第十二章 配置VLAN

    VLAN(Virtual Local Area Network，虛擬局域網)技術的出現，主要為了解決交換機在進行局域網互聯時無法限制廣播的問題。這種技術可以把一個物理局域網劃分成多個虛擬局域網——VLAN，每個VLAN就是一個廣播域，VLAN內的主機之間通信就和在一個LAN內一樣，而VLAN間的主機則不能直接互通，這樣，廣播數據幀被限制在一個VLAN內。

VLAN技術簡介

廣播風暴

    在交換式以太網出現后，同一個交換機下不同的端口處于不同的沖突域，交換式以太網的效率大大增加。但是，在交換式以太網中，由于交換機所有的端口處于一個廣播域內，導致一臺計算機發出的廣播幀，局域網中所有的計算機都能夠接收到，使局域網中的有限網絡資源被無用的廣播信息所占用。

    上圖中，四臺終端主機發出的廣播幀在整個局域網中廣播，假如每臺主機的廣播幀流量是100kbps，則四臺主機達到400kbps；如果鏈路是100Mbps帶寬，則廣播幀占用帶寬達到0.4%。但如果網絡內主機達到400臺，則廣播流量將達到40Mbps，占用帶寬達到40%，網絡上到處充斥著廣播流，網絡帶寬資源被極大的浪費。另外，過多的廣播流量會造成網絡設備及主機的CPU負擔過重，系統反應變慢甚至死機。

    如何降低廣播域的范圍，提升局域網的性能，是急需解決的問題。

用路由器來隔離廣播

    路由器的各個接口處于獨立的廣播域中，終端主機發出的廣播幀在接口被終止。所以，在局域網中使用路由器能夠隔離廣播，減小廣播范圍。

    但是，路由器的價格比交換機要高，使用路由器提高了局域網的部署成本。另外，大部分中低端路由器使用軟件轉發，轉發性能不高，容易在網絡中造成性能瓶頸。所以，在局域網中使用路由器來隔離廣播是一個高成本、低性能的方案。

用VLAN隔離廣播  

    VLAN技術的出現，就是為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分多個邏輯的LAN ——VLAN，每個VLAN是一個廣播域，不同VLAN間的設備不能直接互通，只能通過路由器等三層設備而互通。這樣，廣播數據幀被限制在一個VLAN內。

    目前，絕大多數以太網交換機都能夠支持VLAN。使用VLAN來減少廣播域的范圍，減少LAN內的廣播流量，是高效率、低成本的方案。

VLAN的優點

    VLAN 的劃分不受物理位置的限制。不在同一物理位置范圍的主機可以屬于同一個VLAN：一個VLAN包含的用戶可以連接在同一個交換機，也可以跨越交換機，甚至可以跨越路由器。

    VLAN技術的優點如下：

• 有效控制廣播域范圍：廣播域被限制在一個VLAN內，廣播流量僅在VLAN中傳播，節省了帶寬，提高了網絡處理能力。

• 增強局域網的安全性：不同VLAN內的報文在傳輸時時相互隔離的，即一個VLAN 內的用戶不能喝其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等設備。

• 靈活構建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。

VLAN類型

基于端口的VLAN

    基于端口的VLAN是最簡單、最有效的VLAN劃分方法，它按照端口來定義VLAN成員。將指定端口加入到指定VLAN中之后，該端口就可以轉發指定VLAN的數據幀。

    上圖中，交換機端口E1/0/1和E1/0/2被劃分到VLAN10中，端口E1/0/3和E1/0/4被劃分到VLAN20中，則PCA和PCB處于VLAN10中，可以互通；PCC和PCD處于VLAN20中，可以互通。但PCA和PCC處于不同VLAN，它們之間不能互通。

基于MAC地址的VLAN

    這種劃分VLAN的方法是根據每個主機的MAC地址來劃分。交換機維護一張VLAN映射表，這個VLAN表記錄MAC地址和VLAN的對應關系。這種劃分VLAN的方法其最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN。

    這種方法的缺點是初始配置時，所有的用戶的MAC地址都需要收集，并逐個配置，如果用戶很多，配置的工作量是很大的。此外這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播幀。

基于協議的VLAN

    基于協議的VLAN是根據端口接收到的報文所屬的協議（族）類型來給報文分配不同的VLAN ID。可用來劃分VLAN的協議族有IP、IPX。

    交換機從端口接收到以太網幀后，會根據幀中所封裝的協議類型來確定報文所屬的VLAN，然后將數據幀自動劃分到指定的VLAN中傳輸。

    此特性主要用于將網絡中提供的協議類型與VLAN相綁定，方便管理和維護。

基于子網的VLAN

    基于IP子網的VLAN是根據報文源IP地址及子網掩碼作為依據來進行劃分的。設備從端口接收到報文后，根據報文中的源IP地址，找到與現有VLAN的對應關系，然后自動劃分到指定VLAN中轉發。

    此特性主要用于將特定網段或IP地址發出的數據在指定的VLAN中傳送。

VLAN技術原理

VLAN標簽

    我們知道，以太網交換機根據MAC地址表來轉發數據幀。MAC地址表中包含了端口和端口所連接終端主機MAC地址的映射關系。交換機從端口接收到以太網幀后，通過查看MAC地址表來決定從哪一個端口轉發出去。如果端口收到的是廣播幀，則交換機把廣播幀從除源端口外的所有端口轉發出去。

    在VLAN技術中，通過給以太網幀附加一個標簽（Tag）來標記這個以太網幀能夠在哪個VLAN中傳播。這樣，交換機在轉發數據幀時，不僅要查找MAC地址來決定轉發到哪個端口，還要檢查端口上的VLAN標簽是否匹配。

    在上圖中，交換機給主機PCA和PCB發來的以太網附加了VLAN10的標簽，給PCC和PCD發來的以太網幀附加VLAN20的標簽，并在MAC地址表中增加關于VLAN標簽的記錄。這樣，交換機在進行MAC地址表查找轉發操作時，會查看VLAN標識是否匹配；如果不匹配，則交換機不會從端口轉發出去。這樣相當于用VLAN標簽把MAC地址表里的表項區分開來，只有相同VLAN標簽的端口之間能夠互相轉發數據幀。

    IEEE在802.1Q中定義了在以太網幀中所附加標簽的格式。

802.1Q幀格式

    在傳統的以太網幀中增加了4個字節的802.1Q標簽后，成為帶有VLAN標簽的幀（Tagged Frame）。而傳統的不攜帶802.1Q標簽的數據幀稱為未打標簽的幀（untagged Frame）。

    802.1Q標簽頭包含了2個字節的標簽協議標識（TPID）和2個字節的標簽控制信息（TCI）。

    TPID(Tag Protocol Indentifer)是IEEE定義的新的類型，表明這是一個封裝了802.1Q標簽的幀。TPID包含了一個固定的值0x8100。

    TCI(Tag control Information)包含的是幀的控制信息，它包含了下面的一些元素：

• Priority：這3位指明數據幀的優先級。一共有8種優先級，0-7。

• CFI（Canonical Fromat Indicator）：CFI值為0說明是規范格式，1為非規范格式。

• 它被用在令牌環/源路由FDDI介質訪問方法中來封裝幀中所帶地址的比特次序信息。

• VLAN ID （VLAN Identifier）：共12比特，指明VLAN的編號。VLAN編號一共4096個，每個支持802.1Q協議的交換機發送出來的數據幀都會包含這個域，以指明自己屬于哪一個VLAN。

  單交換機VLAN標簽操作
  

    交換機根據數據幀中的標簽來判定數據幀屬于哪一個VLAN，那么標簽是從哪里來的呢？VLAN標簽是由交換機端口在數據幀進入交換機時添加的。這樣做的好處是，VLAN對終端主機是透明的，終端主機不需要知道網絡中VLAN是如何劃分的，也不需要識別帶有802.1Q標簽的以太網幀，所有的相關事情由交換機負責。

    當終端主機發出的以太網幀到達交換機端口時，交換機檢查端口所屬的VLAN，然后給進入端口的幀打相應的802.1Q標簽。端口所屬的VLAN稱為端口默認VLAN,又稱為PVID(Port VLAN ID)。

    同樣，為保持VLAN技術對主機透明，交換機負責剝離出端口的以太網幀的802.1Q標簽。

Access鏈路類型端口

    這種只允許默認VLAN的以太網幀通過的端口稱為Access鏈路類型端口。Access端口在收到以太網幀后打VLAN標簽，轉發出端口時剝離VLAN標簽，對終端主機透明，所以通常用來連接不需要識別802.1Q協議的設備，如終端主機、路由器等。

跨交換機VLAN標簽操作

    VLAN技術的很重要的功能是在網絡中構建虛擬工作組，劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍。通過在網絡中實施跨交換機的VLAN，能夠實現虛擬工作組。

    VLAN跨越交換機時，需要交換機之間傳遞的以太網數據幀帶有802.1Q標簽。這樣，數據幀所屬的VLAN信息才不會丟失。

    在上圖中，PCA和PCB所發出的數據幀分別打有VLAN10和VLAN20的標簽，SWA的端口E1/0/24負責對這些帶802.1Q標簽的數據幀進行轉發，并不對其中的標簽進行剝離操作。

Trunk鏈路類型端口

    允許多個VLAN幀通過的端口稱為Trunk鏈路類型端口。Trunk端口可以接收和發送多個VLAN的數據幀，且在接收和發送過程中不對幀中的標簽進行任何操作。

    不過，默認VLAN幀是一個例外。在發送幀時，Trunk端口要剝離默認VLAN幀中的標簽；同樣，交換機從Trunk端口收到不帶標簽的幀時，要打上默認VLAN標簽。

    Trunk端口一般用于在交換機之間互連。

    圖示為PCA至PCC、PCB至PCD的標簽操作過程。PCA發出以太網幀，到達SWA的E1/0/1端口，端口的默認VLAN是10，所以以太網幀被打上VLAN10標簽；E1/0/24端口時Trunk端口，VLAN10標簽的幀從端口發送至SWB；SWB從幀中的標簽得知它屬于VLAN10，于是轉發至端口E1/0/1，經剝離標簽后到達PCC。PCB發出的幀在E1/0/2端口上被打上VLAN20的標簽；E1/0/24端口時Trunk端口且默認VLAN是20，所以數據幀被剝離標簽后轉發；當未帶標簽的數據幀到達SWB的E1/0/24端口，端口給它打上VLAN20的標簽在轉發到端口E1/0/2，端口E1/0/2剝離標簽后轉發至PCD。

Hybrid鏈路類型端口

    除了Access鏈路類型和Trunk鏈路類型端口外，交換機還支持第三種鏈路類型端口，稱為Hybrid鏈路類型端口。Hybrid端口可以接收和發送多個VLAN的數據幀，同時還能夠指定對任何VLAN幀進行剝離標簽操作。

    當網絡中大部分主機之間需要隔離，但這些隔離的主機又需要與另一臺互通時，可以使用Hybrid端口。

    在上圖中，PCA發出的以太網幀進入端口時打上VLAN10的標簽，在到達連接PCC的端口時，端口根據設定（Untag：10,20,30）將數據幀中的標簽剝離后發送給PCC,所以PCA與PCC能夠通信；同理，PCB也能與PCC通信。但PCA發出的以太網幀到達連接PCB的端口時，端口上設定（Untag：20,30）表明只對VLAN20、VLAN30的數據幀轉發且剝離標簽，而不允許VLAN10的幀通過，所以PCA與PCB不能互通。

VLAN的基本配置

    默認情況下，交換機只有VLAN1，所有的端口都屬于VLAN1且是Access鏈路類型端口。進行VLAN配置的基本步驟如下。

    第1步：在系統視圖下創建VLAN并進入VLAN視圖。配置命令為：

    vlan vlan-id

    第2步：在VLAN視圖下將指定端口加入到VLAN中。配置命令為：

    port interface-list

配置Trunk端口

    Trunk端口能夠允許多個VLAN的數據幀通過，通常用于在交換機之間互連。配置某個端口成為Trunk端口的步驟如下。

    第1步：在以太網端口視圖下指定端口鏈路類型為Trunk。配置命令為：

    port link-type trunk

    第2步：默認情況下，Trunk端口只允許默認VLAN即VLAN1的數據幀通過。所以，需要在以太網端口視圖下指定哪些VLAN幀能夠通過當前Trunk端口。配置命令為：

    port trunk permit vlan {vlan-id-list|all}

    第3步：必要時，可以在以太網端口視圖下設定Trunk端口的默認VLAN。配置命令為：

    port trunk pvid vlan vlan-id

注意

    默認情況下，Trunk端口的默認VLAN是VLAN1。可以根據實際進行修改默認VLAN，以保證兩端交換機的默認VLAN相同為原則，否則會發生同一VLAN內的主機跨交換機不能夠通信的情況。

配置Hybrid端口

    在某些情況下，需要用到Hybrid端口。Hybrid端口也能夠允許多個VLAN幀通過，并且還可以指定哪些VLAN數據幀被剝離標簽。配置某個端口成為Hybrid端口的步驟如下。

    第1步：在以太網端口視圖下指定端口鏈路類型為Hybrid。配置命令為：

    port link-type Hybrid

    第2步：默認情況下，所有Hybrid端口只允許VLAN1通過。所以，需要在以太網端口視圖下指定哪些VLAN數據幀能夠通過Hybrid端口，并指定是否剝離標簽。配置命令為：

    port Hybrid vlan vlan-id-list {tagged|untagged}

    第3步：在以太網端口視圖下設定Hybrid端口的默認VLAN。配置命令為：

    port Hybrid pvid vlan vlan-id

注意

    Trunk端口不能直接被設置為Hybrid端口。只能先設為Access端口，再設置為Hybrid端口。

VLAN配置實例

    上圖是VLAN的基本配置示例。圖中PCA與PCC屬于VLAN10，PCB與PCD屬于VLAN20，交換機之間使用Trunk端口相連，端口的默認VLAN是VLAN1。

    配置SWA：

        [SWA]vlan 10

        [SWA-vlan10]port Ethernet1/0/1

        [SWA]vlan 20

        [SWA-vlan20]port Ethernet1/0/2

        [SWA]interface Ethernet10/24

        [SWA-Ethernet1/0/24]port link-type trunk

        [SWA-Ethernet1/0/24]port trunk permit vlan 10 20

    配置SWB：

        [SWB]vlan 10

        [SWB-vlan10]port Ethernet1/0/1

        [SWB]vlan 20

        [SWB-vlan20]port Ethernet1/0/2

        [SWB]interface Ethernet10/24

        [SWB-Ethernet1/0/24]port link-type trunk

        [SWB-Ethernet1/0/24]port trunk permit vlan 10 20

    配置完成后，PCA與PCC能夠互通，PCB與PCD能夠互通；但PCA與PCB,PCC與PCD之間不能夠互通。

VLAN顯示及維護

    在任意視圖下可以使用display vlan命令來查看交換機當前啟用的VLAN。

    display vlan

    由圖中可以看到，目前交換機上有VLAN1、VLAN2、VLAN10存在，VALN1是默認VLAN。

    如果要查看某個具體VLAN所包含的端口，可以使用display vlan vlan-id命令。

    display vlan vlan-id

    由圖中可以看到，VLAN2中包含了Ethernet1/0/1、Ethernet1/0/3和Ethernet1/0/4等3個端口，且VLAN數據幀離開這些端口時需要剝離標簽。

    如果要查看具體端口的VLAN信息，可以使用display interface命令。

    display interface interface-type interface-number

    由圖中可知，端口Ethernet1/0/1的端口鏈路類型為Access，默認VLAN(Pvid)是VLAN1。如果是Trunk或Hybrid端口，則還會顯示哪些VLAN幀是攜帶標簽通過，哪些VLAN幀需要剝離標簽。