3.1 虛擬局域網基本概念

隨著網絡應用越來越深入人們日常生活和工作中，網絡上傳輸的信息也越來越多。如果任憑所有信息都無限制地在整個網絡上傳輸，將會極大影響網絡的性能。隨著交換式局域網的不斷擴大，廣播信息也逐漸增多，越來越多的廣播信息將消耗大量的網絡帶寬，同時也給主機帶來額外的負擔，極端情況下可能會發生廣播風暴。多數病毒程序也是通過廣播信息在網絡中傳播的。所以，需要把任何信息的傳播都控制在一定范圍內。局域網規模的不斷擴大也增加了管理人員的工作壓力和難度，為了更好地管理網絡，需要有一種比較好的方式對網絡進行分割管理。比較簡單的方法就是利用交換機的虛擬局域網（Virtual Local Area Network, VLAN）技術來劃分網絡。

虛擬局域網是通過交換機所提供的功能將局域網從邏輯上劃分為一個個的網段，從而實現虛擬工作組的一種交換技術。

交換機的引入解決了共享式以太網中的沖突現象，提高了數據傳輸的效率，但對于廣播信息的傳輸卻沒有任何限制，整個網絡屬于同一個廣播域，任何一個廣播幀都被廣播到整個局域網中的每一臺主機。在網絡通信中，廣播信息是普遍存在的，這些廣播幀占用大量的網絡帶寬，導致網絡速度和通信效率的下降，并額外增加了網絡主機為處理廣播信息所產生的負荷。很多病毒是通過廣播進行擴散的，在沒有采取有效的隔離措施的情況下，一旦病毒發起泛洪廣播攻擊，將會很快耗盡網絡的帶寬，導致網絡的阻塞和癱瘓。

理論上，隔離廣播信息需要通過網絡層設備實現，如路由器。利用路由器上的以太網端口進行網絡地址分段，從而實現對廣播域的分割和隔離。路由器所能劃分出的網段段數，取決于路由器上以太網端口的數目。由于路由器的主要作用是實現數據在不同網絡之間的轉發，因此路由器所帶的以太網端口數量較少，一般為1～4個，同時設備價格也很高，所以用路由器來分割廣播域的成本較高。因此，在局域網中往往都在交換機中實現網絡分段，這就要求交換機必須支持VLAN交換技術。

3.1.1 虛擬局域網的特點

1．限制廣播域范圍

通過在交換機上劃分VLAN，可將一個大的局域網劃分成若干個網段，每個網段內所有計算機間的通信和廣播僅限于該VLAN內，廣播幀不會被轉發到其他網段，即一個VLAN就是一個廣播域。VLAN間不能直接通信，從而實現了對廣播域的分割和隔離，如圖3-1所示，VLAN 10中的廣播信息只能在VLAN 10的范圍中廣播，不會廣播到VLAN 20中，同理，VLAN 20中的廣播信息也一樣。

2．簡化網絡管理和提高組網靈活性

由于VLAN是對交換機端口實施的邏輯分組，因此不受任何物理連接的限制。同一VLAN中的計算機，可以連接在不同的交換機上，并且可以位于不同的物理位置，提高了網絡應用和管理的靈活性，如圖3-2所示。

3．提高網絡安全性

默認情況下，VLAN間是相互隔離的，不能直接通信，對于保密性要求較高的部門，如圖3-2中的財務部門，可將其劃分在一個VLAN中，其他VLAN中的用戶默認不能直接訪問該VLAN中的主機。如需要跨VLAN訪問，可通過訪問控制列表來控制訪問范圍，從而既起到隔離作用，也提高了訪問的安全性。

3.1.2 VLAN幀格式

附加了VLAN識別信息的數據幀就可看作是VLAN幀。VLAN識別信息也稱為VLAN標簽。VLAN標簽長4字節，直接添加在以太網幀的幀頭中，如圖3-3所示，其中攜帶Tag的幀就是VLAN幀，Tag就是VLAN標簽。沒有攜帶VLAN標簽的標準以太網幀稱為不帶標簽的幀（Untagged Frame）；攜帶VLAN標簽的以太網幀稱為帶標簽的幀（Tagged Frame）。

VLAN標簽分為TPID和TCI兩部分，其作用如下。

1 TPID：TPID（Tag Protocol Identifier，標簽協議標識）的長度為2字節，固定取值，0x8100，是IEEE定義的新類型，表明這是一個攜帶802.1Q標簽的幀。不支持802.1Q的設備如果收到這樣的幀，會將其丟棄。

2 TCI：TCI（Tag Control Information，標簽控制信息）的長度為2字節，分為下面三部分內容。

① PRI：PRI（Priority）表示幀的優先級，長度為3bit，取值范圍為0～7，值越大，優先級越高。當交換機阻塞時，優先發送優先級高的數據幀。

② CFI：CFI（Canonical Format Indicator，標準格式指示位）表示MAC地址是否是規范格式，長度為1bit。CFI為0，表示為規范格式，CFI為1表示為非規范格式。CFI用于區分以太網幀、FDDI（Fiber Distributed Digital Interface，光纖分布式數據接口）幀和令牌環網幀。在以太網中，CFI的值為0。

③ VLAN ID：VLAN ID（VLAN Identifier）的長度為12bit，取值范圍為0～4095，但是0和4095在協議中規定為保留的VLAN ID，用戶不能使用。

3.1.3 VLAN端口類型

在華為交換機上主要有三種端口類型：Access、Trunk和Hybrid，前面兩種類型比較常用，也是其他廠商都支持的類型。在介紹這幾種端口之前，先認識一個術語“PVID”。PVID即Port VLAN ID，代表端口的默認VLAN。交換機從對端設備收到的幀有可能是不帶VLAN標簽的數據幀，但所有以太網幀在交換機中都是以帶VLAN標簽的形式被處理和轉發的，因此交換機必須給端口收到的不帶VLAN標簽的數據幀添加上VLAN標簽。為了實現此目的，必須為交換機配置端口的默認VLAN。當該端口收到不帶VLAN標簽的數據幀時，交換機將給它加上該默認VLAN的VLAN標簽。

1．Access端口

Access類型的端口主要用于連接計算機等終端設備，此類型端口只能屬于某一個VLAN。Access端口收發數據幀的規則如下。

1）如果該端口收到對端設備發送的幀是不帶VLAN標簽的，交換機將強制加上該端口的PVID。如果該端口收到對端設備發送的幀是帶VLAN標簽的，交換機會檢查該標簽內的VLAN ID。當VLAN ID與該端口的PVID相同時，接收該報文。當VLAN ID與該端口的PVID不同時，丟棄該報文。

2）Access端口發送數據幀時，如果發送數據幀的VLAN ID與該端口的PVID相同，則發送該數據幀，否則丟棄。發送時總是先剝離幀的VLAN標簽，然后再發送。Access端口發往對端設備的以太網幀永遠是不帶標簽的幀。

2．Trunk端口

Trunk端口是交換機上用來和其他交換機連接的端口，Trunk端口允許多個VLAN幀通過。Trunk端口收發數據幀的規則如下。

1）當接收到對端設備發送的不帶VLAN標簽的數據幀時，會添加該端口的PVID。如果PVID在允許通過的VLAN ID列表中，則接收該報文，否則丟棄該報文。當接收到對端設備發送的帶VLAN標簽的數據幀時，檢查VLAN ID是否在允許通過的VLAN ID列表中。如果VLAN ID在接口允許通過的VLAN ID列表中，則接收該報文，否則丟棄該報文。

2）端口發送數據幀時，當VLAN ID與端口的PVID相同，且是該端口允許通過的VLAN ID時，去掉VLAN標簽，發送該報文。當VLAN ID與端口的PVID不同，且是該端口允許通過的VLAN ID時，保持原有VLAN標簽，發送該報文。

3．Hybrid端口

Access端口發往其他設備的報文，都是不帶VLAN標簽的數據幀，而Trunk端口僅在一種特定情況下才能發出不帶VLAN標簽的數據幀，其他情況發出的都是帶VLAN標簽的數據幀。

Hybrid端口是交換機上既可以連接用戶主機，又可以連接其他交換機的端口。Hybrid端口允許多個VLAN幀通過，并可以在出端口方向將某些VLAN幀的VLAN標簽剝掉。華為設備默認的端口類型是Hybrid。Hybrid端口收發數據幀的規則如下。

1）當接收到對端設備發送的不帶VLAN標簽的數據幀時，會添加該端口的PVID。如果PVID在允許通過的VLAN ID列表中，則接收該報文，否則丟棄該報文。當接收到對端設備發送的帶VLAN標簽的數據幀時，檢查VLAN ID是否在允許通過的VLAN ID列表中。如果VLAN ID在接口允許通過的VLAN ID列表中，則接收該報文，否則丟棄該報文。

2）Hybrid端口發送數據幀時，將檢查該接口是否允許該VLAN幀通過。如果允許通過，則可以通過命令配置發送時是否帶VLAN標簽。