第十二章 配置VLAN

    VLAN(Virtual Local Area Network，虛擬局域網(wǎng))技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互聯(lián)時無法限制廣播的問題。這種技術(shù)可以把一個物理局域網(wǎng)劃分成多個虛擬局域網(wǎng)——VLAN，每個VLAN就是一個廣播域，VLAN內(nèi)的主機之間通信就和在一個LAN內(nèi)一樣，而VLAN間的主機則不能直接互通，這樣，廣播數(shù)據(jù)幀被限制在一個VLAN內(nèi)。

VLAN技術(shù)簡介

廣播風(fēng)暴

    在交換式以太網(wǎng)出現(xiàn)后，同一個交換機下不同的端口處于不同的沖突域，交換式以太網(wǎng)的效率大大增加。但是，在交換式以太網(wǎng)中，由于交換機所有的端口處于一個廣播域內(nèi)，導(dǎo)致一臺計算機發(fā)出的廣播幀，局域網(wǎng)中所有的計算機都能夠接收到，使局域網(wǎng)中的有限網(wǎng)絡(luò)資源被無用的廣播信息所占用。

    上圖中，四臺終端主機發(fā)出的廣播幀在整個局域網(wǎng)中廣播，假如每臺主機的廣播幀流量是100kbps，則四臺主機達到400kbps；如果鏈路是100Mbps帶寬，則廣播幀占用帶寬達到0.4%。但如果網(wǎng)絡(luò)內(nèi)主機達到400臺，則廣播流量將達到40Mbps，占用帶寬達到40%，網(wǎng)絡(luò)上到處充斥著廣播流，網(wǎng)絡(luò)帶寬資源被極大的浪費。另外，過多的廣播流量會造成網(wǎng)絡(luò)設(shè)備及主機的CPU負(fù)擔(dān)過重，系統(tǒng)反應(yīng)變慢甚至死機。

    如何降低廣播域的范圍，提升局域網(wǎng)的性能，是急需解決的問題。

用路由器來隔離廣播

    路由器的各個接口處于獨立的廣播域中，終端主機發(fā)出的廣播幀在接口被終止。所以，在局域網(wǎng)中使用路由器能夠隔離廣播，減小廣播范圍。

    但是，路由器的價格比交換機要高，使用路由器提高了局域網(wǎng)的部署成本。另外，大部分中低端路由器使用軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)性能不高，容易在網(wǎng)絡(luò)中造成性能瓶頸。所以，在局域網(wǎng)中使用路由器來隔離廣播是一個高成本、低性能的方案。

用VLAN隔離廣播  

    VLAN技術(shù)的出現(xiàn)，就是為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分多個邏輯的LAN ——VLAN，每個VLAN是一個廣播域，不同VLAN間的設(shè)備不能直接互通，只能通過路由器等三層設(shè)備而互通。這樣，廣播數(shù)據(jù)幀被限制在一個VLAN內(nèi)。

    目前，絕大多數(shù)以太網(wǎng)交換機都能夠支持VLAN。使用VLAN來減少廣播域的范圍，減少LAN內(nèi)的廣播流量，是高效率、低成本的方案。

VLAN的優(yōu)點

    VLAN 的劃分不受物理位置的限制。不在同一物理位置范圍的主機可以屬于同一個VLAN：一個VLAN包含的用戶可以連接在同一個交換機，也可以跨越交換機，甚至可以跨越路由器。

    VLAN技術(shù)的優(yōu)點如下：

• 有效控制廣播域范圍：廣播域被限制在一個VLAN內(nèi)，廣播流量僅在VLAN中傳播，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。

• 增強局域網(wǎng)的安全性：不同VLAN內(nèi)的報文在傳輸時時相互隔離的，即一個VLAN 內(nèi)的用戶不能喝其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等設(shè)備。

• 靈活構(gòu)建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。

VLAN類型

基于端口的VLAN

    基于端口的VLAN是最簡單、最有效的VLAN劃分方法，它按照端口來定義VLAN成員。將指定端口加入到指定VLAN中之后，該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)幀。

    上圖中，交換機端口E1/0/1和E1/0/2被劃分到VLAN10中，端口E1/0/3和E1/0/4被劃分到VLAN20中，則PCA和PCB處于VLAN10中，可以互通；PCC和PCD處于VLAN20中，可以互通。但PCA和PCC處于不同VLAN，它們之間不能互通。

基于MAC地址的VLAN

    這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分。交換機維護一張VLAN映射表，這個VLAN表記錄MAC地址和VLAN的對應(yīng)關(guān)系。這種劃分VLAN的方法其最大優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN。

    這種方法的缺點是初始配置時，所有的用戶的MAC地址都需要收集，并逐個配置，如果用戶很多，配置的工作量是很大的。此外這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播幀。

基于協(xié)議的VLAN

    基于協(xié)議的VLAN是根據(jù)端口接收到的報文所屬的協(xié)議（族）類型來給報文分配不同的VLAN ID?？捎脕韯澐諺LAN的協(xié)議族有IP、IPX。

    交換機從端口接收到以太網(wǎng)幀后，會根據(jù)幀中所封裝的協(xié)議類型來確定報文所屬的VLAN，然后將數(shù)據(jù)幀自動劃分到指定的VLAN中傳輸。

    此特性主要用于將網(wǎng)絡(luò)中提供的協(xié)議類型與VLAN相綁定，方便管理和維護。

基于子網(wǎng)的VLAN

    基于IP子網(wǎng)的VLAN是根據(jù)報文源IP地址及子網(wǎng)掩碼作為依據(jù)來進行劃分的。設(shè)備從端口接收到報文后，根據(jù)報文中的源IP地址，找到與現(xiàn)有VLAN的對應(yīng)關(guān)系，然后自動劃分到指定VLAN中轉(zhuǎn)發(fā)。

    此特性主要用于將特定網(wǎng)段或IP地址發(fā)出的數(shù)據(jù)在指定的VLAN中傳送。

VLAN技術(shù)原理

VLAN標(biāo)簽

    我們知道，以太網(wǎng)交換機根據(jù)MAC地址表來轉(zhuǎn)發(fā)數(shù)據(jù)幀。MAC地址表中包含了端口和端口所連接終端主機MAC地址的映射關(guān)系。交換機從端口接收到以太網(wǎng)幀后，通過查看MAC地址表來決定從哪一個端口轉(zhuǎn)發(fā)出去。如果端口收到的是廣播幀，則交換機把廣播幀從除源端口外的所有端口轉(zhuǎn)發(fā)出去。

    在VLAN技術(shù)中，通過給以太網(wǎng)幀附加一個標(biāo)簽（Tag）來標(biāo)記這個以太網(wǎng)幀能夠在哪個VLAN中傳播。這樣，交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，不僅要查找MAC地址來決定轉(zhuǎn)發(fā)到哪個端口，還要檢查端口上的VLAN標(biāo)簽是否匹配。

    在上圖中，交換機給主機PCA和PCB發(fā)來的以太網(wǎng)附加了VLAN10的標(biāo)簽，給PCC和PCD發(fā)來的以太網(wǎng)幀附加VLAN20的標(biāo)簽，并在MAC地址表中增加關(guān)于VLAN標(biāo)簽的記錄。這樣，交換機在進行MAC地址表查找轉(zhuǎn)發(fā)操作時，會查看VLAN標(biāo)識是否匹配；如果不匹配，則交換機不會從端口轉(zhuǎn)發(fā)出去。這樣相當(dāng)于用VLAN標(biāo)簽把MAC地址表里的表項區(qū)分開來，只有相同VLAN標(biāo)簽的端口之間能夠互相轉(zhuǎn)發(fā)數(shù)據(jù)幀。

    IEEE在802.1Q中定義了在以太網(wǎng)幀中所附加標(biāo)簽的格式。

802.1Q幀格式

    在傳統(tǒng)的以太網(wǎng)幀中增加了4個字節(jié)的802.1Q標(biāo)簽后，成為帶有VLAN標(biāo)簽的幀（Tagged Frame）。而傳統(tǒng)的不攜帶802.1Q標(biāo)簽的數(shù)據(jù)幀稱為未打標(biāo)簽的幀（untagged Frame）。

    802.1Q標(biāo)簽頭包含了2個字節(jié)的標(biāo)簽協(xié)議標(biāo)識（TPID）和2個字節(jié)的標(biāo)簽控制信息（TCI）。

    TPID(Tag Protocol Indentifer)是IEEE定義的新的類型，表明這是一個封裝了802.1Q標(biāo)簽的幀。TPID包含了一個固定的值0x8100。

    TCI(Tag control Information)包含的是幀的控制信息，它包含了下面的一些元素：

• Priority：這3位指明數(shù)據(jù)幀的優(yōu)先級。一共有8種優(yōu)先級，0-7。

• CFI（Canonical Fromat Indicator）：CFI值為0說明是規(guī)范格式，1為非規(guī)范格式。

• 它被用在令牌環(huán)/源路由FDDI介質(zhì)訪問方法中來封裝幀中所帶地址的比特次序信息。

• VLAN ID （VLAN Identifier）：共12比特，指明VLAN的編號。VLAN編號一共4096個，每個支持802.1Q協(xié)議的交換機發(fā)送出來的數(shù)據(jù)幀都會包含這個域，以指明自己屬于哪一個VLAN。

  單交換機VLAN標(biāo)簽操作
  

    交換機根據(jù)數(shù)據(jù)幀中的標(biāo)簽來判定數(shù)據(jù)幀屬于哪一個VLAN，那么標(biāo)簽是從哪里來的呢？VLAN標(biāo)簽是由交換機端口在數(shù)據(jù)幀進入交換機時添加的。這樣做的好處是，VLAN對終端主機是透明的，終端主機不需要知道網(wǎng)絡(luò)中VLAN是如何劃分的，也不需要識別帶有802.1Q標(biāo)簽的以太網(wǎng)幀，所有的相關(guān)事情由交換機負(fù)責(zé)。

    當(dāng)終端主機發(fā)出的以太網(wǎng)幀到達交換機端口時，交換機檢查端口所屬的VLAN，然后給進入端口的幀打相應(yīng)的802.1Q標(biāo)簽。端口所屬的VLAN稱為端口默認(rèn)VLAN,又稱為PVID(Port VLAN ID)。

    同樣，為保持VLAN技術(shù)對主機透明，交換機負(fù)責(zé)剝離出端口的以太網(wǎng)幀的802.1Q標(biāo)簽。

Access鏈路類型端口

    這種只允許默認(rèn)VLAN的以太網(wǎng)幀通過的端口稱為Access鏈路類型端口。Access端口在收到以太網(wǎng)幀后打VLAN標(biāo)簽，轉(zhuǎn)發(fā)出端口時剝離VLAN標(biāo)簽，對終端主機透明，所以通常用來連接不需要識別802.1Q協(xié)議的設(shè)備，如終端主機、路由器等。

跨交換機VLAN標(biāo)簽操作

    VLAN技術(shù)的很重要的功能是在網(wǎng)絡(luò)中構(gòu)建虛擬工作組，劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍。通過在網(wǎng)絡(luò)中實施跨交換機的VLAN，能夠?qū)崿F(xiàn)虛擬工作組。

    VLAN跨越交換機時，需要交換機之間傳遞的以太網(wǎng)數(shù)據(jù)幀帶有802.1Q標(biāo)簽。這樣，數(shù)據(jù)幀所屬的VLAN信息才不會丟失。

    在上圖中，PCA和PCB所發(fā)出的數(shù)據(jù)幀分別打有VLAN10和VLAN20的標(biāo)簽，SWA的端口E1/0/24負(fù)責(zé)對這些帶802.1Q標(biāo)簽的數(shù)據(jù)幀進行轉(zhuǎn)發(fā)，并不對其中的標(biāo)簽進行剝離操作。

Trunk鏈路類型端口

    允許多個VLAN幀通過的端口稱為Trunk鏈路類型端口。Trunk端口可以接收和發(fā)送多個VLAN的數(shù)據(jù)幀，且在接收和發(fā)送過程中不對幀中的標(biāo)簽進行任何操作。

    不過，默認(rèn)VLAN幀是一個例外。在發(fā)送幀時，Trunk端口要剝離默認(rèn)VLAN幀中的標(biāo)簽；同樣，交換機從Trunk端口收到不帶標(biāo)簽的幀時，要打上默認(rèn)VLAN標(biāo)簽。

    Trunk端口一般用于在交換機之間互連。

    圖示為PCA至PCC、PCB至PCD的標(biāo)簽操作過程。PCA發(fā)出以太網(wǎng)幀，到達SWA的E1/0/1端口，端口的默認(rèn)VLAN是10，所以以太網(wǎng)幀被打上VLAN10標(biāo)簽；E1/0/24端口時Trunk端口，VLAN10標(biāo)簽的幀從端口發(fā)送至SWB；SWB從幀中的標(biāo)簽得知它屬于VLAN10，于是轉(zhuǎn)發(fā)至端口E1/0/1，經(jīng)剝離標(biāo)簽后到達PCC。PCB發(fā)出的幀在E1/0/2端口上被打上VLAN20的標(biāo)簽；E1/0/24端口時Trunk端口且默認(rèn)VLAN是20，所以數(shù)據(jù)幀被剝離標(biāo)簽后轉(zhuǎn)發(fā)；當(dāng)未帶標(biāo)簽的數(shù)據(jù)幀到達SWB的E1/0/24端口，端口給它打上VLAN20的標(biāo)簽在轉(zhuǎn)發(fā)到端口E1/0/2，端口E1/0/2剝離標(biāo)簽后轉(zhuǎn)發(fā)至PCD。

Hybrid鏈路類型端口

    除了Access鏈路類型和Trunk鏈路類型端口外，交換機還支持第三種鏈路類型端口，稱為Hybrid鏈路類型端口。Hybrid端口可以接收和發(fā)送多個VLAN的數(shù)據(jù)幀，同時還能夠指定對任何VLAN幀進行剝離標(biāo)簽操作。

    當(dāng)網(wǎng)絡(luò)中大部分主機之間需要隔離，但這些隔離的主機又需要與另一臺互通時，可以使用Hybrid端口。

    在上圖中，PCA發(fā)出的以太網(wǎng)幀進入端口時打上VLAN10的標(biāo)簽，在到達連接PCC的端口時，端口根據(jù)設(shè)定（Untag：10,20,30）將數(shù)據(jù)幀中的標(biāo)簽剝離后發(fā)送給PCC,所以PCA與PCC能夠通信；同理，PCB也能與PCC通信。但PCA發(fā)出的以太網(wǎng)幀到達連接PCB的端口時，端口上設(shè)定（Untag：20,30）表明只對VLAN20、VLAN30的數(shù)據(jù)幀轉(zhuǎn)發(fā)且剝離標(biāo)簽，而不允許VLAN10的幀通過，所以PCA與PCB不能互通。

VLAN的基本配置

    默認(rèn)情況下，交換機只有VLAN1，所有的端口都屬于VLAN1且是Access鏈路類型端口。進行VLAN配置的基本步驟如下。

    第1步：在系統(tǒng)視圖下創(chuàng)建VLAN并進入VLAN視圖。配置命令為：

    vlan vlan-id

    第2步：在VLAN視圖下將指定端口加入到VLAN中。配置命令為：

    port interface-list

配置Trunk端口

    Trunk端口能夠允許多個VLAN的數(shù)據(jù)幀通過，通常用于在交換機之間互連。配置某個端口成為Trunk端口的步驟如下。

    第1步：在以太網(wǎng)端口視圖下指定端口鏈路類型為Trunk。配置命令為：

    port link-type trunk

    第2步：默認(rèn)情況下，Trunk端口只允許默認(rèn)VLAN即VLAN1的數(shù)據(jù)幀通過。所以，需要在以太網(wǎng)端口視圖下指定哪些VLAN幀能夠通過當(dāng)前Trunk端口。配置命令為：

    port trunk permit vlan {vlan-id-list|all}

    第3步：必要時，可以在以太網(wǎng)端口視圖下設(shè)定Trunk端口的默認(rèn)VLAN。配置命令為：

    port trunk pvid vlan vlan-id

注意

    默認(rèn)情況下，Trunk端口的默認(rèn)VLAN是VLAN1?？梢愿鶕?jù)實際進行修改默認(rèn)VLAN，以保證兩端交換機的默認(rèn)VLAN相同為原則，否則會發(fā)生同一VLAN內(nèi)的主機跨交換機不能夠通信的情況。

配置Hybrid端口

    在某些情況下，需要用到Hybrid端口。Hybrid端口也能夠允許多個VLAN幀通過，并且還可以指定哪些VLAN數(shù)據(jù)幀被剝離標(biāo)簽。配置某個端口成為Hybrid端口的步驟如下。

    第1步：在以太網(wǎng)端口視圖下指定端口鏈路類型為Hybrid。配置命令為：

    port link-type Hybrid

    第2步：默認(rèn)情況下，所有Hybrid端口只允許VLAN1通過。所以，需要在以太網(wǎng)端口視圖下指定哪些VLAN數(shù)據(jù)幀能夠通過Hybrid端口，并指定是否剝離標(biāo)簽。配置命令為：

    port Hybrid vlan vlan-id-list {tagged|untagged}

    第3步：在以太網(wǎng)端口視圖下設(shè)定Hybrid端口的默認(rèn)VLAN。配置命令為：

    port Hybrid pvid vlan vlan-id

注意

    Trunk端口不能直接被設(shè)置為Hybrid端口。只能先設(shè)為Access端口，再設(shè)置為Hybrid端口。

VLAN配置實例

    上圖是VLAN的基本配置示例。圖中PCA與PCC屬于VLAN10，PCB與PCD屬于VLAN20，交換機之間使用Trunk端口相連，端口的默認(rèn)VLAN是VLAN1。

    配置SWA：

        [SWA]vlan 10

        [SWA-vlan10]port Ethernet1/0/1

        [SWA]vlan 20

        [SWA-vlan20]port Ethernet1/0/2

        [SWA]interface Ethernet10/24

        [SWA-Ethernet1/0/24]port link-type trunk

        [SWA-Ethernet1/0/24]port trunk permit vlan 10 20

    配置SWB：

        [SWB]vlan 10

        [SWB-vlan10]port Ethernet1/0/1

        [SWB]vlan 20

        [SWB-vlan20]port Ethernet1/0/2

        [SWB]interface Ethernet10/24

        [SWB-Ethernet1/0/24]port link-type trunk

        [SWB-Ethernet1/0/24]port trunk permit vlan 10 20

    配置完成后，PCA與PCC能夠互通，PCB與PCD能夠互通；但PCA與PCB,PCC與PCD之間不能夠互通。

VLAN顯示及維護

    在任意視圖下可以使用display vlan命令來查看交換機當(dāng)前啟用的VLAN。

    display vlan

    由圖中可以看到，目前交換機上有VLAN1、VLAN2、VLAN10存在，VALN1是默認(rèn)VLAN。

    如果要查看某個具體VLAN所包含的端口，可以使用display vlan vlan-id命令。

    display vlan vlan-id

    由圖中可以看到，VLAN2中包含了Ethernet1/0/1、Ethernet1/0/3和Ethernet1/0/4等3個端口，且VLAN數(shù)據(jù)幀離開這些端口時需要剝離標(biāo)簽。

    如果要查看具體端口的VLAN信息，可以使用display interface命令。

    display interface interface-type interface-number

    由圖中可知，端口Ethernet1/0/1的端口鏈路類型為Access，默認(rèn)VLAN(Pvid)是VLAN1。如果是Trunk或Hybrid端口，則還會顯示哪些VLAN幀是攜帶標(biāo)簽通過，哪些VLAN幀需要剝離標(biāo)簽。