路由通信的 VLAN技术

一、VLAN基础

虚拟局域网（Virtual Local Area Network，VLAN）

根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。

交换机最多支持4094个VLAN，其中默认管理VLAN是VLAN1，不能创建，也不能删除。（VLAN有12位=212=4096，0和4095特殊不能使用，能用有1-4094）

不同VLAN间通信需要经过三层设备，常见的三层设备有路由器、三层交换机、防火墙等。

中继器和集线器都是一个冲突域，交换机的一个接口为一个冲突域，一个VLAN为一个广播域。

1、冲突域

冲突域是指连接在同一共享介质上的所有节点的集合，冲突域内所有节点竞争同一带宽，一个节点发出的报文（无论是单播、组播、广播），其余节点都可以收到。

在传统的以太网中，同一介质上的多个节点共享链路带宽，争用链路的使用权，这样就会发生冲突。

同一介质上的节点越多，冲突发生的概率越大。

交换机不同的接口发送和接收数据独立，各接口属于不同的冲突域，因此有效地隔离了网络中物理层冲突域，使得通过它互连的主机（或网络）之间不必再担心流量大小对于数据发送冲突的影响。

集线器在一个冲突域，交换机的一个接口是一个冲突域。

2、广播域

广播报文所能到达的整个访问范围称为二层广播域，简称广播域，同一广播域内的主机都能收到广播报文。

在传统的以太网中，同一介质上的多个节点共享链路，一台设备发出的广播报文，所有设备均会收到。

交换机对广播报文会向所有的接口都转发，所以交换机的所有接口连接的节点属于一个广播域，路由器每个接口是一个广播域。

某IP网络连接如下图所示，下列说法中正确的（？）。

A.共有2个冲突域

B.共有2个广播域

C.计算机S和计算机T构成冲突域

D.计算机Q查找计算机R的MAC地址时，ARP报文会传播到计算机S

参考答案：B

一个集线器是一个冲突域，一个交换机接口是一个冲突域，路由器可以隔离广播。

集线器、中继器默认在一个冲突域内

网桥是2个接口的交换机

路由器1个接口是1个冲突域，共4个冲突域，2个广播域

ARP是广播

二、交换机VLAN划分

静态划分VLAN：基于交换机端口。

动态划分VLAN：基于MAC地址、基于策略、基于网络层协议、基于网络层地址。

VLAN划分配置

（1）静态划分VLAN。手动把交换机的某些接口加入到某个VLAN，配置如下：

（2）动态划分VLAN。根据MAC地址、网络层地址、网络层协议、IP广播域或管理策略划分。

1.基于MAC地址进行VLAN划分配置：

2.基于策略进行VLAN划分配置：

三、VLAN作用

（1）控制网络流量。一个VLAN内部的通信（包括广播通信）不会转发到其它VLAN中去，从而有助于控制广播风暴，减小冲突域，提高网络带宽的利用率。

（2）提高网络的安全性。可以通过配置VLAN之间的路由来提供广播过滤、安全和流量控制等功能。不同VLAN之间的通信受到限制，提高了企业网络的安全性。

（3）灵活的网络管理。VLAN机制使得工作组可以突破地理位置的限制而根据管理功能来划分。如果根据MAC地址划分VLAN，用户可以在任何地方接入交换网络，实现移动办公。

802.1Q标签

802.1Q标签字段，重点掌握PRI和VID。

PRI（3位）：Priority表示优先级，提供0~7共8个优先级，当有多个帧等待发送时，按优先级顺序发送数据包。

VID（12位）：即VLAN标识符，最多可以表示212=4096个VLAN，其中VID 0用于识别优先级，VID 4095保留未用，所以最多可配置4094个VLAN。默认管理VLAN是1，不能删除。

交换机添加和删除VLAN标签的过程由专用硬件自动实现，处理速度很快，不会引入太大的延迟。

从用户角度看，数据源产生标准的以太帧，目标接收的也是标准的以太帧，VLAN标记对用户是透明的。

交换机端口类型

Access接口：只能传送单个VLAN数据，一般用于连接PC/摄像头等终端。

Trunk接口：能传送多个VLAN数据，一般用于交换机之间互联。

Hybrid接口：混合接口，包含access和trunk属性。（华为交换机默认接口）

QinQ：双层标签，一般用于运营商城域网。

WLAN技术扩展

（1）QinQ：也叫Stacked VLAN或Double VLAN，该标准出自IEEE 802.1ad，它将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络。通过两层VLAN标签，可以解决VLAN ID不足的问题，同时实现用户隔离。比如运营商网络中，需要给每个家庭用户分配一个VLAN，但可用VLAN ID只有4096个，那么QinQ双层VLAN标签可以很好解决这个问题。（打两层vlan标签4096x4096=1600万）

（2）虚拟扩展局域网VxLAN（Virtual eXtensible Local Area Network）主要应用于数据中心，满足多租户隔离和虚拟机迁移需求。VxLAN在传统VLAN技术的基础上主要进行了如下2项改进：

1.扩展虚拟网络数量：传统VLAN有12bit表示VLAN ID，可用VLAN ID是4094个。VxLAN用24bit表示VNI（VxLAN Network Identifier，虚拟网络标识符），可表示1600万个虚拟网络，满足数据中心海量租户隔离的需求。

2.通过定义UDP封装，实现大二层网络，满足数据中心虚拟机迁移需求。

传统vlan封装是二层封装

vxlan封装穿越互联网，跨越广域网实现虚拟机迁移

（3）SuperVLAN：也叫VLAN聚合（aggrtgate-vlan），可以节省IP地址，同时满足业务隔离的需求。传统网络中一个VLAN对于一个子网，由于每个子网都有网络地址、广播地址，还需要分配Vlanif网关地址，存在较大地址浪费。SuperVLAN技术可以实现不同VLAN共享同一段IP地址，同时又能保证各个VLAN的隔离。

Super-VLAN

VLAN 10为Super-VLAN,VLAN2~VLAN4作为Super-VLAN 10的Sub-VLAN。Sub-VLAN2、Sub-VLAN3和Sub-VLAN4共用一个子网10.1.1.0/24，这样，该网络中就只有一个子网号10.1.1.0、一个子网缺省网关地址10.1.1.1和一个子网定向广播地址10.1.1.244共3个IP地址不能被主机使用，其余都可以被主机使用。而且，各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据其各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，比如Sub-VLAN2实际需要10个，就给它分配10.1.1.2~10.1.1.11的网段。

四、MUX-VLAN技术要点

MUX-VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

通过MUX-VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的，可以实现业务隔离，还能节省VLAN资源。

MUX-VLAN技术将VLAN分为：主VLAN和辅助VLAN（组VLAN、隔离VLAN)

（1）组VLAN内的端口，可以互通

（2）隔离VLAN内的端口，不可以互通

（3）任何辅助VLAN之间，不可以互通

（4）任何辅助VLAN，都可以和主VLAN口互通

（5）每个主VLAN，最多只有1个隔离VLAN

（6）在配置MUX-VLAN时候，必须将成员端口启用MUX-VLAN功能。

典型案例

需求：

（1）PC1不能和PC2互通。

（2）PC3可以和PC4互通。

（3）所有PC都要和Server互通。

（4）PC1-2和PC3-4不能互通。

配置

VLAN 100为主网关

VLAN 200为隔离VLAN

VLAN 300为组VLAN

以下关于VLAN标识的叙述中，错误的是（？）。

A.VLAN ID用12bit表示

B.VLAN ID的扩展范围是1025-4096

C.VLAN ID标准范围内可用于Ethernet的VLAN ID为1-1005

D.VLAN Name用32字符表示，可以是字母和数字。

参考答案：B

VLAN ID字段VID占12位，也就是最多4096个，其中0和4095是协议保留，可用VLAN范围是1-4094。标准范围VLAN是1-1005，1006-4094是扩展VLAN。

注：1002-1005也有特殊用途，用于FDDI和令牌环的默认VLAN，不能删除。1002是fddi-default，1003是token-ring-default令牌环的，1004是fddinet-default，1005是trnet-default。

【思科的叫法，了解即可，以前低端交换机只支持1k VLAN，即标准范围1-1005，思科中高端交换机3550以上才支持4K VLAN，即4094个VLAN，现在企业级的交换机，无论低端还是高端都支持4K VLAN】

（？）命令可通过VLAN对二层流量隔离，实现对网络资源控制。

A.management-vlan B.voice-vlan C.mux-vlan D.aggrtgate-vlan

参考答案：C

MUX VLAN能够提供VLAN内的二层流量隔离机制。MUX VLAN的类型如下所示：

主VLAN：加入主VLAN的接口可以和MUX VLAN内的所有接口进行通信。

从VLAN:

（1）隔离型从VLAN：同一VLAN内接口之间不能互相通信，可以与主VLAN接口通信，不同从VLAN之间不能互相通信。

（2）互通型从VLAN：同一VLAN内接口之间可以互相通信，可以与主VLAN接口通信，不同从VLAN之间不能互相通信。

某高校实验室拥有一间100平方米的办公室，里面设置了36个工位，用于安置本实验室的36名研究生。根据该实验室当前项目情况，划分成了3个项目组，36个工位也按照区域聚集原则划分出3个区域。该实验室采购了一台具有VLAN功能的两层交换机，用于搭建实验室有线局域网，实现三个项目组的网络隔离。初期考虑到项目组位置固定，且有一定的人员流动，搭建实验室局域网时宜采用的VLAN划分方法是（1）。随着项目进展及人员流动加剧，项目组区域已经不再适合基于区域聚集原则进行划分，而且项目组长或负责人也需要能够同时加入到不同的VLAN中。此时宜采用的VLAN划分方法是（2）。

在项目后期阶段，三个项目组需要进行联合调试，因此需要实现三个VLAN间的互联互通。目前有两种方案：

方案一：采用独立路由器方式，保留两层交换机，增加一个路由器。

方案二：采用三层交换机方式，用带VLAN功能的三层交换机替换原来的两层交换机。与方案一相比，下列叙述中不属于方案二优点的是（3）。

(1)A.基于端口 B.基于MAC地址 C.基于网络地址 D.基于IP组播

(2)A.基于端口 B.基于MAC地址 C.基于网络地址 D.基于IP组播

(3)A.VLAN间数据帧要被解封成IP包再进行传递

B.三层交换机具有路由功能，可以直接实现多个VLAN之间的通信

C.不需要对所有的VLAN数据包进行解封、重新封装操作

D.三层交换机实现VLAN间通信是局域网设计的常用方法

参考答案：（1）A （2）B （3）A

固定工位可以基于端口划分VLAN，位置调整可以基于MAC地址划分VLAN。

第（3）空按传统路由器和交换机理解，路由器是每个数据包都需要经过“解封装-查询路由表-再封装”的过程，速度相对较慢，而三层交换机“一次路由，多次交换”，即第一个数据包需要路由，后续的数据包直接交换，从而大大降低转发延迟。但目前最新的路由器和交换机可以通过路由表生成转发表，通过硬件芯片直接进行数据转发，可以理解为“不用路由，直接转发”，也叫快速交换。

注：“不用路由”不是指不用路由表，而是没有CPU“解封装-查询路由表-再封装”的过程，直接通过硬件芯片根据转发表转发数据。生成转发表也是需要用到路由表的。