李龍杰 龔俊 陳潤(rùn)星

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各單位均開(kāi)始組建自己的企業(yè)網(wǎng)絡(luò)，不同部門之間的權(quán)限差異、網(wǎng)絡(luò)隔離以及網(wǎng)絡(luò)中的廣播風(fēng)暴抑制均可以通過(guò)在局域網(wǎng)內(nèi)進(jìn)行二層網(wǎng)絡(luò)劃分實(shí)現(xiàn)。VLAN作為一種在二層網(wǎng)絡(luò)上建立邏輯通路的技術(shù)，以其較好的可操作性、靈活性和安全性使其在局域網(wǎng)中得到廣泛應(yīng)用，802.1Q作為VLAN的一種實(shí)現(xiàn)標(biāo)準(zhǔn)，幾乎在所有二層交換機(jī)中均得到支持，該文對(duì)VLAN原理以及802.1Q工作原理進(jìn)行了深入探討。

關(guān)鍵詞：二層網(wǎng)絡(luò);VLAN;802.1Q

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）15-0032-03

在傳統(tǒng)的組網(wǎng)方式中，多臺(tái)主機(jī)通過(guò)二層交換機(jī)網(wǎng)絡(luò)互聯(lián)組成，由此達(dá)到在不同計(jì)算機(jī)之間建立數(shù)據(jù)傳輸通道、資源共享的目的，如圖1所示。在這種交換機(jī)互聯(lián)的網(wǎng)絡(luò)中，所有主機(jī)均處于同一局域網(wǎng)，即所有主機(jī)均處于同一廣播域，局域網(wǎng)中的任一主機(jī)發(fā)送的廣播包（如ARP Request）將被所有主機(jī)接收，未知單播包也將被交換機(jī)泛洪至所有端口，因此局域網(wǎng)中充斥著大量廣播包，導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，從而嚴(yán)重影響網(wǎng)絡(luò)性能。并且隨著接入局域網(wǎng)的主機(jī)數(shù)量的增加，網(wǎng)絡(luò)性能會(huì)持續(xù)下降[1]。由于各部門主機(jī)均處于同一網(wǎng)絡(luò)，各部門之間的信息幾乎為透明狀態(tài)，這給某些保密要害部門的信息安全構(gòu)成了威脅。由此在不改變網(wǎng)絡(luò)架構(gòu)情況下，引入VLAN可以幫助緩解廣播風(fēng)暴和提高保密要害部門的信息安全。

1 VLAN簡(jiǎn)介

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是建立在二層網(wǎng)絡(luò)上的邏輯通路，其將設(shè)備劃分到不同的邏輯網(wǎng)段中，使得不同邏輯網(wǎng)段之間的設(shè)備處于不同的廣播域。因此，每個(gè)VLAN都是一個(gè)局域網(wǎng)，處于不同VLAN之間的設(shè)備不能實(shí)現(xiàn)二層互聯(lián)互通，要使得不同VLAN間的設(shè)備通信，必須通過(guò)路由或三層交換機(jī)實(shí)現(xiàn)[2]（其實(shí)三層交換機(jī)第一幀也是通過(guò)路由實(shí)現(xiàn)跨網(wǎng)段傳輸，后續(xù)幀才交給二層引擎進(jìn)行數(shù)據(jù)交換）。

2 VLAN特點(diǎn)和優(yōu)勢(shì)

2.1 提高網(wǎng)絡(luò)性能

在圖1所示的大型局域網(wǎng)中，由于所有主機(jī)節(jié)點(diǎn)均處于同一廣播域，任何節(jié)點(diǎn)發(fā)出的廣播幀均會(huì)被轉(zhuǎn)發(fā)至整個(gè)網(wǎng)絡(luò)，各主機(jī)節(jié)點(diǎn)均會(huì)接收并處理這些廣播幀，但絕大多數(shù)廣播幀均與節(jié)點(diǎn)不相關(guān)。所以，局域網(wǎng)中充斥著大量無(wú)效的廣播幀，不僅對(duì)主機(jī)帶來(lái)了無(wú)效的額外CPU開(kāi)銷，而且嚴(yán)重降低了網(wǎng)絡(luò)帶寬的有效利用率，甚至造成廣播風(fēng)暴，阻塞并造成網(wǎng)絡(luò)癱瘓。因此，將大型局域網(wǎng)劃分為多個(gè)小型局域網(wǎng)成為一種可行性高的解決方案。

通過(guò)使用VLAN和路由器組網(wǎng)的方式可實(shí)現(xiàn)小型局域網(wǎng)的劃分，這兩種組網(wǎng)方式對(duì)比如表1所示。

從表1可以看出，使用VLAN進(jìn)行局域網(wǎng)劃分可行性高、操作簡(jiǎn)單，可有效達(dá)到隔離廣播域、減小廣播風(fēng)暴、增強(qiáng)網(wǎng)絡(luò)帶寬利用率的目的。

2.2 增強(qiáng)網(wǎng)絡(luò)安全性

在圖1所示的大型局域網(wǎng)中，各主機(jī)之間的信息近乎透明，對(duì)于需要保密的部門或信息無(wú)任何安全措施，而采用VLAN可實(shí)現(xiàn)對(duì)不同主機(jī)訪問(wèn)權(quán)限的控制。例如：人力資源部保存著大量的員工個(gè)人信息，將人力資源部的所有主機(jī)劃分到某一VLAN中，這樣其他部門將失去對(duì)人力資源部主機(jī)的訪問(wèn)權(quán)限，從而達(dá)到保護(hù)信息安全的目的。

2.3 實(shí)現(xiàn)不同業(yè)務(wù)劃分

數(shù)據(jù)通信領(lǐng)域使用不同的VLAN實(shí)現(xiàn)業(yè)務(wù)流的劃分，例如將VLAN x1劃分給家庭寬帶上網(wǎng)業(yè)務(wù)，將VLAN x2劃分給視頻組播流業(yè)務(wù)，將VLAN x3劃分給電話通信業(yè)務(wù)等，如圖2所示。

2.4 跨區(qū)域局域網(wǎng)

VLAN可實(shí)現(xiàn)處于不同區(qū)域的相同部門之間的資源共享，如圖3所示。

3 VLAN的劃分方法

3.1 基于端口

基于端口的劃分方法是按照交換機(jī)物理端口進(jìn)行VLAN劃分，且允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分[3]，將若干個(gè)交換機(jī)端口劃分到同一VLAN域，這樣接入該端口的主機(jī)將處于同一廣播域。主機(jī)對(duì)于VLAN來(lái)說(shuō)將是透明存在的。

3.2 基于MAC地址

基于MAC地址的劃分方法是按照主機(jī)MAC地址進(jìn)行VLAN劃分，由于MAC地址具有全球唯一性，所以將多個(gè)不同MAC的主機(jī)劃分到同一VLAN后，將不以主機(jī)的物理位置變化、IP地址變化進(jìn)行重新劃分VLAN[4]。

基于MAC地址的VLAN也具有一定局限性，每當(dāng)有主機(jī)接入網(wǎng)絡(luò)時(shí)，需要網(wǎng)絡(luò)管理程序遍歷“MAC地址-VLAN對(duì)應(yīng)表”查詢?yōu)樵揗AC地址分配的VLAN，并將該VLAN部署到主機(jī)接入的交換機(jī)。隨著主機(jī)接入網(wǎng)絡(luò)的頻率越高，遍歷程序執(zhí)行越頻繁，將帶來(lái)一定的網(wǎng)絡(luò)性能下降。并且如果未查詢到為該MAC地址分配的VLAN，則需要網(wǎng)絡(luò)管理員手動(dòng)添加VLAN，網(wǎng)絡(luò)管理難度升高。

3.3 基于IP

基于IP的劃分方法是根據(jù)數(shù)據(jù)包中不同的IP地址進(jìn)行VLAN劃分，接入網(wǎng)絡(luò)的主機(jī)只要IP地址不改變，無(wú)論物理位置如何變化，均不需要指定新的VLAN。

同基于MAC地址劃分VLAN原理相同，每當(dāng)有主機(jī)接入網(wǎng)絡(luò)時(shí)，需要網(wǎng)絡(luò)管理程序遍歷“IP地址-VLAN對(duì)應(yīng)表”查詢?yōu)樵揑P地址分配的VLAN，并將該VLAN部署到主機(jī)接入的交換機(jī)。隨著主機(jī)接入網(wǎng)絡(luò)的頻率越高，將帶來(lái)網(wǎng)絡(luò)性能下降和管理難度升高的問(wèn)題。

4 VLAN技術(shù)應(yīng)用

4.1 VLAN幀格式

IEEE802.1Q協(xié)議全稱Virtual Bridged Local Area Networks協(xié)議，其作為VLAN技術(shù)規(guī)范包含了VLAN框架、VLAN技術(shù)提供的服務(wù)和VLAN技術(shù)涉及的協(xié)議和算法，為不同通信設(shè)備上之間的互聯(lián)互通提供了技術(shù)標(biāo)準(zhǔn)。2B3BCD10-E106-4109-9F40-D991B651E0F8

802.1Q協(xié)議規(guī)定了帶VLAN的數(shù)據(jù)幀格式，如圖4所示。

由圖4可以看到，帶VLAN的數(shù)據(jù)幀在標(biāo)準(zhǔn)以太網(wǎng)幀基礎(chǔ)上插入了四個(gè)字節(jié)的VLAN TAG，插入位置位于源MAC之后，以太網(wǎng)幀類型之前。VLAN TAG包含四個(gè)字段，關(guān)于這四個(gè)字段的介紹如表2所示。

4.2 VLAN工作原理

本文重點(diǎn)介紹基于端口的VLAN。

4.2.1 VLAN操作

在支持802.1Q的設(shè)備中，對(duì)于VLAN標(biāo)簽將進(jìn)行TAG和UNTAG兩種操作。在設(shè)備的具體實(shí)現(xiàn)中，UNTAG一般實(shí)現(xiàn)于出端口，TAG可實(shí)現(xiàn)于進(jìn)端口和出端口兩個(gè)地方，從交換機(jī)具體呈現(xiàn)出來(lái)的效果來(lái)看，為了便于理解，一般均認(rèn)為TAG在進(jìn)端口位置，UNTAG在出端口位置。

在TAG操作中，交換機(jī)根據(jù)端口的VLAN、優(yōu)先級(jí)等配置，按照表2所示封裝VLAN TAG，并按照?qǐng)D4所示在數(shù)據(jù)幀對(duì)應(yīng)位置插入該VLAN TAG。在UNTAG操作中，交換機(jī)將數(shù)據(jù)幀對(duì)應(yīng)VLAN字段全部剝離后轉(zhuǎn)發(fā)出去。

4.2.2 基于端口VLAN的端口模式

在基于端口的VLAN模式下，端口為了支持VLAN，實(shí)現(xiàn)了三種工作模式：Access模式、Trunk模式和Hybrid模式[5]，在介紹三種模式之前先了解幾個(gè)基本概念：

1）VID：VLAN ID，如表2中VLAN ID介紹。在支持802.1Q的交換機(jī)MAC地址學(xué)習(xí)表中，將增加VID的學(xué)習(xí)。

2）PVID： 端口VID，表示端口被劃分到哪個(gè)VLAN，屬于交換機(jī)固有屬性。

端口三種模式的工作方式以及對(duì)比如表所示。

4.2.3 示例演示

在圖5所示的應(yīng)用場(chǎng)景中，A和D處于同一VLAN中，B和C處于同一VLAN中，這里以A發(fā)出的數(shù)據(jù)幀被D所接收為例，具體解釋基于交換機(jī)的VLAN是如何工作的。為了便于理解，直接假定該網(wǎng)絡(luò)中從A到D的交換機(jī)MAC地址學(xué)習(xí)表已經(jīng)完成建立。首先A發(fā)出一幀不帶VLAN的二層數(shù)據(jù)幀（無(wú)IP地址）到交換機(jī)1的端口1（簡(jiǎn)寫(xiě)為SW1P1，以此類推），此時(shí)SW1P1接收該數(shù)據(jù)幀并檢測(cè)到該幀無(wú)VLAN標(biāo)簽，SW1P1為該幀插入等于自身PVID為100的VLAN標(biāo)簽后向SW1P3轉(zhuǎn)發(fā)，由于SW1P3為Trunk口并透?jìng)鱒LAN100，因此SW1P3直接向外轉(zhuǎn)發(fā)到SW2P3，SW2P3和SW1P3同理透?jìng)鱒LAN100，SW2P3向SW2P2轉(zhuǎn)發(fā)該幀，因?yàn)樵搸瑪y帶的VID等于SW2P2的PVID，所以SW2P2剝離VLAN100后將數(shù)據(jù)幀轉(zhuǎn)發(fā)至D。

4.2.4 應(yīng)用案例

在圖3所示的應(yīng)用案例中，總部和分部通過(guò)互聯(lián)網(wǎng)相連，并且均設(shè)有相同的部門1和部門2。兩部門之間無(wú)業(yè)務(wù)往來(lái)，不需要相通，因此將部門1和部門2使用VLAN劃分到不同的局域網(wǎng)可隔離廣播域，有效提高網(wǎng)絡(luò)帶寬利用率，同時(shí)限制了對(duì)方對(duì)本部門的訪問(wèn)權(quán)限，提高了網(wǎng)絡(luò)安全性。在總部和分部組成的網(wǎng)絡(luò)中，嚴(yán)格意義上講，總部和分部并不在同一局域網(wǎng)（通過(guò)若干個(gè)路由器實(shí)現(xiàn)跨網(wǎng)段通信），但是由于VLAN的存在，可將網(wǎng)絡(luò)中間路由器組網(wǎng)方式看成一根網(wǎng)線直連，并將總部和分部的相同部門劃分到同一VLAN域中。這種組網(wǎng)方式不僅體現(xiàn)了VLAN是在二層網(wǎng)絡(luò)上建立的邏輯局域網(wǎng)，更體現(xiàn)了VLAN可實(shí)現(xiàn)跨區(qū)域組建局域網(wǎng)的特點(diǎn)（由于路由器存在，中間跨越了若干個(gè)網(wǎng)段）。

5 結(jié)束語(yǔ)

本文介紹了VLAN的優(yōu)勢(shì)、VLAN的技術(shù)原理和工作場(chǎng)景。VLAN由于具有隔離廣播域、提高信息安全、實(shí)現(xiàn)跨區(qū)域組建局域網(wǎng)以及簡(jiǎn)單易學(xué)易配置的優(yōu)點(diǎn)，所以被廣泛應(yīng)用于數(shù)據(jù)通信領(lǐng)域，已成為網(wǎng)絡(luò)開(kāi)發(fā)者必不可少的技能。

參考文獻(xiàn)：

[1] 劉懷峰.淺析VLAN技術(shù)原理[J].科技信息，2014（13）：236-237.

[2] 蔣磊.淺談VLAN技術(shù)原理[J].科技視界，2012（29）：180-181，203.

[3] 伍國(guó)良.淺談VLAN技術(shù)[J].今日科苑，2009（4）：197.

[4] 周紅梅.網(wǎng)絡(luò)中的VLAN技術(shù)[J].鐵道通信信號(hào)，2006，42（3）：41-43.

[5] 劉向東，李志潔，焉德軍，等.IEEE 802 1Q VLAN原理實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室研究與探索，2011，30（4）：46-48，77.

.【通聯(lián)編輯：代影】2B3BCD10-E106-4109-9F40-D991B651E0F8