在數(shù)據(jù)通信和寬帶接入設(shè)備里，只要涉及到二層技術(shù)的，就會(huì)遇到VLAN。而且，通常情況下，VLAN在這些設(shè)備中是基本功能。所以不管是剛邁進(jìn)這個(gè)行業(yè)的新生，還是已經(jīng)在這個(gè)行業(yè)打拼了很多年的前輩，都要熟悉這個(gè)技術(shù)。在論壇上經(jīng)?？吹接懻摳鞣N各樣的關(guān)于VLAN的問題，在工作中也經(jīng)常被問起關(guān)于VLAN的這樣或那樣的問題，所以，有了想寫一點(diǎn)東西的沖動(dòng)。

1. 以太網(wǎng)交換原理

VLAN的概念是基于以太網(wǎng)交換的，所以，為了保持連貫性，還是先從交換原理講起。不過，這里沒有長(zhǎng)篇累牘的舉例和配置，都是一些最基本的原理。

本節(jié)所說的以太網(wǎng)交換原理，是針對(duì)‘傳統(tǒng)’的以太網(wǎng)交換機(jī)來說的。所謂‘傳統(tǒng)’，是指不支持VLAN。

簡(jiǎn)單的講，以太網(wǎng)交換原理可以概括為 ‘源地址學(xué)習(xí)，目的地址轉(zhuǎn)發(fā)’?？紤]到IP層也涉及到地址問題，為了避免混淆，可以修改為 ‘源MAC學(xué)習(xí)，目的MAC轉(zhuǎn)發(fā)’。從語文的語法角度來講，可能還有些問題，就再修改一下 ‘根據(jù)源MAC進(jìn)行學(xué)習(xí)，根據(jù)目的MAC進(jìn)行轉(zhuǎn)發(fā)’?？傊?，根據(jù)個(gè)人習(xí)慣了。本人比較喜歡 ‘源MAC學(xué)習(xí)，目的MAC轉(zhuǎn)發(fā)’的口訣。

稍微解釋一下。

所謂的‘源MAC學(xué)習(xí)’，是指交換機(jī)根據(jù)收到的以太網(wǎng)幀的幀頭中的源MAC地址來建立自己的MAC地址表，‘學(xué)習(xí)’是業(yè)內(nèi)的習(xí)慣說法，就如同在淘寶上買東西都叫‘寶貝’一樣。

所謂的‘目的MAC轉(zhuǎn)發(fā)’，是指交換機(jī)根據(jù)收到的以太網(wǎng)幀的幀頭中的目的MAC地址和本地的MAC地址表來決定如何轉(zhuǎn)發(fā)，確定的說，是如何交換。

這個(gè)過程大家應(yīng)該是耳熟能詳了。但為了與后面的VLAN描述對(duì)比方便，這里還是簡(jiǎn)單的舉個(gè)例子。 

簡(jiǎn)單描述一下PC1 ping PC2的過程：(這里假設(shè)，PC1和PC2位于同一個(gè)IP網(wǎng)段，IP地址分別為IP_PC1和IP_PC2，MAC地址分別為MAC_PC1和MAC_PC2)

1). PC1首先發(fā)送ARP請(qǐng)求，請(qǐng)求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(廣播);源MAC=MAC_PC1。

SW1收到該廣播數(shù)據(jù)幀后，根據(jù)幀頭中的源MAC地址，首先學(xué)習(xí)到了PC1的MAC，建立MAC地址表如下：

MAC地址 端口

MAC_PC1 PORT 1

2). 由于ARP請(qǐng)求為廣播幀，所以，SW1向除了PORT1之外的所有UP的端口廣播。

注意，該幀沒有任何變化。換句話說，交換機(jī)沒有對(duì)幀做任何修改。這就是傳說中的透明傳輸。

3). PC2收到該ARP請(qǐng)求幀，本地建立ARP表項(xiàng)，同時(shí)單播回送ARP應(yīng)答幀。目的MAC=MAC_PC1;源MAC=MAC_PC2。

SW1收到該單播幀手，根據(jù)幀頭中的源MAC地址，學(xué)習(xí)到了PC2的MAC，建立MAC地址表如下：

MAC地址 端口

MAC_PC1 PORT 1

MAC_PC2 PORT 2

4). SW1根據(jù)幀頭中的目的MAC地址(MAC_PC1)將數(shù)據(jù)幀從PORT 1轉(zhuǎn)發(fā)。

5). PC1收到ARP響應(yīng)，ARP交互過程成功。接下來進(jìn)行單播PING包交互。

SW1根據(jù)數(shù)據(jù)幀的目的MAC進(jìn)行透明轉(zhuǎn)發(fā)單播幀，同時(shí)刷新本地MAC地址表的老化定時(shí)器。

2. 802.1Q VLAN的基本原理

嚴(yán)格來說，802.1Q VLAN不是一個(gè)協(xié)議，因?yàn)榛ミB的設(shè)備之間沒有協(xié)議層面的報(bào)文交互。802.1Q VLAN只定義了數(shù)據(jù)幀的封裝格式，即，在以太網(wǎng)幀頭中插入了4個(gè)字節(jié)的VLAN字段。其主要內(nèi)容為VLAN TAG，緊隨其后的數(shù)據(jù)類型和802.1p報(bào)文優(yōu)先級(jí)的標(biāo)識(shí)。

本人所理解的VLAN技術(shù)要點(diǎn)主要有兩點(diǎn)：1.支持VLAN的交換機(jī)的內(nèi)部交換原理;2.設(shè)備之間(交換機(jī)之間，交換機(jī)與路由器之間，交換機(jī)與主機(jī)之間)交互時(shí)，VLAN TAG的添加和移除。下面就按照這個(gè)思路來描述。

1 ）支持VLAN的交換機(jī)的交換原理

引入VLAN概念后，數(shù)據(jù)幀只在相應(yīng)的VLAN進(jìn)行交換。用通俗一點(diǎn)的話來講，一個(gè)交換機(jī)被虛擬出了多個(gè)邏輯交換機(jī)，每一個(gè)VLAN內(nèi)的端口都是一個(gè)邏輯上的交換機(jī)。用專業(yè)一點(diǎn)的話來講，一個(gè)交換機(jī)被劃分了多個(gè)不同的廣播域，每一個(gè)VLAN內(nèi)的端口，在同一個(gè)廣播域內(nèi)。

引入VLAN后的交換原理與傳統(tǒng)的交換原理相比，并沒有本質(zhì)上的改變，同樣遵循‘源MAC學(xué)習(xí)，目的MAC轉(zhuǎn)發(fā)’的基本原則。***不同的是，學(xué)習(xí)和轉(zhuǎn)發(fā)都只在同一個(gè)VLAN中進(jìn)行，數(shù)據(jù)幀不能跨VLAN交換或轉(zhuǎn)發(fā)。

● 數(shù)據(jù)幀該在哪個(gè)VLAN中進(jìn)行交換?

前面提到，支持VLAN的交換機(jī)將數(shù)據(jù)幀限制在同一個(gè)VLAN中進(jìn)行交換，那么數(shù)據(jù)幀到底該在哪個(gè)VLAN中交換呢?

如果收到的數(shù)據(jù)幀攜帶了VLAN信息 (通常稱為’TAGED數(shù)據(jù)幀‘，前面已經(jīng)介紹了帶VLAN TAG的以太幀格式)，該VLAN信息中的VLAN TAG就是交換該幀的VLAN。

如果收到的數(shù)據(jù)幀沒有攜帶VLAN信息(通常稱為‘ UNTAGED數(shù)據(jù)幀‘)，收到該幀的端口的PVID就是交換該幀的VLAN。

該規(guī)則在2.2.3節(jié)中有詳細(xì)的描述。

根據(jù)上面的原則，也定義了PVID的概念。當(dāng)端口收到一個(gè)UNTAGED數(shù)據(jù)幀時(shí)，無法確定在哪個(gè)VLAN中進(jìn)行交換，PVID定義了在這種情形下交換該幀的VLAN。從某種意義上講，可以把PVID理解為端口的default VLAN。在支持VLAN的交換機(jī)中，每個(gè)端口都有一個(gè)PVID值，該值有一個(gè)缺省值，當(dāng)然你也可以更改它。

● MAC地址學(xué)習(xí)和MAC地址表

引入VLAN概念后，MAC地址的學(xué)習(xí)也在相應(yīng)的VLAN中進(jìn)行。從某種意義上理解，一臺(tái)交換機(jī)有多張MAC地址表，每個(gè)VLAN一張表，在交換數(shù)據(jù)幀進(jìn)行查表時(shí)，只需要在相應(yīng)的VLAN中進(jìn)行查找。

很顯然，MAC地址表項(xiàng)中，增加了VLAN TAG屬性。

VLAN MAC地址 端口

VLAN1 MAC_PC1 PORT 1

VLAN1 MAC_PC2 PORT 2

VLAN2 MAC_PC1 PORT 1

VLAN2 MAC_PC2 PORT 2

2）VLAN TAG的添加和移除規(guī)則

為了保證設(shè)備之間的互聯(lián)互通，需要理解VLAN TAG的添加和移除規(guī)則。也就是說，交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí)，什么時(shí)候應(yīng)該打TAG，什么時(shí)候應(yīng)該不打TAG，什么時(shí)候又會(huì)丟棄數(shù)據(jù)幀。

為什么要有這么‘復(fù)雜’(其實(shí)也沒那么復(fù)雜)的規(guī)則呢?為什么不把所有的數(shù)據(jù)幀都打上TAG呢，這樣不是簡(jiǎn)單多了?其實(shí)，這樣做也是為了適應(yīng)不同設(shè)備的工作原理，有些設(shè)備是不支持VLAN TAG的。#p#

● 典型設(shè)備

先介紹一下幾種典型的設(shè)備：

PC：大部分的PC(專用的，或用于測(cè)試的除外)是工作在應(yīng)用層的，缺省情況下是不支持(其實(shí)也不需要)VLAN TAG的。也就是說，PC發(fā)出的都是UNTAGED數(shù)據(jù)幀。

Router：路由器是支持VLAN TAG的。也就是說，路由器可以發(fā)出TAGED數(shù)據(jù)幀，也可以發(fā)出UNTAGED數(shù)據(jù)幀。需要說明的是，路由器是處理數(shù)據(jù)包的三層信息的，對(duì)于二層信息(包括VLAN信息)，路由器只是檢查其有效性，之后將其剝離。這個(gè)過程就是我們常說的‘終結(jié)’，也就是說，路由器會(huì)終結(jié)掉報(bào)文的VLAN信息的。

Switch：這里的switch是指以太網(wǎng)交換機(jī)。VLAN技術(shù)就是主要針對(duì)于交換機(jī)提出的，所以，在討論VLAN概念時(shí)都是立足于交換機(jī)來討論。很顯然，交換機(jī)既支持收發(fā)TAGED數(shù)據(jù)幀，也支持收發(fā)UNTAGED數(shù)據(jù)幀。從嚴(yán)格意義上講，引入VLAN后，交換機(jī)的行為不再是‘透明傳輸’，因?yàn)閿?shù)據(jù)幀經(jīng)過交換機(jī)后可能發(fā)生了變化。

了解了幾種典型設(shè)備的工作原理后，就應(yīng)該覺得交換機(jī)上TAG的添加和移除原則的必要性了。

● VLAN中的端口屬性

一個(gè)VLAN可以包含多個(gè)端口，而一個(gè)端口也可以屬于多個(gè)VLAN。一個(gè)端口在一個(gè)VLAN中有不同的屬性，TAG的添加和移除原則就是根據(jù)這個(gè)屬性而定的。

TAGED：如果一個(gè)端口在一個(gè)VLAN中的屬性是TAG的，那么，從該端口轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀就是TAGED。(當(dāng)然，該數(shù)據(jù)幀是在該VLAN中交換的)

UNTAGED：如果一個(gè)端口在一個(gè)VLAN中的屬性是UNTAG的，那么，從該端口轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀就是UNTAGED。(當(dāng)然，該數(shù)據(jù)幀是在該VLAN中交換的)

● 交換機(jī)收發(fā)數(shù)據(jù)幀的處理總結(jié)

我們分幾種情況討論交換機(jī)的接收和發(fā)送處理：接收端口和發(fā)送端口在VLAN中屬性;收到的數(shù)據(jù)幀是TAG的還是UNTAG的。

1). 端口接收到數(shù)據(jù)幀

a). 如果是TAG的數(shù)據(jù)幀，檢查該接收端口是否在該VLAN(數(shù)據(jù)幀中所攜帶的VLAN TAG)中

- 接收端口在該VLAN中，則在該VLAN中根據(jù)交換原理(即，'源MAC學(xué)習(xí)，目的MAC轉(zhuǎn)發(fā)'的原理)交換該數(shù)據(jù)包

- 接收端口不在該VLAN中，丟棄該數(shù)據(jù)幀

b). 如果是UNTAG的數(shù)據(jù)幀，檢查該接收端口是否在某個(gè)VLAN中的屬性是UNTAG

- 接收端口在某個(gè)VLAN中的屬性是UNTAG的，則在該VLAN中根據(jù)交換原理交換該數(shù)據(jù)包

- 接收端口在任何VLAN中的屬性都不是UNTAG的，丟棄該數(shù)據(jù)包

注：根據(jù)這個(gè)原理可知，一個(gè)端口最多在一個(gè)VLAN中的屬性是UNTAG的，否則，收到一個(gè)UNTAG的數(shù)據(jù)幀之后，就無法確定在哪個(gè)VLAN中進(jìn)行交換。其實(shí)，端口UNTAG所在的VLAN，就是2.1.1節(jié)中所提到的PVID的概念。

2). 端口發(fā)送數(shù)據(jù)幀

a).檢查該端口在該VLAN(就是交換該數(shù)據(jù)幀的VLAN)中的屬性

- 該端口在該VLAN種的屬性是TAG的，發(fā)送的數(shù)據(jù)幀為TAG的數(shù)據(jù)幀

- 該端口在該VLAN種的屬性是UNTAG的，發(fā)送的數(shù)據(jù)幀為UNTAG的數(shù)據(jù)幀

注：由于數(shù)據(jù)已經(jīng)被交換到該端口，說明該端口肯定在該VLAN里。

● 典型配置

簡(jiǎn)單介紹一下，交換機(jī)連接不同典型設(shè)備時(shí)的常用配置。

1). 連接PC

上面介紹了在通常情況下，PC只支持收發(fā)UNTAG的數(shù)據(jù)幀，所以，連接PC的端口只需要加入一個(gè)VLAN，而且，在該VLAN中的屬性為UNTAG。

2). 連接Router

路由器既支持收發(fā)TAG數(shù)據(jù)幀，也支持收發(fā)UNTAG數(shù)據(jù)幀。通常情況下，不同的VLAN數(shù)據(jù)幀都能通過該端口與路由器互通。所以連接路由器的端口可以屬于多個(gè)VLAN，而且，只能在一個(gè)VLAN中的屬性是UNTAG的，在其他的VLAN中都是TAG的。

3). 連接Switch

也就是交換機(jī)的級(jí)聯(lián)。通常情況下是不同性能的交換機(jī)進(jìn)行級(jí)聯(lián)。這種情況和連接路由器的情況基本相同。

● 思科交換機(jī)的端口類型

TAG和UNTAG應(yīng)該是一般性的說法，但討論路由交換技術(shù)時(shí)，不能忽略思科技術(shù)，因?yàn)樗吘故沁@個(gè)行業(yè)的引導(dǎo)者(你也可以說它是先入為主)。

通常情況下，理解VLAN的概念都是以VLAN為立足點(diǎn)，然后將端口加入該VLAN，并賦予端口某種屬性。這種思路似乎不適用于思科的交換技術(shù)。

在思科的交換機(jī)上，都是以端口為立足點(diǎn)的，然后配置該端口的類型和所屬的VLAN。

這里介紹思科的兩種端口類型，Access和Trunk。理解了這兩種類型，也就理解了思科交換的VLAN基本原理。

a). Access端口

思科的Access端口是為了連接PC(終端設(shè)備)而設(shè)計(jì)的。由于大部分終端設(shè)備都不支持(其實(shí)也不需要)VLAN TAG的，所以連接終端設(shè)備的端口只需要在一個(gè)VLAN中，而且是UNTAG的。Access端口就是這樣的。

如果將端口配置為Access模式，該端口就只能在一個(gè)VLAN中(也就是Access VLAN)，而且該端口在該VLAN中的屬性是UNTAG的。從某種意義上說，該VLAN也就是該端口的PVID。

b). Trunk端口

思科的Trunk端口是為了連接上行設(shè)備(路由器，交換機(jī)等支持多VLAN的設(shè)備)。通常情況下，上行端口需要匯聚多個(gè)VLAN的流量，所以該端口應(yīng)該屬于多個(gè)VLAN。

如果將端口配置為Trunk模式，該端口可以屬于多個(gè)VLAN，在思科技術(shù)中，習(xí)慣稱該端口可以允許多個(gè)VLAN通過。該端口在一個(gè)VLAN中是UNTAG的，也就是該端口的PVID，在思科技術(shù)中，稱為Native VLAN。該端口在其他的VLAN中都是TAG的。

可以說，思科在VLAN的一般性原理上多增加了一層開發(fā)。如果理解了其本質(zhì)原理，可以看出是和2.2.3節(jié)完全吻合的。

3)交換機(jī)對(duì)VLAN的支持的發(fā)展歷程

從技術(shù)發(fā)展為產(chǎn)品總是需要一個(gè)過程，在接觸過早期交換機(jī)的童鞋們應(yīng)該會(huì)知道，當(dāng)時(shí)的交換機(jī)對(duì)VLAN的支持有兩種模式，SVL和IVL。

SVL: Shared VLAN Learning 共享式VLAN學(xué)習(xí)

IVL: Independent VLAN Learning 獨(dú)立VLAN學(xué)習(xí)

從通俗而簡(jiǎn)單的角度來說，IVL就是每個(gè)VLAN有一個(gè)MAC-端口映射表，同一個(gè)MAC可以出現(xiàn)在多個(gè)表里面(也就是不同的VLAN里面);而SVL是在交換機(jī)內(nèi)建一張大表，映射關(guān)系是MAC-VLAN-端口，而且，一個(gè)MAC在表中只出現(xiàn)一次，只屬于一個(gè)VLAN。

顯然，SVL應(yīng)該更容易實(shí)現(xiàn)一點(diǎn)，看起來是一種打補(bǔ)丁的實(shí)現(xiàn)方式，貌似不是真正的VLAN。早期的VLAN交換機(jī)中，有很多是SVL模式的。

我們前面2.1和2.2節(jié)所介紹的原理，都是針對(duì)IVL來講的。

從網(wǎng)絡(luò)上看到一位仁兄從專業(yè)的角度上總結(jié)了SVL和IVL的工作原理，非常準(zhǔn)確而精辟，故我就不再加以潤(rùn)色，直接引用了。

IVL，網(wǎng)上大部分資料都說為每個(gè)VLAN建一個(gè)表，看起來好像有很多表，其實(shí)這里所說的表是指邏輯上的表，實(shí)際上在交換機(jī)中還是只有一個(gè)表，如果將VID相同的記錄都提取出來組成一個(gè)表，那么就一個(gè)物理上的表在邏輯上就可以認(rèn)為是多個(gè)表了。

● IVL (Independent VLAN Learning)

在MAC表中以MAC+VID為主鍵進(jìn)行儲(chǔ)存。這樣，同一個(gè)MAC就可能由于VID的不同而在MAC表中存在多條記錄。

1).根據(jù)MAC+VID在MAC表中尋找，找不到轉(zhuǎn)3)

2).向找到的port轉(zhuǎn)發(fā)packet，end.

3).向packet攜帶的vid對(duì)應(yīng)的整個(gè)VLAN的port轉(zhuǎn)發(fā)，end.

●  SVL(Shared VLAN Learning)

在MAC表中以MAC為主鍵進(jìn)行儲(chǔ)存，也就是說同一個(gè)MAC在SVL方式下只能存在一個(gè)記錄在MAC表中。

1).在MAC中先根據(jù)MAC尋找相應(yīng)的記錄，找不到轉(zhuǎn)4)

2).記錄中的VID與packet中攜帶的VID一樣，得到相應(yīng)的port;不一樣轉(zhuǎn)5)

3).將packet轉(zhuǎn)發(fā)到相應(yīng)的port，end.

4).向packet攜帶的vid對(duì)應(yīng)的整個(gè)VLAN的port轉(zhuǎn)發(fā)，end.

5).drop，end.

這個(gè)過程還是需要一點(diǎn)基礎(chǔ)的，如果看的有點(diǎn)虛無縹緲，大可以略過該節(jié)，因?yàn)楫?dāng)今市場(chǎng)上，很少看到SVL的交換機(jī)了。