2016计算机网络基础教程：虚拟子网VLAN技术.docVIP

8.3虚拟子网VLAN技术 8.3.1 VLAN的工作原理 在建设局域网中，要把局域网分割成若干个子网，以隔离广播和实现子网间访问的限制。如果不使用VLAN技术，就需要为每个子网单独配置交换机，然后通过路由器来连接子网。如图8.8所示，假设每个楼层为一个部门的子网。 图 8.8 不使用VLAN的子网构造。 图8.8的构造有两个缺点：第一，如果三楼的若干节点划归一楼的部门（如办公室划归给一楼的部门），为了把三楼划归到一楼的主机迁移到一楼的子网中去，就需要重新沿三楼管线、竖井为这些主机布线，以便连接到一楼子网的交换机上。这样的工作量大，也耗费人力、物力。 第二，如果一楼的交换机端口数不够，就需要购买新的交换机（即使二楼的交换机有空余的端口也不能使用，因为它们不在一个子网上），这样就浪费了网络的投资。 综上所述，不使用VLAN交换机的子网划分，子网的物理位置变化非常困难，尤其在建网初期无法准确确定子网划分的时候，这个问题更加突出。同时，交换机的端口不能充分利用，浪费网络投资。 VLAN技术通过指定一台交换机上各个端口属于哪个子网的方法来分割网络。例如我们可以把一台24口交换机的1-6端口指定给部门1的子网，把7-20端口指定给部门2的子网，把21-24端口指定给部门3的子网。如图8.9所示： 图8.9用VLAN划分子网 要实现上述子网划分的指定，只需要在普通交换机的交换表上增加一列虚网号就可以实现： 图8.10带VLAN号的交换表 为了实现子网划分的功能，简单修改普通交换机对广播报文的处理就可以完成。我们知道，普通交换机处理广播报文的方法是向所有端口转发。现在修改成：对收到的广播报文只向同VLAN号的端口转发。这样一来，第一，广播报被限定在本子网中；第二，由于ARP广播不能被其它VLAN中的主机听到，也就无法直接访问其它子网的主机（尽管在同一台交换机上）。因此，这样的改进完全实现了子网划分所要求的功能。 由此可见，在交换机上通过简单地设置，就能分割出子网。通过VLAN设置分割出的子网，与分别使用几个交换机来物理分割出的子网，同样能实现： 子网之间的广播隔离 子网之间主机相互通讯需要路由器来转发 8.3.2 802.1q协议 一个数据报进入交换机后，交换机根据它是从哪个端口进入的，查交换表就可以得知它属于哪个VLAN。 图 8.11 交换机级联时通过802.1q判断数据报属于哪个虚网 使用VLAN划分子网后的交换机级联时，级联导线上既传送VLAN1，也传送VLAN2和VLAN3中的数据报。两个交换机的级联端口需要配置成属于所有VLAN。问题是，图8.11所示的交换机A如果从级联端口收到一个交换机B的数据报后，它怎么知道这个数据报属于哪个VLAN呢？ 802.1q协议规定了，当交换机需要将一个数据报发往另外一个交换机时，需要把这个数据报上做上一个帧标记，把VLAN号同时发往对方交换机。对方交换机收到这个数据报时，根据帧标记中的VLAN号，确定该数据报属于第几号虚拟子网。 802.1q协议规定帧标记插入到以太网帧报头中源MAC地址和上层协议两个字段之间，如图8.12所示。 图8.12 802.1q协议的帧标记 802.1q的帧标记用于把报文送往其它交换机时，通知对方交换机，发送该报文主机所属的VLAN。对方交换机据此，将新的MAC地址连同其VLAN号一起收录到自己交换表的级联端口中。 帧标记由源交换机从级联端口发送出去前嵌入帧报头中，再由接收方交换机从报头中卸下。（卸掉帧标记是非常重要的。如果没有这个操作，带有帧标记的数据报送到接收主机或路由器中时，接收主机或路由器就不能按照802.3协议正确解析帧报头中的各个字段。） 交换机的一个端口，如果对发出的数据报都插入帧标记，则称该端口工作在“Tag方式”。交换机在刚出厂的时候，所有端口都默认为是“Untag方式”。如果一个端口用于级联其它支持VLAN的交换机，则需要设置其为“Tag方式”。否则，交换机就不能完成802.1q的帧标记操作。 2