VLAN解析

       VLAN(Virtual Local Area Network)是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

     VLAN这一新兴技术主要应用于三层交换机和路由器中，但目前主流应用还是在交换机之中。

       VLAN的好处主要有三个：

　　(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。

　　(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。

　　(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。

      VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。

     按端口划分VLAN

       被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。

       第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

     以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

    按MAC地址划分VLAN

   这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

 
     按网络层划分

     这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。

     这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

    这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

    按IP组播划分

    IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

    基于规则的

     也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。

采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

    按用户划分

    基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

      以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。常用的是基于port和ip的方法，mac是辅助方法。

     也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。

-------------------------------------------------------我是分割线-----------------------------------------------

  802.1Q帧格式：

现在使用最广泛的VLAN协议标准是 IEEE 802.1Q，许多厂家的交换机/路由器产品都支持IEEE 802.1Q标准。

     

802.1Q Tag的长度是4 bytes，它位于以太网帧中源MAC地址和长度/类型之间。802.1Q Tag包含4个字段。

• Type：长度为2 bytes，表示帧类型，802.1Q tag帧中Type字段取固定值0x8100，如果不支持802.1Q的设备收到802.1Q帧，则将其丢弃。
• PRI：priority字段，长度为3 bit，表示 以太网帧的优先级，取值范围是0~7，数值越大，优先级越高。当交换机/路由器发生传输拥塞时，优先发送优先级高的数据帧。
• CFI：Canonical Format Indicator，长度为1bit，表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。该字段用于区分以太网帧、FDDI帧和令牌环网帧，在以太网帧中，CFI取值为0。
• VID：VLAN ID，长度为12 bit，取值范围是0~4095，其中0和4095是保留值，不能给用户使用。用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。这里只能标识主机属于哪一个工作组，对于同一工作组的主机从哪一个端口出去/该ip/mac要转发到哪一个vlan组，需要设定。对于已经处于同一工作组的主机，使用常规协议通信。