程永青

摘要：隨著企業(yè)互聯(lián)網(wǎng)+意識的覺醒，越來越多的傳統(tǒng)線下企業(yè)開始將自己的產(chǎn)品和服務(wù)轉(zhuǎn)移到互聯(lián)網(wǎng)這個平臺，不斷整合自己的線下和線上資源，優(yōu)化配置，以達到企業(yè)前所未有的競爭優(yōu)勢。目前，組建企業(yè)網(wǎng)的技術(shù)有很多，比如常見的交換技術(shù)，如VLAN、STP、端口安全、鏈路聚合等等；路由技術(shù)，比如OSPF、BGP、MPLS VPN等等。該文主要介紹的是VLAN技術(shù)，即虛擬局域網(wǎng)技術(shù)，包括它的原理和配置，該技術(shù)目前被廣泛地應(yīng)用在企業(yè)園區(qū)網(wǎng)之中，具有相當(dāng)大的現(xiàn)實意義。

關(guān)鍵詞：虛擬局域網(wǎng)；VLAN；三層交換；Dot1Q

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）32-0017-03

1 引言

早期局域網(wǎng)技術(shù)可以追溯到上個世紀(jì)的七十年代，經(jīng)過幾十年的發(fā)展，如今的交換式局域網(wǎng)技術(shù)已經(jīng)完全淘汰了當(dāng)初的共享型局域網(wǎng)技術(shù)，原因是共享型局域網(wǎng)當(dāng)中的所有主機都處在同一個沖突域和廣播域，沖突帶來的后果是網(wǎng)絡(luò)利用率不高，因為設(shè)備間不可以同時轉(zhuǎn)發(fā)數(shù)據(jù)，必須要相互“競爭”，為了避免這種“爭搶”，局域網(wǎng)中引入了CSMA/CD這種介質(zhì)訪問控制技術(shù)；廣播帶來的危害是廣播風(fēng)暴，事實上，“廣播”僅僅是網(wǎng)絡(luò)的工作方式而已，其本身并沒有問題，但如果不加以控制，任其出現(xiàn)，那就會形成所謂的“廣播風(fēng)暴”，這會大大降低網(wǎng)絡(luò)的性能，不僅造成網(wǎng)絡(luò)的擁塞，還會白白浪費設(shè)備的資源，帶來不可低估的嚴(yán)重后果。

目前，局域網(wǎng)中最常用的設(shè)備是交換機，交換機不僅有傳統(tǒng)的二層交換機，還有三層交換機，但不管是哪一種設(shè)備，其本質(zhì)上都是不隔離廣播的，可以這樣理解，交換機的所有端口都默認(rèn)處在同一個廣播域。前面我們提到如果廣播太多勢必會造成廣播風(fēng)暴，影響網(wǎng)絡(luò)的性能，那如何隔離廣播呢？我們可以通過一個例子來說明這一點：集線器是物理層設(shè)備，它不知道什么是沖突，什么是廣播，所以連接在它上面的設(shè)備就都處在同一個沖突和廣播域之中；交換機前面介紹過，數(shù)據(jù)鏈路層設(shè)備，隔離沖突域，但不隔離廣播域；路由器是網(wǎng)絡(luò)層設(shè)備，它即隔離沖突域又隔離廣播域。現(xiàn)在看來，可以隔離廣播域的只有路由器了，但使用路由器來隔離廣播其成本過于昂貴，而且路由器上的端口數(shù)量有限，轉(zhuǎn)發(fā)性能也比較低，因此，選用路由器來隔離廣播不是解決問題的最佳方法。正是基于這樣的原因，在需求之下產(chǎn)生了虛擬局域網(wǎng)技術(shù)，即VLAN技術(shù)，它的出現(xiàn)及時地解決了利用交換機隔離廣播的問題。

2 VLAN的基本概念

VLAN（Virtual Local Area Network）又叫虛擬局域網(wǎng)，是當(dāng)前使用較為廣泛的局域網(wǎng)技術(shù)，利用它可以很好的隔離廣播，而不需要額外的增加成本和設(shè)備。一般認(rèn)為，一個VLAN就是一個廣播域，一個VLAN就是一個子網(wǎng)，VLAN內(nèi)的PC之間相互通信，互不干擾，VLAN間的PC由于其隔離廣播的特性默認(rèn)是不能直接通信的，但可以通過配置使其可以通信，這樣看來VLAN的引入帶來了某種靈活性，在隔離廣播的同時可以使某些VLAN間的PC可以通信。

VLAN技術(shù)主要有以下幾點優(yōu)勢，首先也是最主要的特點是隔離廣播，廣播無法跨越VLAN的邊界；其次，VLAN具有安全性，不同VLAN間的客戶不可以通信；第三，可以根據(jù)企業(yè)組織架構(gòu)需求將處于不同樓宇間的用戶組成一個虛擬的工作組，不必受其地理位置的影響；最后，VLAN內(nèi)部如果出現(xiàn)廣播風(fēng)暴，其影響范圍也僅僅局限在改VLAN內(nèi)部，不會波及其他的VLAN。

3 VLAN的基本類型

VLAN的類型主要有以下四種：

第一種類型是基于端口的VLAN，這是最簡單的一種VLAN，配置和管理都比較簡單，默認(rèn)情況下，交換機上有一個VLAN1，所有的端口都處于VLAN1，只要將端口劃入相應(yīng)的VLAN下就可以實現(xiàn)不同VLAN間的隔離，本文主要探討基于端口的VLAN技術(shù)。

第二種類型是基于MAC地址的VLAN，交換機維護著一張VLAN映射表，里面記錄著VLAN與MAC地址的對應(yīng)關(guān)系，交換機通過MAC地址來確定PC所屬的VLAN，并且只有相同VLAN內(nèi)的PC才可以通信。這種VLAN技術(shù)的特點是用戶的物理位置是不受限制的，無論用戶處在企業(yè)網(wǎng)絡(luò)的什么位置，只要PC的MAC地址不變，那么所屬的VLAN就不變。

第三種類型是基于子網(wǎng)的VLAN，一個子網(wǎng)對應(yīng)一個VLAN，但工程實踐中很少使用，在此不做過多介紹。

第四種類型是基于協(xié)議的VLAN，交換機根據(jù)數(shù)據(jù)幀中上層封裝的協(xié)議將其劃分到不同的VLAN，上層協(xié)議主要是指IP協(xié)議和IPX協(xié)議。目前網(wǎng)絡(luò)層的主要協(xié)議就是IP協(xié)議，因此這種劃分方式在工程中也幾乎也用不到。

4 VLAN的標(biāo)簽格式

目前，VLAN標(biāo)簽格式有兩種，一種是公認(rèn)標(biāo)準(zhǔn)802.1Q；一種是思科私有標(biāo)準(zhǔn)ISL，但不管是哪一種標(biāo)準(zhǔn)都是用來給數(shù)據(jù)幀打標(biāo)簽的，用于標(biāo)識數(shù)據(jù)幀所屬的VLAN。IEEE 802.1Q是VLAN的正式標(biāo)準(zhǔn)，在傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀基礎(chǔ)上（源MAC地址字段和協(xié)議類型字段之間）增加了4個字節(jié)的802.1Q標(biāo)簽，如下圖所示：

從上圖中我們可以看出，VLAN標(biāo)簽里包括了2Bytes的標(biāo)簽協(xié)議標(biāo)識符（TPID）、3bits的PRI和1bit的CFI，最重要的VID占12bits，最多可支持4096個VLAN。

5 VLAN的接口類型

首先介紹VLAN中的接口類型，即Access口和Trunk口，在華為和華三的設(shè)備中還存在一種混合端口，Hybrid接口。Access接口是交換機上用來連接用戶主機的接口，它只能是接入鏈路（Access Link）。Trunk接口是交換機上用來與其他交換機連接的接口，它只能連接干道鏈路（Trunk Link）。Hybrid接口是交換機上既可以連接用戶主機，又可以連接其他交換機的接口。Hybrid接口既可以連接接入鏈路又可以連接干道鏈路。

其次介紹一下Access接口是如何接收數(shù)據(jù)幀的，第一步先判斷數(shù)據(jù)幀是否攜帶標(biāo)簽，如果否，則打上缺省VLAN的ID；如果是，則進一步判斷該幀的VLANID是否和缺省的VLANID相同，如果否，則丟棄；如果是，則接收并進一步處理。Access接口在發(fā)送數(shù)據(jù)幀時是先剝離標(biāo)簽，然后再發(fā)送。

再者介紹一下Trunk接口是如何接收數(shù)據(jù)幀的，第一步先判斷數(shù)據(jù)幀是否攜帶標(biāo)簽，如果否，則打上缺省VLAN的ID；如果是，則進一步判斷是否允許該VLANID通過，如果否，則丟棄，如果是，則接收并進一步處理。Trunk接口在發(fā)送數(shù)據(jù)幀時先判斷該數(shù)據(jù)幀的VLANID是否和缺省VLANID相同，如果否，則保留原有數(shù)據(jù)幀，如果是，則剝離標(biāo)簽并發(fā)送。

最后介紹一下Hybrid接口是如何接收數(shù)據(jù)幀的，第一步先判斷數(shù)據(jù)幀是否攜帶標(biāo)簽，如果否，則打上缺省VLAN的ID；如果是，則進一步判斷是否允許該VLANID通過，如果否，則丟棄，如果是，則接收并進一步處理。Hybrid接口在發(fā)送數(shù)據(jù)幀時先判斷該數(shù)據(jù)幀是否配置了發(fā)送數(shù)據(jù)幀時要攜帶的標(biāo)簽，如果否，則剝離標(biāo)簽并發(fā)送出去；如果是，則保持原有標(biāo)簽并發(fā)送出去。

VLAN的應(yīng)用場景大致有以下幾種形式：單交換機上的VLAN配置；跨交換機上的VLAN配置；不同VLAN間的通信（利用三層交換技術(shù)或者單臂路由技術(shù)）等等。單交換機的VLAN配置比較簡單，在此不再贅述。跨交換機的VLAN配置需要在交換機之間配置Trunk接口，并且配置允許通過的VLAN，默認(rèn)是所有VLAN都可以通過。如圖2所示：

圖2 Trunk接口配置示例

在該方案中，連接LSW1和LSW2的Ethernet0/0/22接口需要配置成Trunk接口，而其他連接PC的接口都配置成Access接口。Trunk鏈路類型端口可以接收和發(fā)送多個VLAN的數(shù)據(jù)幀，且在接收和發(fā)送過程中不對數(shù)據(jù)幀中的標(biāo)簽進行任何操作。

上圖中的主要配置如下所示：

system-view

[HUAWEI] sysname LSW1

[LSW1] vlan batch 10 20 //批量創(chuàng)建VLAN 10和VLAN 20

[LSW1] interface ethernet 0/0/1

[LSW1-Ethernet0/0/1] port link-type access //和接入設(shè)備相連的接口類型必須是access，接口默認(rèn)類型不是access，需要手動配置為access

[LSW1-Ethernet0/0/1] port default vlan 10 //將接口E0/0/1加入VLAN 10

[LSW1-Ethernet0/0/1] quit

[LSW1] interface ethernet 0/0/10

[LSW1-Ethernet0/0/10] port link-type access

[LSW1-Ethernet0/0/10] port default vlan 20 //將接口GE1/0/2加入VLAN 20

[LSW1-Ethernet0/0/10] quit

[LSW1] interface ethernet 0/0/22

[LSW1-Ethernet0/0/22] port link-type trunk //交換機之間相連接口類型建議使用trunk，接口默認(rèn)類型不是trunk，需要手動配置為trunk

[LSW1-Ethernet0/0/22] port trunk allow-pass vlan 10 20 //將接口GE1/0/3加入VLAN 10和VLAN 20

以上僅是LSW1上的配置，LSW2的配置雷同。

6 VLAN間通信的配置——利用VLANIF接口

接下來我們使用一個例子來講解VLAN間是如何通信的，默認(rèn)情況下，VLAN間是無法通信的，需要利用三層設(shè)備才可以實現(xiàn)VLAN間的通信。網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

VLANIF接口是一種三層的邏輯接口，通過在VLANIF接口上配置IP地址可以實現(xiàn)VLAN間的三層互通。采用如下的思路配置VLAN間通過VLANIF接口通信：

（1）劃分VLAN；

（2）配置接口加入VLAN，允許用戶所屬的VLAN通過當(dāng)前接口；

（3）創(chuàng)建VLANIF接口并配置IP地址，實現(xiàn)三層互通。

Switch上的配置如下：

system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type access //和接入設(shè)備相連的接口類型設(shè)置為access

[Switch-GigabitEthernet1/0/1] port default vlan 10 //接口加入VLAN 10

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port default vlan 20

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.10.10.2 24 //將VLANIF10的IP地址配置為10.10.10.2/24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.10.20.2 24 //將VLANIF20的IP地址配置為10.10.20.2/24

[Switch-Vlanif20] quit

最后需要注意的是，用戶PC的網(wǎng)關(guān)應(yīng)該設(shè)置成其所屬VLAN的VLANIF接口IP地址，不然用戶PC間將無法通信。配置完成后，VLAN 10內(nèi)的User1與VLAN 20內(nèi)的User2就能夠相互訪問了。

7 結(jié)束語

VLAN技術(shù)是目前園區(qū)網(wǎng)中使用較廣的技術(shù)，是管理人員必須熟練掌握好的技術(shù)。本文著重闡述了VLAN的技術(shù)背景，VLAN的類型，VLAN的接口，VLAN標(biāo)簽的格式，以及最后的兩個VLAN配置實例，希望本文有助于讀者掌握VLAN技術(shù)的基本概念，為后續(xù)學(xué)習(xí)打下基礎(chǔ)。

參考文獻：

[1] 楊姝.VLAN技術(shù)實驗的設(shè)計與仿真實現(xiàn)研究[J].實驗技術(shù)與管理，2014.

[2] 馮棟柱.基于VLAN技術(shù)在高校校園網(wǎng)建設(shè)中的應(yīng)用[J].微計算機信息，2010.

[3] 孔欣.基于Packet Tracer的跨路由器實現(xiàn)VLAN間通信及分析[J].現(xiàn)代計算機，2010.