▲ VLAN是什么

在這張圖中，我們可以看到一個大樓有三層，最下面的一個交換機(jī)肯定是一個核心交換機(jī)，然后連接三個接入層交換機(jī)，每個接入層交換機(jī)又分別接入一些PC機(jī)，這些PC機(jī)有銷售部，人事部，以及工程部。

VLAN的特點(diǎn)就是可以實(shí)現(xiàn)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)管理更加靈活，相對比較安全，我們先看第一個實(shí)現(xiàn)網(wǎng)絡(luò)分段：

網(wǎng)絡(luò)分段就是分割網(wǎng)絡(luò)廣播，我們以前講到交換機(jī)所有的端口都在一個VLAN里，也就是同一個廣播域中，而我們使用了VLAN技術(shù)以后，VLAN的數(shù)目增加了，廣播域增加了，但每一個廣播域的范圍縮小了。一個交換機(jī)可以分成兩個VLAN，三個VLAN，甚至更多的VLAN。那么就實(shí)現(xiàn)了只能是同一個 VLAN中的節(jié)點(diǎn)才可以通訊。那如果不同VLAN中的節(jié)點(diǎn)如果想通訊，就需要借助路由。

第二個特點(diǎn)就是靈活，大家從圖上可以看到不論哪一個部門都會跨越三個樓層，如一樓有銷售部員的電腦，二樓也有，三樓還有，其他兩個部門也一樣，但我們又需要實(shí)現(xiàn)同一個部門之間的PC機(jī)可以通訊，這使用 VLAN也可以實(shí)現(xiàn)，那如果沒有VLAN的話，就需要一個部門只能在同一個樓層，接在同一個交換機(jī)上，但現(xiàn)在有了VLAN，即使大家不在同一個交換機(jī)上，但只要在同一個VLAN上也可以進(jìn)行通訊。我們后面會詳細(xì)介紹。

至于第三個特點(diǎn)安全：就“明白人不用細(xì)說”，你把網(wǎng)絡(luò)分段了，同一個VLAN是一個廣播域，默認(rèn)跟其他VLAN不能通訊，也就是說我這個部門與其他部門的PC默認(rèn)是通訊不了的，相對來說就要安全許多!

下面咱們來看一下VLAN的運(yùn)行過程：

我們已經(jīng)知道了在同一個交換機(jī)里所有的端口默認(rèn)屬于VLAN1，但我們可以分成若干個VLAN，每一個VLAN都相當(dāng)于是一個物理的交換機(jī)，也就是說只能是同一個VLAN中的節(jié)點(diǎn)可以通訊，并且同一個VLAN可以跨越多個交換機(jī)，怎么理解，我們來看一個圖：

▲ VLAN運(yùn)行過程

大家可以看到這個圖中，有兩個交換機(jī)，每個交換機(jī)中又為了三個VLAN，一個是紅色VLAN，一個是黑色VLAN，一個是綠色VLAN，每個交換機(jī)中只能是同一個VLAN中的節(jié)點(diǎn)可以通訊，但是只要中間加了一個“道路”，我們就可以實(shí)現(xiàn)A交換機(jī)的紅色VLAN和B交換機(jī)的紅色VLAN通訊，黑色和綠色也同理，相當(dāng)于紅色VLAN跨了兩個交換機(jī)。在這里需要引入兩個術(shù)語：

Access-link:接入端口，普通的交換機(jī)端口用于連接終端設(shè)備，連接到這個端口上的設(shè)備完全不知道存在著一個VLAN，它不需要知道VLAN的信息，它就認(rèn)為只存在它一個VLAN即可!

Trunk-link:稱為干道鏈路，只有快速以太網(wǎng)口(或更高)才可以配置成干道鏈路，承載的是多個VLAN之間的信息，即一個交換機(jī)的一個VLAN 如果想與另一個交換機(jī)的相同VLAN之間進(jìn)行通訊就必須要經(jīng)過這個Trunk-link.任何一個VLAN都是一樣，我們這張圖中有三個VLAN，那么這三個VLAN就可以通過這個trunk-link鏈路與另一個交換機(jī)中的相同VLAN進(jìn)行通訊。這樣的話，不論有多少VLAN，在兩個交換機(jī)中只要有一條干道鏈路就可以進(jìn)行通訊。那肯定有人要問了，我這個交換機(jī)中的紅色VLAN傳一個數(shù)據(jù)到對方去，對方怎么知道就是和對方的紅色VLAN進(jìn)行通訊呢。在這里，主干會使用一種特殊的封裝模式來對不同的VLAN進(jìn)行封裝，也就是對不同的VLAN打上一個標(biāo)記。

注： 一個交換機(jī)的任何端口都必須屬于且只能屬于一個VLAN，但如果某個端口被配置成TRUNK后，該端口就失去了它原來的VLAN標(biāo)識，不屬于任何VLAN，只是起到為所有的VLAN傳輸數(shù)據(jù)。

交換機(jī)對不同的VLAN進(jìn)行標(biāo)記只有兩種不同的方法：

ISL：思科私有的標(biāo)記方法，只適合于思科交換機(jī)

IEEE802.1Q：一種IEEE標(biāo)準(zhǔn)方法，可以連接不同廠家的交換機(jī)

我們首先來看一下ISL標(biāo)記

ISL：Inter Switch Link ，屬于Cisco私有，即指兩設(shè)備間的一條點(diǎn)對點(diǎn)的連接線路，與8021.Q一樣作用于第2層，所不同的是，ISL協(xié)議頭和協(xié)議尾封裝了整個第2層的以太幀。正因?yàn)榇?，ISL被認(rèn)為是一種能在交換機(jī)間傳遞第2層任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議。ISL所封裝的幀可以是令牌環(huán)或快速以太網(wǎng)，在原數(shù)據(jù)幀的基礎(chǔ)上加入了26字節(jié)的頭和一個4字節(jié)的尾。這樣總共是加入了30字節(jié)，如果是一個不認(rèn)識ISL的設(shè)備(非思科)那么就認(rèn)為這是一個巨幀，所以如果不是思科的設(shè)備不能使用ISL。ISL封裝如下圖所示：

▲ ISL封裝格式

這里大家可以看的很清楚，20個字節(jié)中包含了很多東西，但別的大家沒有必要知道，我也沒有細(xì)研究過，但是最主要的兩個大家要知道，一個就是VLAN，另一個就是BPDU。

VLAN：表明屬于VLAN在通訊，不同VLAN有相應(yīng)的VLAN號，是一個數(shù)字，多達(dá)1024

BPDU：如果是STP數(shù)據(jù)幀，則此位為1

或者比較形象的可以表示為下圖：一個標(biāo)準(zhǔn)的二層數(shù)據(jù)幀加下ISL標(biāo)記后就多了30個字節(jié)。

我們來針對下面這個圖看一下同一個VLAN是如何跨之外交換機(jī)工作的。

一個PC機(jī)發(fā)出的數(shù)據(jù)在傳給交換機(jī)時在進(jìn)入trunk干道之間會加上ISL的標(biāo)記，然后就可以在干道上傳輸，到在對方的交換機(jī)后，交換機(jī)通過查看數(shù)據(jù)幀知道這個數(shù)據(jù)包是傳給哪個VLAN的于是去掉相應(yīng)的VLAN標(biāo)識，再傳給相應(yīng)的VLAN內(nèi)的PC。

另一種封裝標(biāo)記是:IEEE標(biāo)準(zhǔn)委員會制定的802.1Q：主要用于不同廠家的交換機(jī)來建立多個VLAN，操作原理和ISL一樣，也是在進(jìn)入TRUNK 之前打上一個標(biāo)記，到達(dá)對方的交換機(jī)后再去掉這個標(biāo)記。但這個標(biāo)記，就不是在兩邊加，而是在中間加上一個標(biāo)記，我們來看一下：

IEEE802.1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域(Type Field)”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計(jì)4字節(jié)。在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容，那么CRC值自然也會有所變化。這時數(shù)據(jù)幀上的CRC是插入TPID、TCI后，對包括它們在內(nèi)的整個數(shù)據(jù)幀重新計(jì)算后所得的值。

其中TPID是IEEE定義的新類型，表明這是一個加了802.1Q標(biāo)簽的幀。

TCI：tag control information 標(biāo)簽控制信息，共有兩個字節(jié)，其中12位是VLANID，取值從0-4095，共4096個，3位為優(yōu)先級，規(guī)定了8種優(yōu)先級，還有1位是cfi，在總線型以太網(wǎng)，F(xiàn)DDI，令牌環(huán)網(wǎng)等網(wǎng)絡(luò)交換數(shù)據(jù)時使用。

而當(dāng)數(shù)據(jù)幀離開trunk鏈路時，TPID和TCI會被去除，這時還會進(jìn)行一次CRC的重新計(jì)算。

以上就是兩種標(biāo)記的分析!下面咱們來看一下VLAN的具體配置：

對于VLAN進(jìn)行配置，思科使用兩種方法：第一種config-vlan 第二種 vlan database

但思科所推薦的是第一種config-vlan方式，vlan database有點(diǎn)老了，使用vlan database的配置方式，所以的配置信息是存放在vlan.dat文件中，所以有時你刪除一個配置文件后重啟發(fā)現(xiàn)VLAN的信息還在，這就是因?yàn)? VLAN的配置信息不是存放在NVRAM中的，必須去手動刪除vlan.dat文件才可以。而config-vlan不會有此問題。下表中我給出兩種方法的相關(guān)配置語句。

▲ 相關(guān)配置命令

huanghui