

由于需要一個(gè)個(gè)端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過一定數(shù)字(比如數(shù)百臺(tái))后，設(shè)定操作就會(huì)變得煩雜無比。并且，計(jì)算機(jī)每次變更所連端口，都必須同時(shí)更改該端口所屬VLAN的設(shè)定——這顯然靜態(tài)VLAN不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)和大型網(wǎng)絡(luò)。

2、動(dòng)態(tài)VLAN

動(dòng)態(tài)VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī)，隨時(shí)改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作。動(dòng)態(tài)VLAN可以大致分為3類：

● 基于MAC地址的VLAN(MAC Based VLAN)

● 基于子網(wǎng)的VLAN(Subnet Based VLAN)

● 基于用戶的VLAN(User Based VLAN)

①、基于MAC地址的VLAN，就是通過查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的MAC地址來決定端口的所屬。假定有一個(gè)計(jì)算機(jī)的MAC地址為“A”被交換機(jī)設(shè)定為屬于VLAN“10”，那么不論MAC地址為“A”這臺(tái)計(jì)算機(jī)連在交換機(jī)哪個(gè)端口，該端口都會(huì)被劃分到VLAN10中去。

例如：計(jì)算機(jī)連在端口1時(shí)，端口1屬于VLAN10;而計(jì)算機(jī)連在端口2時(shí)，則是端口2屬于VLAN10。

②、基于子網(wǎng)的VLAN，則是通過所連計(jì)算機(jī)的IP地址，來決定端口所屬VLAN的。不像基于MAC地址的VLAN，即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變，就仍可以加入原先設(shè)定的VLAN。

說白了，只要電腦ip地址不變，那么它的vlan就不變，很方便，計(jì)算機(jī)可以換交換機(jī)端口，也可以MAC地址了，都不影響。

③、基于用戶的VLAN，則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來決定該端口屬于哪個(gè)VLAN。這里的用戶識(shí)別信息，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息。

3、總結(jié)

綜上所述，vlan的設(shè)定手法有靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種，其中動(dòng)態(tài)VLAN又可以繼續(xù)細(xì)分成幾個(gè)小類。

其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題;因此在選擇交換機(jī)時(shí)，一定要注意事先確認(rèn)。

四、交換機(jī)之間的連接方式

那么，如果需要設(shè)置跨越多臺(tái)交換機(jī)的VLAN時(shí)又如何呢?

方法一：

在規(guī)劃企業(yè)級(jí)網(wǎng)絡(luò)時(shí)，很有可能會(huì)遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況，這時(shí)可能就需要考慮到如何跨越多臺(tái)交換機(jī)設(shè)置VLAN的問題了。假設(shè)有如下圖所示的網(wǎng)絡(luò)，且需要將不同樓層的A、C和B、D設(shè)置為同一個(gè)VLAN。

如下圖：

這時(shí)最關(guān)鍵的就是“交換機(jī)1和交換機(jī)2該如何連接才好呢?”

最簡(jiǎn)單的方法，自然是在交換機(jī)1和交換機(jī)2上各設(shè)一個(gè)紅、藍(lán)VLAN專用的接口并互聯(lián)了。

但是，這個(gè)辦法從擴(kuò)展性和管理效率來看都不好。例如，在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時(shí)，為了讓這個(gè)VLAN能夠互通，就需要在交換機(jī)間連接新的網(wǎng)線。建筑物樓層間的縱向布線是比較麻煩的，一般不能由基層管理人員隨意進(jìn)行。并且，VLAN越多，樓層間(嚴(yán)格地說是交換機(jī)間)互聯(lián)所需的端口也越來越多，交換機(jī)端口的利用效率低是對(duì)資源的一種浪費(fèi)、也限制了網(wǎng)絡(luò)的擴(kuò)展。

方法e二：

為了避免上面這種低效率的連接方式，人們想辦法讓交換機(jī)間互聯(lián)的網(wǎng)線集中到一根上，這時(shí)使用的就是匯聚鏈接(Trunk Link)。

何謂匯聚鏈接?

匯聚鏈接(Trunk Link)指的是能夠轉(zhuǎn)發(fā)多個(gè)不同VLAN的通信的端口。

匯聚鏈路上流通的數(shù)據(jù)幀，都被附加了用于識(shí)別分屬于哪個(gè)VLAN的特殊信息。

現(xiàn)在再讓我們回過頭來考慮一下剛才那個(gè)網(wǎng)絡(luò)如果采用匯聚鏈路又會(huì)如何呢?用戶只需要簡(jiǎn)單地將交換機(jī)間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了。這時(shí)使用的一根網(wǎng)線還是普通的UTP線，而不是什么其他的特殊布線。圖例中是交換機(jī)間互聯(lián)，因此需要用交叉線來連接。

接下來，讓我們具體看看匯聚鏈接是如何實(shí)現(xiàn)跨越交換機(jī)間的VLAN的。

A發(fā)送的數(shù)據(jù)幀從交換機(jī)1經(jīng)過匯聚鏈路到達(dá)交換機(jī)2時(shí)，在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標(biāo)記。

交換機(jī)2收到數(shù)據(jù)幀后，經(jīng)過檢查VLAN標(biāo)識(shí)發(fā)現(xiàn)這個(gè)數(shù)據(jù)幀是屬于紅色VLAN的，因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口。這時(shí)的轉(zhuǎn)送，是指經(jīng)過確認(rèn)目標(biāo)MAC地址并與MAC地址列表比對(duì)后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口。只有當(dāng)數(shù)據(jù)幀是一個(gè)廣播幀、多播幀或是目標(biāo)不明的幀時(shí)，它才會(huì)被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。

藍(lán)色VLAN發(fā)送數(shù)據(jù)幀時(shí)的情形也與此相同。

五、VLAN間通信的原理

1、同一VLAN內(nèi)的通信

接下來，我們繼續(xù)學(xué)習(xí)使用匯聚鏈路連接交換機(jī)與路由器時(shí)，VLAN間路由是如何進(jìn)行的。如下圖所示，為各臺(tái)計(jì)算機(jī)以及路由器的子接口設(shè)定IP地址。

紅色VLAN(VLANID=1)的網(wǎng)絡(luò)地址為192.168.1.0/24，藍(lán)色VLAN(VLANID=2)的網(wǎng)絡(luò)地址為192.168.2.0/24。各計(jì)算機(jī)的MAC地址分別為A/B/C/D，路由器匯聚鏈接端口的MAC地址為R。交換機(jī)通過對(duì)各端口所連計(jì)算機(jī)MAC地址的學(xué)習(xí)，生成如下的MAC地址列表。

首先考慮計(jì)算機(jī)A與同一VLAN內(nèi)的計(jì)算機(jī)B之間通信時(shí)的情形。

計(jì)算機(jī)A發(fā)出ARP請(qǐng)求信息，請(qǐng)求解析B的MAC地址。交換機(jī)收到數(shù)據(jù)幀后，檢索MAC地址列表中與收信端口同屬一個(gè)VLAN的表項(xiàng)。結(jié)果發(fā)現(xiàn)，計(jì)算機(jī)B連接在端口2上，于是交換機(jī)將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2，最終計(jì)算機(jī)B收到該幀。收發(fā)信雙方同屬一個(gè)VLAN之內(nèi)的通信，一切處理均在交換機(jī)內(nèi)完成。

2、不同VLAN間通信時(shí)數(shù)據(jù)的流程

接下來是這一講的核心內(nèi)容，不同VLAN間的通信。讓我們來考慮一下計(jì)算機(jī)A與計(jì)算機(jī)C之間通信時(shí)的情況。

過程1、計(jì)算機(jī)A從通信目標(biāo)的IP地址(192.168.2.1)得出C與本機(jī)不屬于同一個(gè)網(wǎng)段。因此會(huì)向設(shè)定的默認(rèn)網(wǎng)關(guān)(Default Gateway，GW)轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前，需要先用ARP獲取路由器的MAC地址。

過程2、得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀。①的數(shù)據(jù)幀中，目標(biāo)MAC地址是路由器的地址R、但內(nèi)含的目標(biāo)IP地址仍是最終要通信的對(duì)象C的地址。

過程3、交換機(jī)在端口1上收到①的數(shù)據(jù)幀后，檢索MAC地址列表中與端口1同屬一個(gè)VLAN的表項(xiàng)。由于匯聚鏈路會(huì)被看作屬于所有的VLAN，因此這時(shí)交換機(jī)的端口6也屬于被參照對(duì)象。這樣交換機(jī)就知道往MAC地址R發(fā)送數(shù)據(jù)幀，需要經(jīng)過端口6轉(zhuǎn)發(fā)。

過程4、從端口6發(fā)送數(shù)據(jù)幀時(shí)，由于它是匯聚鏈接，因此會(huì)被附加上VLAN識(shí)別信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀，因此如圖中②所示，會(huì)被加上紅色VLAN的識(shí)別信息后進(jìn)入?yún)R聚鏈路。路由器收到②的數(shù)據(jù)幀后，確認(rèn)其VLAN識(shí)別信息，由于它是屬于紅色VLAN的數(shù)據(jù)幀，因此交由負(fù)責(zé)紅色VLAN的子接口接收。

過程5、接著，根據(jù)路由器內(nèi)部的路由表，判斷該向哪里中繼。

由于目標(biāo)網(wǎng)絡(luò)192.168.2.0/24是藍(lán)色VLAN，，且該網(wǎng)絡(luò)通過子接口與路由器直連，因此只要從負(fù)責(zé)藍(lán)色VLAN的子接口轉(zhuǎn)發(fā)就可以了。這時(shí)，數(shù)據(jù)幀的目標(biāo)MAC地址被改寫成計(jì)算機(jī)C的目標(biāo)地址;并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍(lán)色VLAN的識(shí)別信息。這就是圖中③的數(shù)據(jù)幀。

過程6、交換機(jī)收到③的數(shù)據(jù)幀后，根據(jù)VLAN標(biāo)識(shí)信息從MAC地址列表中檢索屬于藍(lán)色VLAN的表項(xiàng)。由于通信目標(biāo)——計(jì)算機(jī)C連接在端口3上、且端口3為普通的訪問鏈接，因此交換機(jī)會(huì)將數(shù)據(jù)幀除去VLAN識(shí)別信息后(數(shù)據(jù)幀④)轉(zhuǎn)發(fā)給端口3，最終計(jì)算機(jī)C才能成功地收到這個(gè)數(shù)據(jù)幀。

進(jìn)行VLAN間通信時(shí)，即使通信雙方都連接在同一臺(tái)交換機(jī)上，也必須經(jīng)過：發(fā)送方——交換機(jī)——路由器——交換機(jī)——接收方這樣一個(gè)流程。

以上就是關(guān)于VLAN的基礎(chǔ)知識(shí)詳解，希望大家喜歡，請(qǐng)繼續(xù)關(guān)注腳本之家。

相關(guān)推薦：

三層交換機(jī)怎么設(shè)置vlan間通信?

華為交換機(jī)vlan下怎么配置流量抑制功能?

華為交換機(jī)怎么配置VLAN和VLANif接口IP地址?

最新評(píng)論