《计算机网络微课堂》3-11 虚拟局域网 VLAN

本节课我们介绍虚拟局域网 VLAN 的基本概念。
‍

3.11.1 虚拟局域网 VLAN 概述

在之前课程中我们已经介绍过了以太网交换机自学习和转发帧的流程，‍‍以及为避免网络环路而产生的生成树协议。

以太网交换机工作在数据链路层，‍‍也包括物理层，使用一个或多个以太网交换机互联起来的交换式以太网，其所有站点‍‍都属于同一个广播域。‍‍

随着交换式以太网规模的扩大，广播域相应扩大，如图所示，‍‍这是一个由多个以太网交换机互联而成的交换式以太网。‍‍每个以太网交换机上都连接了多个主机，‍‍形成了一个巨大的广播域。

‍

然而巨大的广播域会带来很多弊端，例如广播风暴、‍‍难以管理和维护潜在的安全问题等。

‍‍我们来举例说明广播风暴的问题，‍‍假设网络中的某个主机‍‍要给另一个主机发送一个数据帧，但是在自己的 ARP 高速缓存表中，‍‍无法查到目的主机的 MAC 地址，于是首先要发送 ARP 广播请求来获取目的主机的 MAC 地址。‍‍该 ARP 广播请求会传遍整个网络，网络中的其他所有主机都可以收到该广播。‍‍这种情况就是所谓的广播风暴，广播风暴会浪费网络资源和网络中各主机的 CPU 资源，‍‍因此除非应用需求必须要使用广播，否则网络中的主机应尽量不使用广播。‍‍

也许有的同学会有这样的想法，‍‍如果网络中只是偶尔出现广播，那还是可以接受的，但事实上‍‍网络中会频繁出现广播信息。‍‍目前使用最广泛的 tcpip 协议当中的很多协议‍‍都会使用广播，例如地址解析协议 ARP，路由信息协议 rap‍‍，动态主机配置协议 dhcp 等。除此之外，其他一些协议站也会频繁使用广播。

‍

那么‍‍如何才能将较大的广播域分割成更小的广播域？使用路由器就可以隔离广播域。如图所示，这是由两台以太网交换机互联而成的交换式以太网。‍‍网络中的各主机同属于一个广播域，使用路由器可以将该广播域分割成两个较小的广播域。‍‍路由器工作在网络体系结构的第三层，也就是网络层。

‍

由于路由器默认情况下，‍‍不对广播数据包进行转发，因此路由器很自然的就可以隔离广播域。‍‍然而‍‍路由器的成本较高，局域网内部全部使用路由器来隔离广播域是不现实的。‍‍

在这种情况下，‍‍虚拟局域网技术应运而生，‍‍虚拟局域网的英文缩写词为 VLAN，它是一种将局域网内的设备‍‍划分成与物理位置无关的逻辑组的技术。这些逻辑组具有某些共同的需求。‍‍如图所示‍‍一楼、二楼、三楼分别有一个局域网，可将他们通过另外一个交换机互联成一个更大的局域网，‍‍那么原来每一个局域网成为现在局域网的一个网段，网络中的各主机属于同一个广播域，‍‍某个主机发送到广播数据包，其他所有主机都可以收到。

‍‍根据应用需求，‍‍我们将该局域网划分成两个 VLAN，VLAN1 和 VLAN1。此后‍‍VLAN1 中的广播数据包不会传送到 VLAN2，VLAN2 中的广播数据包也不会传送到 VLAN1，‍‍也就是说同一个 VLAN 内部可以广播通信，不同 VLAN 之间不能广播通信。

‍

小结：

‍

3.11.2 虚拟局域网 VLAN 的实现机制

本节课我们介绍虚拟局域网 VLAN 的实现机制，‍‍虚拟局域网 VLAN 是在交换机上实现的，需要交换机能够实现以下两大功能：

一个是能够处理带有 VLAN 标记的帧，也就是 IEEE 802.1Q 帧
另一个是交换机的各端口，‍‍可以支持不同的端口类型，不同端口类型的端口，对帧的处理方式有所不同

‍

我们首先来看‍‍ IEEE802.1q 帧，‍‍也称为 dot one q 帧。他对以太网的 MAC 帧格式进行了扩展，插入了四字节的 VLAN 标记，‍‍如图所示，这是以太网版本 2 的 MAC 格式，这是插入 VLAN 标记后的 802.1q 帧的格式：

‍

VLAN 标记的最后 12 个比特称为 VLAN 标识符 vid，它唯一的标识了以太网帧属于哪一个 VLAN ， ‍‍Vid 的取值范围是 0~4095，其中 0 和 4095 都不用来表示 VLAN，因此‍‍用于表示 VLAN 的 vid 的有效取值范围是 1~4094。

需要注意的是‍‍802.1q 帧是由交换机来处理的，而不是用户主机来处理的。‍‍当交换机收到普通的以太网帧时‍‍会将其插入四字节的 VLAN 标记，将其转变为 802.1q 帧，简称为打标签。‍‍

当交换机转发 802.1q 帧时，可能会删除其 4 字节 VLAN 标记，‍‍将其转变为普通以太网帧，简称为去标签，VLAN 标记字段的其他内容，‍‍对我们理解 VLAN 划分机制来说，并没有什么帮助，因此就要不再赘述了。‍‍

‍

接下来我们介绍交换机的端口类型，交换机的端口类型一般有以下三种，它们分别是 Access，Trunk，Hybrid。

总结：

Access 接受没标签的，只转发同 ID 的，转发前去标签。

Trunk 总结：

如果收到的帧 ID 值不相等，直接转发
如果收到的帧 ID 相等，发送前去标签
如果没有 ID，则打标签

‍

需要说明的是思科交换机没有 Hybrid 端口。在介绍这三种交换机端口类型之前，我们首先需要了解一下端口的缺省 VLAN ID 这个概念，在思科交换机上将其称为本征 VLAN。

例如思科交换机在用户未配置 VLAN 时，所有端口都默认属于 VLAN1，即所有端口的本帧 VLAN 都是 VLAN1，而在华为交换机上将其称为端口 VLAN ID 剪辑为 PVID。在我们接下来的介绍中，为了描述方便，我们采用 PVID 而不是本征 VLAN。需要注意的是交换机的每个端口，有且仅有一个 PVID：

‍

接下来我们首先介绍 Access 端口，Access 端口一般用于连接用户计算机，只能属于一个 VLAN，因此 Access 端口的 PVID 值与端口所属 VLAN 的 ID 相同，如图所示主机 ABCD 分别连接在交换机的一个端口上，交换机首次上电时，默认配置各端口属于 VLAN1，也就是各端口的 PVID 值等于 1，默认配置各端口的类型为 Access，我们用大写字母 A 来表示。

Access 端口的接收处理方法是一般只接受未打标签的普通以太网 MAC 帧，根据接收帧的端口的 PVID 给帧打标签，即插入四字节 VLAN 标记字段，字段中的 VID 取值与端口的 PVID 取值相等。

我们来举例说明，假设主机 A 发送了一个广播帧，该帧从交换机的端口一进入交换机，由于端口一的类型是 Access，它会对接收到的未打标签的普通以太网 MAC 帧，打标签，也就是插入四字节的 VLAN 标记字段，如图所示，由于端口一的 PVID 值等于一，因此所插入的四字节 VLAN 记字段中的 VID 的值也等于 1。

Access 端口的发送处理方法是若帧中的 VID 与端口的 PVID 相等，则去标签后转发该帧，否则不转发。对于本例广播帧中的 VID 的取值与端口 234 的 PVID 取值都等于 1，因此交换机会从这三个端口对帧进行去标签转发。

总结：接受没标签的，转发同 ID 的

‍

再来看这个例子，我们的应用需求是将主机 A 和 B 划归到 VLAN2，将 C 和 D 划归到 VLAN3，这样 VLAN2 中的广播帧不会传送到 VLAN3，VLAN3 中的广播帧也不会传送到 VLAN2，为了实现这种应用，可以在交换机上创建 VLAN2 和 VLAN3，然后将交换机的端口一和二划归到 VLAN2，因此端口 1 和 2 的 PVID 值等于 2，将交换机的端口 3 和 4 划归到 VLAN3，因此端口 3 和 4 的 PVID 值等于 3。

我们来看主机 A 发送广播帧的情况，该帧从交换机的端口 1 进入交换机，由于端口 1 的类型是 Access，它会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入四字节的 VLAN 标记字段，如图所示，由于端口 1 的 PVI D 值等于 2，因此所插入的四字节 VLAN 标记字段中的 VID 的值也等于 2，广播帧中的 VID 的取值与端口二的 PVID 取值都等于 2，因此交换机会从端口二对帧进行去标签转发。

我们再来看主机 C 发送广播帧的情况，该帧从交换机的端口三进入交换机，由于端口三的类型是 Access，它会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入四字节的 VLAN 标记字段，如图所示由于端口三的 PVID 值等于 3，因此所插入的四字节 VLAN 标记字段中的 VID 的值也等于 3，广播帧中的 VID 的取值与端口 4 的 PVID 取值都等于 3，因此交换机会从端口 4 对帧进行去标签转发。

接下来我们介绍 Trunk 端口，Trunk 端口一般用于交换机之间或交换机与路由器之间的互联，使不同交换机的主机可以属于同个 VLAN。

Trunk 端口可以属于多个 VLAN，也就是说 Trunk 端口可以接收和发送多个 VLAN 的帧，用户可以设置 Trunk 端口的 PVID 值，默认情况下 Trunk 端口的 PVID 值为 1，

我们来举例说明 Trunk 端口的功能，如图所示，两台交换机互联而成了一个交换式以太网，我们的应用需求是将主机 ABEF 划归到 VLAN1，将主机 CDGH 划归到 VLAN2，由于交换机首次上电时默认配置各端口属于 VLAN1，其相应的 PVID 值等于 1，并且端口的类型为 Access，因此我们需要对交换机进行相应的配置，才能满足应用需求，分别在两个交换机上创建 VLAN2，并将他们的端口 3 和 4 都划归到 VLAN2，其相应的 PVID 值=2，而两个交换机的端口一和二保持默认配置即可，也就是属于 VLAN1，其相应的 PVID 值等于 1。

特别需要注意的是两个交换机互联的端口 5，需要将他们的类型更改为 Trunk 类型，而他们的 PVID 值保持默认的 1 即可。Trunk 端口的发送处理方法是对 VID 等于 PVID 的帧去标签再转发。假设主机 A 发送了一个广播帧，该帧从交换机一的端口 1 进入交换机，由于端口一的类型是 Access，它会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入四字节的 VLAN 标记字段，如图所示。由于端口 1 的 PVID 值等于 1，因此所插入的四字节 VLAN 标记字段中的 VID 的值也等于 1。该广播帧中的 VID 的取值与端口二的 PVID 值都等于 1，端口二的类型是 Access，因此交换机一会从端口 2 对帧进行去标签转发

该广播帧中的 VID 的取值与端口 5 的 PVID 值都等于 1，端口 5 的类型是 Trunk，因此交换机一会从端口 5 对帧进行去标签转发，很显然该广播帧会从交换机 2 的端口 5 进入交换机二，Trunk 端口的接收处理方法是接收未打标签的帧，根据接收帧的端口的 PVID 给帧打标签，即插入四字节 VLAN 标记字段，字段中的 VID 取值与端口的 PVID 取值相等。对于本例交换机 2 会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入 4 字节的 VLAN 标记字段。如图所示，由于端口 5 的 PVID 值等于 1，因此所插入的 4 自字节 VLAN 标记字段中的 VIP 的值也等于 1

该广播帧中的 VID 的取决与端口 1 和 2 的 PVID 值都等于 1，端口 1 和 2 的类型都是 Access，因此交换机 1 会从端口 1 和 2 对帧进行去标签转发。

总结：

如果收到的帧 ID 值不相等，直接转发
如果收到的帧 ID 相等，发送前去标签
如果没有 ID，则打标签

‍

再来看主机 C 发送广播帧的情况，该帧从交换机 1 的端口 3 进入交换机，由于端口三的类型是 Access，它会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入四字节的 VLAN 标记字段。如图所示，由于端口 3 的 PVID 值=2，因此所插入的 4 自字节 VLAN 标标记字段中的 VID 的值也等于 2，该广播站中的 VID 的取值与端口 4 的 PVI D 值都等于 2，端口 4 的类型是 Access，因此交换机 1 会从端口 4 对帧进行去标签转发。

该广播帧中的 VID 的取值与端口 5 的 PVID 值不相等，由于 Trunk 端口对 VID 不等于 PVID 的，帧是直接转发的，因此交换机 1 会从端口 5 对帧直接转发，也就是不去掉标签，而带着标签直接转发。很显然该 802.1Q 广播帧会从交换机 2 的端口 5 进入交换机 2 Trunk 端口，接收已打标签的 802.1Q 帧，该广播帧中的 VID 的取值与端口 3 和 4 的 PVID 值都等于 2，端口 3 和 4 的类型都是 Access 类型，因此交换机二会从端口 3 和 4 对帧进行去标签转发。通过本例可以看出，再由多个交换机互联而成的交换式以太网装，划分 VLAN 时，连接主机的交换机端口，应设置为 Access 类型，交换机之间互联的端口应设置为 Trunk 类型。

‍

接下来请同学们做一个练习题，以加深对 Access 端口和 Trunk、端口功能的理解。本题的答案如下所示，希望大家都能解答正确。

‍

最后我们简单介绍一下华为交换机私有的 Hybrid 端口类型，Hybrid 的端口即可用于交换机之间或交换机与路由器之间的互联，这一点与 Trunk 端口相同，也可用于交换机与用户计算机之间的互联，这一点又与 Access 端口相同。

除此之外，Hybrid 端口的绝大部分功能与 Trunk 端口相同，不同点在于 Hybrid 端口的发送处理方法，Hybrid 的端口会查看帧的 VID 是否在端口的区域标签列表中，若存在则去标签后再转发，若不存在则直接转发。

接下来我们通过一个简单的应用实例来说明 Hybrid 端口的功能。主机 ABC 连接在同一个交换机的不同接口上，请利用 Hybrid 端口的功能实现以下应用需求，A 和 B 都能与 C 相互通信，但 A 与 B 不能相互通信，如图所示，

我们可以将这三台主机所连接的交换机的三个端口划分到不同的 VLAN，并且端口类型设置为 Hybrid。假设这三个 VLAN 分别是 VLAN10、VLAN20、VLAN30，相应的 PVID 分别为 10，20，30。

在端口一的区域标签列表中，配置 VLAN10 和 VLAN30。

在端口二的去标签列表中配置 VLAN20 和 VLAN30，在端口三的去标签列表中配置 VLAN10，VLAN20，VLAN30，主机 A 给 C 发送数据帧，该帧从交换机的端口 1 进入交换机，由于端口 1 的类型是 Hybrid 的，他会对接收到的未打标签的普通以太网 MAC 帧打标签，也就是插入四字节的 VLAN 标记字段，如图所示，由于端口一的 PVID 值等于 10，因此所插入的四字节 VLAN 标记字段中的 VID 的值也等于 10，该帧将从端口三转发，由于帧中的 VID 的取值在端口 3 的区标签列表中，因此该帧会被去标签转发，这样主机 C 就可以收到主机 A 发送的数据帧。

同理，主机 C 给 A 发送数据帧，主机 A 同样可以收到，我们就要不再演示了。

‍

那么主机 B 给 C 发送数据帧的具体过程又如何呢？如图所示。

同理，主机 C 给 B 发送数据帧，主机 B 同样可以收到，我们就要不再演示了。

‍

再来看看主机 A 给 B 发送数据帧的情况，该帧从交换机的端口一进入交换机，给该帧打标签，其中 VIP 取值为 10，该帧将从端口 2 转发，由于帧中的 VID 的取值，不在端口 2 的去标签列表中，因此该帧被直接转发，这样主机 B 就会收到一个带有 VLAN 标记的 802.1Q 帧，但是主机 B 可以识别普通以太网 MAC 帧，而不能识别 802.1Q 帧，只能丢弃该帧。

同理，主机 B 给 A 发送的普通以太网 MAC 帧，主机 A 收到的却是 802.1Q 帧，无法识别而丢弃。