局域网协议：VLAN技术介绍

VLAN概述

VLAN（Virtual Local Area Network虚拟局域网）是一种在物理网络基础上划分逻辑上独立的局域网的技术。它允许将网络设备按照逻辑上的需求而非物理位置进行分组，提供更好的网络管理、安全性和灵活性。

VLAN这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

基本上，VLAN允许将同一物理网络中的设备划分为多个逻辑上独立的子网络。这些子网络可以互相隔离，就像它们在不同的物理网络中一样。这种逻辑划分使得管理员可以更灵活地控制流量、安全策略和网络资源分配，同时降低了广播风暴和网络拥塞的风险。

VLAN的实现可以基于端口、协议、MAC地址等因素进行配置。它可以跨越多个交换机和路由器，使得不同物理位置的设备可以属于同一个VLAN，这种灵活性对于大型企业网络尤为重要。

VLAN的优点

VLAN的优点有如下几点：

• 广播控制和网络流量优化
  每个VLAN可以减少广播域的大小，限制广播流量只在VLAN内部传播，从而减少了网络拥塞和广播风暴的风险，提高了网络性能。
• 增强局域网的安全性
  VLAN可以将不同安全级别的设备隔离开来，限制未经授权设备的访问。这种隔离可以降低未经授权访问或网络攻击的风险。
• 逻辑隔离和资源分配
  不同的部门、用户或应用可以被分配到不同的VLAN中，从而实现逻辑上的隔离。这种隔离可以提高网络资源的有效分配，并简化特定网络流量的管理。
• 简化网络配置和扩展
  VLAN可以帮助简化网络配置和扩展，特别是对于大型网络。管理员可以更容易地添加、删除或重新配置VLAN，而无需进行物理上的更改。

VLAN的原理

要使网络设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于普通交换机工作在OSI模型的数据链路层，只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段:

其中DA表示目的MAC地址，SA表示源MAC地址，Type表示报文所属协议类型。

IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag，用以标识VLAN的相关信息。

VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。

• TPID用来判断本数据帧是否带有VLAN Tag，长度为16bit，缺省取值为0x8100。
• Priority表示报文的802.1P优先级，长度为3bit。
• CFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装，长度为1bit，取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装，缺省取值为0。
• VLAN ID标识该报文所属VLAN的编号，长度为12bit，取值范围为0～4095。由于0和4095为协议保留取值，所以VLAN ID的取值范围为1～4094。

网络设备利用VLAN ID来识别报文所属的VLAN，根据报文是否携带VLAN Tag以及携带的VLAN Tag值，来对报文进行处理。

VLAN的配置

假设我们要在Cisco交换机上创建和配置VLAN，做法如下：

步骤一：进入特权模式

enable

步骤二：进入全局配置模式

configure terminal

步骤三：创建VLAN

创建VLAN的指令：vlan

vlan 10
name <VLAN name>

步骤四：配置端口并将其分配给VLAN

interface <接口名称>
switchport mode access
switchport access vlan <VLAN ID>

步骤五：exit退出后，保存配置

copy running-config startup-config

希望以上对您有所帮助。