VLAN应用的教案

今天这节课我们来学习VLAN

先看一下课程目标，主要是掌握这么几个内容：（……）

首先是VLAN技术的介绍

在交换式以太网中，由于交换机所有的端口都处于同一个广播域内，其中任何一台主机发出的广播帧，局域网中所有主机都能接收到。如果当这个局域网规模足够大、计算机足够多的时候，网络中的广播帧就会非常多，甚至出现广播风暴。导致的问题是，局域网中的网络资源被大量广播信息所占用。

要减少广播的影响，关键就是要缩小广播域的范围，对吧。

我们知道以太网处于OSI参考模型的第二层，二层上的本地广播帧是不能被路由器转发的。所有，我们可以使用路由器来缩小广播域的范围，提高带宽利用率。像这样连接。

但是，这样做又会出现几个问题：1、路由器不能解决同一台交换机下的用户隔离。2、路由器价格比较贵，导致投入的成本高。3、大部分中低端路由器使用软件转发，转发的性能不高，就容易在网络中造成瓶颈。

所以使用路由器这个方案看来不现实！

所以呢，在这种情况下，我们的VLAN技术就应运而生。它是IEEE规定的一个叫802.1Q的协议标准。

优点：

它实现了在二层进行广播域的划分，解决了路由器划分广播域存在的困难。

增强了网络的安全性。因为不同VLAN内传输的报文是相互隔离的。

可以灵活构建虚拟工作组。同一工作组的用户不用局限于一个固定的物理范围。比如这个大楼内有两台交换机，有两个工作组，用VLAN技术的话，就可以将同一个工作组的PCA和C分到一个VLAN中，他们之间可以本地通信，属于同一个广播域。同样，PCB和D划到工作租2这个VLAN中。这样虽然A和C处在不同楼层，接在不同的交换机，也没关系。

下面我们介绍VLAN的类型，也就是我们应该根据什么来划分VLAN？

第一种划分方法：

基于设备的端口来定义VLAN成员。就是说我们的交换机某个端口，我指定加入到一个VLAN中后，该端口就可以转发该VLAN的数据帧。

看这个图：交换机1/0/1和1/0/2被划分到VLAN10中，端口3和4被划分到VLAN20中。这样PCA和C就处于VLAN10中，它们之间可以互通。同理，PCB和D处于VLAN20中，可以互通。但是A和C之间就不能互通，因为处于不同VLAN.

优点是：定义成员简单，只需指定交换机端口即可。

缺点是：如果用户离开原来的端口位置，连接到新的交换机端口，我们就必须重新指定新的交换机端口所属的VLAN。

第二种类型是基于MAC：

根据每台计算机的MAC地址来划分。这样交换机中就有一张表，表中记录了MAC地址和VLAN的对应关系。

我们看，MAC地址A和C分别对应VLAN10，那么PCA和C属于VLAN10，他们可以本地通信（……）

这种情况就是，交换机在转发数据帧的时候就多做了一个事情，不仅要查看MAC来对应端口，还要检查端口的VLAN标签是否匹配。

优点是：计算机可以移动位置，而不用重新配置VLAN.

缺点是：配置的时候需要收集每台主机的MAC，如果主机很多的时候，配置工作量就相当大了。

第三种类型：

基于协议类型来划分VLAN。可以划分的协议族有IP，IPX。交换机根据帧中所封装的协议类型来确定，属于哪个VLAN。

但由于现在的网络中绝大部分计算机都运行IP协议，所以这种划分方法用得非常少。

第四种类型：

基于根据源IP地址及掩码来划分的（注意哦，这个地方时源IP）。设备收到报文后，根据报文中的源IP地址，找出与VLAN的对应，然后到相应VLAN中转发。

优点是：划分方法灵活，根据具体服务来组织网络用户。

缺点是：判断VLAN的时候，必须坚持每个数据包的网络层地址，这样将消耗交换机很多资源，导致转发效率低下。

综合以上4种划分方法的优点和缺点，还是第一种基于端口的方法适用范围最广。而且目前几乎所有交换机都支持这种划分方法。

我们先来回忆一下交换机是怎么转发数据帧的。我们知道交换机会中有一个MAC地址表，根据表中端口与它下边连接计算机的MAC的映射关系，来转发数据帧。

那么VLAN技术，是通过给以太网数据帧添加一个标签来标记此帧能在哪个VLAN中传播的。所以交换机在转发数据时，不仅要查找MAC地址，还要检查端口的VLAN标签是否匹配。

看这个图，交换机给PCA和B发来的数据帧添加了VLAN10的标签，给C和D发来的数据帧添加了VLAN20的标签。并且在MAC表中增加了关于VLAN标签的记录。这样在专访帧时，会查看VLAN标签是否匹配。

看这个图，在VLAN技术中，在标准的以太网帧中添加了4个字节的标签，它便成为“带有VLAN标签的以太网帧”，而标准的以太网帧叫做“未达标签的以太网帧”。标签中包含了2个字节的“标签协议标识”（TPID：Tag Protocol ID）和2个字节的“标签控制信息”（TCI:Tag Control Informationg）。

TPDI的作用是表明这是一个封装了802.1Q标签的帧。TCI中的priority是知名数据帧的优先级。CFI是表示格式，值等于0表示规范格式，等于1表示非规范格式。VLAN ID比较重要了，它表示VLAN的编号，它有12比特，所以可以表示多少个VLAN？大家想想?2的12次方，等于4096对吧。

那么VLAN标签到底从哪里来呢？是交换机端口在数据帧进入的时候添加的，在出去的时候剥离。这样做的好处是，我们的终端主机，不需要知道VLAN标签，VLAN对主机是透明的，所有关于VLAN的事情都交给交换机去处理。

默认情况下，进入端口的数据帧，被添加标签中的VLAN ID等于端口所属的VLAN ID。端口所属的VLAN称为默认VLAN（PVID：port vlan id）。

只允许默认VLAN的数据帧通过的端口，叫ACCESS端口。它在收的时候打默认标签，出的时候剥离标签。通常用于连接终端，因为PC机并不能识别带标签的以太网帧。

我们前面提到过，VLAN技术最重要的一个优点是，不必局限于固定的物理范围来构建虚拟工作组。那么当要跨越交换机建立工作组是，就需要交换机之间传递的数据帧带有VLAN的标签，这样数据帧所属的VLAN信息才不会丢失对吧。

这种不对VLAN标签进行剥离的端口就叫TRUNK端口。它可以接收和发送多个VLAN的数据帧，在过程中不对标签进行任何操作。

不过，如果这个TRUNK端口指定了PVID，那么它会在发送的时候剥离与PVID相同的VLAN标签；接收到不带标签的帧是，要打上默认VLAN标签。

我们来分析下这张图，PCA到C，PCB到D的整个转发流程，看下这个过程中交换机是怎样进行标签操作的：

PCA到交换机A：（……）

交换机A到交换机B：（……）

交换机B 到PCC：（……）

除了Access和Trunk链路类型端口外，还有一种叫Hybrid端口。它能指定对任何VLAN标签进行剥离或者不剥离的操作。

当网络中要求PCA和PCB不能互通，但又分别要与PCC想通，这时就可以使用Hybrid端口。

我们来分析下这个流程：

PCA到SWA：

SWA到PCC：

PCC到SWA：

SWA到PCA：

同理PCB……

默认情况下，交换机只有VLAN1，所有端口都属于VLAN1且是ACCESS模式。