虛擬局域網(Virtual Local Area Network,簡稱VLAN)是基于IEEE 802.1q技術標準的網絡管理協議,于1999年6月由IEEE委員會正式頒布實施,VLAN技術最早由Cisco(思科)公司于1996年提出,經過十多年的發(fā)展,已經成為最熱門的以太網局域網技術,VLAN屬于OSI/RM二層技術。
VLAN技術主要用于將大的交換網絡通過相應的設置劃分為多個小的交換網絡,用于隔離二層通信,使得不同VLAN中的主機不能直接通過二層進行通信,從而達到縮小廣播域的作用,能夠有效的抑制網絡廣播風暴,保證正常的數據交換不受影響。
要理解VLAN技術的形成以及作用,必須先要從廣播風暴說起,在交換網絡中,當交換機接收到數據幀時,會通過交換機緩存ARP表項中查找目的MAC地址,一旦找不到幀中的目的MAC地址的話,就對交換機除源端口以外的其他所有端口進行“泛洪”轉發(fā)。當交換網絡比較大,網絡節(jié)點比較多的時候,所產生的廣播幀也會比較多,就會導致廣播幀泛濫從而導致廣播風暴給整個網絡帶來沉重的負載,從而導致網絡通信延時加大甚至網絡出現癱瘓的情況。解決廣播風暴的主導思想是:將沒有互訪需求的主機隔離開來,劃分廣播域,廣播通信只在同一網段內進行,不能通過路由器或其他三層設備跨網段進行廣播,所以人們最早是利用端口分組方式來劃分廣播域(即同一物理交換機的VLAN,后文詳細描述,但是其只能在一臺交換機上實現),而后來的VLAN技術則能夠不考慮用戶的物理位置,可以聚合不在同一物理網段的主機。
用類比的方式來比喻虛擬局域網:某個公司組織年會,有多個部門同時參加,比如生產部,銷售部,技術部等部門,各個部門的人都要在年會上討論相關的問題,公司的所有人都安排在同一個會場內,各人提出相應的問題并且要求相應的解決辦法,如果知道解決問題的人選則會走過去一對一進行討論,如果沒有確定的交談對象或者不知道交談對象在哪里,則使用高音喇叭(要讓所有人聽見)詢問會場內所有人,可以想象,當公司的人員比較少的情況下,會場秩序還可以基本維持,當公司人員超過一定程度,會場內就會嘈雜不已,完全不能進行對話。而就公司的具體情況,一般而言,大多數問題都是部門內部的問題或者針對一些特定的話題,將會場劃分為多個獨立的小區(qū)間,針對各個部門或者某個特定話題將人員歸類至小區(qū)間進行會議。如果會議中發(fā)現有問題超出自己的范疇,將相關的問題上交至公司領導層,由其分發(fā)至相關的部門進行處理。
VLAN技術源于端口分組,其實也就是在同一物理交換機上的VLAN,就是將交換機的端口進行分組,劃分為多個VLAN,每個VLAN都可以看作是一臺交換機,其與物理交換機具有相同的基本屬性,不同VLAN之間的不能直接相互通信,即使他們處于同一網段內,只能通過路由或者網關配置來實現相互通信。這樣就將廣播幀限制在較小的廣播域中,從而達到抑制廣播風暴的效果。不同物理交換機的VLAN,其 VLAN的端口成員不是依據成員的物理位置劃分,可以位于不同的交換機上,即一個VLAN可以跨越多個物理交換機。位于不同物理交換機上的相同VLAN可以直接進行二層通信,只要物理交換機的連接端口允許相應的VLAN數據包通過即可。VLAN之間的相互連接就像兩個獨立交換網絡之間的連接,有兩種方式:A.通過網關實現。B.通過路由實現。
IEEE802.1Q幀頭部格式:作為一個二層協議,交換機在啟用VLAN之后就會在以太網幀上進行封裝,添加VLAN協議頭,也就是在以太網幀數據字段前加上用于標記幀VLAN信息的四個字段(共四個字節(jié)),分別為:TPID,Priority,CFI,VLAN ID. 其中Priority,CFI,VLAN ID三個字段統(tǒng)稱為標簽控制信息(Tag Control Information,簡稱TCI).四個字段的具體說明如下:
TPID:標簽協議標識符字段(Tag Protocol IDentifier)占2個字節(jié)(16位),表明是添加了IEEE 802.1Q 標簽的幀,值固定為0x8100(表示封裝了802.1Q VLAN協議).Priority:用戶優(yōu)先級字段(User Priority)占3位,表示8個優(yōu)先級,主要用于交換機阻塞時,優(yōu)先發(fā)送哪個數據幀,是服務質量(QoS)的應用,其在IEEE 80.21p規(guī)范中詳細定義(IEEE 802.1p是IEEE 802.1Q規(guī)范的擴充協議,與IEEE 802.1Q規(guī)范協同工作,其使得二層交換機提供動態(tài)組播過濾和流量優(yōu)先級服務)。CFI:標準格式指示器字段(Canonical Format Idicator)占1位,主要用于兼容以太網和令牌環(huán)網,在以太網中取值總是為0,表示MAC地址在傳輸介質中以標準格式進行封裝,1表示為非標準格式封裝。VLAN ID:VLAN標識字段(VLAN IDentified),占12位,表明VLAN的ID,表明自己屬于哪一個VLAN,共有4096個,每個支持IEEE 802.1Q協議的交換機發(fā)送出去的數據包都會包含這個域。
