介紹

網絡性能是影響業(yè)務效率的一個重要因素。將大型廣播域分段是提高網絡性能的方法之一。路由器能夠將廣播包阻隔在一個接口上，但是，路由器的LAN接口數量有限，它的主要功能是在網絡間傳輸數據，而不是對終端設備提供網絡接入。訪問LAN的功能還是由接入層交換機來實現。與三層交換機相類似，通過在二層交換機上創(chuàng)建VLAN來減少廣播域?，F代交換機就是通過VLAN來構造的，因此在某種程度上，學習交換機就是學習VLAN。

更多信息

問題的產生:

上一節(jié)已經講過廣播域的概念：即廣播幀傳播覆蓋的范圍。如下圖所示，當網絡上的所有設備在廣播域產生大量的廣播以及多播幀，就會與數據流競爭帶寬。這是由網絡管理數據流組成，如：ARP，DHCP，STP等。如下圖所示，假設PC 1產生ARP，Windows登錄，DHCP等請求：

這些廣播幀到達交換機1之后，遍歷整個網絡并到達所有節(jié)點直至路由器。隨著網絡節(jié)點增加，開銷的總數也在增長，直至影響交換機性能。通過實施VLAN斷開廣播域將數據流隔離開來，能夠解決這一問題。

什么是VLAN：

VLAN（virtual local area network）是一組與位置無關的邏輯端口。VLAN就相當于一個獨立的三層網絡。VLAN的成員無需局限于同一交換機的順序或偶數端口。下圖顯示了一個常規(guī)的部署，左邊這張圖節(jié)點連接到交換機，交換機連接到路由器。所有的節(jié)點都位于同一IP網絡，因為他們都連接到路由器同一接口。

圖中沒有顯示的是，缺省情況下，所有節(jié)點實際上都是同一VLAN。因此，這種拓撲接口可看作是基于同一VLAN的，如上面右圖所示。例如，Cisco設備默認VLAN是VLAN 1，也稱為管理VLAN。默認配置下包含所有的端口，體現在源地址表（source address table，SAT）中。該表用于交換機按照目的MAC地址將幀轉發(fā)至合適的二層端口。引入VLAN之后，源地址表按照VLAN將端口與MAC地址相對應起來，從而使得交換機能夠做出更多高級轉發(fā)決策。下圖顯示了show mac address table和show vlan命令的顯示輸出。所有端口（FA0/1 – FA0/24）都在VLAN 1。

另一種常用的拓撲結構是兩個交換機被一個路由器分離開來，如下圖所示。這種情況下，每臺交換機各連接一組節(jié)點。每個交換機上的各節(jié)點共享一個IP地址域，這里有兩個網段：192.168.1.0和192.168.2.0。

注意到兩臺交換機的VLAN相同。非本地網絡數據流必須經過路由器轉發(fā)。路由器不會轉發(fā)二層單播，多播以及廣播幀。這種拓撲邏輯在兩個地方類似于多VLAN：同一VLAN下的節(jié)點共享一個通用地址域，非本地數據流（對應多VLAN情況不同VLAN的節(jié)點）需通過路由器轉發(fā)。在一臺交換機上添加一個VLAN，去掉另一臺交換機的話，結構如下所示：

每一個VLAN相當于一個獨立的三層IP網絡，因此，192.168.1.0上的節(jié)點試圖與192.168.2.0上的節(jié)點通信時，不同VLAN通信必須通過路由器，即使所有設備都連接到同一交換機。二層單播，多播和廣播數據只會在同一VLAN內轉發(fā)及泛洪，因此VLAN 1產生的數據不會為VLAN 2節(jié)點所見。只有交換機能看得到VLAN，節(jié)點和路由器都感覺不到VLAN的存在。添加了路由決策之后，可以利用3層的功能來實現更多的安全設定，更多流量以及負載均衡。

VLAN的作用：

安全性：每一個分組的敏感數據需要與網絡其他部分隔離開，減少保密信息遭到破壞的可能性。如下圖所示，VLAN 10上的教職工主機完全與學生和訪客數據隔離。

節(jié)約成本：無需昂貴的網絡升級，并且?guī)捈吧闲墟溌防寐矢佑行А?/p>

性能提高：將二層網絡劃分成多個邏輯工作組（廣播域）減少網絡間不必要的數據流并提升性能。

縮小廣播域：減少一個廣播域上的設備數量。如上圖所示：網絡上有六臺主機但有三個廣播域：教職工，學生，訪客。

提升IT管理效率：網絡需求相似的用戶共享同一VLAN，從而網絡管理更為簡單。當添加一個新的交換機，在指定端口VLAN時，所有策略和步驟已配置好。

簡化項目和應用管理：VLAN將用戶和網絡設備匯集起來，以支持不同的業(yè)務或地理位置需求。

每一個VLAN對應于一個IP網絡，因此，部署VLAN的時候必須結合考慮網絡地址層級的實現情況。

交換機間VLAN：

多交換機的情況下，VLAN是怎么工作的呢？下圖所示的這種情況，兩個交換機VLAN相同，都是默認VLAN 1，即兩個交換機之間的聯系同在VLAN 1之內。路由器是所有節(jié)點的出口。

這時單播，多播和廣播數據自由傳輸，所有節(jié)點屬于同一IP地址。這時節(jié)點之間的通信不會有問題，因為交換機的SAT顯示它們在同一VLAN。

而下面這種連接方式就會有問題。由于VLAN在連接端口的主機之間創(chuàng)建了三層邊界，它們將無法通信。

仔細看上圖，這里有很多問題。第一，所有主機都在同一IP網，盡管連接到不同的VLAN。第二，路由器在VLAN 1,因此與所有節(jié)點隔離。最后，兩臺交換機通過不同的VLAN互連。每一點都會造成通信阻礙，合在一起，網絡各元素之間會完全無法通信。

交換機用滿或同一管理單元物理上彼此分離的情形是很常見的。這種情況下，VLAN需要通過trunk延伸至相鄰交換機。trunk能夠連接交換機，在網絡間傳載VLAN信息。如下圖所示：

對之前的拓撲的改進包括：

· PC 1和PC 2分配到192.168.1.0網段以及VLAN 2。

· PC 3和PC 4分配到192.168.2.0網段以及VLAN 3。

· 路由器接口連接到VLAN 2和VLAN 3。

· 交換機間通過trunk線互連。

注意到trunk端口出現在VLAN 1，他們沒有用字母T來標識。trunk在任何VLAN都沒有成員?，F在VLAN跨越多交換機，同一VLAN下的節(jié)點可以物理上位于任何地方。

什么是Trunk：

Trunk是在兩個網絡設備之間承載多于一種VLAN的端到端的連接，將VLAN延伸至整個網絡。沒有VLAN Trunk，VLAN也不會非常有用。VLAN Trunk允許VLAN數據流在交換機間傳輸，所以設備在同一VLAN，但連接到不同交換機，能夠不通過路由器來進行通信。

一個VLAN trunk不屬于某一特定VLAN，而是交換機和路由器間多個VLAN的通道。如下圖所示，交換機S1和S2，以及S1和S3之間的鏈路，配置為傳輸從VLAN10,20,30以及90的數據流。該網絡沒有VLAN trunk就無法工作。

當安裝好trunk線之后，幀在trunk線傳輸是就可以使用trunk協議來修改以太網幀。這也意味著交換機端口有不止一種操作模式。缺省情況下，所有端口都稱為接入端口。當一個端口用于交換機間互連傳輸VLAN信息時，這種端口模式改變?yōu)閠runk，節(jié)點也路由器通常不知道VLAN的存在并使用標準以太網幀或“untagged”幀。trunk線能夠使用“tagged”幀來標記VLAN或優(yōu)先級。

因此，在trunk端口，運行trunk協議來允許幀中包含trunk信息。如下圖所示：

PC 1在經過路由表處理后向PC 2發(fā)送數據流。這兩個節(jié)點在同一VLAN但不同交換機。步驟如下：

· 以太網幀離開PC 1到達Switch 1。

· Switch 1的SAT表明目的地是trunk線的另一端。

· Switch 1使用trunk協議在以太網幀中添加VLAN id。

· 新幀離開Switch 1的trunk端口被Switch 2接收。

· Switch 2讀取trunk id并解析trunk協議。

· 源幀按照Switch 2的SAT轉發(fā)至目的地（端口4）。

VLAN tag如下圖所示，包含類型域，優(yōu)先級域，CFI（Canonical Format Indicator）指示MAC數據域，VLAN ID。