????????網(wǎng)絡(luò)性能是影響業(yè)務(wù)效率的一個(gè)重要因素癌椿。將大型廣播域分段是提高網(wǎng)絡(luò)性能的方法之一窍霞。路由器能夠?qū)V播包阻隔在一個(gè)接口上犁嗅，但是无虚，路由器的LAN接口數(shù)量有限缔赠，它的主要功能是在網(wǎng)絡(luò)間傳輸數(shù)據(jù)，而不是對(duì)終端設(shè)備提供網(wǎng)絡(luò)接入友题。訪問(wèn)LAN的功能還是由接入層交換機(jī)來(lái)實(shí)現(xiàn)嗤堰。與三層交換機(jī)相類似，通過(guò)在二層交換機(jī)上創(chuàng)建VLAN來(lái)減少?gòu)V播域《然拢現(xiàn)代交換機(jī)就是通過(guò)VLAN來(lái)構(gòu)造的踢匣，因此在某種程度上，學(xué)習(xí)交換機(jī)就是學(xué)習(xí)VLAN戈抄。

問(wèn)題的產(chǎn)生:

????????上一節(jié)已經(jīng)講過(guò)廣播域的概念：即廣播幀傳播覆蓋的范圍离唬。如下圖所示，當(dāng)網(wǎng)絡(luò)上的所有設(shè)備在廣播域產(chǎn)生大量的廣播以及多播幀划鸽，就會(huì)與數(shù)據(jù)流競(jìng)爭(zhēng)帶寬输莺。這是由網(wǎng)絡(luò)管理數(shù)據(jù)流組成戚哎，如：ARP，DHCP嫂用，STP等型凳。如下圖所示缩多，假設(shè)PC 1產(chǎn)生ARP嗦董，Windows登錄，DHCP等請(qǐng)求：

????????這些廣播幀到達(dá)交換機(jī)1之后康吵，遍歷整個(gè)網(wǎng)絡(luò)并到達(dá)所有節(jié)點(diǎn)直至路由器实夹。隨著網(wǎng)絡(luò)節(jié)點(diǎn)增加橄浓，開(kāi)銷的總數(shù)也在增長(zhǎng)，直至影響交換機(jī)性能亮航。通過(guò)實(shí)施VLAN斷開(kāi)廣播域?qū)?shù)據(jù)流隔離開(kāi)來(lái)荸实，能夠解決這一問(wèn)題。

什么是VLAN：

????????VLAN（virtual local area network）是一組與位置無(wú)關(guān)的邏輯端口缴淋。VLAN就相當(dāng)于一個(gè)獨(dú)立的三層網(wǎng)絡(luò)准给。VLAN的成員無(wú)需局限于同一交換機(jī)的順序或偶數(shù)端口。下圖顯示了一個(gè)常規(guī)的部署重抖，左邊這張圖節(jié)點(diǎn)連接到交換機(jī)露氮，交換機(jī)連接到路由器。所有的節(jié)點(diǎn)都位于同一IP網(wǎng)絡(luò)钟沛，因?yàn)樗麄兌歼B接到路由器同一接口畔规。

????????圖中沒(méi)有顯示的是，缺省情況下恨统，所有節(jié)點(diǎn)實(shí)際上都是同一VLAN叁扫。因此，這種拓?fù)浣涌诳煽醋魇腔谕籚LAN的畜埋，如上面右圖所示莫绣。例如，Cisco設(shè)備默認(rèn)VLAN是VLAN 1悠鞍，也稱為管理VLAN对室。默認(rèn)配置下包含所有的端口，體現(xiàn)在源地址表（source address table咖祭，SAT）中掩宜。該表用于交換機(jī)按照目的MAC地址將幀轉(zhuǎn)發(fā)至合適的二層端口。引入VLAN之后心肪，源地址表按照VLAN將端口與MAC地址相對(duì)應(yīng)起來(lái)锭亏，從而使得交換機(jī)能夠做出更多高級(jí)轉(zhuǎn)發(fā)決策纠吴。下圖顯示了show mac address table和show vlan命令的顯示輸出硬鞍。所有端口（FA0/1 – FA0/24）都在VLAN 1。

????????另一種常用的拓?fù)浣Y(jié)構(gòu)是兩個(gè)交換機(jī)被一個(gè)路由器分離開(kāi)來(lái)，如下圖所示固该。這種情況下锅减，每臺(tái)交換機(jī)各連接一組節(jié)點(diǎn)。每個(gè)交換機(jī)上的各節(jié)點(diǎn)共享一個(gè)IP地址域伐坏，這里有兩個(gè)網(wǎng)段：192.168.1.0和192.168.2.0怔匣。

????????注意到兩臺(tái)交換機(jī)的VLAN相同。非本地網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)路由器轉(zhuǎn)發(fā)桦沉。路由器不會(huì)轉(zhuǎn)發(fā)二層單播每瞒，多播以及廣播幀。這種拓?fù)溥壿嬙趦蓚€(gè)地方類似于多VLAN：同一VLAN下的節(jié)點(diǎn)共享一個(gè)通用地址域纯露，非本地?cái)?shù)據(jù)流（對(duì)應(yīng)多VLAN情況不同VLAN的節(jié)點(diǎn)）需通過(guò)路由器轉(zhuǎn)發(fā)剿骨。在一臺(tái)交換機(jī)上添加一個(gè)VLAN，去掉另一臺(tái)交換機(jī)的話埠褪，結(jié)構(gòu)如下所示：

????????每一個(gè)VLAN相當(dāng)于一個(gè)獨(dú)立的三層IP網(wǎng)絡(luò)浓利，因此，192.168.1.0上的節(jié)點(diǎn)試圖與192.168.2.0上的節(jié)點(diǎn)通信時(shí)钞速，不同VLAN通信必須通過(guò)路由器贷掖，即使所有設(shè)備都連接到同一交換機(jī)。二層單播渴语，多播和廣播數(shù)據(jù)只會(huì)在同一VLAN內(nèi)轉(zhuǎn)發(fā)及泛洪苹威，因此VLAN 1產(chǎn)生的數(shù)據(jù)不會(huì)為VLAN 2節(jié)點(diǎn)所見(jiàn)。只有交換機(jī)能看得到VLAN驾凶，節(jié)點(diǎn)和路由器都感覺(jué)不到VLAN的存在屠升。添加了路由決策之后，可以利用3層的功能來(lái)實(shí)現(xiàn)更多的安全設(shè)定狭郑，更多流量以及負(fù)載均衡腹暖。

VLAN的作用：

?安全性：每一個(gè)分組的敏感數(shù)據(jù)需要與網(wǎng)絡(luò)其他部分隔離開(kāi)，減少保密信息遭到破壞的可能性翰萨。如下圖所示脏答，VLAN 10上的教職工主機(jī)完全與學(xué)生和訪客數(shù)據(jù)隔離。

節(jié)約成本：無(wú)需昂貴的網(wǎng)絡(luò)升級(jí)亩鬼，并且?guī)捈吧闲墟溌防寐矢佑行А?/p>

性能提高：將二層網(wǎng)絡(luò)劃分成多個(gè)邏輯工作組（廣播域）減少網(wǎng)絡(luò)間不必要的數(shù)據(jù)流并提升性能殖告。

縮小廣播域：減少一個(gè)廣播域上的設(shè)備數(shù)量。如上圖所示：網(wǎng)絡(luò)上有六臺(tái)主機(jī)但有三個(gè)廣播域：教職工雳锋，學(xué)生黄绩，訪客。

提升IT管理效率：網(wǎng)絡(luò)需求相似的用戶共享同一VLAN玷过，從而網(wǎng)絡(luò)管理更為簡(jiǎn)單爽丹。當(dāng)添加一個(gè)新的交換機(jī)筑煮，在指定端口VLAN時(shí)，所有策略和步驟已配置好粤蝎。

簡(jiǎn)化項(xiàng)目和應(yīng)用管理：VLAN將用戶和網(wǎng)絡(luò)設(shè)備匯集起來(lái)真仲，以支持不同的業(yè)務(wù)或地理位置需求。

每一個(gè)VLAN對(duì)應(yīng)于一個(gè)IP網(wǎng)絡(luò)初澎，因此秸应，部署VLAN的時(shí)候必須結(jié)合考慮網(wǎng)絡(luò)地址層級(jí)的實(shí)現(xiàn)情況。

交換機(jī)間VLAN：

????????多交換機(jī)的情況下碑宴，VLAN是怎么工作的呢软啼？下圖所示的這種情況，兩個(gè)交換機(jī)VLAN相同延柠，都是默認(rèn)VLAN 1焰宣，即兩個(gè)交換機(jī)之間的聯(lián)系同在VLAN 1之內(nèi)。路由器是所有節(jié)點(diǎn)的出口捕仔。

這時(shí)單播匕积，多播和廣播數(shù)據(jù)自由傳輸，所有節(jié)點(diǎn)屬于同一IP地址榜跌。這時(shí)節(jié)點(diǎn)之間的通信不會(huì)有問(wèn)題闪唆，因?yàn)榻粨Q機(jī)的SAT顯示它們?cè)谕籚LAN。

????????而下面這種連接方式就會(huì)有問(wèn)題钓葫。由于VLAN在連接端口的主機(jī)之間創(chuàng)建了三層邊界悄蕾，它們將無(wú)法通信。

????????仔細(xì)看上圖础浮，這里有很多問(wèn)題帆调。第一，所有主機(jī)都在同一IP網(wǎng)豆同，盡管連接到不同的VLAN番刊。第二，路由器在VLAN 1,因此與所有節(jié)點(diǎn)隔離影锈。最后芹务，兩臺(tái)交換機(jī)通過(guò)不同的VLAN互連。每一點(diǎn)都會(huì)造成通信阻礙鸭廷，合在一起枣抱，網(wǎng)絡(luò)各元素之間會(huì)完全無(wú)法通信。

????????交換機(jī)用滿或同一管理單元物理上彼此分離的情形是很常見(jiàn)的辆床。這種情況下佳晶，VLAN需要通過(guò)trunk延伸至相鄰交換機(jī)。trunk能夠連接交換機(jī)讼载，在網(wǎng)絡(luò)間傳載VLAN信息轿秧。如下圖所示：

對(duì)之前的拓?fù)涞母倪M(jìn)包括：

·PC 1和PC 2分配到192.168.1.0網(wǎng)段以及VLAN 2中跌。

·PC 3和PC 4分配到192.168.2.0網(wǎng)段以及VLAN 3。

·路由器接口連接到VLAN 2和VLAN 3淤刃。

·交換機(jī)間通過(guò)trunk線互連。

注意到trunk端口出現(xiàn)在VLAN 1吱型，他們沒(méi)有用字母T來(lái)標(biāo)識(shí)逸贾。trunk在任何VLAN都沒(méi)有成員。現(xiàn)在VLAN跨越多交換機(jī)津滞，同一VLAN下的節(jié)點(diǎn)可以物理上位于任何地方铝侵。

什么是Trunk：

????????Trunk是在兩個(gè)網(wǎng)絡(luò)設(shè)備之間承載多于一種VLAN的端到端的連接，將VLAN延伸至整個(gè)網(wǎng)絡(luò)触徐。沒(méi)有VLAN Trunk咪鲜，VLAN也不會(huì)非常有用。VLAN Trunk允許VLAN數(shù)據(jù)流在交換機(jī)間傳輸撞鹉，所以設(shè)備在同一VLAN疟丙，但連接到不同交換機(jī)，能夠不通過(guò)路由器來(lái)進(jìn)行通信鸟雏。

? ??????一個(gè)VLAN trunk不屬于某一特定VLAN享郊，而是交換機(jī)和路由器間多個(gè)VLAN的通道。如下圖所示孝鹊，交換機(jī)S1和S2炊琉，以及S1和S3之間的鏈路，配置為傳輸從VLAN10,20,30以及90的數(shù)據(jù)流又活。該網(wǎng)絡(luò)沒(méi)有VLAN trunk就無(wú)法工作苔咪。

????????當(dāng)安裝好trunk線之后，幀在trunk線傳輸是就可以使用trunk協(xié)議來(lái)修改以太網(wǎng)幀柳骄。這也意味著交換機(jī)端口有不止一種操作模式团赏。缺省情況下，所有端口都稱為接入端口耐薯。當(dāng)一個(gè)端口用于交換機(jī)間互連傳輸VLAN信息時(shí)馆里，這種端口模式改變?yōu)閠runk，節(jié)點(diǎn)也路由器通常不知道VLAN的存在并使用標(biāo)準(zhǔn)以太網(wǎng)幀或“untagged”幀可柿。trunk線能夠使用“tagged”幀來(lái)標(biāo)記VLAN或優(yōu)先級(jí)鸠踪。

????????因此，在trunk端口复斥，運(yùn)行trunk協(xié)議來(lái)允許幀中包含trunk信息营密。如下圖所示：

????????PC 1在經(jīng)過(guò)路由表處理后向PC 2發(fā)送數(shù)據(jù)流。這兩個(gè)節(jié)點(diǎn)在同一VLAN但不同交換機(jī)目锭。步驟如下：

·以太網(wǎng)幀離開(kāi)PC 1到達(dá)Switch 1评汰。

·Switch 1的SAT表明目的地是trunk線的另一端纷捞。

·Switch 1使用trunk協(xié)議在以太網(wǎng)幀中添加VLAN id。

·新幀離開(kāi)Switch 1的trunk端口被Switch 2接收被去。

·Switch 2讀取trunk id并解析trunk協(xié)議主儡。

·源幀按照Switch 2的SAT轉(zhuǎn)發(fā)至目的地（端口4）。

????????VLAN tag如下圖所示惨缆，包含類型域糜值，優(yōu)先級(jí)域，CFI（Canonical Format Indicator）指示MAC數(shù)據(jù)域坯墨，VLAN ID寂汇。