虚拟局域网（VLAN）

　　

1.定位：虚拟局域网(virtual Local Area Network)，一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。主要应用于具备VLAN功能的交换机。

2.原理：VLAN在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，从而限制不同工作组间的用户互访。

　　标准有：802.10    802.1Q

3.优点：

　　1）灵活，降低成本：

　　VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户在逻辑上划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，

　　所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

　　2）避免广播风暴，提高带宽利用率

　　同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生；

　　3）增强局域网的安全性

　　网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访，增强网络的安全性。

 4.Vlan端口类型

　　1）访问（access）端口

　　访问端口只能属于某单一一个VLAN，它只能承载某一个VLAN的流量。流量只以本机格式(native formats)接收和发送，不会带有VLAN标记(tagging)。

　　到达某个访问端口的任何数据，只是简单地被假定属于那个端口所分配的 VLAN。因此，如果某个访问端口接收到带有标记的数据包，比如带有IEEE 802.1Q标记时，那个数据包将只是被丢弃。因为访问端口不会查看源地址，

　　所以带有标记的流量只能被中继端口转发和接收。

　　在帧被转发到连接访问链路的设备之前，交换机要从帧中删除任何有关VLAN的信息。连接到访问链路的设备不能与VLAN外部的设备进行通信，除非数据包是通过路由转发的。

    2）中继（trunk）端口

　　中继端口能够同时承载多个VLAN的信息。中继可以使单个端口同时成为多个不同VLAN的一部分。

　　注：交换机中配置成VLAN trunk的有效端口模式：

　　The valid modes of a VLAN trunk on a switch are动态自动, dynamic desirable, trunk (on), and nonegotiate.

5.帧标记

　　帧标识方法独一无二地给每个帧分配一个用户定义的ID，即“VLAN ID”。

　　工作原理：接收到帧的每台交换机必须首先识别帧标记中的VLAN ID，然后通过查看过滤表中的信息，它就知道该对帧进行哪些处理。如果接收到帧的交换机有另一条中继链路，帧就从中继链路端口上转发出去。一旦帧到达了由转发/过滤表决定的、与帧

　　的VLAN ID相匹配的访问链路的出口，交换机就删除VLAN标识。这样，目的设备就可以接收该帧，而无需去理解它们的VLAN标识。 帧标记与VLAN标识有关，当帧正在穿越交换机结构时，交换机使用帧标记来跟踪所有的帧。

　　对于所有非标记的流量将要穿越的VLAN，中继端口将被分配一个默认的端口VLAN ID(PVID)。这种VLAN也称为本机(native)VLAN，默认时，它始终是VLAN1(但可以改为任何VLAN号)。

　　类似地，任何带NULL(没有分配的)VLAN ID的标记或非标记流量，都假定属于有端口默认PVID的VLAN(同样，默认时为VLAN1)。其VLAN ID等于外出端口。默认PVID的数据包将作为非标记流量发送，且只能与VLAN1中的主机或设备进行通信。

　　其他所有的VLAN流量必须用VLAN标记发送，以便在与此标记相对应的特定VLAN中通信。

6.VLAN的识别方法

　　即交换机怎样识别哪一个帧属于哪一个VLAN。

    1）交换机间链路(Inter-switch Link，ISL)【不怎么用了】

　　在以太网帧上显式地标记VLAN信息的方法。通过一种外部封装方法(ISL)，这种标记信息允许VLAN在中继链路上实现多路复用，从而允许交换机在中继链路上识别出帧的VLAN成员关系。ISL在第2层起作用，并用新的报头和循环冗余校验(CRC)对数据帧

　　进行封装。专用于思科交换机的 FE和GE端口。

　　如果帧通过了一个access接口，则ISL封装将从帧上移除。

    2）IEEE802 1.Q

    在帧中插入一个字段，以标识VLAN。

    原理：首先指定准备采用802.1Q封装来实现中继的每个端口，必须为端口分配特定的VLAN ID，使它们成为本机VLAN，以便让它们通信。属于同一个中继链路的端口所创建的工作组就成为本机VLAN，每个端口用反映其本机VLAN的标识号作为标记，

　　默认时为VLAN1。本机VLAN允许中继链路传送所接收到的没有任何VLAN标识或帧标记的信息。

    注：ISL和802.1Q帧标记方法的基本意图是，提供交换机之间的VLAN通信。如果帧是从访问（access）链路上转发出来的，就将删除任何ISL或 802.1Q帧标记。就是说，帧标记只能在中继链路上使用。