浅谈VLAN归纳与总结

1.什么是VLAN

VLAN（ Virtual Local Area Network ）是 虚拟局域网 的意思，也就是 几台家用计算机构成的网络，或者也可以是数以百计的计算机构成的企业网络。

2.什么是广播域

广播域指的是广播帧(目标MAC地址全部为1)所能传递到的范围，也就是能够实现 直接通信的区域 ， 没有“中间商”。 在同一个广播域中，如果有某一台计算机A发出广播消息需要和另一台计算机B进行通信（ 在 基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信 ，因此计算机A必须先广播“ARP请求(ARP Request)信息”， 来尝试获取计算机B的MAC地址。 ），该广播消息再通过这台计算机连着的二层交换机传出去，那么在该广播域中的其他二层交换机收到消息后，就会把这个消息传给与它相连的计算机，也就是，在同一个广播域中，所有计算机都会收到来自其他计算机的广播

如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗 。

3.分割广播域的必要性与VLAN的必要性

分割广播域时，通常用到路由器，并且以路由器上面的LAN口为单位进行分割，但是路由器上的LAN口数目有限，所以过将VLAN技术用在二层交换机上，那就好办多了，因为二层交换机上提供了多个LAN口（起码比路由器多） 本来， 二层交换机只能构建单一的广播域， 不过使用VLAN功能后，它能够将网络分割成多个广播域 。

4. 实现VLAN的机制

在理解了“为什么需要VLAN”之后，接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。

首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除其本身外的其他端口例如，计算机A发送广播信息后，会被转发给端口2、3、4。

这时，如果在交换机上生成红、蓝两个VLAN;同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。

就这样，VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明，以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的。

直观地描述VLAN

如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。

5.VLAN访问链接

在讲VLAN如何通信之前，我们先来了解一下VLAN的访问链接

a.交换机的端口类型分为： 访问链接，汇聚链接

b.访问链接：

访问链接指的是 一个VLAN中的链接，仅向该VLAN发送数据帧

访问链接的设置：（以下都是基于单台交换机的情况）

1)生成VLAN

2)设定访问链接（决定哪一个口属于哪一个VLAN），这个过程又可以分为静态VLAN，动态VLAN

● 静态VLAN：也就是指定哪一个端口属于哪一个VLAN，固定下来的，由于每一个端口都固定下来了，所以当计算机数目超过一定的数字之后，这个方式的设置就会变得很乱，维护起来也不好，显然不适合那些需要频繁改变拓扑结构的网络，于是就出现了动态VLAN

● 动态VLAN：动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。动态VLAN可以大致分为3类：

(1)基于MAC地址的VLAN(MAC Based VLAN)

每台 计算机上的网卡都有一个专属MAC地址，通过记录端口所连的计算机上的网卡的MAC地址来决定端口属于哪个VLAN 。因此只要计算机的网卡不变，它接到哪一个端口，其所属的VLAN都不变，因此可以理解为这是一种在OSI的第二层设定访问链接的办法。

(2)基于子网IP地址的VLAN(Subnet Based VLAN)

由 计算机的IP地址来决定是哪一个VLAN ，与基于MAC地址的VLAN相比，能够更为简便地改变网络结构。IP地址是OSI参照模型中第三层的信息，所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。

(3)基于用户的VLAN(User Based VLAN)

基于用户的VLAN，则是 根据交换机各端口所连的计算机上当前登录的用户 ，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户

  决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活多变

的网络

汇聚链接的设置：

a.到此为止， 我们学习的都是使用单台交换机设置VLAN时的情况 。那么如果需要设置跨越多台交换机的VLAN时又如何呢?

在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。

这时最关键的就是“交换机1和交换机2该如何连接才好呢?”

最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。

但是，这个办法从扩展性和管理效率来看都不好。例如，在现有网络基础上再新建VLAN时，为了让这个VLAN能够互通，就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的，一般不能由基层管理人员随意进行。并且，VLAN越多，楼层间(严格地说是交换机间)互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。

为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是汇聚链接(Trunk Link)。

b.汇聚链接的定义：

汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。

汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息 。

接下来，让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。

A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。

交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。

6.VLAN间如何通信

VLAN是广播域。而 通常两个广播域之间是不能直接进行通信的，必须要由路由器这个中间商连接，广播域之间来往的数据包都是由路由器中继的 。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。这里的VLAN间路由， 可以使用普通的路由器，也可以使用三层交换机 。

先来看一下为什么不同VLAN间不通过路由就无法通信。在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。

路由功能，一般主要由路由器提供。 但在今天的局域网里，我们也经常利用带有路由功能的交换机——三层交换机(Layer 3 Switch)来实现 。

路由器和交换机的接线方式，大致有以下两种：

(1)将路由器与交换机上的每个VLAN分别连接

(2)不论VLAN有多少个，路由器与交换机都只用一条网线连接

很容易想象，第一种方法下，每新增一个端口，就需要路由器新提供一个端口，也需要多一条网线，那这样下去，可想而知，迟早穷死！！！

所以我们转折去第二种方法，联系我们上面说到的汇聚链接，这样子我们就很容易理解只用一根网线的原理了。具体实现过程： 只需要在交换机上将一个端口设置为汇聚链接，同时也将路由器的端口设置为汇聚链接，别忘了路由器与交换机之间的通信协议也要一致，这样设置以后，接着在路由器上分别定义对应各个VLAN的子接口（路由器里面可以设置虚拟端口来和VLAN端口一一对应），这样可以想象以后我们每新增一个VLAN端口，那只需要在路由器上相应的加上对应的虚拟端口就可以了 ！！！是不是很方便，起码比你买网线省钱多了！！！

之前我们说了不同VLAN口之间的通信必须要经过路由器或者三层交换机来做中间商，而且具体实现方式是利用了OSI模型中的网络层（IP地址），所以接下来我们要聊下这种方式处理过程：

（路由器法）计算机A从通信目标的IP地址(192.168.2.1)得出C与本机不属于同一个网段。因此会向设定的默认网关(DefaultGateway，GW)转发数据帧。 在发送数据帧之前，需要先用ARP获取路由器的MAC地址。

得到路由器的MAC地址R后，接下来就是按图中所示的步骤发送往C去的数据帧。 ①的数据帧中，目标MAC地址是路由器的地址R、但内含的目标IP地址仍是最终要通信的对象C的地址 。这一部分的内容，涉及到局域网内经过路由器转发时的通信步骤，有机会再详细解说吧。

交换机在端口1上收到①的数据帧后，检索MAC地址列表中与端口1同属一个VLAN的表项。 由于 汇聚链路会被看作属于所有的VLAN ，因此这时交换机的端口6也属于被参照对象。这样交换机就知道往MAC地址R发送数据帧，需要经过端口6转发。

从端口6发送数据帧时， 由于它是汇聚链接，因此会被附加上VLAN识别信息 。由于原先是来自红色VLAN的数据帧，因此如图中②所示，会被加上红色VLAN的识别信息后进入汇聚链路。路由器收到②的数据帧后，确认其VLAN识别信息，由于它是属于红色VLAN的数据帧，因此交由负责红色VLAN的子接口接收。

接着，根据路由器内部的路由表，判断该向哪里中继。

由于目标网络192.168.2.0/24是蓝色VLAN，，且该网络通过子接口与路由器直连，因此 只要从负责蓝色VLAN的子接口转发就可以了 。这时，数据帧的目标MAC地址被改写成计算机C的目标地址;并且由于需要经过汇聚链路转发，因此被附加了属于蓝色VLAN的识别信息。这就是图中③的数据帧。

交换机收到③的数据帧后，根据VLAN标识信息从MAC地址列表中检索属于蓝色VLAN的表项。由于通信目标——计算机C连接在端口3上、且端口3为普通的访问链接，因此交换机会将数据帧去除VLAN识别信息后(数据帧④)转发给端口3，最终计算机C才能成功地收到这个数据帧。

进行VLAN间通信时， 即使通信双方都连接在同一台交换机上，也必须经过：“发送方——交换机——路由器——交换机——接收方”这样一个流程 。

（三层交换机法）如果应用以上的路上器法，那么随着VLAN端口的增加，传输数据自然会增加，那么到时候传输数据的瓶颈就会出现在汇聚链接那里，由于路由器是基于软件的，故无法很好处理这方面，而交换机因此应运而生！！！ 关于三层交换机的内部结构，可以参照下面的简图。

交换机的处理过程大致和路由器相似，这里就不详细说了