组建Virtual LAN 网络 - 1.定义、协议、基本概念

1. VLAN 的基本定义

摘自百度

　　VLAN建立在交换技术的基础上，将网络结点按工作性质与需要划分成若干个“逻辑工作组”，一个“逻辑工作组”即一个虚拟网络。VLAN的实现技术有四种：用交换机端口（Port）号定义虚拟网络、用MAC地址定义虚拟网络、IP广播组虚拟网络、用网络层地址定义虚拟网络。“逻辑工作组”的划分与管理由软件来实现。通过划分虚拟网，可以把广播限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率；同时各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。

Wiki的解释如下

A virtual local area network, virtual LAN or
VLAN, is a group of hosts with a common set of requirements that communicate as if they were attached to the same

broadcast domain, regardless of their physical location. A VLAN has the same attributes as a physical

local area network (LAN), but it allows for end stations to be grouped together even if they are not located on the same
network switch. VLAN membership can be configured through software instead of physically relocating devices or connections.

To physically replicate the functions of a VLAN, it would be necessary to install a separate, parallel collection of network cables and equipment which are kept separate from the primary network. However unlike a physically separate network, VLANs must share
bandwidth; two separate one-gigabit VLANs using a single one-gigabit interconnection can suffer both reduced throughput and congestion. It virtualizes VLAN behaviors (configuring switch ports, tagging frames when entering VLAN, lookup MAC table to switch/flood
frames to trunk links, and untagging when exit from VLAN.)

wiki提到了VLAN需要share bandwidth，

§ 补充说明VLAN 是为了在同一个物理链路上传输多个逻辑的数据链路而提出的一种网络技术，。VLAN一般被认为是一种二层的隔离技术，它可以隔离不同逻辑网络之间的数据链路。

IEEE 802.1Q在MAC层定义了VLAN的桥接功能，IEEE802.1D把这种定义推广到了tree协议。通过树生成协议，不同的VLAN之间可以通过3层网络互访。这里的三层网络指3层交换机或路由器。

2. VLAN的协议

802.1Q并没有定义封装方式，它是通过在增强网络帧中增加1个32 bits的VLAN tag field。该VLAN tag具有如下格式：

VLAN tag区域格式如下

16 bits 3 bits 1 bit 12 bits

TPID PCP CFI VID

a. Tag Protocol Identifier (TPID): VLAN 标记帧，在802.1Q 中该标记为的值为0x8100。该标志为用来识别VLAN 和非 VLAN数据帧。

b. Priority Code Point (PCP): 为一个 3-bit 的区域，用来标记数据帧的优先级别。优先级从0到7优先级逐渐降低。不同的优先级可以用与不用的业务如语音、视频、数据等。

c. Canonical Format Indicator (CFI): 为一个 1-bit 区域，如果只为1则后续的MAC地址为非正规形式，如果为0则后续的MAC地址为正规形式。CFI用来兼容Ethernet与Token Ring networks。如果Ethernet port收到的帧 CFI标记为1，则该帧不会送至untagged端口。

d. VLAN Identifier (VID): 为一个12-bit的区域，标志该帧属于哪个VLAN。如果为0则表示该帧不属于任何VLAN， 0xFFF是保留标志。因此可用的VLAN共计4094。在桥接网络中，VLAN 1 一般用作管理网络。

另外， VLAN的标签也可以是上层嵌套的，这种VLAN方式一般在运营商的网络中采用。这种VLAN可以把多个客户的VLAN在划分在一个大的VLAN中以区别不同的业务。VLAN tag 从外到内逐步解析。此时外层的 VLAN TPID可以标记为9100、9200或者9300。根据802.1ad，由运营商的外层 VLAN TPID 被定义为88a8。

双层的VLAN标记帧结构如下图所示：

Insertion of 802.1ad DoubleTag in Ethernet-II frame

以同样的方式，也可以拓展到3层VLAN或更多的嵌套。

3. VLAN划分方法

VLAN在交换机上的实现方法，可以大致划分为4类。

3.1 基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的1~4端口为VLAN 10，5~17为VLAN 20，18~24为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一LAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

3.2 基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。

3.3 基于网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

3.4 根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。