▲ VLAN是什么

在這張圖中，我們可以看到一個(gè)大樓有三層，最下面的一個(gè)交換機(jī)肯定是一個(gè)核心交換機(jī)，然后連接三個(gè)接入層交換機(jī)，每個(gè)接入層交換機(jī)又分別接入一些PC機(jī)，這些PC機(jī)有銷售部，人事部，以及工程部。

VLAN的特點(diǎn)就是可以實(shí)現(xiàn)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)管理更加靈活，相對(duì)比較安全，我們先看第一個(gè)實(shí)現(xiàn)網(wǎng)絡(luò)分段：

網(wǎng)絡(luò)分段就是分割網(wǎng)絡(luò)廣播，我們以前講到交換機(jī)所有的端口都在一個(gè)VLAN里，也就是同一個(gè)廣播域中，而我們使用了VLAN技術(shù)以后，VLAN的數(shù)目增加了，廣播域增加了，但每一個(gè)廣播域的范圍縮小了。一個(gè)交換機(jī)可以分成兩個(gè)VLAN，三個(gè)VLAN，甚至更多的VLAN。那么就實(shí)現(xiàn)了只能是同一個(gè) VLAN中的節(jié)點(diǎn)才可以通訊。那如果不同VLAN中的節(jié)點(diǎn)如果想通訊，就需要借助路由。

第二個(gè)特點(diǎn)就是靈活，大家從圖上可以看到不論哪一個(gè)部門都會(huì)跨越三個(gè)樓層，如一樓有銷售部員的電腦，二樓也有，三樓還有，其他兩個(gè)部門也一樣，但我們又需要實(shí)現(xiàn)同一個(gè)部門之間的PC機(jī)可以通訊，這使用 VLAN也可以實(shí)現(xiàn)，那如果沒有VLAN的話，就需要一個(gè)部門只能在同一個(gè)樓層，接在同一個(gè)交換機(jī)上，但現(xiàn)在有了VLAN，即使大家不在同一個(gè)交換機(jī)上，但只要在同一個(gè)VLAN上也可以進(jìn)行通訊。我們后面會(huì)詳細(xì)介紹。

至于第三個(gè)特點(diǎn)安全：就“明白人不用細(xì)說”，你把網(wǎng)絡(luò)分段了，同一個(gè)VLAN是一個(gè)廣播域，默認(rèn)跟其他VLAN不能通訊，也就是說我這個(gè)部門與其他部門的PC默認(rèn)是通訊不了的，相對(duì)來說就要安全許多!

下面咱們來看一下VLAN的運(yùn)行過程：

我們已經(jīng)知道了在同一個(gè)交換機(jī)里所有的端口默認(rèn)屬于VLAN1，但我們可以分成若干個(gè)VLAN，每一個(gè)VLAN都相當(dāng)于是一個(gè)物理的交換機(jī)，也就是說只能是同一個(gè)VLAN中的節(jié)點(diǎn)可以通訊，并且同一個(gè)VLAN可以跨越多個(gè)交換機(jī)，怎么理解，我們來看一個(gè)圖：

▲ VLAN運(yùn)行過程

大家可以看到這個(gè)圖中，有兩個(gè)交換機(jī)，每個(gè)交換機(jī)中又為了三個(gè)VLAN，一個(gè)是紅色VLAN，一個(gè)是黑色VLAN，一個(gè)是綠色VLAN，每個(gè)交換機(jī)中只能是同一個(gè)VLAN中的節(jié)點(diǎn)可以通訊，但是只要中間加了一個(gè)“道路”，我們就可以實(shí)現(xiàn)A交換機(jī)的紅色VLAN和B交換機(jī)的紅色VLAN通訊，黑色和綠色也同理，相當(dāng)于紅色VLAN跨了兩個(gè)交換機(jī)。在這里需要引入兩個(gè)術(shù)語：

Access-link:接入端口，普通的交換機(jī)端口用于連接終端設(shè)備，連接到這個(gè)端口上的設(shè)備完全不知道存在著一個(gè)VLAN，它不需要知道VLAN的信息，它就認(rèn)為只存在它一個(gè)VLAN即可!

Trunk-link:稱為干道鏈路，只有快速以太網(wǎng)口(或更高)才可以配置成干道鏈路，承載的是多個(gè)VLAN之間的信息，即一個(gè)交換機(jī)的一個(gè)VLAN 如果想與另一個(gè)交換機(jī)的相同VLAN之間進(jìn)行通訊就必須要經(jīng)過這個(gè)Trunk-link.任何一個(gè)VLAN都是一樣，我們這張圖中有三個(gè)VLAN，那么這三個(gè)VLAN就可以通過這個(gè)trunk-link鏈路與另一個(gè)交換機(jī)中的相同VLAN進(jìn)行通訊。這樣的話，不論有多少VLAN，在兩個(gè)交換機(jī)中只要有一條干道鏈路就可以進(jìn)行通訊。那肯定有人要問了，我這個(gè)交換機(jī)中的紅色VLAN傳一個(gè)數(shù)據(jù)到對(duì)方去，對(duì)方怎么知道就是和對(duì)方的紅色VLAN進(jìn)行通訊呢。在這里，主干會(huì)使用一種特殊的封裝模式來對(duì)不同的VLAN進(jìn)行封裝，也就是對(duì)不同的VLAN打上一個(gè)標(biāo)記。

注： 一個(gè)交換機(jī)的任何端口都必須屬于且只能屬于一個(gè)VLAN，但如果某個(gè)端口被配置成TRUNK后，該端口就失去了它原來的VLAN標(biāo)識(shí)，不屬于任何VLAN，只是起到為所有的VLAN傳輸數(shù)據(jù)。

交換機(jī)對(duì)不同的VLAN進(jìn)行標(biāo)記只有兩種不同的方法：

ISL：思科私有的標(biāo)記方法，只適合于思科交換機(jī)

IEEE802.1Q：一種IEEE標(biāo)準(zhǔn)方法，可以連接不同廠家的交換機(jī)

我們首先來看一下ISL標(biāo)記

ISL：Inter Switch Link ，屬于Cisco私有，即指兩設(shè)備間的一條點(diǎn)對(duì)點(diǎn)的連接線路，與8021.Q一樣作用于第2層，所不同的是，ISL協(xié)議頭和協(xié)議尾封裝了整個(gè)第2層的以太幀。正因?yàn)榇耍琁SL被認(rèn)為是一種能在交換機(jī)間傳遞第2層任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議。ISL所封裝的幀可以是令牌環(huán)或快速以太網(wǎng)，在原數(shù)據(jù)幀的基礎(chǔ)上加入了26字節(jié)的頭和一個(gè)4字節(jié)的尾。這樣總共是加入了30字節(jié)，如果是一個(gè)不認(rèn)識(shí)ISL的設(shè)備(非思科)那么就認(rèn)為這是一個(gè)巨幀，所以如果不是思科的設(shè)備不能使用ISL。ISL封裝如下圖所示：

▲ ISL封裝格式

這里大家可以看的很清楚，20個(gè)字節(jié)中包含了很多東西，但別的大家沒有必要知道，我也沒有細(xì)研究過，但是最主要的兩個(gè)大家要知道，一個(gè)就是VLAN，另一個(gè)就是BPDU。

VLAN：表明屬于VLAN在通訊，不同VLAN有相應(yīng)的VLAN號(hào)，是一個(gè)數(shù)字，多達(dá)1024

BPDU：如果是STP數(shù)據(jù)幀，則此位為1

或者比較形象的可以表示為下圖：一個(gè)標(biāo)準(zhǔn)的二層數(shù)據(jù)幀加下ISL標(biāo)記后就多了30個(gè)字節(jié)。

我們來針對(duì)下面這個(gè)圖看一下同一個(gè)VLAN是如何跨之外交換機(jī)工作的。

一個(gè)PC機(jī)發(fā)出的數(shù)據(jù)在傳給交換機(jī)時(shí)在進(jìn)入trunk干道之間會(huì)加上ISL的標(biāo)記，然后就可以在干道上傳輸，到在對(duì)方的交換機(jī)后，交換機(jī)通過查看數(shù)據(jù)幀知道這個(gè)數(shù)據(jù)包是傳給哪個(gè)VLAN的于是去掉相應(yīng)的VLAN標(biāo)識(shí)，再傳給相應(yīng)的VLAN內(nèi)的PC。

另一種封裝標(biāo)記是:IEEE標(biāo)準(zhǔn)委員會(huì)制定的802.1Q：主要用于不同廠家的交換機(jī)來建立多個(gè)VLAN，操作原理和ISL一樣，也是在進(jìn)入TRUNK 之前打上一個(gè)標(biāo)記，到達(dá)對(duì)方的交換機(jī)后再去掉這個(gè)標(biāo)記。但這個(gè)標(biāo)記，就不是在兩邊加，而是在中間加上一個(gè)標(biāo)記，我們來看一下：

IEEE802.1Q所附加的VLAN識(shí)別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域(Type Field)”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計(jì)4字節(jié)。在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容，那么CRC值自然也會(huì)有所變化。這時(shí)數(shù)據(jù)幀上的CRC是插入TPID、TCI后，對(duì)包括它們?cè)趦?nèi)的整個(gè)數(shù)據(jù)幀重新計(jì)算后所得的值。

其中TPID是IEEE定義的新類型，表明這是一個(gè)加了802.1Q標(biāo)簽的幀。

TCI：tag control information 標(biāo)簽控制信息，共有兩個(gè)字節(jié)，其中12位是VLANID，取值從0-4095，共4096個(gè)，3位為優(yōu)先級(jí)，規(guī)定了8種優(yōu)先級(jí)，還有1位是cfi，在總線型以太網(wǎng)，F(xiàn)DDI，令牌環(huán)網(wǎng)等網(wǎng)絡(luò)交換數(shù)據(jù)時(shí)使用。

而當(dāng)數(shù)據(jù)幀離開trunk鏈路時(shí)，TPID和TCI會(huì)被去除，這時(shí)還會(huì)進(jìn)行一次CRC的重新計(jì)算。

以上就是兩種標(biāo)記的分析!下面咱們來看一下VLAN的具體配置：

對(duì)于VLAN進(jìn)行配置，思科使用兩種方法：第一種config-vlan 第二種 vlan database

但思科所推薦的是第一種config-vlan方式，vlan database有點(diǎn)老了，使用vlan database的配置方式，所以的配置信息是存放在vlan.dat文件中，所以有時(shí)你刪除一個(gè)配置文件后重啟發(fā)現(xiàn)VLAN的信息還在，這就是因?yàn)? VLAN的配置信息不是存放在NVRAM中的，必須去手動(dòng)刪除vlan.dat文件才可以。而config-vlan不會(huì)有此問題。下表中我給出兩種方法的相關(guān)配置語句。

▲ 相關(guān)配置命令

huanghui