【文章內(nèi)容簡(jiǎn)介】 LAN 的規(guī)則（或?qū)傩裕敲串?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自己地包含進(jìn)正確的 VLAN 中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤 。 3 虛擬局域網(wǎng)協(xié)議 協(xié)議 是虛擬橋接局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個(gè)物理鏈路上承載多個(gè)子網(wǎng)的數(shù)據(jù)流的方法。 定義了 VLAN 幀格式，為識(shí)別幀屬于哪個(gè) VLAN 提供了一個(gè)標(biāo)準(zhǔn)的方法。 這個(gè)格式統(tǒng)一了標(biāo)識(shí) VLAN 的方法，有利于保證不同廠家設(shè)備配置的 VLAN 問(wèn)題。 定義了以下內(nèi)容： VLAN 的架構(gòu)、 VLAN 中所提供的服務(wù)、 VLAN實(shí)施中涉及的協(xié)議和算法； 協(xié)議不僅規(guī)定 VLAN 中的 MAC 幀的格式，而且還制定諸如幀發(fā)送及校驗(yàn)、回路檢測(cè)，對(duì)業(yè)務(wù)質(zhì)量（ QOS）參數(shù)的支持以及對(duì)網(wǎng)管系統(tǒng)的支持等方面的標(biāo)準(zhǔn)。如圖 31 所示 6 圖 概述 VLAN 鏈路 vlan 鏈路類型 圖 32 Access Link 和 TrunkLink 接入鏈路指 (Access Link)的是用于連接主機(jī)和交換機(jī)的鏈路，通常情況下主機(jī)并不需要知道自己屬于哪些 VLAN，主機(jī)的硬件也不一定支持帶有 VLAN標(biāo)記的幀，主機(jī)要求發(fā)送和接收的幀都是沒(méi)有打上標(biāo)記的幀。 接入鏈路屬于某一個(gè)特定的端口，這個(gè)端口屬于一個(gè)并且只能是一個(gè)VLAN，這個(gè)端口不能直接接收其它 VLAN 的信息，也不能直接向其它 VLAN 發(fā)送信息。不同 VLAN 的信息必須通過(guò)三層路由處理才能轉(zhuǎn)發(fā)到這個(gè)端口上。 干道鏈路“ trunk link”是可以承載多個(gè)不同 VLAN 數(shù)據(jù)的鏈路 [7]。干道鏈 路通常用于交換機(jī)間的，或者用于交換機(jī)和路由器之間的連接。和接入鏈路不同，干道鏈路是用來(lái)在不同的設(shè)備之間（如交換機(jī)和路由器之間、交換機(jī)與交換機(jī)之間）承載 VLAN 的。通過(guò)配置，干道鏈路可以承載所有的 VLAN 數(shù)據(jù)， 7 也可以配置為只能傳輸指定的 VLAN 的數(shù)據(jù)。 VLAN 幀在網(wǎng)絡(luò)中的通信 圖 33 幀在網(wǎng)絡(luò)中的通信 圖 33 表示一個(gè)局域網(wǎng)環(huán)境，網(wǎng)絡(luò)中有兩臺(tái)交換機(jī)，并且配置了兩個(gè) VLAN。主機(jī)和交換機(jī)之間的鏈路是接入鏈路，交換機(jī)之間通過(guò)干道鏈路互相連接 [8]。 對(duì)于主機(jī)來(lái)說(shuō)，它是不需要知道 VLAN 的存在的。主機(jī)發(fā)出的報(bào)文都是untagged 的報(bào)文；交換機(jī)接收到這樣的報(bào)文之后，根據(jù)配置規(guī)則（如端口信息）判斷出報(bào)文所屬 VLAN 進(jìn)行處理，如果報(bào)文需要通過(guò)另外一臺(tái)交換機(jī)發(fā)送，則該報(bào)文必須通過(guò)干道鏈路傳輸?shù)搅硗庖慌_(tái)交換機(jī)上。為了保證其它交換機(jī)正確處理報(bào)文的 VLAN 信息，在干道鏈路上發(fā)送的報(bào)文都帶上了 VLAN 標(biāo)記。 當(dāng)交換機(jī)最終確定報(bào)文發(fā)送端口后，將報(bào)文發(fā)送給主機(jī)之前，將 VLAN 的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機(jī)接收到的報(bào)文都是不帶 VLAN 的標(biāo)記的以太網(wǎng)幀 [9]。 所以一般情況下，干道鏈路上傳送的都是 Tagged Frame， 接入鏈路上傳送的都是 Untagged Frame。 這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的 VLAN 可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解 VLAN 信息。 Trunk 和 VLAN 無(wú)論一個(gè)網(wǎng)絡(luò)由多少個(gè)交換機(jī)構(gòu)成，也無(wú)論一個(gè) VLAN 跨越了多少個(gè)交換機(jī)，按照 VLAN 的定義，一個(gè) VLAN 就確定了一個(gè)廣播域 [10]。廣播報(bào)文能夠被在一個(gè)廣播域中的所有主機(jī)接收到，也就是說(shuō)，廣播報(bào)文必須被發(fā)送一個(gè) VLAN中的所有端口。因?yàn)?VLAN 可能跨越多少交換機(jī)，當(dāng)一個(gè)交換機(jī)從某 VLAN 的一個(gè)端口收到廣播報(bào)文 之后，為了保證同屬一個(gè) VLAN 的所有主機(jī)都接收到這個(gè)廣播報(bào)文，交換機(jī)必須按照如下原則報(bào)文進(jìn)行轉(zhuǎn)發(fā)： VLAN 中的其它端口； 8 VLAN 的所有干道鏈路，以便讓其它交換機(jī)上的同一個(gè) VLAN 的端口也發(fā)送該報(bào)文。 圖 34 Trunk 和 VLAN 將一個(gè)端口設(shè)置成 Trunk 端口后，也就是說(shuō)，和這個(gè)端口相連的名字路被設(shè)置為 Trunk 鏈路，同時(shí)還可以配置哪些 VLAN 的報(bào)文可以通過(guò)這個(gè)干道鏈路。如圖 34 所示 4 VLAN 間路由 VLAN 間路由的需求 VLAN 隔離二層廣播域 圖 41 VLAN 隔離二層廣播域 為了解決網(wǎng)絡(luò)由廣播導(dǎo)致的效率下降和安全性等問(wèn)題， VLAN 的概念被引入，在支持 VLAN 功能的交換機(jī)組成的網(wǎng)絡(luò)中，每一個(gè) VLAN 計(jì)數(shù)一個(gè)獨(dú)立的廣播域； VLAN 之間被嚴(yán)格地隔離開來(lái)，任何一個(gè)幀都不能從自己所屬的 VLAN 被轉(zhuǎn)發(fā)到其他的 VLAN 中。整個(gè)網(wǎng)絡(luò)被劃分為若干個(gè)規(guī)模更小的廣播域，網(wǎng)絡(luò)系 9 統(tǒng)的廣播被控制在相對(duì)比較小的范圍內(nèi)，提高了網(wǎng)絡(luò)的帶寬利用率，改善網(wǎng)絡(luò)效 率和性能。每個(gè)人都不能隨意地從網(wǎng)絡(luò)上的一點(diǎn)，毫無(wú)控制地直接訪問(wèn)另一點(diǎn)的網(wǎng)絡(luò)或監(jiān)聽整個(gè)網(wǎng)絡(luò)上的幀，隔離的廣播域改善了網(wǎng)絡(luò)的性能。如圖 41。 VLAN 可以實(shí)現(xiàn)對(duì)用戶的分組，通過(guò)配置 VLAN 可以實(shí)現(xiàn)靈活的網(wǎng)絡(luò)管理，同時(shí)在網(wǎng)絡(luò)遷移的時(shí)候，由于交換機(jī)的靈活配置，可以物設(shè)計(jì)，而不需要修改網(wǎng)絡(luò)的布線等煩瑣、耗時(shí)的工作。 連接不同的 VLAN “無(wú)連不成網(wǎng)”，一個(gè)網(wǎng)絡(luò)在使用 VLAN 隔離成多個(gè)廣播域后，各個(gè) VLAN之間是不能互相訪問(wèn)的，因?yàn)楦鱾€(gè) VLAN 的流量實(shí)際上已經(jīng)在物理上隔離開來(lái)了。隔離網(wǎng)絡(luò)并不是建網(wǎng)的最終目的，選擇 VLAN 隔離只是為了優(yōu)化網(wǎng)絡(luò)，最終我們還是要讓整個(gè)網(wǎng)絡(luò)能夠暢通起來(lái)。 VLAN 之間的通信是解決方法是：在 VLAN 配置路由器，這樣 VLAN 內(nèi)部的流量仍然通過(guò)原來(lái)的 VLAN 內(nèi)部的二層網(wǎng)絡(luò)進(jìn)行，從一個(gè) VLAN 到另外一個(gè) VLAN的通信流量，通過(guò)路由在三層上進(jìn)行轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)后，再通過(guò)二層交換網(wǎng)絡(luò)把報(bào)文最終發(fā)送給目的主機(jī) [11]。如圖 42 所示 圖 42 VLAN 間通信 的路由選擇 由于路由器對(duì)以太網(wǎng)上的廣播報(bào)文采取不轉(zhuǎn)發(fā)的策略，因此中間配置的路由器仍然不會(huì)改變劃分 VLAN 所達(dá)到的廣播的目的。在 VLAN 之間做互聯(lián)使用的路由器上，我們可以通過(guò)各種配置，比如對(duì)路由協(xié)議的配置、對(duì)訪問(wèn)控制的配置等形成對(duì) VLAN 之間互相訪問(wèn)的控制策略，使網(wǎng)絡(luò)處于受控的狀態(tài) [12]。 三層交換機(jī)做 VLAN 間路由 VLAN 間路由的解決方案 10 對(duì)于本地通信，通信兩端的主機(jī)同處于一個(gè)相同的廣播域，兩臺(tái)主機(jī)之間的流量可以直接相互到達(dá)，通信的過(guò)程與扁平二層網(wǎng)絡(luò)中的情況相同；對(duì)于非本地通信，通 信兩端的主機(jī)位于不同的廣播域內(nèi)，主機(jī)的流量不能互相到達(dá)，主機(jī)通過(guò) ARP 廣播請(qǐng)求也不能到對(duì)方的地址，此時(shí)的通信必須借助于中間的路由器來(lái)完成。 路由器在各個(gè) VLAN 中間，實(shí)際上是作為各個(gè) VLAN 的網(wǎng)狀起作用的，要難過(guò)路由器來(lái)互相通信的主機(jī)必須知道這路由器的存在，并且知道它的地址。在路由器配置好了之后，就要在主機(jī)上配置默認(rèn)網(wǎng)關(guān)為路由器在本 VLAN 上的接口的地址。 如圖 43 中所示，主機(jī) 要同 通信。首先主機(jī) 根據(jù)本地的子網(wǎng)掩碼比較，發(fā)現(xiàn)目的主機(jī)不是本地主機(jī)，不能夠訪問(wèn)目的 主機(jī)；根據(jù) IP 通信規(guī)則，主機(jī) 將要查找本機(jī)的的路由表尋找相應(yīng)的網(wǎng)狀，在實(shí)際網(wǎng)絡(luò)中，主機(jī)通常只配置了默認(rèn)網(wǎng)關(guān)，因此這里主機(jī) 找到了默認(rèn)網(wǎng)關(guān)。然后，主機(jī) 在本機(jī)的 ARP Cache 中查找默認(rèn)網(wǎng)關(guān)的 MAC地址，如果沒(méi)有則啟動(dòng)一個(gè) ARP 請(qǐng)求的過(guò)程去發(fā)現(xiàn)，得到默認(rèn)網(wǎng)關(guān)的 MAC 地址后，主機(jī)將幀轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)，由路由器轉(zhuǎn)發(fā)。路由器通過(guò)查找路由表將報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的接口上面，然后查找到目的主機(jī)的 MAC 地址，將報(bào)文發(fā)送給目的主機(jī)。目的主機(jī)收到報(bào)文后，回應(yīng)的報(bào)文經(jīng)歷類似的過(guò)程又轉(zhuǎn)發(fā)回主機(jī)。 使用 VLAN Trunkint 圖 43 使用 VLAN Trunkint 使用 VLAN Trunking 這種技術(shù)，可以使多個(gè) VLAN 的業(yè)務(wù)流量共享相同的物理連接，通過(guò)在 VLAN Tunking 的物理連接上傳遞打標(biāo)記的幀將各個(gè) VLAN 的流量區(qū)分開來(lái) [13]。在做 VLAN 間互通的時(shí)候，對(duì)于網(wǎng)絡(luò)中多個(gè) VLAN，只需要共 11 享一條物理鏈路。在交換機(jī)上配置連接到路由器的端口使用 VLAN Trunking，在路由器上也做相同的配置。如圖 44 所示 在這樣的配置下，路由器上的路由接 口和物理接口是多對(duì)一的對(duì)應(yīng)關(guān)系，路由器在進(jìn)行 VLAN