论VLAN技术的具体应用

程永青

摘要：随着企业互联网+意识的觉醒，越来越多的传统线下企业开始将自己的产品和服务转移到互联网这个平台，不断整合自己的线下和线上资源，优化配置，以达到企业前所未有的竞争优势。目前，组建企业网的技术有很多，比如常见的交换技术，如VLAN、STP、端口安全、链路聚合等等；路由技术，比如OSPF、BGP、MPLS VPN等等。该文主要介绍的是VLAN技术，即虚拟局域网技术，包括它的原理和配置，该技术目前被广泛地应用在企业园区网之中，具有相当大的现实意义。

关键词：虚拟局域网；VLAN；三层交换；Dot1Q

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）32-0017-03

1 引言

早期局域网技术可以追溯到上个世纪的七十年代，经过几十年的发展，如今的交换式局域网技术已经完全淘汰了当初的共享型局域网技术，原因是共享型局域网当中的所有主机都处在同一个冲突域和广播域，冲突带来的后果是网络利用率不高，因为设备间不可以同时转发数据，必须要相互“竞争”，为了避免这种“争抢”，局域网中引入了CSMA/CD这种介质访问控制技术；广播带来的危害是广播风暴，事实上，“广播”仅仅是网络的工作方式而已，其本身并没有问题，但如果不加以控制，任其出现，那就会形成所谓的“广播风暴”，这会大大降低网络的性能，不仅造成网络的拥塞，还会白白浪费设备的资源，带来不可低估的严重后果。

目前，局域网中最常用的设备是交换机，交换机不仅有传统的二层交换机，还有三层交换机，但不管是哪一种设备，其本质上都是不隔离广播的，可以这样理解，交换机的所有端口都默认处在同一个广播域。前面我们提到如果广播太多势必会造成广播风暴，影响网络的性能，那如何隔离广播呢？我们可以通过一个例子来说明这一点：集线器是物理层设备，它不知道什么是冲突，什么是广播，所以连接在它上面的设备就都处在同一个冲突和广播域之中；交换机前面介绍过，数据链路层设备，隔离冲突域，但不隔离广播域；路由器是网络层设备，它即隔离冲突域又隔离广播域。现在看来，可以隔离广播域的只有路由器了，但使用路由器来隔离广播其成本过于昂贵，而且路由器上的端口数量有限，转發性能也比较低，因此，选用路由器来隔离广播不是解决问题的最佳方法。正是基于这样的原因，在需求之下产生了虚拟局域网技术，即VLAN技术，它的出现及时地解决了利用交换机隔离广播的问题。

2 VLAN的基本概念

VLAN（Virtual Local Area Network）又叫虚拟局域网，是当前使用较为广泛的局域网技术，利用它可以很好的隔离广播，而不需要额外的增加成本和设备。一般认为，一个VLAN就是一个广播域，一个VLAN就是一个子网，VLAN内的PC之间相互通信，互不干扰，VLAN间的PC由于其隔离广播的特性默认是不能直接通信的，但可以通过配置使其可以通信，这样看来VLAN的引入带来了某种灵活性，在隔离广播的同时可以使某些VLAN间的PC可以通信。

VLAN技术主要有以下几点优势，首先也是最主要的特点是隔离广播，广播无法跨越VLAN的边界；其次，VLAN具有安全性，不同VLAN间的客户不可以通信；第三，可以根据企业组织架构需求将处于不同楼宇间的用户组成一个虚拟的工作组，不必受其地理位置的影响；最后，VLAN内部如果出现广播风暴，其影响范围也仅仅局限在改VLAN内部，不会波及其他的VLAN。

3 VLAN的基本类型

VLAN的类型主要有以下四种：

第一种类型是基于端口的VLAN，这是最简单的一种VLAN，配置和管理都比较简单，默认情况下，交换机上有一个VLAN1，所有的端口都处于VLAN1，只要将端口划入相应的VLAN下就可以实现不同VLAN间的隔离，本文主要探讨基于端口的VLAN技术。

第二种类型是基于MAC地址的VLAN，交换机维护着一张VLAN映射表，里面记录着VLAN与MAC地址的对应关系，交换机通过MAC地址来确定PC所属的VLAN，并且只有相同VLAN内的PC才可以通信。这种VLAN技术的特点是用户的物理位置是不受限制的，无论用户处在企业网络的什么位置，只要PC的MAC地址不变，那么所属的VLAN就不变。

第三种类型是基于子网的VLAN，一个子网对应一个VLAN，但工程实践中很少使用，在此不做过多介绍。

第四种类型是基于协议的VLAN，交换机根据数据帧中上层封装的协议将其划分到不同的VLAN，上层协议主要是指IP协议和IPX协议。目前网络层的主要协议就是IP协议，因此这种划分方式在工程中也几乎也用不到。

4 VLAN的标签格式

目前，VLAN标签格式有两种，一种是公认标准802.1Q；一种是思科私有标准ISL，但不管是哪一种标准都是用来给数据帧打标签的，用于标识数据帧所属的VLAN。IEEE 802.1Q是VLAN的正式标准，在传统的以太网数据帧基础上（源MAC地址字段和协议类型字段之间）增加了4个字节的802.1Q标签，如下图所示：

从上图中我们可以看出，VLAN标签里包括了2Bytes的标签协议标识符（TPID）、3bits的PRI和1bit的CFI，最重要的VID占12bits，最多可支持4096个VLAN。

5 VLAN的接口类型

首先介绍VLAN中的接口类型，即Access口和Trunk口，在华为和华三的设备中还存在一种混合端口，Hybrid接口。Access接口是交换机上用来连接用户主机的接口，它只能是接入链路（Access Link）。Trunk接口是交换机上用来与其他交换机连接的接口，它只能连接干道链路（Trunk Link）。Hybrid接口是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。

其次介绍一下Access接口是如何接收数据帧的，第一步先判断数据帧是否携带标签，如果否，则打上缺省VLAN的ID；如果是，则进一步判断该帧的VLANID是否和缺省的VLANID相同，如果否，则丢弃；如果是，则接收并进一步处理。Access接口在发送数据帧时是先剥离标签，然后再发送。

再者介绍一下Trunk接口是如何接收数据帧的，第一步先判断数据帧是否携带标签，如果否，则打上缺省VLAN的ID；如果是，则进一步判断是否允许该VLANID通过，如果否，则丢弃，如果是，则接收并进一步处理。Trunk接口在发送数据帧时先判断该数据帧的VLANID是否和缺省VLANID相同，如果否，则保留原有数据帧，如果是，则剥离标签并发送。

最后介绍一下Hybrid接口是如何接收数据帧的，第一步先判断数据帧是否携带标签，如果否，则打上缺省VLAN的ID；如果是，则进一步判断是否允许该VLANID通过，如果否，则丢弃，如果是，则接收并进一步处理。Hybrid接口在发送数据帧时先判断该数据帧是否配置了发送数据帧时要携带的标签，如果否，则剥离标签并发送出去；如果是，则保持原有标签并发送出去。

VLAN的应用场景大致有以下几种形式：单交换机上的VLAN配置；跨交换机上的VLAN配置；不同VLAN间的通信（利用三层交换技术或者单臂路由技术）等等。单交换机的VLAN配置比较简单，在此不再赘述。跨交换机的VLAN配置需要在交换机之间配置Trunk接口，并且配置允许通过的VLAN，默认是所有VLAN都可以通过。如图2所示：

图2 Trunk接口配置示例

在该方案中，连接LSW1和LSW2的Ethernet0/0/22接口需要配置成Trunk接口，而其他连接PC的接口都配置成Access接口。Trunk链路类型端口可以接收和发送多个VLAN的数据帧，且在接收和发送过程中不对数据帧中的标签进行任何操作。

上图中的主要配置如下所示：

system-view

[HUAWEI] sysname LSW1

[LSW1] vlan batch 10 20 //批量创建VLAN 10和VLAN 20

[LSW1] interface ethernet 0/0/1

[LSW1-Ethernet0/0/1] port link-type access //和接入设备相连的接口类型必须是access，接口默认类型不是access，需要手动配置为access

[LSW1-Ethernet0/0/1] port default vlan 10 //将接口E0/0/1加入VLAN 10

[LSW1-Ethernet0/0/1] quit

[LSW1] interface ethernet 0/0/10

[LSW1-Ethernet0/0/10] port link-type access

[LSW1-Ethernet0/0/10] port default vlan 20 //将接口GE1/0/2加入VLAN 20

[LSW1-Ethernet0/0/10] quit

[LSW1] interface ethernet 0/0/22

[LSW1-Ethernet0/0/22] port link-type trunk //交换机之间相连接口类型建议使用trunk，接口默认类型不是trunk，需要手动配置为trunk

[LSW1-Ethernet0/0/22] port trunk allow-pass vlan 10 20 //将接口GE1/0/3加入VLAN 10和VLAN 20

以上仅是LSW1上的配置，LSW2的配置雷同。

6 VLAN间通信的配置——利用VLANIF接口

接下来我们使用一个例子来讲解VLAN间是如何通信的，默认情况下，VLAN间是无法通信的，需要利用三层设备才可以实现VLAN间的通信。网络拓扑如图3所示。

VLANIF接口是一种三层的逻辑接口，通过在VLANIF接口上配置IP地址可以实现VLAN间的三层互通。采用如下的思路配置VLAN间通过VLANIF接口通信：

（1）划分VLAN；

（2）配置接口加入VLAN，允许用户所属的VLAN通过当前接口；

（3）创建VLANIF接口并配置IP地址，实现三层互通。

Switch上的配置如下：

system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type access //和接入设备相连的接口类型设置为access

[Switch-GigabitEthernet1/0/1] port default vlan 10 //接口加入VLAN 10

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port default vlan 20

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.10.10.2 24 //将VLANIF10的IP地址配置为10.10.10.2/24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.10.20.2 24 //将VLANIF20的IP地址配置为10.10.20.2/24

[Switch-Vlanif20] quit

最后需要注意的是，用户PC的网关应该设置成其所属VLAN的VLANIF接口IP地址，不然用户PC间将无法通信。配置完成后，VLAN 10内的User1与VLAN 20内的User2就能够相互访问了。

7 结束语

VLAN技术是目前园区网中使用较广的技术，是管理人员必须熟练掌握好的技术。本文着重阐述了VLAN的技术背景，VLAN的类型，VLAN的接口，VLAN标签的格式，以及最后的两个VLAN配置实例，希望本文有助于读者掌握VLAN技術的基本概念，为后续学习打下基础。

参考文献：

[1] 杨姝.VLAN技术实验的设计与仿真实现研究[J].实验技术与管理，2014.

[2] 冯栋柱.基于VLAN技术在高校校园网建设中的应用[J].微计算机信息，2010.

[3] 孔欣.基于Packet Tracer的跨路由器实现VLAN间通信及分析[J].现代计算机，2010.