李龍杰 龔俊 陳潤星

摘要：隨著網(wǎng)絡技術的發(fā)展，各單位均開始組建自己的企業(yè)網(wǎng)絡，不同部門之間的權限差異、網(wǎng)絡隔離以及網(wǎng)絡中的廣播風暴抑制均可以通過在局域網(wǎng)內(nèi)進行二層網(wǎng)絡劃分實現(xiàn)。VLAN作為一種在二層網(wǎng)絡上建立邏輯通路的技術，以其較好的可操作性、靈活性和安全性使其在局域網(wǎng)中得到廣泛應用，802.1Q作為VLAN的一種實現(xiàn)標準，幾乎在所有二層交換機中均得到支持，該文對VLAN原理以及802.1Q工作原理進行了深入探討。

關鍵詞：二層網(wǎng)絡;VLAN;802.1Q

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）15-0032-03

在傳統(tǒng)的組網(wǎng)方式中，多臺主機通過二層交換機網(wǎng)絡互聯(lián)組成，由此達到在不同計算機之間建立數(shù)據(jù)傳輸通道、資源共享的目的，如圖1所示。在這種交換機互聯(lián)的網(wǎng)絡中，所有主機均處于同一局域網(wǎng)，即所有主機均處于同一廣播域，局域網(wǎng)中的任一主機發(fā)送的廣播包（如ARP Request）將被所有主機接收，未知單播包也將被交換機泛洪至所有端口，因此局域網(wǎng)中充斥著大量廣播包，導致網(wǎng)絡風暴，從而嚴重影響網(wǎng)絡性能。并且隨著接入局域網(wǎng)的主機數(shù)量的增加，網(wǎng)絡性能會持續(xù)下降[1]。由于各部門主機均處于同一網(wǎng)絡，各部門之間的信息幾乎為透明狀態(tài)，這給某些保密要害部門的信息安全構成了威脅。由此在不改變網(wǎng)絡架構情況下，引入VLAN可以幫助緩解廣播風暴和提高保密要害部門的信息安全。

1 VLAN簡介

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是建立在二層網(wǎng)絡上的邏輯通路，其將設備劃分到不同的邏輯網(wǎng)段中，使得不同邏輯網(wǎng)段之間的設備處于不同的廣播域。因此，每個VLAN都是一個局域網(wǎng)，處于不同VLAN之間的設備不能實現(xiàn)二層互聯(lián)互通，要使得不同VLAN間的設備通信，必須通過路由或三層交換機實現(xiàn)[2]（其實三層交換機第一幀也是通過路由實現(xiàn)跨網(wǎng)段傳輸，后續(xù)幀才交給二層引擎進行數(shù)據(jù)交換）。

2 VLAN特點和優(yōu)勢

2.1 提高網(wǎng)絡性能

在圖1所示的大型局域網(wǎng)中，由于所有主機節(jié)點均處于同一廣播域，任何節(jié)點發(fā)出的廣播幀均會被轉(zhuǎn)發(fā)至整個網(wǎng)絡，各主機節(jié)點均會接收并處理這些廣播幀，但絕大多數(shù)廣播幀均與節(jié)點不相關。所以，局域網(wǎng)中充斥著大量無效的廣播幀，不僅對主機帶來了無效的額外CPU開銷，而且嚴重降低了網(wǎng)絡帶寬的有效利用率，甚至造成廣播風暴，阻塞并造成網(wǎng)絡癱瘓。因此，將大型局域網(wǎng)劃分為多個小型局域網(wǎng)成為一種可行性高的解決方案。

通過使用VLAN和路由器組網(wǎng)的方式可實現(xiàn)小型局域網(wǎng)的劃分，這兩種組網(wǎng)方式對比如表1所示。

從表1可以看出，使用VLAN進行局域網(wǎng)劃分可行性高、操作簡單，可有效達到隔離廣播域、減小廣播風暴、增強網(wǎng)絡帶寬利用率的目的。

2.2 增強網(wǎng)絡安全性

在圖1所示的大型局域網(wǎng)中，各主機之間的信息近乎透明，對于需要保密的部門或信息無任何安全措施，而采用VLAN可實現(xiàn)對不同主機訪問權限的控制。例如：人力資源部保存著大量的員工個人信息，將人力資源部的所有主機劃分到某一VLAN中，這樣其他部門將失去對人力資源部主機的訪問權限，從而達到保護信息安全的目的。

2.3 實現(xiàn)不同業(yè)務劃分

數(shù)據(jù)通信領域使用不同的VLAN實現(xiàn)業(yè)務流的劃分，例如將VLAN x1劃分給家庭寬帶上網(wǎng)業(yè)務，將VLAN x2劃分給視頻組播流業(yè)務，將VLAN x3劃分給電話通信業(yè)務等，如圖2所示。

2.4 跨區(qū)域局域網(wǎng)

VLAN可實現(xiàn)處于不同區(qū)域的相同部門之間的資源共享，如圖3所示。

3 VLAN的劃分方法

3.1 基于端口

基于端口的劃分方法是按照交換機物理端口進行VLAN劃分，且允許跨越多個交換機的多個不同端口劃分[3]，將若干個交換機端口劃分到同一VLAN域，這樣接入該端口的主機將處于同一廣播域。主機對于VLAN來說將是透明存在的。

3.2 基于MAC地址

基于MAC地址的劃分方法是按照主機MAC地址進行VLAN劃分，由于MAC地址具有全球唯一性，所以將多個不同MAC的主機劃分到同一VLAN后，將不以主機的物理位置變化、IP地址變化進行重新劃分VLAN[4]。

基于MAC地址的VLAN也具有一定局限性，每當有主機接入網(wǎng)絡時，需要網(wǎng)絡管理程序遍歷“MAC地址-VLAN對應表”查詢?yōu)樵揗AC地址分配的VLAN，并將該VLAN部署到主機接入的交換機。隨著主機接入網(wǎng)絡的頻率越高，遍歷程序執(zhí)行越頻繁，將帶來一定的網(wǎng)絡性能下降。并且如果未查詢到為該MAC地址分配的VLAN，則需要網(wǎng)絡管理員手動添加VLAN，網(wǎng)絡管理難度升高。

3.3 基于IP

基于IP的劃分方法是根據(jù)數(shù)據(jù)包中不同的IP地址進行VLAN劃分，接入網(wǎng)絡的主機只要IP地址不改變，無論物理位置如何變化，均不需要指定新的VLAN。

同基于MAC地址劃分VLAN原理相同，每當有主機接入網(wǎng)絡時，需要網(wǎng)絡管理程序遍歷“IP地址-VLAN對應表”查詢?yōu)樵揑P地址分配的VLAN，并將該VLAN部署到主機接入的交換機。隨著主機接入網(wǎng)絡的頻率越高，將帶來網(wǎng)絡性能下降和管理難度升高的問題。

4 VLAN技術應用

4.1 VLAN幀格式

IEEE802.1Q協(xié)議全稱Virtual Bridged Local Area Networks協(xié)議，其作為VLAN技術規(guī)范包含了VLAN框架、VLAN技術提供的服務和VLAN技術涉及的協(xié)議和算法，為不同通信設備上之間的互聯(lián)互通提供了技術標準。2B3BCD10-E106-4109-9F40-D991B651E0F8

802.1Q協(xié)議規(guī)定了帶VLAN的數(shù)據(jù)幀格式，如圖4所示。

由圖4可以看到，帶VLAN的數(shù)據(jù)幀在標準以太網(wǎng)幀基礎上插入了四個字節(jié)的VLAN TAG，插入位置位于源MAC之后，以太網(wǎng)幀類型之前。VLAN TAG包含四個字段，關于這四個字段的介紹如表2所示。

4.2 VLAN工作原理

本文重點介紹基于端口的VLAN。

4.2.1 VLAN操作

在支持802.1Q的設備中，對于VLAN標簽將進行TAG和UNTAG兩種操作。在設備的具體實現(xiàn)中，UNTAG一般實現(xiàn)于出端口，TAG可實現(xiàn)于進端口和出端口兩個地方，從交換機具體呈現(xiàn)出來的效果來看，為了便于理解，一般均認為TAG在進端口位置，UNTAG在出端口位置。

在TAG操作中，交換機根據(jù)端口的VLAN、優(yōu)先級等配置，按照表2所示封裝VLAN TAG，并按照圖4所示在數(shù)據(jù)幀對應位置插入該VLAN TAG。在UNTAG操作中，交換機將數(shù)據(jù)幀對應VLAN字段全部剝離后轉(zhuǎn)發(fā)出去。

4.2.2 基于端口VLAN的端口模式

在基于端口的VLAN模式下，端口為了支持VLAN，實現(xiàn)了三種工作模式：Access模式、Trunk模式和Hybrid模式[5]，在介紹三種模式之前先了解幾個基本概念：

1）VID：VLAN ID，如表2中VLAN ID介紹。在支持802.1Q的交換機MAC地址學習表中，將增加VID的學習。

2）PVID： 端口VID，表示端口被劃分到哪個VLAN，屬于交換機固有屬性。

端口三種模式的工作方式以及對比如表所示。

4.2.3 示例演示

在圖5所示的應用場景中，A和D處于同一VLAN中，B和C處于同一VLAN中，這里以A發(fā)出的數(shù)據(jù)幀被D所接收為例，具體解釋基于交換機的VLAN是如何工作的。為了便于理解，直接假定該網(wǎng)絡中從A到D的交換機MAC地址學習表已經(jīng)完成建立。首先A發(fā)出一幀不帶VLAN的二層數(shù)據(jù)幀（無IP地址）到交換機1的端口1（簡寫為SW1P1，以此類推），此時SW1P1接收該數(shù)據(jù)幀并檢測到該幀無VLAN標簽，SW1P1為該幀插入等于自身PVID為100的VLAN標簽后向SW1P3轉(zhuǎn)發(fā)，由于SW1P3為Trunk口并透傳VLAN100，因此SW1P3直接向外轉(zhuǎn)發(fā)到SW2P3，SW2P3和SW1P3同理透傳VLAN100，SW2P3向SW2P2轉(zhuǎn)發(fā)該幀，因為該幀攜帶的VID等于SW2P2的PVID，所以SW2P2剝離VLAN100后將數(shù)據(jù)幀轉(zhuǎn)發(fā)至D。

4.2.4 應用案例

在圖3所示的應用案例中，總部和分部通過互聯(lián)網(wǎng)相連，并且均設有相同的部門1和部門2。兩部門之間無業(yè)務往來，不需要相通，因此將部門1和部門2使用VLAN劃分到不同的局域網(wǎng)可隔離廣播域，有效提高網(wǎng)絡帶寬利用率，同時限制了對方對本部門的訪問權限，提高了網(wǎng)絡安全性。在總部和分部組成的網(wǎng)絡中，嚴格意義上講，總部和分部并不在同一局域網(wǎng)（通過若干個路由器實現(xiàn)跨網(wǎng)段通信），但是由于VLAN的存在，可將網(wǎng)絡中間路由器組網(wǎng)方式看成一根網(wǎng)線直連，并將總部和分部的相同部門劃分到同一VLAN域中。這種組網(wǎng)方式不僅體現(xiàn)了VLAN是在二層網(wǎng)絡上建立的邏輯局域網(wǎng)，更體現(xiàn)了VLAN可實現(xiàn)跨區(qū)域組建局域網(wǎng)的特點（由于路由器存在，中間跨越了若干個網(wǎng)段）。

5 結束語

本文介紹了VLAN的優(yōu)勢、VLAN的技術原理和工作場景。VLAN由于具有隔離廣播域、提高信息安全、實現(xiàn)跨區(qū)域組建局域網(wǎng)以及簡單易學易配置的優(yōu)點，所以被廣泛應用于數(shù)據(jù)通信領域，已成為網(wǎng)絡開發(fā)者必不可少的技能。

參考文獻：

[1] 劉懷峰.淺析VLAN技術原理[J].科技信息，2014（13）：236-237.

[2] 蔣磊.淺談VLAN技術原理[J].科技視界，2012（29）：180-181，203.

[3] 伍國良.淺談VLAN技術[J].今日科苑，2009（4）：197.

[4] 周紅梅.網(wǎng)絡中的VLAN技術[J].鐵道通信信號，2006，42（3）：41-43.

[5] 劉向東，李志潔，焉德軍，等.IEEE 802 1Q VLAN原理實驗的設計與實現(xiàn)[J].實驗室研究與探索，2011，30（4）：46-48，77.

.【通聯(lián)編輯：代影】2B3BCD10-E106-4109-9F40-D991B651E0F8