VLAN（VirtualLocalAreaNetwork）技術的基本概念和應用1．什么是VLAN？VLAN是虛擬局域網的英文縮寫，是基于一個廣播域的交換機端口的集合。IEEE802.1Q標準定義了VLAN的基本概念和實現原理。VLAN的主要作用是隔離廣播域。將一個物理網絡劃分成多個邏輯上的VLAN，可以將一個廣播域劃分成多個小的廣播域，每個VLAN對應一個小的廣播域，一個VLAN中的廣播不能傳播到其他的VLAN，這樣有效地控制廣播風暴的發生。VLAN可分為：基于端口的VLAN、基于MAC地址的VLAN、基于IP地址的VLAN、基于IP子網的VLAN、基于協議的VLAN和用戶自定義的VLAN。其中最常用的也是最基本的是：基于端口的VLAN，它按照接收端口來確定一個數據包的VLAN屬性。VLAN的屬性是指：當一個交換機端口接收到一個數據包時，確定這個數據包屬于哪個VLAN。2．VLAN的主要功能通過VLAN可以非常靈活地將一個物理網絡按照需求劃分成多個邏輯子網。例如，某公司由于各部門的業務不同以及安全的需求，可以按照市場部、工程部、財務部將公司的網絡劃分成三個不同的VLAN，各部門不能直接訪問，下面是一個使用cisco交換機組網的例子：在這個網絡中，一個部門網絡的成員可以在不同的樓層，可以與不同的交換機端口相連，組網方式非常靈活。通過把公司網絡劃分成三個VLAN，廣播報文只限制在一個VLAN內傳播，大大提高了網絡的使用效率。簡化端站的移動、增加與更換。當一臺終端站被移動到新的物理位置，它的屬性可以從一臺管理工作站上通過簡單網絡管理協議（SNMP）或用戶接口菜單重新分配。若端站在同一VLAN中移動，在新的位置它將保持原有的屬性。若端站移動到不同的VLAN，那它將被賦予新的VLAN的屬性。網絡安全。把一個物理網絡劃分成若干個VLANs，每個VLAN中的廣播只能在本VLAN所屬的交換機端口傳播，提高整個網絡的安全性。3．VLAN的實現IEEE802.1Q標準定義了動態實現VLAN的機制。這里不作介紹。為了實現VLAN，IEEE802.1Q標準定義了一種新的幀格式。它在標準的以太網幀的源MAC地址后面加入了一個Tagheader（4字節），此格式用下圖表示：據包所屬VLAN標記。可設置該端口在接收數據包時是否丟棄不帶標記的數據包或按各VLAN具體規則確定其所屬VLAN。同時判斷從本端口收發的數據包所屬VLAN是否為本端口所屬VLAN，若不是，則需決定是否丟棄該數據包。不帶標記端口不帶標記端口即從該端口發出的所有數據包都不能帶有該數據包所屬VLAN標記。可設置該端口在接收數據包時是否丟棄帶標記的數據包或按標記確定其VLAN屬性。同時判斷從本端口收發的數據包所屬VLAN是否為本端口所屬VLAN，若不是，則需決定是否丟棄該數據包。4．下面通過張宏的組網方案來進一步說明VLAN的功能及應用中須注意的問題。5．VLANRouting的概念和基本原理VLANRouting的基本概念由于在交換機中引入了VLAN的概念，通過在網絡中劃分VLAN可以實現廣播域的隔離，大大提高了網絡的性能，但是卻限制了一個VLAN中的用戶訪問其他VLAN中的用戶。由于VLAN是第二層的技術，它在選路時使用的是以太網的MAC地址，所以沒有辦法實現VLAN之間的互訪問。為解決這個問題，借鑒路由器的功能，引入VLAN間路由（三層交換機）功能。路由交換機完成線速第三層交換采用的是一種“一次路由，多次交換”的思想。“一次路由”是指當第一次對此報文進行選路時，交給CPU中運行的路由協議（如：OSPF，RIP）來運算并給出路由信息，然后將此路由信息存儲在交換芯片的CACHE表中，當發往該目的IP地址的報文再次進行路由時，由于CACHE表中已經有了該目的IP地址，因此數據包可以直接由硬件按照CACHE中該目的IP路由進行交換，以達到線速交換。VLAN間路由的具體實現過程在交換機中的路由是指VLAN之間進行路由。每個VLAN都可以配置一個或多個接口IP地址和MAC地址對，每個接口等同于路由器的接口。VLAN之間路由是指在VLAN的接口間進行路由。其路由原理與路由器一樣。路由過程如下：對于從外部進入的數據包，路由交換機首先檢查是否為路由交換機自已的獨立端口或VLAN接口的MAC地址。如果是，則交由第三層軟、硬件聯合進行第三層交換。否則進行第二層硬件交換。對于交由第三層處理的數據包，交換芯片首先在CACHE的主機路由表中查找該數據包的目的IP地址是否存在，如果存在則按相應端口轉發；如果不存在，則查找網絡路由CACHE表，如果有相應的路由，則按路由轉發；如果該地址不存在，則交換芯片將該數據發往CPU，由路由協議軟件按常規路由處理方法對該數據包進行處理。當軟件處理完該數據包的選路事項后，將該數據包發往正確的端口。同時在ASIC的CACHE表中填入一項。當下一次發往該目的IP地址的數據包再次出現后，由于CACHE表中已經有了該目的IP路由，因此數據包可以直接由硬件按照CACHE中該目的IP地址項進行交換，達到線速轉發的目的。下面，通過一個例子來說明VLAN間路由的具體實現過程。一個24端口三層交換機，將1~12端口劃分為VLAN2，將13~24端口劃分為VLAN3，缺省VLAN為VLAN1。為VLAN2配置一個接口，IP地址為10.0.0.1，子網掩碼為255.255.0.0；為VLAN3配置一個接口，IP地址為20.0.0.1，子網掩碼為255.255.0.0。端口1連接一個主機，IP地址為10.0.0.2，缺省網關為VLAN2的接口IP地址。端口21連接一個主機，IP地址為20.0.0.2，缺省網關為VLAN3的接口IP地址。二層交換機2二層交換機1主機2主機120.0.0.1/255.255.0.010.0.0.1/255.255.0.0三層交換機21120.0.0.2/255.255.0.0二層交換機2二層交換機1主機2主機120.0.0.1/255.255.0.010.0.0.1/255.255.0.0三層交換機21120.0.0.2/255.255.0.010.0.010.0.0.2/255.255.0.0數據包的傳遞過程（以第一次路由為例）：當主機1向主機2發送數據時，由于主機2的IP地址與主機1的IP地址不在一個網段內，所以主機1向它的缺省網關發送目的IP地址為VLAN2接口IP地址的ARP報文，二層交換機1接收ARP報文后向VLAN2除接收端口外其他所有成員端口轉發。三層交換機從二層交換機1的級聯端口接收到此ARP報文，然后返回VLAN2接口的MAC地址。二層交換機將三層交換機返回的報文，線速轉發給與主機1相連的端口，即將轉發給主機1。主機1按照返回的MAC地址，向VLAN2的接口發送數據包。交換機接收到數據包后查找主機路由CACHE表以及網絡路由CACHE表，看有沒有主機2的路由。沒有則提交給CPU，由路由算法來計算路由，計算結果為VLAN3的接口所在網段，于是交由VLAN3的接口進行轉發。VLAN3的接口如果不知道主機2的MAC地址，則向VLAN3的所有成員端口發送目的IP地址為主機2IP地址的ARP報文。二層交換機2接收到此ARP報文后向VLAN3除級聯端口外的所有端口轉發。主機2接收后，返回自己的MAC地址。二