什么是 VLAN？如何配置？VLAN 间路由又是怎样的？一文了解！

VLAN 在企业网、校园网等基础组网中发挥着重要作用，VLAN 不仅使工程师能够很好地控制他们的网络系统，而且提高了网络的安全性和可扩展性。

它是在虚拟化领域提供管理的基础，即使虚拟机不断迁移，也挑战了网络管理的基础。

在本教程中，将探讨 VLAN 配置、VLAN 标记和 VLAN 间路由等基本知识。

什么是 VLAN，为什么需要它？

通过 VLAN，可以将 LAN 网络划分为不同的组，A 组的数据不能转发到 B 组或其他组，提高了网络安全性，简化了管理。

如下图所示：

那为什么网络需要 VLAN 呢？VLAN 通过在逻辑上将大型网络分割成许多较小的网络来减少独占广播，从而控制广播流量并提高网络效率。

VLAN 配置

通常，VLAN 配置有两种方式：静态 VLAN 和动态 VLAN，并且配置取决于 VLAN 的需要。

静态 VLAN：

通过将端口分配给一个 VLAN 来创建，并且如果用户将接入端口更改为 VLAN，则需要重新配置该端口，这对于那些较大的网络来说是难以管理的。

动态 VLAN：

比静态 VLAN 灵活很多。它通常使用软件或协议创建。

通常，动态 VLAN 可以分为三类：基于 MAC 的 VLAN、基于 IP 子网的 VLAN 和基于用户的 VLAN。

基于 MAC 的 VLAN

通过验证主机源 MAC 地址并将传入数据包源 MAC 映射到 VLAN 来控制网络访问，也就是说，在基于 MAC 的 VLAN 中，VLAN 成员资格是基于设备的 MAC 地址，而不是交换机端口。

基于 IP 子网的 VLAN

在基于 IP 子网的 VLAN 中，IP 子网中的所有终端工作站都分配到同一个 VLAN。如果 IP 不改变，用户可以移动他们的工作站而无需重新配置他们的网络地址。

基于用户的 VLAN

可以根据用于登录该设备的用户名将交换机端口分配给一个 VLAN。

VLAN 连接链路类型

说到 VLAN，Trunk 和 Access Link 是不容忽视的，在 VLAN 的世界中有两种类型的接口或链路。这些链接使管理员能够将多个交换机连接在一起，或者只是连接到 VLAN 网络的简单网络设备（如 PC）。

访问链接

接入链路是最常见的链路类型，可以在任何 VLAN 交换机上看到。要访问本地网络，所有网络主机都需要连接交换机的访问链路。这些链路是在每个以太网交换机上都可以找到的非常普通的端口，并以特殊方式进行配置。

因此，用户可以插入计算机并访问网络，可以为一个或多个 VLAN 配置一台 VLAN 交换机上的接入链路端口。

中继链路

与接入链路不同，VLAN 中继链路通常被配置为承载多个 VLAN。中继端口通常位于交换机之间的连接中。

通过 VLAN 中继，用户可以将 VLAN 扩展到整个网络。例如，有四个用户（标记为 A、B、C 和 D）位于一栋办公楼的不同楼层，用户 A 和 C 属于一个 VLAN，B 和 D 属于另一个 VLAN。如何有效地将它们配置在一个 VLAN 中？就是设置 trunk 口。

为了区分流量，所有通过中继链路的帧在经过交换机之间时都会被标记上特殊的标签，它称为 VLAN 标记。

在上面的例子中，来自用户 A 的帧在通过交换机 1 上的中继端口时将被添加一个特殊标记，当它到达交换机 2 时，中继端口识别特殊标记并告诉它属于哪个 VLAN，然后将删除特殊标签，并将帧转发给用户 C。

VLAN 标记

下面介绍实现交换机间创建 VLAN 的常用 VLAN tagging 方法。

IEEE 802.1Q：也称为“Dot 1 Q”，它是在 VLAN 中继上标记帧的 IEEE 标准，最多支持 4096 个 VLAN。

在这种方法中，在通过中继链路发送帧之前，将一个 4 字节的标记插入到原始帧中并重新计算 FCS（帧校验序列），并且在接收端去除标签，然后将帧发送到指定的 VLAN。FS.COM 中的所有第 2 层交换机都支持 4096 个 VLAN。

注： TPID 指标签协议标识符；TCI 是指标签控制信息。用户优先级是一个 3 位字段，允许在帧中编码优先级信息，CFI 是一个 1 位指示符，对于以太网交换机始终设置为零。VID 字段涉及 VLAN 的标识符。

ISL（Inter-Switch Link）： ISL 是一种类似于 IEEE 802.1Q 的协议，它是 Cisco 的专有协议，用于互连多个交换机并在交换机之间传输流量时维护 VLAN 信息。

ISL 最多支持 1000 个 VLAN。在 ISL 中，在通过中继链路的帧之前添加额外的报头。在接收端，头被移除，帧被发送到指定的 VLAN。

VLAN 间路由：不同 VLAN 之间的桥接

正如我们上面所说，每个 VLAN 都是独立的，不同 VLAN 之间的数据是互不干扰的。

那么如何实现跨 VLAN 的信息传输呢？

它是 VLAN 间路由，管理员可以通过三层交换机或路由器实现 VLAN 间路由。在接下来的部分中，该帖子将重点介绍使用路由器进行 VLAN 间路由。

我们知道，每个 VLAN 都是一个唯一的广播域，当路由器与交换机相连时，各个 VLAN 之间的流量可以通过路由器进行转发。为了节省成本和简化网络管理，VLAN 间路由也采用了 Trunk Link，这里举一个例子来说明这个过程是如何工作的。如下图所示，交换机被划分为两个用不同颜色标记的 VLAN。现在需要计算机 A 和 C 之间的通信。

来自计算机 A 的帧将通过中继端口并添加属于 VLAN 1 的特殊标记，标记的帧将被路由器识别，然后被路由器上属于 VLAN 1 的端口接收，在路由器内部，tagged 帧的目的 MAC 地址将变为计算机 C 的地址，属于 VLAN 1 的特殊标签将被去除。

但是标签属于 VLAN 2，由于计算机 C 连接的是普通接入端口，所以帧的标签将被去除，然后转发给计算机 C。

如果 VLAN 间路由在同一个 VLAN 内，则帧不会经过路由器，路由在交换机中完成，此外，随着 VLAN 之间流量的增长，三层交换机因其高性能和高容量成为 VLAN 间路由的更好选择。

总结

VLAN 是当今网络建设和管理中的一项重要技术，它使网络用户在不同的应用程序中相互通信，但连接到同一个物理网络,而 VLAN 技术目前还在发展中。