VLAN IEEE802.1Q

1、 VLAN产生缘由-广播风暴 传统的局域网使用的是HUB，HUB只有一根总线，一根总线就是一个冲突域。因此传统的局域网是一个扁平的网络，一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的全部其它机器接收到。后来，组网时使用网桥（二层交换机）代替集线器（HUB），每一个端口能够当作是一根单独的总线，冲突域缩小到每一个端口，使得网络发送单播报文的效率大大提升，极大地提升了二层网络的性能。可是网络中全部端口仍然处于同一个广播域，网桥在传递广播报文的时候依然要将广播报文复制多份，发送到网络的各个角落。随着网络规模的扩大，网络中的广播报文愈来愈多，广播报文占用的网络资源愈来愈多，严重影响网络性能，这就是所谓的广播风暴的问题。 因为网桥二层网络工做原理的限制，网桥对广播风暴的问题无能为力。为了提升网络的效率，通常须要将网络进行分段：把一个大的广播域划分红几个小的广播域。 过去每每经过路由器对LAN进行分段。用路由器替换中心节点交换机，使得广播报文的发送范围大大减少。这种方案解决了广播风暴的问题，可是用路由器是在网络层上分段将网络隔离，网络规划复杂，组网方式不灵活，而且大大增长了管理维护的难度。作为替代的LAN分段方法，虚拟局域网被引入到网络解决方案中来，用于解决大型的二层网络环境面临的问题。 虚拟局域网（VLAN——Virtual Local Area Network）逻辑上把网络资源和网络用户按照必定的原则进行划分，把一个物理上实际的网络划分红多个小的逻辑的网络。这些小的逻辑的网络造成各自的广播域，也就是虚拟局域网VLAN 虚拟局域网将一组位于不一样物理网段上的用户在逻辑上划分红一个局域网内，在功能和操做上与传统LAN基本相同，能够提供必定范围内终端系统的互联。VLAN与传统的LAN相比，具备如下优点：

1. 减小移动和改变的代价 即所说的动态管理网络，也就是当一个用户从一个位置移动到另外一个位置时，他们的网络属性不须要从新配置，而是动态的完成。 2.虚拟工做组 使用VLAN的最终目标就是创建虚拟工做组模型，广播包限制在该VLAN上，不影响其余VLAN。一我的若是从一个办公地点换到另一个地点，而他任然在该部门，那么，该用户的配置无须改变；同时，若是一我的虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置便可。 用户不受到物理设备的限制，VLAN用户能够处于网络中的任何地方； VLAN对用户的应用不产生影响； VLAN的应用解决了许多大型二层交换网络产生的问题： 有效地解决了广播风暴带来的性能降低问题。 加强通信的安全性: 一个VLAN的数据包不会发送到另外一个VLAN，这样，其余VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其余VLAN的人窃听，从而实现了信息的保密； 加强网络的健壮性: 当网络规模增大时，部分网络出现问题每每会影响整个网络，引入VLAN以后，能够将一些网络故障限制在一个VLAN以内。 VLAN是逻辑上对网络进行划分，组网方案灵活，配置管理简单，下降了管理维护的成本。

2、VLAN的类型 1.基于端口的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，这些属于同一VLAN的端口能够不连续，如何配置，由管理员决定。

2.基于MAC地址的VLAN 这种划分VLAN的方法是根据每一个主机的MAC地址来划分，即对全部主机都根据它的MAC地址配置主机属于哪一个VLAN；交换机维护一张VLAN映射表，这个VLAN表记录MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优势就是当用户物理位置移动时，即从一个交换机换到其余的交换机时，VLAN不用从新配置，因此，能够认为这种根据MAC地址的划分方法是*基于用户的_VLAN。 缺点是初始化时，全部的用户都必须进行配置，若是用户不少，配置的工做量是很大的。此外这种划分的方法也致使了交换机执行效率的下降，由于在每个交换机的端口均可能存在不少个VLAN组的成员，这样就没法限制广播包。另外，对于使用笔记本电脑的用户来讲，他们的网卡可能常常更换，这样，VLAN就必须不停的配置。

3.基于协议的VLAN 根据二层数据帧中协议字段进行VLAN的划分。经过二层数据中协议字段，能够判断出上层运行的网络协议，如IP协议或者是IPX协议。若是一个物理网络中既有IP网络又有IPX等多种协议运行的时候，能够采用这种VLAN的划分方法。

4.基于子网的VLAN 基于IP子网的VLAN根据报文中的IP地址决定报文属于哪一个VLAN：同一个IP子网的全部报文属于同一个VLAN。这样，能够将同一个IP子网中的用户被划分在一个VLAN内。 利用IP子网定义VLAN有如下几点优点： 1)这种方式能够按传输协议划分网段。这对于但愿针对具体应用的服务来组织用户的网络管理者来讲是很是有诱惑力的。 2)用户能够在网络内部自由移动而不用从新配置本身的工做站，尤为是使用TCP/IP的用户。 缺点是效率，由于检查每个数据包的网络层地址是很费时的。同时因为一个端口也可能存在多个VLAN的成员，对广播报文也没法有效抑制。

####IEEEE802.1Q协议

IEEE802.1Q是虚拟桥接局域网的正式标准，定义了同一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式，为识别帧属于哪一个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法，有利于保证不一样厂家设备配置的VLAN能够互通。 IEEE 802.1Q定义了一下内容: VLAN的架构； VLAN中所提供的服务； VLAN实施中涉及的协议和算法；

1、VLAN帧格式 四个字节的802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。 TPID（Tag Protocol Indentifier）是IEEE定义的新的类型，代表这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。 TCI是包含的是帧的控制信息，它包含了下面的一些元素： Priority：这3 位指明帧的优先级。一共有8种优先级，0－7。IEEE 802.1Q标准使用这三位信息。 Canonical Format Indicator( CFI )：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。 VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每一个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明本身属于哪个VLAN。 在一个交换网络环境中，以太网的帧有两种格式：有些帧是没有加上这四个字节标志的，称为未标记的帧（ungtagged frame），有些帧加上了这四个字节的标志，称为带有标记的帧（tagged frame）。

2、VLAN链路 接入链路 干道链路 接入链路指的是用于链接主机和交换机的链路。一般状况下主机并不须要知道本身属于哪些VLAN，主机的硬件也不必定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。 接入链路属于某一个特定的端口，这个端口属于一个而且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN发送信息。不一样VLAN的信息必须经过三层路由处理才能转发到这个端口上。 干道链路是能够承载多个不一样VLAN数据的链路。干道链路一般用于交换机间的互连，或者用于交换机和路由器之间的链接。 数据帧在干道链路上传输的时候，交换机必须用一种方法来识别数据帧是属于哪一个VLAN的。IEEE 802.1Q定义了VLAN帧格式，全部在干道链路上传输的帧都是打上标记的帧（tagged frame）。经过这些标记，交换机就能够肯定哪些帧分别属于哪一个VLAN。 和接入链路不一样，干道链路是用来在不一样的设备之间（如交换机和路由器之间、交换机和交换机之间）承载VLAN数据的，所以干道链路是不属于任何一个具体的VLAN的。经过配置，干道链路能够承载全部的VLAN数据，也能够配置为只能传输指定的VLAN的数据。 干道链路虽然不属于任何一个具体的VLAN，可是能够给干道链路配置一个pvid（port VLAN ID）。当干道链路不论由于什么缘由，trunk链路上出现了没有带标记的帧，交换机就给这个帧增长带有pvid的VLAN标记，而后进行处理。

3、VLAN帧在网络中的通讯 对于主机来讲，它是不须要知道VLAN的存在的。主机发出的报文都是untagged的报文；交换机接收到这样的报文以后，根据配置规则（如端口信息）判断出报文所属VLAN进行处理。若是报文须要经过另一台交换机发送，则该报文必须经过干道链路传输到另一台交换机上。为了保证其它交换机正确处理报文的VLAN信息，在干道链路上发送的报文都带上了VLAN标记。 当交换机最终肯定报文发送端口后，将报文发送给主机以前，将VLAN的标记从以太网帧中删除，这样主机接收到的报文都是不带VLAN的标记的以太网帧。 因此，通常状况下，干道链路上传送的都是Tagged Frame，接入链路上传送的都是Untagged Frame。这样作的最终结果是：网络中配置的VLAN能够被全部的交换机正确处理，而主机不须要了解VLAN信息。

4、Trunk和VLAN 一个VLAN就肯定了一个广播域。广播报文可以被在一个广播域中的全部主机接收到，也就是说，广播报文必须被发送到一个VLAN中的全部端口。由于VLAN可能跨越多个交换机，当一个交换机从某VLAN的一个端口收到广播报文以后，为了保证同属一个VLAN的全部主机都接收到这个广播报文，交换机必须按照以下原则将报文进行转发： 1.发送给本交换机中同一个VLAN中的其余端口 2.将这个包报文发送给本交换机的包含这个VLAN的全部干道链路，以便让其余交换机上的同一个VLAN的端口也发送该报文。 将一个端口设置为Trunk端口，也就是说，和这个端口相连的链路被设置为Trunk链路，同时还能够配置哪些VLAN的报文能够经过这个干道链路。配置容许经过的VLAN，须要根据网络的配置状况进行考虑，而不该该让干道链路传输全部的VLAN：由于某一VLAN的全部广播报文必须被发送到这个VLAN的每个端口，若是让干道链路传输全部的VLAN，这些广播报文将被干道链路传送到全部的其它交换机上。若是在干道链路的另一端没有这个VLAN的成员端口，那么带宽和处理时间就会被白白浪费。

对于多数用户来讲，手工配置太麻烦了。一个规模比较大的网络可能包含多个VLAN，并且网络的配置也会随时发生变化，致使根据网络的拓扑结构逐个交换机配置Trunk端口过于复杂。这个问题能够由GVRP协议来解决：GVRP协议根据网络状况动态配置干道链路。

www.huawei.com