一、為什么需要VLAN

1.1、什么是VLAN?

VLAN(VirtualLAN),翻譯成中文是“虛擬局域網”。LAN可以是由少數(shù)幾臺

家用計算機構成的網絡，也可以是數(shù)以百計的計算機構成的企業(yè)網絡。VLAN所

指的LAN特指使用路由器分割的網絡一一也就是廣播域。

在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀(目標MAC地址

全部為1)所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是

廣播幀,多播幀(MulticastFrame)和目標不明的單播幀(UnknownUnicastFrame)也

能在同一個廣播城中暢行無阻。

本來，二層交換機只能構建單一的廣播域，不過使用VLAN功能后，它能

夠將網絡分割成多個廣播域。

1.2、未分割廣播域時將會發(fā)生什么？

那么，為什么需要分割廣播域呢?那是因為，如果僅有一個廣播域，有可能

會影響到網絡整體的傳輸性能。具體原因，請參看附圖加深理解。

圖中，是一個由5臺二層交換機(交換機1?5)連接了大量客戶機構成的網絡。

假設這時，計算機A需要與計算機B通信。在基于以太網的通信中，必須在數(shù)

據(jù)幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播“ARP請

求(ARPRequesl)信息”，來嘗試獲取計算機B的MAC地址。

交換機1收到廣播幀(ARP請求)后，會將它轉發(fā)給除接收端口外的其他所有

端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機

3、4、5也還會Floodingo最終ARP請求會被轉發(fā)到同一網絡中的所有客戶機上。

請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而

發(fā)出的。也就是說：只要計算機B能收到就萬事大吉了?？墒鞘聦嵣?，數(shù)據(jù)幀

卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消

耗了網絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU

時間來對它進行處理。造成了網絡帶寬和CPU運算能力的大量無謂消耗。

1.3、廣播信息是那么經常發(fā)出的嗎？

讀到這里，你也許會問：廣播信息真是那么頻繁出現(xiàn)的嗎？

答案是：是的!實際上廣播幀會非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時，

除了前面出現(xiàn)的ARP外，還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣

播信息。

ARP廣播，是在需要與其他主機通信時發(fā)出的。當客戶機請求DHCP服務

器分配IP地址時，就必須發(fā)出DHCP的廣播。而使用R1P作為路由協(xié)議時，每

隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路

由協(xié)議使用多播傳輸路由信息，這也會被交換機轉發(fā)(Flooding)。除了TCP/IP以

外，NetBEUI、IPX和AppleTalk等協(xié)議也經常需要用到廣播。例如在Windows

下雙擊打開“網絡計算機”時就會發(fā)出廣播(多播)信息。(WindowsXP除夕|……)

總之，廣播就在我們身邊。下面是一些常見的廣播通信：

ARP請求：建立IP地址和MAC地址的映射關系。

RIP：一種路由協(xié)議。

DHCP：用于自動設定IP地址的協(xié)議。

NetBEUI：Windows下使用的網絡協(xié)議。

IPX：NovellNetware使用的網絡協(xié)議。

AppleTalk：蘋果公司的Macintosh計算機使用的網絡協(xié)議。

如果整個網絡只有一個廣播域，那么一旦發(fā)出廣播信息、，就會傳遍整個網絡,

并且對網絡中的主機帶來額外的負擔。因此，在設計LAN時，需要注意如何才

能有效地分割廣播域。

1.4、廣播域的分割與VLAN的必要性

分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上

的網絡接口(LANInterface)為單位分割廣播域。

但是，通常情況下路由器上不會有太多的網絡接口，其數(shù)目多在1?4個左

右。隨著寬帶連接的普及，寬帶路由器(或者叫IP共享器)變得較為常見，但是需

要注意的是，它們上面雖然帶著多個(一般為4個左右)連接LAN一側的網絡接

口，但那實際上是路由淵內置的交換機，并不能分割廣播域。

況且使用路由器分割廣播域的話，所能分割的個數(shù)完全取決于路由器的網絡

接口個數(shù)，使得用戶無法自由地根據(jù)實際需要分割廣播域。

與路由器相比，二層交換機一般帶有多個網絡接口。因此如果能使用它分割

廣播域，那么無疑運用上的靈活性會大大提高。

用于在二層交換機上分割廣播域的技術，就是VLAN。通過利用VLAN,我

們可以自由設計廣播域的構成，提高網絡設計的自由度。

二、實現(xiàn)VLAN的機制

2.1、實現(xiàn)VLAN的機制

在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機是如

何使用VLAN分割廣播域的。

首先，在一臺未設置任何VLAN的二層交換機上，任何廣播幀都會被轉發(fā)

給除接收端口外的所有其他端口(Flooding)。例如，計算機A發(fā)送廣播信息后，

會被轉發(fā)給端口2、3、4o

這時，如果在交換機上生成紅、藍兩個VLAN;同時設置端口1、2屬于紅色

VLAN、端口3、4屬于藍色VLAN。再從A發(fā)出廣播幀的話，交換機就只會把

它轉發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2,

不會再轉發(fā)給屬于藍色VLAN的端口。

同樣，C發(fā)送廣播信息時，只會被轉發(fā)給其他屬于藍色VLAN的端口，不

會被轉發(fā)給屬于紅色VLAN的端口。

就這樣，VLAN通過限制廣播幀轉發(fā)的范圍分割了廣播域。上圖中為了便于

說明，以紅、藍兩色識別不同的VLAN,在實際使用中則是用“VLANID”來區(qū)

分的。

2.2、直觀地描述VLAN

如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在

邏輯上分割成了數(shù)臺交換機。在一臺交換機上生成紅、藍兩個VLAN,也可以看

作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。

在紅、藍兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交

換機。

但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置

VLAN后，如果未做其他處理，VLAN間是無法通信的。

明明接在同一臺交換機上，但卻偏偏無法通信一一這個事實也許讓人難以接

受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。

2.3、需要VLAN間通信時怎么辦？

那么，當我們需要在不同的VLAN間通信時又該如何是好呢？

請大家再次回憶一下：VLAN是廣播域。而通常兩個廣播域之間由路由器連

接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需

要路由器提供中繼服務，這被稱作“VLAN間路由”。

VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。其中的具

體內容，等有機會再細說吧。在這里希望大家先記住不同VLAN間互相通信時

需要用到路由功能。

三、VLAN的訪問鏈接

3.1、交換機的端口

交換機的端口，司■以分為以下兩種：

訪問鏈接(AccessLink)

匯聚鏈接(TrunkLink)

接下來就讓我們來依次學習這兩種不同端口的特征。這一講，首先學習“訪

問鏈接”。

3.2、訪問鏈接

訪問鏈接，指的是“只屬于一個VLAN,且僅向該VLAN轉發(fā)數(shù)據(jù)幀”的

端口。在大多數(shù)情況下，訪問鏈接所連的是客戶機。

通常設置VLAN的順序是：

生成VLAN

設定訪問鏈接(決定各端口屬于哪一個VLAN)

設定訪問鏈接的手法，可以是事先固定的、也可以是根據(jù)所連的計算機而動

態(tài)改變設定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動態(tài)VLAN”了。

3.2.1、靜態(tài)VLAN

靜態(tài)VLAN又被稱為基于端口的VLAN(PorlBasedVLAN)。顧名思義，就是

明確指定各端口屬于哪個VLAN的設定方法。

由于需要一個個端口地指定，因此當網絡中的計算機數(shù)目超過一定數(shù)字(比

如數(shù)百臺)后，設定操作就會變得煩雜無比。并且，客戶機每次變更所連端口，

都必須同時更改該端口所屬VLAN的設定一一這顯然靜態(tài)VLAN不適合那些需

要頻繁改變拓補結構的網絡。

3.2.2、動態(tài)VLAN

另一方面，動態(tài)VLAN則是根據(jù)每個端口所連的計算機，隨時改變端口所

屬的VLAN。這就可以避免上述的更改設定之類的操作。動態(tài)VLAN可以大致

分為3類：

基于MACt也址的VLAN(MACBascdVLAN)

基于子網的VLAN(SubnetBasedVLAN)

基于用戶的VLAN(UserBasedVLAN)

其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的

VLANo

①基于MAC地址的VLAN,就是通過查詢方記錄端口所連計算機上網卡的

MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設定為屬于

VLAN“10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，

該端口都會被劃分到VLAN10中去。計算機連在端口1時，端口1屬于VLAN10;

而計算機連在端口2時，則是端口2屬于VLANlOo

②基于子網的VLAN,則是通過所連計算機的IP地址，來決定端口所屬

VLAN的。不像基于MAC地址的VLAN,即使計算機因為交換了網卡或是其他

4.2、何謂匯聚鏈接？

匯聚鏈接(TrunkLink)指的是能夠轉發(fā)多個不同VLAN的通信的端口。

匯聚鏈路上流通的數(shù)據(jù)幀，都被附加了用于識別分屬于哪個VLAN的特殊

信息。

現(xiàn)在再讓我們回過頭來考慮一下剛才那個網絡如果采用匯聚鏈路又會如何

呢?用戶只需要簡單地洛交換機間互聯(lián)的端口設定為匯聚鏈接就可以了。這時使

用的網線還是普通的UTP線，而不是什么其他的特殊布線。圖例中是交換機間

互聯(lián)，因此需要用交叉線來連接。

接下來，讓我們具體看看匯聚鏈接是如何實現(xiàn)跨越交換機間的VLAN的。

①A發(fā)送的數(shù)據(jù)幀從交換機1經過匯聚鏈路到達交換機2時，在數(shù)據(jù)幀上附

加了表示屬于紅色VLAN的標記。

②交換機2收到數(shù)據(jù)幀后，經過檢查VLAN標識發(fā)現(xiàn)這個數(shù)據(jù)幀是屬于紅

色VLAN的。

③因此去除標記后根據(jù)需要將復原的數(shù)據(jù)幀只轉發(fā)給其他屬于紅色VLAN

的端口。

這時的轉送，是指經過確認目標MAC地址并與MAC地址列表比對后只轉

發(fā)給目標MAC地址所連的端口。

只有當數(shù)據(jù)幀是一個廣播幀、多播幀或是目標不明的幀時，它才會被轉發(fā)到

所有屬于紅色VLAN的端口。

同理，藍色VLAN發(fā)送數(shù)據(jù)幀時的情形也與此相同。

通過匯聚鏈路時附加的VLAN識別信息，有可能支持標準的“IEEE802.1Q”

協(xié)議，也可能是Cisco產品獨有的“ISL(InterSwitchLink)”。如果交換機支持這些

規(guī)格，那么用戶就能夠高效率地構筑橫跨多臺交奧機的VLANo

另外，匯聚鏈路上流通著多個VLAN的數(shù)據(jù)，自然負載較重。因此，在設

定匯聚鏈接時，有一個前提就是必須支持100Mbps以上的傳輸速度。

另外，默認條件下，匯聚鏈接會轉發(fā)交換機上存在的所有VLAN的數(shù)據(jù)。

換一個角度看，可以認為匯聚鏈接(端口澗時屬于交換機上所有的VLAN。由于

實際應用中很可能并不需要轉發(fā)所有VLAN的數(shù)據(jù)，因此為了減輕交換機的負

載、也為了減少對帶寬的浪費，我們可以通過用戶設定限制能夠經由匯聚鏈路互

聯(lián)的VLANo

關于IEEE802.1Q和ISL的具體內容，將在下一講中提到。

五、VLAN的匯聚方式(IEEE802.1Q與ISL)

5.1、匯聚方式

在交換機的匯聚鏈接上，可以通過對數(shù)據(jù)幀附加VLAN信息，構建跨越多

臺交換機的VLANo

附加VLAN信息的方法，最具有代表性的有：

IEEE802.1Q

ISL

現(xiàn)在就讓我們看看這兩種協(xié)議分別如何對數(shù)據(jù)幀附加VLAN信息。

5.2、IEEE802.1Q

IEEE802.1Q,俗稱“DolOneQ"，是經過IEEE認證的對數(shù)據(jù)幀附加VLAN

識別信息的協(xié)議。

在此，請大家先回憶一下以太網數(shù)據(jù)幀的標準格式。

IEEE802.1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”

與“類別域(TypeField)”之間。具體內容為2字節(jié)的TPID和2字節(jié)的TCL共

計4字節(jié)。

在數(shù)據(jù)幀中添加了4字節(jié)的內容，那么CRC值自然也會有所變化。這時數(shù)

據(jù)幀上的CRC是插入TPID、TCI后，對包括它們在內的整個數(shù)據(jù)幀重新計算后

所得的值。

而當數(shù)據(jù)幀離開匯聚鏈路時,TPID和TCI會被去除，這時還會進行一次CRC

的重新計算。

TPID的值，固定為0x810()。交換機通過TPID,來確定數(shù)據(jù)幀內附加了基

于IEEE802.1Q的VLAN信息.。而實質上的VLANID,是TCI中的12位元，由

于總共有12位，因此最多可供識別4096個VLANo

基于IEEE802.1Q附加的VLAN信息，就像在傳遞物品時附加的標簽。因此,

它也被稱作“標簽型VLAN(TaggingVLAN)no

5.3、ISL(InterSwitchLink)

ISL,是Cisco產品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附

加VLAN信息的協(xié)議。

使用ISL后，每個數(shù)據(jù)幀頭部都會被附加26字節(jié)的“ISL包頭(ISLHeader)”,

并且在幀尾帶上通過市包括ISL包頭在內的整個數(shù)據(jù)幀進行計算后得到的4字節(jié)

CRC值。換而言之，就是總共增加了30字節(jié)的信息。

在使用1SL的環(huán)境下，當數(shù)據(jù)幀離開匯聚鏈路時，只要簡單地去除ISL包頭

和新CRC就可以了。由于原先的數(shù)據(jù)幀及其CRC都被完整保留，因此無需重新

計算CRCo

ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個包裹起來，因此也被稱為“封

裝型VLAN(EncapsulatedVLAN)

需要注意的是，不論是IEEE802.1Q的“TaggingVLAN"，還是ISL的

"EncapsulatedVLAN",都不是很嚴密的稱謂。不同的書籍與參考資料中，上述

訶語有可能被混合使用，因此需要大家在學習時格外注意。

并且由于ISL是Cisco獨有的協(xié)議，因此只能用于Cisco網絡設備之間的互

聯(lián)。

六、VLAN間路由

6.1、VLAN間路由的必要性

根據(jù)目前為止學習的知識，我們已經知道兩臺計算機即使連接在同一臺交換

機上，只要所屬的VLAN不同就無法直接通信。

接下來我們將要學習的就是如何在不同的VLAN間進行路由，使分屬不同

VLAN的主機能夠互相通信。

首先，先來復習一下為什么不同VLAN間不通過路由就無法通信。在LAN

內的通信，必須在數(shù)據(jù)幀頭中指定通信目標的MAC地址。而為了獲取MAC地

址，TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。

也就是說，如果廣播報文無法到達，那么就無從解析MAC地址，亦即無法直接

通信。

計算機分屬不同的VLAN,也就意味著分屬不同的廣播域，自然收不到彼此

的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能

夠在VLAN間通信，需要利用OSI參照模型中更高一層一一網絡層的信息(IP地

址)來進行路由。關于路由的具體內容，以后有機會再詳細解說吧。

路由功能，一般主要由路由器提供。但在今天的局域網里，我們也經常利用

帶有路由功能的交換機——三層交換機(Layer3Switch)來實現(xiàn)。接下來就讓我們

分別看看使用路由器和三層交換機進行VLAN間路由時的情況。

6.2、使用路由器進行VLAN間路由

在使用路由器進行VLAN間路由時，與構建橫跨多臺交換機的VLAN時的

情況類似，我們還是會遇到“該如何連接路由器與交換機”這個問題。路由器和

交換機的接線方式，大致有以下兩種：

將路由器與交換機上的每個VLAN分別連接

不論VLAN有多少個，路由器與交換機都只用一條網線連接

①最容易想到的，當然還是“把路由器和交換機以VLAN為單位分別用網

線連接”了。將交換機上用于和路由器互聯(lián)的每個端口設為訪問鏈接，然后分別

用網線與路由器上的獨立端口互聯(lián)。如下圖所示，交換機上有2個VLAN,那么

就需要在交換機上預留2個端口用于與路由器互聯(lián);路由器上同樣需要有2個端

口;兩者之間用2條網線分別連接。

如果采用這個辦法，大家應該不難想象它的擴展性很成問題。每增加一個新

的VLAN,都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布

設一條網線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了

對應增加的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高

端產品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種

不受歡迎的辦法。

②那么，第二種辦法“不論VLAN數(shù)目多少，都只用一條網線連接路由器

與交換機”呢?當使用一條網線連接路由器與交換機、進行VLAN間路由時，需

要用到匯聚鏈接。

具體實現(xiàn)過程為：首先將用于連接路由器的交換機端口設為匯聚鏈接，而路

由器上的端口也必須支持匯聚鏈路。雙方用于匯聚鏈路的協(xié)議自然也必須相同。

接著在路由器上定義店應各個VLAN的“子接口(Sublnlerface)”。盡管實際與交

換機連接的物理端口只有一個，但在理論上我們可以把它分割為多個虛擬端口。

VLAN將交換機從邏輯上分割成了多臺，因而用于VLAN間路由的路由器，

也必須擁有分別對應各個VLAN的虛擬接口。

采用這種方法的話，即使之后在交換機上新建VLAN,仍只需要一條網線連

接交換機和路由器。用戶只需要在路由器上新設一個對應新VLAN的子接口就

可以了。

與前面的方法相比，這種方法擴展性要強得多，也不用擔心需要升級LAN

接口數(shù)不足的路由器或是重新布線。

6.3、同一VLAN內的通信時數(shù)據(jù)的流程

接下來，我們繼續(xù)學習使用匯聚鏈路連接交換機與路由器時，VLAN間珞由

是如何進行的。如下圖所示，為各臺計算機以及路由器的子接口設定IP地址。

紅色VLAN(VLANID=1)的網絡地址為/24,藍色

VLAN(VLANID=2)的網絡地址為/24。各計算機的MAC地址分別為

A/B/C/D,路由器匯聚鏈接端口的MAC地址為R。交換機通過對各端口所連計

算機MAC地址的學習，生成如下的MAC地址列表。

端口MAC地址VLAN

1A1

2B1

3C2

4D2

5——

6R匯聚

首先考慮計算機A與同一VLAN內的計算機B之間通信時的情形。

(1)計算機A發(fā)出ARP請求信息，請求解析B的MAC地址。

(2)交換機收到數(shù)據(jù)幀后，檢索MAC地址列表中與收信端口同屬一個VLAN

的表項。

(3)結果發(fā)現(xiàn),計算機B連接在端口2上，于是交換機將數(shù)據(jù)幀轉發(fā)給端口2,

最終計算機B收到該幀。

收發(fā)信雙方同屬一個VLAN之內的通信，一切處理均在交換機內完成。

6.4、不同VLAN間通信時數(shù)據(jù)的流程

接下來是這一講的核心內容，不同VLAN間的通信。讓我們來考慮一下計

算機A與計算機C之間通信時的情況。

(1)計算機A從通信目標的IP地址()得出C與本機不屬于同一個

網段。因此會向設定的默認網關(DefaultGateway,GW)轉發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)

幀之前，需要先用ARP獲取路由器的MAC地址。

(2)得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C

去的數(shù)據(jù)幀。①的數(shù)據(jù)幀中，目標MAC地址是路由器的地址R、但內含的目標

IP地址仍是最終要通信的對象C的地址。這一部分的內容，涉及到局域網內經

過路由器轉發(fā)時的通信步驟，有機會再詳細解說吧。

(3)交換機在端口1上收到①的數(shù)據(jù)幀后，檢索MAC地址列表中與端口1同

屬一個VLAN的表項。由于匯聚鏈路會被看作屬于所有的VLAN,因此這時交

換機的端口6也屬于被參照對象。這樣交換機就知道往MAC地址R發(fā)送數(shù)據(jù)幀,

需要經過端口6轉發(fā)。

從端口6發(fā)送數(shù)據(jù)幀時，由于它是匯聚鏈接，因此會被附加上VLAN識別

信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀，因此如圖中②所示，會被加上紅

色VLAN的識別信息后進入匯聚鏈路。

(4)路由器收到②的數(shù)據(jù)幀后，確認其VLAN識別信息，由于它是屬于紅色

VLAN的數(shù)據(jù)幀，因此交由負責紅色VLAN的子接口接收。

接著，根據(jù)路由器內部的路由表，判斷該向哪里中繼。

由于目標網絡192.1682()/24是藍色VLAN,且該網絡通過子接口與路由器

直連，因此只要從負責藍色VLAN的子接口轉發(fā)就可以了。這時，數(shù)據(jù)幀的目

標MAC地址被改寫成計算機C的目標地址;并且由于需要經過匯聚鏈路轉發(fā)，

因此被附加了屬于藍色VLAN的識別信息。這就是圖中③的數(shù)據(jù)幀。

(5)交換機收到③的數(shù)據(jù)幀后，根據(jù)VLAN標識信息從MAC地址列表中檢

索屬于藍色VLAN的表項。由于通信目標一一計算機C連接在端口3上、且端

口3為普通的訪問鏈接，因此交換機會將數(shù)據(jù)幀除去VLAN識別信息后(數(shù)據(jù)幀

④)轉發(fā)給端口3,最終計算機C才能成功地收到這個數(shù)據(jù)幀。

進行VLAN間通信時，即使通信雙方都連接在同一臺交換機上，也必須經

過：“發(fā)送方一一交換機一一路由器一一交換機一一接收方”這樣一個流程。

七、三層交換機

7.1、使用路由器進行VLAN間路由時的問題

現(xiàn)在，我們知道只要能提供VLAN間路由，就能夠使分屬不同VLAN的計

算機互相通信。

但是，如果使用路由器進行VLAN間路由的話，隨著VLAN之間流量均不

斷增加，很可能導致路由器成為整個網絡的瓶頸。

交換機使用被稱為ASIC(ApplicationSpecifiedlntegratedCircuit)的專用硬件芯

片處理數(shù)據(jù)幀的交換操作，在很多機型上都能實現(xiàn)以纜線速度(WiredSpeed)交換。

而路由器，則基本上是基于軟件處理的。

即使以纜線速度接收到數(shù)據(jù)包，也無法在不限速的條件下轉發(fā)出去，因此會

成為速度瓶頸。就VLAN間路由而言，流量會集中到路由器和交換機互聯(lián)的匯

聚鏈路部分，這一部分尤其特別容易成為速度瓶頸。

并且從硬件上看，由于需要分別設置路由器和交換機，在一些空間狹小的環(huán)

境里可能連設置的場所都成問題。

7.2、三層交換機(Layer3Switch)

為了解決上述問題，三層交換機應運而生。三層交換機，本質上就是“帶有

路由功能的(二層)交換機二路由屬于OSI參照模型中第三層網絡層的功能，因

此帶有第三層路由功能的交換機才被稱為“三層交換機二

關于三層交換機的內部結構，可以參照下面的簡圖。

在一臺本體內，分別設置了交換機模塊和路由器模塊;而內置的路由模塊與

交換模塊相同，使用ASIC硬件處理路由。因此，與傳統(tǒng)的路由器相比，可以實

現(xiàn)高速路由。并且，路由與交換模塊是匯聚鏈接的，由于是內部連接，可以確保

相當大的帶寬。

7.3、使用三層交換機進行VLAN間路由(VLAN內通信)

在三層交換機內部數(shù)據(jù)究竟是怎樣傳播的呢?基本上，它和使用匯聚鏈路連

接路由器與交換機時的情形相同。

假設有如下圖所示的4臺計算機與三層交換機互聯(lián)。當使用路由器連接時，

-一般需要在LAN接口上設置對應各VLAN的子接口;而三層交換機則是在內部

生成“VLAN接口(VLANInterface)”。VLAN接口，是用于各VLAN收發(fā)數(shù)據(jù)的

接口。

注：在Cisco的Catalyst系列交換機上，VLANInterface被稱為SVI

SwitchedVirtuallnterface

為了與使用路由器進行VLAN間路由對比，讓我們同樣來考慮一下計算機

A與計算機B之間通信時的情況。首先是目標地址為B的數(shù)據(jù)幀被發(fā)到交換機;

通過檢索同一VLAN的MAC地址列表發(fā)現(xiàn)計算機B連在交換機的端口2上;因

此將數(shù)據(jù)幀轉發(fā)給端口20

7.4、使用三層交換機進行VLAN間路由(VLAN間通信)

接下來設想一下計算機A與計算機C間通信時的情形。針對目標IP地址，

計算機A可以判斷出通信對象不屬于同一個網絡，因此向默認網關發(fā)送數(shù)據(jù)

(Framel)o

交換機通過檢索MAC地址列表后，經由內部匯聚鏈接，將數(shù)據(jù)幀轉發(fā)給路

由模塊。在通過內部匯聚鏈路時，數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識

別信息(Frame2)。

路由模塊在收到數(shù)據(jù)幀時，先由數(shù)據(jù)幀附加的VLAN識別信息分辨出它屬

于紅色VLAN,據(jù)此判斷由紅色VLAN接口負責接收并進行路由處理。因為目

標網絡/24是直連路由器的網絡、且對應藍色VLAN;

因此，接下來就會從藍色VLAN接口經由內部匯聚鏈路轉發(fā)回交換模塊。

在通過匯聚鏈路時，這次數(shù)據(jù)幀被附加上屬于藍色VLAN的識別信息(Frame3)。

交換機收到這個幀后，檢索藍色VLAN的MAC地址列表，確認需要將它轉

發(fā)給端口3。由于端口3是通常的訪問鏈接，因此轉發(fā)前會先將VLAN識別信息

除去(Frame4)。最終，計算機C成功地收到交換機轉發(fā)來的數(shù)據(jù)幀。

整體的流程，與使用外部路由器時的情況十分相似一一都需要經過“發(fā)送方

一交換模塊一路由模塊一交換模塊一接收方”這樣的流程。

八、加速VLAN間通信的手段

8.1、流(Flow)

根據(jù)到此為止的學習，我們已經知道VLAN間路由，必須經過外部的路由

器或是二層交換機的內置路由模塊。但是，有時并不是所有的數(shù)據(jù)都需要經過路

由器(或路由模塊)。

例如，使用FTP(FileTransferProtocol)傳輸容量為數(shù)MB以上的較大的文件

時，由于MTU的限制，IP協(xié)議會將數(shù)據(jù)分割成小塊后傳輸、并在接收方重新組

合。這些被分割的數(shù)據(jù)，”發(fā)送的目標”是完全相同的。發(fā)送目標相同，也就意

味著同樣的目標IP地址、目標端口號(注：特別強調一下，這里指的是TCP/UDP

端口)。自然，源IP地址、源端口號也應該相同。這樣一連串的數(shù)據(jù)流被稱為“流

(Flow)”。

只要將流最初的數(shù)據(jù)正確地路由以后，后繼的數(shù)據(jù)理應也會被同樣地路由。

據(jù)此，后繼的數(shù)據(jù)不再需要路由器進行路由處理;通過省略反復進行的路由

操作，可以進一步提高VLAN間路由的速度。

8.2、加速VLAN間路由的機制

接下來，讓我們具體考慮一下該如何使用三層交換機進行高速VLAN同路

111

首先，整個流的第一塊數(shù)據(jù)，照常由交換機轉發(fā)一路由器路由一再次由交換

機轉發(fā)到目標所連端口。這時，將第一塊數(shù)據(jù)路由的結果記錄到緩存里保存下來。

需要記錄的信息有：

目標IP地址

源IP地址

目標TCP/UDP端口號

源TCP/UDP端口號

接收端口號(交換機)

轉發(fā)端口號(交換機)

轉發(fā)目標MAC地址等等。

同一個流的第二塊以后的數(shù)據(jù)到達交換機后，直接通過查詢先前保存在緩存

中的信息查出“轉發(fā)端口號”后就可以轉發(fā)給目標所連端口了。

這樣一來，就不需要再一次次經由內部路由模塊中繼，而僅憑交換機內部的

緩存信息就足以判斷應該轉發(fā)的端口。

這時，交換機會木數(shù)據(jù)幀進行由路由器中繼時相似的處理，例如改寫MAC

地址、IP包頭中的TTL和Checksum校驗碼信息等。

通過在交換機上緩存路由結果，實現(xiàn)了以纜線速度(WiredSpeed)接收發(fā)送方

傳輸來數(shù)據(jù)的數(shù)據(jù)、并且能夠全速路由、轉發(fā)給接收方。

需要注意的是，類似的加速VLAN間路由的手法多由各廠商獨有的技術所

實現(xiàn)，并且該功能的稱謂也因廠商而異。例如，在Cisco的Calalysl系列交換機

上，這種功能被稱為“多層交換(MultiLayerSwitching)”。

另外，除了三層交換機的內部路由模塊，外部路由器中的某些機型也支持類

似的高速VLAN間路由機制。

九、傳統(tǒng)型路由器存在的意義

9.1、路由器的必要性

三層交換機的價格，在問世之初非常昂貴，但是現(xiàn)在它們的價格已經下降了

許多。目前國外一些廉價機型的售價，折合成人民幣后僅為一萬多元，而且還在

繼續(xù)下降中。

既然三層交換機能夠提供比傳統(tǒng)型路由器更為高速的路由處理，那么網絡中

還有使用路由器的必要嗎？

答案是：“是

使用路由器的必要性，主要表現(xiàn)在以下幾個方面：

用于與WAN連接

三層交換機終究是“交換機”。也就是說，絕大多數(shù)機型只配有LAN(以太

網)接口。在少數(shù)高端交換機上也有用于連接WAN的串行接口或是ATM接口，

但在大多數(shù)情況下，連接WAN還是需要用到路由器。

保證網絡安全

在三層交換機上，通過數(shù)據(jù)包過濾也能確保一定程度的網絡安全。但是使用

路由器所提供的各種網絡安全功能，用戶可以構建更為安全可靠的網絡。

路由器提供的網絡安全功能中，除了最基本的數(shù)據(jù)包過濾功能外，還能基于

IPSec構建(VirtualPrivateNetwork)、利用RADIUS進行用戶認證等等。

支持除TCP/IP以外的網絡架構

盡管TCP/IP已經成為當前網絡協(xié)議架構的主流，但還有不少網絡利用

NovellNetware下的IPX/SPX或Macintosh下的Appletalk等網絡協(xié)議。三層交換

機中，除了部分高端機型外基本上還只支持TCP/IPo因此，在需要使用除TCP/IP

之外其他網絡協(xié)議的環(huán)境下，路由器還是必不可少的。

注：在少數(shù)高端交換機上，也能支持上述路由器的功能。例如Cisco的

Catalyst6500系列，就可以選擇與WAN連接的接口模塊;還有可選的基于IPSec

實現(xiàn)的模塊;并且也能支持TCP/IP以外的其他網絡協(xié)議。

9.2、路由器和交換機配合構建LAN的實例

下面讓我們來看一個路由器和交換機搭配構建LAN的實例。

利用在各樓層配置的二層交換機定義VLAN，連接TCP/IP客戶計算機。各

樓層間的VLAN間通信，利用三層交換機的高速路由加以實現(xiàn)。如果網絡環(huán)境

要求高可靠性，還可以考慮冗余配置三層交換機。

與WAN的連接，則通過帶有各種網絡接口的路由器進行。并且，通過珞由

器的數(shù)據(jù)包過濾和等功能實現(xiàn)網絡安全。此外，使用路由器還能支持

NovellNetware等TCP/IP之外的網絡。

只有在充分掌握了二層、三層交換機以及傳統(tǒng)路由器的基礎上，才能做到物

竟其用，構筑出高效率、高性價比的網絡。

十、使用VLAN設計局域網

10.1、使用VLAN設計局域網的特點

通過使用VLAN構建局域網，用戶能夠不受物理鏈路的限制而自由地分割

廣播域。

另外，通過先前提到的路由器與三層交換機提供的VLAN間路由，能夠適

應靈活多變的網絡構成。

但是，由于利用VLAN容易導致網絡構成復雜化，因此也會造成整個網絡

的組成難以把握。

可以這樣說，在利用VLAN時，除了有：

網絡構成靈活多變這個優(yōu)點外，還搭配著：回絡構成復雜化這個缺點。下面,

就讓我們來看看具體的實例。

10.2、不使用VLAN的局域網中網絡構成的改變

假設有如圖所示的由1臺路由器、2臺交換機構成的“不使用VLAN構建”

的網絡。

圖中的路由器，帶有2個LAN接口。左側的網絡是/24,右側是

/24。

現(xiàn)在如果想將/24這個網絡上的計算機A轉移到/24

上去，就需要改變物理連接、將A接到右側的交換機上。并且，當需要新增一

個地址為/24的網絡時，還要在路由器上再占用一個LAN接口并添置

一臺交換機。而由于這臺路由器上只帶了2個LAN接口，因此為了新增網絡還

必須將路由器升級為帶有3個以上LAN接口的產品。

1().3、使用VLAN的局域網中網絡構成的改變

接下來再假設有一個由1臺路由器、2臺交換機構成的“使用VLAN”的局

域網。交換機與交換機、交換機與路由器之間均為匯聚鏈路；并且假設

/24對應紅色VLAN、/24對應藍色VLAN。

需要將連接在交換機1上/24這個網段的計算機A轉屬

/24時，無需更改物理布線。只要在交換機上生成藍色VLAN,然后

將計算機A所連的端口1加入到藍色VLAN中去，使它成為訪問鏈接即可。然

后，根據(jù)需要設定計算機A的IP地址、默認網關等信息就可以了。如果IP地址

相關的設定是由DHCP獲取的，那么在客戶機方面無需進行任何設定修改，就

可以在不同網段間移動。

利用VLAN后，我們可以在免于改動任何物理布線的前提下，自由進行網

絡的邏輯設計。如果所處的工作環(huán)境恰恰需要經常改變網絡布局，那么利用

VLAN的優(yōu)勢就非常明顯了。并且，當需要新增一個地址為192.16830/24的網

段時，也只需要在交換機上新建一個對應/24的VLAN,并將所需的

端口加入它的訪問鏈路就可以了。

如果網絡環(huán)境中還需要利用外部路由器，則只要在路由器的匯聚端口上新增

一個子接口的設定就G以完成全部操作，而不需要消耗更多的物理接口(LAN接

口)。要使用的是三層交換機內部的路由模塊，則只需要新設一個VLAN接口即

可。

網絡環(huán)境的成長，往往是難以預測的，很可能經常會出現(xiàn)需要分割現(xiàn)有網絡

或是增加新網絡的情況。而充分活用VLAN后，就可以輕易地解決這些問題。

10.4、利用VLAN而導致的網絡結構復雜化

雖然利用VLAN可以靈活地構建網絡，但是同時，它也帶來了網絡結構復

雜化的問題。

特別是由于數(shù)據(jù)流縱橫交錯，一旦發(fā)生故障時，準確定位并排除故障會比較

困難。

為了便于理解數(shù)據(jù)流向的復雜化，假設有下圖所示的網絡。計算機A向計

算機C發(fā)送數(shù)據(jù)時，數(shù)據(jù)流的整體走向如下：

計算機Af交換機1一路由器一交換機If交換機2f計算機C

(1)首先計算機A向交換機1送出數(shù)據(jù)(①)

(2)其后數(shù)據(jù)被轉發(fā)給路由器(②)進行VLAN向路由。

(3)路由后的數(shù)據(jù)，再從匯聚鏈路返回交換機1(③)。

(4)由于通信目標計算機C并不直連在交換機1上，因此還需要經過匯聚鏈

路轉發(fā)到交換機2(④),

(5)在交換機2上，數(shù)據(jù)最終被轉發(fā)到C所連的端口2上，這才完成整個流

程(⑤)。

在這個例子中，僅由2臺交換機構成網絡，其數(shù)據(jù)流已經如此復雜，如果構

建橫跨多臺交換機的VLAN的話，每個數(shù)據(jù)流的流向顯然會更加難以把握。

10.5、網絡的邏輯結構與物理結構

為了對應日漸復雜化的數(shù)據(jù)流，管理員需要從“邏輯結構”與“物理結構”

兩方面入手，把握好網絡的現(xiàn)狀。

物理結構，指的是從物理層和數(shù)據(jù)鏈路層觀察到的網絡的現(xiàn)狀，表示了網絡

的物理布線形態(tài)和VLAN的設定等等。

而邏輯結構，則表示從網絡層以上的層面觀察到的網絡結構。下面我們就試

著以路由器為中心分析一個IP網絡的邏輯結構。

還是先前的那個例子，描繪了布線形態(tài)和VLAN設定的“物理結構”如下

圖所示。

分析這個物理結構并轉換成以路由器為中心的邏輯結構后，會得到如下的邏

輯結構圖。當我們需要進行路由或是數(shù)據(jù)包過濾的設定時，都必須在邏輯結構的

基礎上進行。

把握這兩種網絡結構圖的區(qū)別是十分重要的，特別是在VLAN和三層交換

機大行其道的現(xiàn)代企業(yè)級網絡當中。

在當今的數(shù)字化時代，網絡已經成為企業(yè)、組織甚至個人生活中不可或缺的

一部分。然而，隨著網絡規(guī)模的不斷擴大和復雜性的增加，有效地管理和維護網

絡已成為網絡管理員們日常工作的一項挑戰(zhàn)。為了更好地管理和組織網絡資源，

VLAN(VirtualLocalAreaNctwork,虛擬局域網)技術應運而生，為網絡管理者

提供「一種強大的工具。

1VLAN的基本原理

SvitchlSwitch2

431

也1［二，7二寸

VIAN10VIAN20VIAN20VIAN10

VLAN（VirtualLocalAreaNetwork,虛擬局域網）通過邏輯劃分和標記技術，

將一個物理網絡劃分成多個邏輯上獨立的子網。這些子網之間是邏輯上隔離的，

即使它們共享同一物理網絡基礎設施。VLAN使用標記技術來識別不同子網的數(shù)

據(jù)包，并通過限制特定VLAN內設備之間的通信，提高網絡的安全性。此外，

VLAN還能減少廣播風暴對整個網絡的影響，從而提高網絡性能和可靠性。

2VLAN的劃分方式

在網絡管理中，VLAN（VirtualLocalAreaNetwork,虛擬局域網）劃分方式

的選擇至關重要，它直接影響著網絡的性能、安全性和管理效率。在實際應用中,

我們常常需要根據(jù)不同的網絡需求和環(huán)境來選擇適合的VLAN劃分方式。接下

來，讓我們簡潔地探討幾種常見的VLAN劃分方式，以便更好地理解和應用這

些網絡管理技術。

VLAN20I

VLAN超就：VLAN10

基于接口GEO/O/1,GE0/0/3GEO/O/2,GE0/0/4

基于MAC地址MAC1,MAC3MAC2,MAC4

基于IP子網劃分10.0.1?10.0.2?

基于協(xié)議劃分IPIPv6

10.0.1??GE0/0/U10.0.2??GEO/O/2?

基于策略

MAC1MAC2

在實際網絡中，基于接口劃分是最常見和最直接的VLAN配置方式。了解

各類接口添加或剝除VLAN標簽的處理過程對于網絡管理至關重要。接下來，

讓我們簡潔地總結一下這些關鍵過程，以便更好地理解和應用基于接口劃分的

VLAN技術。

Access接口Trunk接口Hybrid接口

接收數(shù)露幀樓收數(shù)搟賴接收數(shù)搟帕

?umyTS據(jù)H±PVW.?Unt.ggedKRH,打上PVM）,且V10在允?UnUMedtfKW,打上PVU）,且VI。在允

許？1衰中，剜接收；VID不在允許列表，許列表中，則接收；VIDT在允許列表中,

?與PVIDtttt,相同剜擢收;

不同則去棄.Mfin.MSA.

?TadtedlSKM,育?VQJI否在允訐列]I?TaMedffKM,青■VIOJS否在允許列表

中，在允許列裳中，則接收；VW不在允中,在允許列表中,則播收；VI。不在允

許列表，剜丟棄.許列表，則丟棄.

發(fā)送數(shù)1蜥如姐

?V10與PVIO比較，相同則■離標停發(fā)送;?VIDff允許列表中，目VID與PVIO-BL財?VI必在允許列表中,直接袤育.

不同丟棄.H離標基發(fā)送.

JB?VIDffUEawedM表中，到離標冬發(fā)送.

允許列裳,但不一致.則

?ViottVlgPVlO?VI。在hX列表中，帶標簽?櫻發(fā)送.

?醫(yī)帶標名發(fā)送.

?不在允許列表中.JN?接去音.

3VLAN的配置

1.創(chuàng)建VLAN

[Huawei]vlanvlan-id//vlan-id是整數(shù)形式，取值范圍是1?4094//通過此命令

創(chuàng)建VLAN并進入VLAN視圖，如果VLAN已存在，直接進入該VLAN的視

圖。[Huawei]vlanbatch{vlan-id