vlan原理和参数（VLAN的基本原理和网络划分）

大家知道，交换机会把广播报文和未知单播报文从所有端口转发出去，这就是广播。一般交换机会发送很多广播报文，如果按照上面的处理方法，势必会影响整个网络的通信。vlan就是为了划分广播域而产生的。划分VLAN之后，广播只在一个VLAN内进行，这就大大减少了广播报文对网络性能的影响。

但是VLAN在实际环境中，尤其在企业级环境中，不可能只是使用一台交换机，而是多台交换机共同作用。每台交换机都划分VLAN，且这些VLAN可能在多个交换机上是重复的。举个栗子说，一号交换机中的VLAN100和二号交换机的VLAN100是一个逻辑局域网的。

那么连接不同交换机的同VLAN段。为几个VLAN都连接一条物理的链路，只需要用一条中继链路承载所有的VLAN通信。这种情况下，VLAN需要通过TRUNK延伸至相邻交换机。TRUNK能够连接交换机，在网络间传载VLAN信息。

TRUNK的作用是将VLAN延伸至整个网络。没有VLAN Trunk，VLAN也不会非常有用。VLAN Trunk允许VLAN数据流在交换机间传输，所以设备在同一VLAN，但连接到不同交换机，能够不通过路由器来进行通信。

一、基本原理

传统的以太网交换机在转发数据时，采用源地址学习的方式，自动学习各个端口连接的主机的MAC地址，形成MAC地址表，然后依据此表进行以太网帧的转发。整个转发的过程自动完成，所有端口都可以互访，维护人员无法控制端口之间的转发，例如B主机不能访问A主机就无法实现。该网络存在如下缺陷：

1.网络的安全性差。由于各个端口之间可以直接互访，降低了网络的安全性。

2.网络效率低。用户可能收到大量不需要的报文，例如不必要的广播报文，这些报文同时消耗网络带宽资源和客户主机CPU资源。

3.业务扩展能力差。网络设备平等的对待每台主机的报文，无法实现有差别的服务，例如无法优先转发用于网络管理的以太网帧。

二、VLAN技术目标

VLAN技术把用户划分成多个逻辑的网络（group），组内可以通信，组间不允许通信，二层转发的单播、组播、广播报文只能在组内转发。同时，VLAN技术可以很容易地实现组成员的添加或删除。即VLAN技术提供了一种管理手段，控制终端之间的互通。如上图，组1和组2的PC无法相互通信。

三、通过标签管理实现VLAN

为了实现转发控制，在待转发的以太网帧中添加VLAN标签，然后设定交换机端口对该帧和标签的处理方式，包括丢弃帧、转发帧、添加标签、移除标签。

转发帧时，检查以太网报文中携带的VLAN标签，是否为该端口允许通过的标签，判断出该以太网帧是否能够从端口转发出去。上图中，假设有一种方法，SWA将主机A发出的所有以太网帧都加上标签5，此后查询二层转发表，根据目的MAC地址将该帧转发到SWB连接的端口。由于在该端口配置了仅允许VLAN 1通过，主机A发的帧将被丢弃。

即支持VLAN技术的交换机，转发以太网帧时不再仅仅依据目的MAC地址，同时还要考虑该端口的VLAN配置情况，从而实现对二层转发的控制。

四、划分VLAN的方式

目前常用的是基于端口的划分：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN。如果收到的是untagged帧，则VLAN ID的取值为PVID。

交换机出现之前，以太网是一种基于载波侦听多路访问／冲突检测CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。

交换机出现之后，解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。

在这种情况下出现了虚拟局域网VLAN技术，这种技术可以把一个LAN划分成多个逻辑VLAN。每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

PC1和PC2、PC3和PC4分属不同vlan，vlan间不能直接互通，广播报文就被限制在一个vlan内。

对vlan的划分，常用的有几种方式：基于port端口、基于子网、基于协议、基于策略。最常见的就是基于port端口，以华为交换机为例：

五、端口配置

交换机的接口类型：access/trunk/hybrid

access端口：一般用来接用户终端，端口接受到的数据帧默认情况下都是普通的数据帧，即不带vlan标签，将带有vlan标签的数据帧，剥离vlan后发送给用户终端。

trunk端口：一般用来交换机之间互联，允许某些vlan通过，可以接受和发送带vlan标签的报文，不做任何处理。

hybrid端口：trunk端口可以看做是hybrid端口的一个特例，hybrid端口很灵活，可以像trunk端口一样允许某些特定的vlan通过，也可以像access端口一样剥离vlan标签，还可以给普通的数据帧打上vlan标签。

以本文的拓扑图为例：

PC1：IP 10.10.10.1/24

PC2：IP 10.10.10.2/24

PC3：IP 10.10.10.3/24

PC4：IP 10.10.10.4/24

LSW1和LSW2连接PC端口vlan配置不在赘述。

LSW1和LSW2的GE0/0/1配置如下

互联端口配置

用PC1 ping PC2和PC4，不通，因为不在同一个vlan里面，只能和PC3互通。

不同的小区拥有相同的业务，如上网、IPTV、VoIP等业务，且各个小区中的用户位于不同的网段。为了便于管理，各个小区的网络管理者将不同的业务划分到不同的VLAN中，相同的业务划分到同一个VLAN中。目前存在不同的小区中相同的业务所属的VLAN不相同，现需要实现不同VLAN中的用户相互通信。