【文章內(nèi)容簡介】 LAN 的規(guī)則（或?qū)傩裕?，那么?dāng)一個站點加入網(wǎng)絡(luò)中時，將會被“感知”，并被自己地包含進(jìn)正確的 VLAN 中。同時，對站點的移動和改變也可自動識別和跟蹤 。 3 虛擬局域網(wǎng)協(xié)議 協(xié)議 是虛擬橋接局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個物理鏈路上承載多個子網(wǎng)的數(shù)據(jù)流的方法。 定義了 VLAN 幀格式，為識別幀屬于哪個 VLAN 提供了一個標(biāo)準(zhǔn)的方法。 這個格式統(tǒng)一了標(biāo)識 VLAN 的方法，有利于保證不同廠家設(shè)備配置的 VLAN 問題。 定義了以下內(nèi)容： VLAN 的架構(gòu)、 VLAN 中所提供的服務(wù)、 VLAN實施中涉及的協(xié)議和算法； 協(xié)議不僅規(guī)定 VLAN 中的 MAC 幀的格式，而且還制定諸如幀發(fā)送及校驗、回路檢測，對業(yè)務(wù)質(zhì)量（ QOS）參數(shù)的支持以及對網(wǎng)管系統(tǒng)的支持等方面的標(biāo)準(zhǔn)。如圖 31 所示 6 圖 概述 VLAN 鏈路 vlan 鏈路類型 圖 32 Access Link 和 TrunkLink 接入鏈路指 (Access Link)的是用于連接主機(jī)和交換機(jī)的鏈路，通常情況下主機(jī)并不需要知道自己屬于哪些 VLAN，主機(jī)的硬件也不一定支持帶有 VLAN標(biāo)記的幀，主機(jī)要求發(fā)送和接收的幀都是沒有打上標(biāo)記的幀。 接入鏈路屬于某一個特定的端口，這個端口屬于一個并且只能是一個VLAN，這個端口不能直接接收其它 VLAN 的信息，也不能直接向其它 VLAN 發(fā)送信息。不同 VLAN 的信息必須通過三層路由處理才能轉(zhuǎn)發(fā)到這個端口上。 干道鏈路“ trunk link”是可以承載多個不同 VLAN 數(shù)據(jù)的鏈路 [7]。干道鏈 路通常用于交換機(jī)間的，或者用于交換機(jī)和路由器之間的連接。和接入鏈路不同，干道鏈路是用來在不同的設(shè)備之間（如交換機(jī)和路由器之間、交換機(jī)與交換機(jī)之間）承載 VLAN 的。通過配置，干道鏈路可以承載所有的 VLAN 數(shù)據(jù)， 7 也可以配置為只能傳輸指定的 VLAN 的數(shù)據(jù)。 VLAN 幀在網(wǎng)絡(luò)中的通信 圖 33 幀在網(wǎng)絡(luò)中的通信 圖 33 表示一個局域網(wǎng)環(huán)境，網(wǎng)絡(luò)中有兩臺交換機(jī)，并且配置了兩個 VLAN。主機(jī)和交換機(jī)之間的鏈路是接入鏈路，交換機(jī)之間通過干道鏈路互相連接 [8]。 對于主機(jī)來說，它是不需要知道 VLAN 的存在的。主機(jī)發(fā)出的報文都是untagged 的報文；交換機(jī)接收到這樣的報文之后，根據(jù)配置規(guī)則（如端口信息）判斷出報文所屬 VLAN 進(jìn)行處理，如果報文需要通過另外一臺交換機(jī)發(fā)送，則該報文必須通過干道鏈路傳輸?shù)搅硗庖慌_交換機(jī)上。為了保證其它交換機(jī)正確處理報文的 VLAN 信息，在干道鏈路上發(fā)送的報文都帶上了 VLAN 標(biāo)記。 當(dāng)交換機(jī)最終確定報文發(fā)送端口后，將報文發(fā)送給主機(jī)之前，將 VLAN 的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機(jī)接收到的報文都是不帶 VLAN 的標(biāo)記的以太網(wǎng)幀 [9]。 所以一般情況下，干道鏈路上傳送的都是 Tagged Frame， 接入鏈路上傳送的都是 Untagged Frame。 這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的 VLAN 可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解 VLAN 信息。 Trunk 和 VLAN 無論一個網(wǎng)絡(luò)由多少個交換機(jī)構(gòu)成，也無論一個 VLAN 跨越了多少個交換機(jī)，按照 VLAN 的定義，一個 VLAN 就確定了一個廣播域 [10]。廣播報文能夠被在一個廣播域中的所有主機(jī)接收到，也就是說，廣播報文必須被發(fā)送一個 VLAN中的所有端口。因為 VLAN 可能跨越多少交換機(jī)，當(dāng)一個交換機(jī)從某 VLAN 的一個端口收到廣播報文 之后，為了保證同屬一個 VLAN 的所有主機(jī)都接收到這個廣播報文，交換機(jī)必須按照如下原則報文進(jìn)行轉(zhuǎn)發(fā)： VLAN 中的其它端口； 8 VLAN 的所有干道鏈路，以便讓其它交換機(jī)上的同一個 VLAN 的端口也發(fā)送該報文。 圖 34 Trunk 和 VLAN 將一個端口設(shè)置成 Trunk 端口后，也就是說，和這個端口相連的名字路被設(shè)置為 Trunk 鏈路，同時還可以配置哪些 VLAN 的報文可以通過這個干道鏈路。如圖 34 所示 4 VLAN 間路由 VLAN 間路由的需求 VLAN 隔離二層廣播域 圖 41 VLAN 隔離二層廣播域 為了解決網(wǎng)絡(luò)由廣播導(dǎo)致的效率下降和安全性等問題， VLAN 的概念被引入，在支持 VLAN 功能的交換機(jī)組成的網(wǎng)絡(luò)中，每一個 VLAN 計數(shù)一個獨立的廣播域； VLAN 之間被嚴(yán)格地隔離開來，任何一個幀都不能從自己所屬的 VLAN 被轉(zhuǎn)發(fā)到其他的 VLAN 中。整個網(wǎng)絡(luò)被劃分為若干個規(guī)模更小的廣播域，網(wǎng)絡(luò)系 9 統(tǒng)的廣播被控制在相對比較小的范圍內(nèi)，提高了網(wǎng)絡(luò)的帶寬利用率，改善網(wǎng)絡(luò)效 率和性能。每個人都不能隨意地從網(wǎng)絡(luò)上的一點，毫無控制地直接訪問另一點的網(wǎng)絡(luò)或監(jiān)聽整個網(wǎng)絡(luò)上的幀，隔離的廣播域改善了網(wǎng)絡(luò)的性能。如圖 41。 VLAN 可以實現(xiàn)對用戶的分組，通過配置 VLAN 可以實現(xiàn)靈活的網(wǎng)絡(luò)管理，同時在網(wǎng)絡(luò)遷移的時候，由于交換機(jī)的靈活配置，可以物設(shè)計，而不需要修改網(wǎng)絡(luò)的布線等煩瑣、耗時的工作。 連接不同的 VLAN “無連不成網(wǎng)”，一個網(wǎng)絡(luò)在使用 VLAN 隔離成多個廣播域后，各個 VLAN之間是不能互相訪問的，因為各個 VLAN 的流量實際上已經(jīng)在物理上隔離開來了。隔離網(wǎng)絡(luò)并不是建網(wǎng)的最終目的，選擇 VLAN 隔離只是為了優(yōu)化網(wǎng)絡(luò)，最終我們還是要讓整個網(wǎng)絡(luò)能夠暢通起來。 VLAN 之間的通信是解決方法是：在 VLAN 配置路由器，這樣 VLAN 內(nèi)部的流量仍然通過原來的 VLAN 內(nèi)部的二層網(wǎng)絡(luò)進(jìn)行，從一個 VLAN 到另外一個 VLAN的通信流量，通過路由在三層上進(jìn)行轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)后，再通過二層交換網(wǎng)絡(luò)把報文最終發(fā)送給目的主機(jī) [11]。如圖 42 所示 圖 42 VLAN 間通信 的路由選擇 由于路由器對以太網(wǎng)上的廣播報文采取不轉(zhuǎn)發(fā)的策略，因此中間配置的路由器仍然不會改變劃分 VLAN 所達(dá)到的廣播的目的。在 VLAN 之間做互聯(lián)使用的路由器上，我們可以通過各種配置，比如對路由協(xié)議的配置、對訪問控制的配置等形成對 VLAN 之間互相訪問的控制策略，使網(wǎng)絡(luò)處于受控的狀態(tài) [12]。 三層交換機(jī)做 VLAN 間路由 VLAN 間路由的解決方案 10 對于本地通信，通信兩端的主機(jī)同處于一個相同的廣播域，兩臺主機(jī)之間的流量可以直接相互到達(dá)，通信的過程與扁平二層網(wǎng)絡(luò)中的情況相同；對于非本地通信，通 信兩端的主機(jī)位于不同的廣播域內(nèi)，主機(jī)的流量不能互相到達(dá)，主機(jī)通過 ARP 廣播請求也不能到對方的地址，此時的通信必須借助于中間的路由器來完成。 路由器在各個 VLAN 中間，實際上是作為各個 VLAN 的網(wǎng)狀起作用的，要難過路由器來互相通信的主機(jī)必須知道這路由器的存在，并且知道它的地址。在路由器配置好了之后，就要在主機(jī)上配置默認(rèn)網(wǎng)關(guān)為路由器在本 VLAN 上的接口的地址。 如圖 43 中所示，主機(jī) 要同 通信。首先主機(jī) 根據(jù)本地的子網(wǎng)掩碼比較，發(fā)現(xiàn)目的主機(jī)不是本地主機(jī)，不能夠訪問目的 主機(jī)；根據(jù) IP 通信規(guī)則，主機(jī) 將要查找本機(jī)的的路由表尋找相應(yīng)的網(wǎng)狀，在實際網(wǎng)絡(luò)中，主機(jī)通常只配置了默認(rèn)網(wǎng)關(guān)，因此這里主機(jī) 找到了默認(rèn)網(wǎng)關(guān)。然后，主機(jī) 在本機(jī)的 ARP Cache 中查找默認(rèn)網(wǎng)關(guān)的 MAC地址，如果沒有則啟動一個 ARP 請求的過程去發(fā)現(xiàn)，得到默認(rèn)網(wǎng)關(guān)的 MAC 地址后，主機(jī)將幀轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)，由路由器轉(zhuǎn)發(fā)。路由器通過查找路由表將報文轉(zhuǎn)發(fā)到相應(yīng)的接口上面，然后查找到目的主機(jī)的 MAC 地址，將報文發(fā)送給目的主機(jī)。目的主機(jī)收到報文后，回應(yīng)的報文經(jīng)歷類似的過程又轉(zhuǎn)發(fā)回主機(jī)。 使用 VLAN Trunkint 圖 43 使用 VLAN Trunkint 使用 VLAN Trunking 這種技術(shù)，可以使多個 VLAN 的業(yè)務(wù)流量共享相同的物理連接，通過在 VLAN Tunking 的物理連接上傳遞打標(biāo)記的幀將各個 VLAN 的流量區(qū)分開來 [13]。在做 VLAN 間互通的時候，對于網(wǎng)絡(luò)中多個 VLAN，只需要共 11 享一條物理鏈路。在交換機(jī)上配置連接到路由器的端口使用 VLAN Trunking，在路由器上也做相同的配置。如圖 44 所示 在這樣的配置下，路由器上的路由接 口和物理接口是多對一的對應(yīng)關(guān)系，路由器在進(jìn)行 VLAN