3.1.1 VLAN技术基础
1.VLAN 的概念
VLAN(Virtual Local Area Network)技术即虚拟局域网技术,是将一个物理的局域网(LAN)在逻辑上划分成多个广播域(多个VLAN)的数据交换技术。1996 年3 月,IEEE802.1 Internet Working委员会结束了对VLAN 初期标准的修订工作。出台的标准进一步完善了VLAN 的体系结构,统一了Frame-Tagging方式中不同厂商的标签格式,并指明了VLAN 标准在未来一段时间内的发展方向,形成的802.1Q 标准在业界获得了广泛的推广。后来IEEE于1999年发布了用于标准化VLAN 实现方案的802.1Q 协议标准草案。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从侧面推动了VLAN的迅速发展。
VLAN 的划分不受网络端口的实际物理位置的限制,有着和普通物理网络同样的属性。第二层的单播、广播、多播帧在一个VLAN 内转发、扩散,而不会直接进入其他的VLAN 之中。默认情况下,同一VLAN 下的端口所连接的设备是可以互相通信的,而不同VLAN 下的是不能互相通信的。
2.VLAN 的分类
(1)VLAN 的划分方式
基于端口的VLAN:根据端口划分,配置简单,可以用于各种场景,是最简洁、最广泛使用的划分方式。
基于MAC的VLAN:根据报文的源MAC地址划分,即根据终端设备的MAC 地址来划分VLAN,经常用于用户位置变化,不需要重新配置VLAN 的场景。
基于IP子网的VLAN:根据IP 进行划分,即根据报文源IP 及掩码来确定报文所属VLAN,一般用于对同一网段的用户进行统一管理的场景。
基于协议的VLAN:根据协议划分,即根据端口接收到的报文所属的协议类型及封装格式来给报文分配不同的VLAN ID,适用于对具有相同应用或服务的用户进行统一管理的场景。
基于策略的VLAN:根据几种划分依据组合进行的划分,适用于对安全性要求比较高的场景。
(2)接口类型
在802.1Q 中定义VLAN 帧后,设备的有些接口可以识别VLAN 帧,有些接口则不能识别VLAN 帧。根据对VLAN 帧的识别情况,将接口分为以下3类。
Access接口:Access接口是交换机上用于连接用户主机的接口,它只能连接接入链路。仅允许唯一的VLAN ID 通过本接口,这个VLAN ID 与接口的缺省VLAN ID 相同,Access接口发往对端的以太网帧永远是不带标签的帧。
Trunk接口:Trunk接口是交换机上用于和其他交换机连接的接口,它只能连接干道链路。允许多个VLAN 的帧(带Tag标记)通过。
Hybrid接口:Hybrid接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路,又可以连接干道链路。Hybrid 接口允许多个VLAN 的帧通过,并可以在出接口方向将某些VLAN 帧的Tag剥掉。
3.VLAN 技术的优点
VLAN 技术是将一个物理的LAN 在逻辑上划分成多个VLAN 的通信技术。每一个VLAN 都包含一组具有相同需求的计算机,与物理上形成的LAN 具有相同的属性。但是由于VLAN 是在逻辑上划分而不是在物理上划分,因此同一个VLAN 内的各个工作站无须放置在同一个物理空间。即使两台计算机有着同样的网段,如果它们不属于同一个VLAN,它们各自的广播帧不会互相转发,从而实现了控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 技术的优点如下。
限制广播域:广播域被限制在一个VLAN 内,节省带宽,提高网络处理能力。
提高局域网的安全性:不同VLAN 内的报文在传输时是相互隔离的,即一个VLAN 内的用户不能和其他VLAN 内的用户直接通信。
提高网络的健壮性:故障被限制在一个VLAN 内,本VLAN 内的故障不会影响其他VLAN 的正常工作。
灵活构建虚拟工作组:用VLAN 可以划分不同用户到不同的工作组,同一工作组内的用户也不必局限于某一固定的物理范围,不受物理位置的限制,网络构建和维护更方便灵活。