https://blog.csdn.net/2301_76769041/article/details/130054431

交換機可以隔離沖突域但是不能隔離廣播域,，當(dāng)主機數(shù)目較多時會導(dǎo)致安全隱患、廣播泛濫,、性能顯著下降甚至造成網(wǎng)絡(luò)不可用,。在這種情況下出現(xiàn)了VLAN (虛擬局域網(wǎng)，Virtual Local Area Network)技術(shù)解決以上問題,。

      如圖是一個典型的交換網(wǎng)絡(luò),，網(wǎng)絡(luò)中只有終端計算機和交換機。在這樣的網(wǎng)絡(luò)中,，如果某一臺計算機發(fā)送了一個廣播幀,，由于交換機對廣播幀執(zhí)行泛洪操作，結(jié)果所有其他的計算機都會收到這個廣播幀,。

      在典型交換網(wǎng)絡(luò)中,，當(dāng)某臺主機發(fā)送一個廣播幀或未知單播幀時，該數(shù)據(jù)幀會被泛洪,，甚至傳遞到整個廣播域,，廣播域越大,，產(chǎn)生的網(wǎng)絡(luò)安全問題、垃圾流量問題,，就越嚴(yán)重,。

      如上圖：如果PC1向PC2發(fā)送了一個單播幀。此時SW1,、SW3、SW7的MAC地址表中存在關(guān)于PC2的MAC地址表項,，但SW2和SW5不存在關(guān)于PC2的MAC地址表項,。那么，SW1和SW3將對該單播幀執(zhí)行點對點的轉(zhuǎn)發(fā)操作,，SW7將對該單播幀執(zhí)行丟棄操作,，SW2和SW5將對該單播幀執(zhí)行泛洪操作。最后的結(jié)果是,，PC2雖然收到了該單播幀,，但網(wǎng)絡(luò)中的很多其他非目的主機，同樣收到了不該接收的數(shù)據(jù)幀,。顯然,，廣播域越大，網(wǎng)絡(luò)安全問題和垃圾流量問題就越嚴(yán)重,。

      為了解決廣播域帶來的問題,，人們引入了VLAN (Virtual Local Area Network)，即虛擬局域網(wǎng)技術(shù)：

通過在交換機上部署VLAN,，可以將一個規(guī)模較大的廣播域在邏輯上劃分成若干個不同的,、規(guī)模較小的廣播域，由此可以有效地提升網(wǎng)絡(luò)的安全性,，同時減少垃圾流量,，節(jié)約網(wǎng)絡(luò)資源。

VLAN的特點：

      一個VLAN就是一個廣播域,，所以在同一個VLAN內(nèi)部,，計算機可以直接進行二層通信；而不同VLAN內(nèi)的計算機,，無法直接進行二層通信,，只能進行三層通信來傳遞信息，即廣播報文被限制在一個VLAN內(nèi),。

VLAN的劃分不受地域的限制,。

VLAN的好處：

      靈活構(gòu)建虛擬工作組：用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍,，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活,。

      限制廣播域：廣播域被限制在一個VLAN內(nèi),，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力,。

      增強局域網(wǎng)的安全性：不同VLAN內(nèi)的報文在傳輸時是相互隔離的,，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信。

      提高了網(wǎng)絡(luò)的健壯性：故障被限制在一個VLAN內(nèi),，本VLAN內(nèi)的故障不會影響其他VLAN的正常工作,。

vlan可以減小廣播域的大小，增加廣播域的數(shù)量,，今天我們就來看看VLAN的實現(xiàn)原理,，如圖所示：

      Switch1與Switch2同屬一個企業(yè)，該企業(yè)統(tǒng)一規(guī)劃了網(wǎng)絡(luò)中的VLAN,。其中VLAN10用于A部門,，VLAN20用于B部門。A,、B部門的員工在Switch1和Switch2上都有接入,。

      PC1發(fā)出的數(shù)據(jù)經(jīng)過Switch1和Switch2之間的鏈路到達了Switch2。如果不加處理,，后者無法判斷該數(shù)據(jù)所屬的VLAN,，也不知道應(yīng)該將這個數(shù)據(jù)輸出到本地哪個VLAN中。

     為了標(biāo)識數(shù)據(jù)幀所屬的VLAN就引入了VLAN標(biāo)簽 (VLAN Tag),，要使交換機能夠分辨不同VLAN的報文,，需要在報文中添加標(biāo)識VLAN信息的字段。IEEE 802.1Q協(xié)議規(guī)定,，在以太網(wǎng)數(shù)據(jù)幀中加入4個字節(jié)的VLAN標(biāo)簽,，又稱VLAN Tag，簡稱Tag,。

     如圖所示,，SW1識別出某個幀是屬于哪個VLAN后，會在這個幀的特定位置上添加一個標(biāo)簽,。這個標(biāo)簽明確地標(biāo)明了這個幀是屬于哪個VLAN的,。其他交換機（如SW2）收到這個帶標(biāo)簽的數(shù)據(jù)幀后，就能輕而易舉地直接根據(jù)標(biāo)簽信息識別出這個幀屬于哪個VLAN,。

      最后我們來看一看VLAN數(shù)據(jù)幀有哪些字段：

      在一個VLAN交換網(wǎng)絡(luò)中,，以太網(wǎng)幀主要有以下兩種形式：

1. 有標(biāo)記幀（Tagged幀）：IEEE 802.1Q協(xié)議規(guī)定，在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后,、協(xié)議類型字段之前加入4個字節(jié)的VLAN標(biāo)簽（又稱VLAN Tag,，簡稱Tag）的數(shù)據(jù)幀。

2. 無標(biāo)記幀（Untagged幀）：原始的、未加入4字節(jié)VLAN標(biāo)簽的數(shù)據(jù)幀,。

     VLAN數(shù)據(jù)幀中的主要字段：

1. TPID：2字節(jié),，Tag Protocol Identifier（標(biāo)簽協(xié)議標(biāo)識符），表示數(shù)據(jù)幀類型,。

2. 取值為0x8100時表示IEEE 802.1Q的VLAN數(shù)據(jù)幀,。如果不支持802.1Q的設(shè)備收到這樣的幀，會將其丟棄,。

3. 各設(shè)備廠商可以自定義該字段的值,。當(dāng)鄰居設(shè)備將TPID值配置為非0x8100時，為了能夠識別這樣的報文,，實現(xiàn)互通,，必須在本設(shè)備上修改TPID值，確保和鄰居設(shè)備的TPID值配置一致,。

4. PRI：3 bit，Priority,，表示數(shù)據(jù)幀的優(yōu)先級,，用于QoS。

5. 取值范圍為0～7,，值越大優(yōu)先級越高,。當(dāng)網(wǎng)絡(luò)阻塞時，交換機優(yōu)先發(fā)送優(yōu)先級高的數(shù)據(jù)幀,。

6. CFI：1 bit,，Canonical Format Indicator（標(biāo)準(zhǔn)格式指示位），表示MAC地址在不同的傳輸介質(zhì)中是否以標(biāo)準(zhǔn)格式進行封裝,，用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)

7. CFI取值為0表示MAC地址以標(biāo)準(zhǔn)格式進行封裝,，為1表示以非標(biāo)準(zhǔn)格式封裝。

8. 在以太網(wǎng)中,，CFI的值為0,。

9. VID：12 bit，VLAN ID,，表示該數(shù)據(jù)幀所屬VLAN的編號,。

10. VLAN ID取值范圍是0～4095。由于0和4095為協(xié)議保留取值,，所以VLAN ID的有效取值范圍是1～4094,。

11. 交換機利用VLAN標(biāo)簽中的VID來識別數(shù)據(jù)幀所屬的VLAN，廣播幀只在同一VLAN內(nèi)轉(zhuǎn)發(fā),，這就將廣播域限制在一個VLAN內(nèi),。

如何識別帶VLAN標(biāo)簽的數(shù)據(jù)幀：

數(shù)據(jù)幀的Length/Type = 0x8100。

注意：計算機無法識別Tagged數(shù)據(jù)幀，因此計算機處理和發(fā)出的都是Untagged數(shù)據(jù)幀,；為了提高處理效率,，交換機內(nèi)部處理的數(shù)據(jù)幀一律都是Tagged幀。