VLAN基本概.docVIP

VLAN（Virtual Local Area Network ）技术的基本概念和应用 1．什么是VLAN？ VLAN是虚拟局域网的英文缩写，是基于一个广播域的交换机端口的集合。IEEE 802.1Q标准定义了VLAN的基本概念和实现原理。 VLAN的主要作用是隔离广播域。将一个物理网络划分成多个逻辑上的VLAN，可以将一个广播域划分成多个小的广播域，每个VLAN对应一个小的广播域，一个VLAN中的广播不能传播到其他的VLAN，这样有效地控制广播风暴的发生。 VLAN可分为：基于端口的VLAN、基于MAC地址的VLAN、基于IP地址的VLAN、基于IP子网的VLAN、基于协议的VLAN和用户自定义的VLAN。其中最常用的也是最基本的是：基于端口的VLAN，它按照接收端口来确定一个数据包的VLAN属性。 VLAN的属性是指：当一个交换机端口接收到一个数据包时，确定这个数据包属于哪个VLAN。 2．VLAN的主要功能 通过VLAN可以非常灵活地将一个物理网络按照需求划分成多个逻辑子网。例如，某公司由于各部门的业务不同以及安全的需求，可以按照市场部、工程部、财务部将公司的网络划分成三个不同的VLAN，各部门不能直接访问，下面是一个使用cisco交换机组网的例子： 在这个网络中，一个部门网络的成员可以在不同的楼层，可以与不同的交换机端口相连，组网方式非常灵活。通过把公司网络划分成三个VLAN，广播报文只限制在一个VLAN内传播，大大提高了网络的使用效率。 简化端站的移动、增加与更换。当一台终端站被移动到新的物理位置，它的属性可以从一台管理工作站上通过简单网络管理协议（SNMP）或用户接口菜单重新分配。若端站在同一VLAN中移动，在新的位置它将保持原有的属性。若端站移动到不同的VLAN，那它将被赋予新的VLAN的属性。 网络安全。把一个物理网络划分成若干个VLANs，每个VLAN中的广播只能在本VLAN所属的交换机端口传播，提高整个网络的安全性。 3．VLAN的实现 IEEE 802.1Q标准定义了动态实现VLAN的机制。这里不作介绍。 为了实现VLAN，IEEE 802.1Q标准定义了一种新的帧格式。它在标准的以太网帧的源MAC地址后面加入了一个Tag header（4字节），此格式用下图表示： DA SA Type Data CRC 标准以太网帧 DA SA Tag Type Data CRC 0x8100 Priority CFI VLAN ID IEEE 802.1Q标准帧格式 其中： DA—目的MAC地址； SA—源MAC地址； Data—帧中所携带的用户数据； CRC—循环冗余校验； Priority—用户优先级； VLAN ID—用来标识一个VLAN的ID号，取值范围：1~4094。 在帧中加入tag的目的是为了携带VLAN信息，表明这个数据帧属于哪个 VLAN，即确定数据帧的属性。 VLAN中端口成员的确定： VLAN端口成员的确定与VLAN的类型有关。分为基于端口的VLAN 和基于策略的VLAN。基于策略的VLAN又分为基于MAC地址的VLAN、 基于协议的VLAN、基于IP子网的VLAN、用户自定义VLAN。 对于基于端口的VLAN，属于这个VLAN的端口都被网络管理软件明确 配置为这个VLAN的成员。 对于基于策略的VLAN，VLAN中的成员端口既可以由软件明确指定某 一端口固定属于某一VLAN，也可以由软件将某一端口设为该VLAN的潜在 的成员。对于潜在的成员，需根据该VLAN的类型确定一些具体的策略。路 由交换机监视从该端口进入的数据包，如果数据包满足策略要求的条件，则 该端口成为该VLAN的临时成员。路由交换机继续监视该端口，如果在一定 时间内没有收到满足该条件的数据包。将该端口从VLAN中删除。对于基于 MAC地址的VLAN，路由交换机需要保持一个对该VLAN的MAC地址表。 对于其它几种类型的VLAN，路由交换机也需要根据具体VLAN类型确定该 种VLAN所需策略。 确定数据包的VLAN属性 对于带有802.1Q Tag的数据包，则直接根据数据包中所带标记确定其 VLAN属性。对于未带有Tag的数据包，则交换机根