VLAN簡述

VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，它是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。所謂的VLAN技術(shù)，其實就是一個對TAG字段進行操作的過程。通常計算機發(fā)送或接收的數(shù)據(jù)幀是不帶TAG字段（如果有TAG字段，計算機就會丟包），但數(shù)據(jù)幀進入交換機內(nèi)部后，交換機會為數(shù)據(jù)幀增加一個TAG頭，再根據(jù)TAG頭中VLAN ID信息，按照規(guī)則對相應(yīng)的數(shù)據(jù)幀進行處理。所有的交換機接口都有一個PVID（Port VLAN Identity），交換機端口會根據(jù)它的PVID，決定數(shù)據(jù)幀進入或離開時數(shù)據(jù)幀頭部的TAG字段的處理方式。

交換機接口類型

對于日常使用的二、三層交換機，其端口接口類型可以分為三種：Access接口、Trunk接口和Hybrid接口，在這里筆者對三種端口類型作一簡要介紹。Access接口只能承載一個VLAN的 流量，通常用于交換機與PC相連的接口，當(dāng)Access接口收到一個數(shù)據(jù)幀時，先判斷是否有VLAN信息，如果沒有則打上自己的PVID，如果有則直接丟棄；當(dāng)Access接口要轉(zhuǎn)發(fā)一個數(shù)據(jù)幀時，先判斷該數(shù)據(jù)幀的VLAN是否和自己在一個VLAN，如果是，則先剝離VLAN信息再轉(zhuǎn)發(fā)，如果不是，則丟棄；Trunk接口上可以承載多個VLAN的流量，一般用于交換機之間的鏈接。當(dāng)Trunk接口收到一個數(shù)據(jù)幀時，先判斷是否允許該VLAN的流量通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理；如果不允許則丟棄。Trunk接口發(fā)送數(shù)據(jù)幀時，同樣判斷是否允許該VLAN通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理；如果不允許則直接丟棄；Hybrid 類型的端口可以屬于多個VLAN，接收和發(fā)送多個VLAN的報文，可以用于交換機之間的連接，也可以用于連接用戶的計算機。它是一種混雜模式，同時具有了Access接口和Trunk接口的特點，實現(xiàn)了在一個Untagged端口允許報文以Tagged形式送出交換機。利用Hybrid屬性，定義分屬于不同的VLAN端口之間的互訪，這是Access接口和Trunk接口所不能實現(xiàn)的。Hybrid接口和Trunk接口的最大區(qū)別是可以對任何VLAN打標記或不打標記。

圖1 局域網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

Hybrid接口轉(zhuǎn)發(fā)數(shù)據(jù)幀的原理

當(dāng)Hybrid接口接收數(shù)據(jù)幀時，先判斷該數(shù)據(jù)幀是否有VLAN信息，如果有則看該接口是否對該VLAN打標記，如果對該VLAN打標記，則直接轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理；如果沒有對該VLAN打標記，則丟棄（因為默認情況下，Hybrid接口只允許默認VLAN的數(shù)據(jù)幀通過）。如果收到的數(shù)據(jù)幀沒有任何標記，則標記為自己的PVID。在接口上配置對某些VLAN標記所起的作用，只是允許和不允許該VLAN的數(shù)據(jù)幀通過，且只在接口發(fā)送數(shù)據(jù)幀時起作用。Hybrid接口發(fā)送數(shù)據(jù)幀時，若該數(shù)據(jù)幀有標記，則判斷該數(shù)據(jù)幀的標記VLAN和自己是否在同一個VLAN，如果是在同一個VLAN，則去掉標記后轉(zhuǎn)發(fā)；如果該數(shù)據(jù)幀和自己不在同一個VLAN，則判斷接口對該數(shù)據(jù)幀是標記還是不標記，如果是不標記，則去掉標記后再進行轉(zhuǎn)發(fā)，如果是標記則直接轉(zhuǎn)發(fā)，若沒有明確說明則直接丟棄。如果要發(fā)送的數(shù)據(jù)幀沒有標記則直接轉(zhuǎn)發(fā)。

應(yīng)用Hybrid特性區(qū)分局域網(wǎng)業(yè)務(wù)實例

以筆者單位局域網(wǎng)的典型業(yè)務(wù)區(qū)分為例，應(yīng)用二層交換機就能實現(xiàn)不同VLAN之間同網(wǎng)段PC機互訪。如果利用路由器和三層交換機做訪問控制列表來實現(xiàn)業(yè)務(wù)區(qū)分，就要麻煩得多。單位一般的業(yè)務(wù)區(qū)分為A區(qū)、B區(qū)、C區(qū)和D區(qū)，其VLAN劃分分別為 ：vlan10，vlan20,vlan30 和vlan40。由于網(wǎng)絡(luò)安防和實際工作的需要，A區(qū)主機可以訪問B區(qū)、C區(qū)和D區(qū)主機；B區(qū)主機可以訪問A區(qū)主機，但不能訪問C區(qū)和D區(qū)主機；C區(qū)主機可以訪問A區(qū)和D區(qū)主機，但不能訪問B區(qū)主機；D區(qū)主機可以訪問A區(qū)和C區(qū)主機，但不能訪問B。其網(wǎng)絡(luò)拓撲圖如圖1所示。

以H3C 3100交換機為例加以說明，配置是通過Hybrid接口的PVID來表示一個端口，接收端口通過是否將VLAN設(shè)置為Untagged VLAN，來控制是否與PVID VLAN和該VLAN的端口互通。

//創(chuàng)建業(yè)務(wù)需要的VLAN，并將端口1劃分到VLAN1中；

[H3C]vlan 10

[H3C-vlan10]port ether net 1/0/1

//將 端 口ethernet 1/0/1配置為Hybrid類型；

[H3C]interface ethernet 1/0/1

[H3C-ethernet1/0/1]po rt link-type hybrid

//設(shè)置端口的PVID等于該端口所屬的VLAN；

[H3C-ethernet1/0/1]po rt hybrid pvid vlan 10

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時去掉VLAN10、VLAN20、VLAN30和VLAN40的標識符，意思就是B區(qū)、C區(qū)和D區(qū)主機可以訪問A區(qū)主機；

[H3C-ethernet1/0/1]po rt hybrid vlan 10 20 30 40 untagged

其余3個端口VLAN、端口類型配置和上述配置基本相同，不同之處就是配置untagged時的允許的VLAN有所不同。

端口2具體配置如下：

[H3C-ethernet1/0/2]po rt hybrid pvid vlan 20

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時去掉VLAN10、VLAN20的標識符，意思就是A區(qū)主機可以訪問B區(qū)主機；

[H3C-ethernet1/0/2]port hybrid vlan 10 20 untagged

端口3具體配置如下：

[H3C-ethernet1/0/3]po rt hybrid pvid vlan 30

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時去掉VLAN10、VLAN20的標識符，意思就是A區(qū)、D區(qū)主機可以訪問C區(qū)主機；

[H3C-ethernet1/0/3]port hybrid vlan 10 30 40 untagged

端口4具體配置如下：

[H3C-ethernet1/0/4]port hybrid pvid vlan 40

//將互通端口的PVID VLAN設(shè)置為Untagged VLAN,接收數(shù)據(jù)幀時去掉VLAN10、VLAN20的標識符，意思就是A區(qū)、C區(qū)主機可以訪問D區(qū)主機；

[H3C-ethernet1/0/4]port hybrid vlan 10 30 40 untagged

結(jié)語

在小型局域網(wǎng)中，利用應(yīng)用交換機的Hybrid接口特性即一個端口可以屬于多個不同的VLAN，來完成分屬不同VLAN內(nèi)的同網(wǎng)段PC機的訪問需求，和使用三層交換機的訪問控制列表來控制VLAN之間的互訪比較起來，利用交換機Hybrid混合端口方法用起來更為方便，也可以節(jié)約購買三層交換機的成本，降低了網(wǎng)絡(luò)的復(fù)雜度和維護難度，大家可以在平時的組網(wǎng)過程中試一試。