在數(shù)據(jù)通信和寬帶接入設備里，只要涉及到二層技術(shù)的，就會遇到VLAN。而且，通常情況下，VLAN在這些設備中是基本功能。所以不管是剛邁進這個行業(yè)的新生，還是已經(jīng)在這個行業(yè)打拼了很多年的前輩，都要熟悉這個技術(shù)。在論壇上經(jīng)?？吹接懻摳鞣N各樣的關(guān)于VLAN的問題，在工作中也經(jīng)常被問起關(guān)于VLAN的這樣或那樣的問題，所以，有了想寫一點東西的沖動。

1. 以太網(wǎng)交換原理

VLAN的概念是基于以太網(wǎng)交換的，所以，為了保持連貫性，還是先從交換原理講起。不過，這里沒有長篇累牘的舉例和配置，都是一些最基本的原理。

本節(jié)所說的以太網(wǎng)交換原理，是針對‘傳統(tǒng)’的以太網(wǎng)交換機來說的。所謂‘傳統(tǒng)’，是指不支持VLAN。

簡單的講，以太網(wǎng)交換原理可以概括為 ‘源地址學習，目的地址轉(zhuǎn)發(fā)’?？紤]到IP層也涉及到地址問題，為了避免混淆，可以修改為 ‘源MAC學習，目的MAC轉(zhuǎn)發(fā)’。從語文的語法角度來講，可能還有些問題，就再修改一下 ‘根據(jù)源MAC進行學習，根據(jù)目的MAC進行轉(zhuǎn)發(fā)’?？傊鶕?jù)個人習慣了。本人比較喜歡 ‘源MAC學習，目的MAC轉(zhuǎn)發(fā)’的口訣。

稍微解釋一下。

所謂的‘源MAC學習’，是指交換機根據(jù)收到的以太網(wǎng)幀的幀頭中的源MAC地址來建立自己的MAC地址表，‘學習’是業(yè)內(nèi)的習慣說法，就如同在淘寶上買東西都叫‘寶貝’一樣。

所謂的‘目的MAC轉(zhuǎn)發(fā)’，是指交換機根據(jù)收到的以太網(wǎng)幀的幀頭中的目的MAC地址和本地的MAC地址表來決定如何轉(zhuǎn)發(fā)，確定的說，是如何交換。

這個過程大家應該是耳熟能詳了。但為了與后面的VLAN描述對比方便，這里還是簡單的舉個例子。 

簡單描述一下PC1 ping PC2的過程：(這里假設，PC1和PC2位于同一個IP網(wǎng)段，IP地址分別為IP_PC1和IP_PC2，MAC地址分別為MAC_PC1和MAC_PC2)

1). PC1首先發(fā)送ARP請求，請求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(廣播);源MAC=MAC_PC1。

SW1收到該廣播數(shù)據(jù)幀后，根據(jù)幀頭中的源MAC地址，首先學習到了PC1的MAC，建立MAC地址表如下：

MAC地址 端口

MAC_PC1 PORT 1

2). 由于ARP請求為廣播幀，所以，SW1向除了PORT1之外的所有UP的端口廣播。

注意，該幀沒有任何變化。換句話說，交換機沒有對幀做任何修改。這就是傳說中的透明傳輸。

3). PC2收到該ARP請求幀，本地建立ARP表項，同時單播回送ARP應答幀。目的MAC=MAC_PC1;源MAC=MAC_PC2。

SW1收到該單播幀手，根據(jù)幀頭中的源MAC地址，學習到了PC2的MAC，建立MAC地址表如下：

MAC地址 端口

MAC_PC1 PORT 1

MAC_PC2 PORT 2

4). SW1根據(jù)幀頭中的目的MAC地址(MAC_PC1)將數(shù)據(jù)幀從PORT 1轉(zhuǎn)發(fā)。

5). PC1收到ARP響應，ARP交互過程成功。接下來進行單播PING包交互。

SW1根據(jù)數(shù)據(jù)幀的目的MAC進行透明轉(zhuǎn)發(fā)單播幀，同時刷新本地MAC地址表的老化定時器。

2. 802.1Q VLAN的基本原理

嚴格來說，802.1Q VLAN不是一個協(xié)議，因為互連的設備之間沒有協(xié)議層面的報文交互。802.1Q VLAN只定義了數(shù)據(jù)幀的封裝格式，即，在以太網(wǎng)幀頭中插入了4個字節(jié)的VLAN字段。其主要內(nèi)容為VLAN TAG，緊隨其后的數(shù)據(jù)類型和802.1p報文優(yōu)先級的標識。

本人所理解的VLAN技術(shù)要點主要有兩點：1.支持VLAN的交換機的內(nèi)部交換原理;2.設備之間(交換機之間，交換機與路由器之間，交換機與主機之間)交互時，VLAN TAG的添加和移除。下面就按照這個思路來描述。

1 ）支持VLAN的交換機的交換原理

引入VLAN概念后，數(shù)據(jù)幀只在相應的VLAN進行交換。用通俗一點的話來講，一個交換機被虛擬出了多個邏輯交換機，每一個VLAN內(nèi)的端口都是一個邏輯上的交換機。用專業(yè)一點的話來講，一個交換機被劃分了多個不同的廣播域，每一個VLAN內(nèi)的端口，在同一個廣播域內(nèi)。

引入VLAN后的交換原理與傳統(tǒng)的交換原理相比，并沒有本質(zhì)上的改變，同樣遵循‘源MAC學習，目的MAC轉(zhuǎn)發(fā)’的基本原則。***不同的是，學習和轉(zhuǎn)發(fā)都只在同一個VLAN中進行，數(shù)據(jù)幀不能跨VLAN交換或轉(zhuǎn)發(fā)。

● 數(shù)據(jù)幀該在哪個VLAN中進行交換?

前面提到，支持VLAN的交換機將數(shù)據(jù)幀限制在同一個VLAN中進行交換，那么數(shù)據(jù)幀到底該在哪個VLAN中交換呢?

如果收到的數(shù)據(jù)幀攜帶了VLAN信息 (通常稱為’TAGED數(shù)據(jù)幀‘，前面已經(jīng)介紹了帶VLAN TAG的以太幀格式)，該VLAN信息中的VLAN TAG就是交換該幀的VLAN。

如果收到的數(shù)據(jù)幀沒有攜帶VLAN信息(通常稱為‘ UNTAGED數(shù)據(jù)幀‘)，收到該幀的端口的PVID就是交換該幀的VLAN。

該規(guī)則在2.2.3節(jié)中有詳細的描述。

根據(jù)上面的原則，也定義了PVID的概念。當端口收到一個UNTAGED數(shù)據(jù)幀時，無法確定在哪個VLAN中進行交換，PVID定義了在這種情形下交換該幀的VLAN。從某種意義上講，可以把PVID理解為端口的default VLAN。在支持VLAN的交換機中，每個端口都有一個PVID值，該值有一個缺省值，當然你也可以更改它。

● MAC地址學習和MAC地址表

引入VLAN概念后，MAC地址的學習也在相應的VLAN中進行。從某種意義上理解，一臺交換機有多張MAC地址表，每個VLAN一張表，在交換數(shù)據(jù)幀進行查表時，只需要在相應的VLAN中進行查找。

很顯然，MAC地址表項中，增加了VLAN TAG屬性。

VLAN MAC地址 端口

VLAN1 MAC_PC1 PORT 1

VLAN1 MAC_PC2 PORT 2

VLAN2 MAC_PC1 PORT 1

VLAN2 MAC_PC2 PORT 2

2）VLAN TAG的添加和移除規(guī)則

為了保證設備之間的互聯(lián)互通，需要理解VLAN TAG的添加和移除規(guī)則。也就是說，交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，什么時候應該打TAG，什么時候應該不打TAG，什么時候又會丟棄數(shù)據(jù)幀。

為什么要有這么‘復雜’(其實也沒那么復雜)的規(guī)則呢?為什么不把所有的數(shù)據(jù)幀都打上TAG呢，這樣不是簡單多了?其實，這樣做也是為了適應不同設備的工作原理，有些設備是不支持VLAN TAG的。#p#

● 典型設備

先介紹一下幾種典型的設備：

PC：大部分的PC(專用的，或用于測試的除外)是工作在應用層的，缺省情況下是不支持(其實也不需要)VLAN TAG的。也就是說，PC發(fā)出的都是UNTAGED數(shù)據(jù)幀。

Router：路由器是支持VLAN TAG的。也就是說，路由器可以發(fā)出TAGED數(shù)據(jù)幀，也可以發(fā)出UNTAGED數(shù)據(jù)幀。需要說明的是，路由器是處理數(shù)據(jù)包的三層信息的，對于二層信息(包括VLAN信息)，路由器只是檢查其有效性，之后將其剝離。這個過程就是我們常說的‘終結(jié)’，也就是說，路由器會終結(jié)掉報文的VLAN信息的。

Switch：這里的switch是指以太網(wǎng)交換機。VLAN技術(shù)就是主要針對于交換機提出的，所以，在討論VLAN概念時都是立足于交換機來討論。很顯然，交換機既支持收發(fā)TAGED數(shù)據(jù)幀，也支持收發(fā)UNTAGED數(shù)據(jù)幀。從嚴格意義上講，引入VLAN后，交換機的行為不再是‘透明傳輸’，因為數(shù)據(jù)幀經(jīng)過交換機后可能發(fā)生了變化。

了解了幾種典型設備的工作原理后，就應該覺得交換機上TAG的添加和移除原則的必要性了。

● VLAN中的端口屬性

一個VLAN可以包含多個端口，而一個端口也可以屬于多個VLAN。一個端口在一個VLAN中有不同的屬性，TAG的添加和移除原則就是根據(jù)這個屬性而定的。

TAGED：如果一個端口在一個VLAN中的屬性是TAG的，那么，從該端口轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀就是TAGED。(當然，該數(shù)據(jù)幀是在該VLAN中交換的)

UNTAGED：如果一個端口在一個VLAN中的屬性是UNTAG的，那么，從該端口轉(zhuǎn)發(fā)出去的數(shù)據(jù)幀就是UNTAGED。(當然，該數(shù)據(jù)幀是在該VLAN中交換的)

● 交換機收發(fā)數(shù)據(jù)幀的處理總結(jié)

我們分幾種情況討論交換機的接收和發(fā)送處理：接收端口和發(fā)送端口在VLAN中屬性;收到的數(shù)據(jù)幀是TAG的還是UNTAG的。

1). 端口接收到數(shù)據(jù)幀

a). 如果是TAG的數(shù)據(jù)幀，檢查該接收端口是否在該VLAN(數(shù)據(jù)幀中所攜帶的VLAN TAG)中

- 接收端口在該VLAN中，則在該VLAN中根據(jù)交換原理(即，'源MAC學習，目的MAC轉(zhuǎn)發(fā)'的原理)交換該數(shù)據(jù)包

- 接收端口不在該VLAN中，丟棄該數(shù)據(jù)幀

b). 如果是UNTAG的數(shù)據(jù)幀，檢查該接收端口是否在某個VLAN中的屬性是UNTAG

- 接收端口在某個VLAN中的屬性是UNTAG的，則在該VLAN中根據(jù)交換原理交換該數(shù)據(jù)包

- 接收端口在任何VLAN中的屬性都不是UNTAG的，丟棄該數(shù)據(jù)包

注：根據(jù)這個原理可知，一個端口最多在一個VLAN中的屬性是UNTAG的，否則，收到一個UNTAG的數(shù)據(jù)幀之后，就無法確定在哪個VLAN中進行交換。其實，端口UNTAG所在的VLAN，就是2.1.1節(jié)中所提到的PVID的概念。

2). 端口發(fā)送數(shù)據(jù)幀

a).檢查該端口在該VLAN(就是交換該數(shù)據(jù)幀的VLAN)中的屬性

- 該端口在該VLAN種的屬性是TAG的，發(fā)送的數(shù)據(jù)幀為TAG的數(shù)據(jù)幀

- 該端口在該VLAN種的屬性是UNTAG的，發(fā)送的數(shù)據(jù)幀為UNTAG的數(shù)據(jù)幀

注：由于數(shù)據(jù)已經(jīng)被交換到該端口，說明該端口肯定在該VLAN里。

● 典型配置

簡單介紹一下，交換機連接不同典型設備時的常用配置。

1). 連接PC

上面介紹了在通常情況下，PC只支持收發(fā)UNTAG的數(shù)據(jù)幀，所以，連接PC的端口只需要加入一個VLAN，而且，在該VLAN中的屬性為UNTAG。

2). 連接Router

路由器既支持收發(fā)TAG數(shù)據(jù)幀，也支持收發(fā)UNTAG數(shù)據(jù)幀。通常情況下，不同的VLAN數(shù)據(jù)幀都能通過該端口與路由器互通。所以連接路由器的端口可以屬于多個VLAN，而且，只能在一個VLAN中的屬性是UNTAG的，在其他的VLAN中都是TAG的。

3). 連接Switch

也就是交換機的級聯(lián)。通常情況下是不同性能的交換機進行級聯(lián)。這種情況和連接路由器的情況基本相同。

● 思科交換機的端口類型

TAG和UNTAG應該是一般性的說法，但討論路由交換技術(shù)時，不能忽略思科技術(shù)，因為它畢竟是這個行業(yè)的引導者(你也可以說它是先入為主)。

通常情況下，理解VLAN的概念都是以VLAN為立足點，然后將端口加入該VLAN，并賦予端口某種屬性。這種思路似乎不適用于思科的交換技術(shù)。

在思科的交換機上，都是以端口為立足點的，然后配置該端口的類型和所屬的VLAN。

這里介紹思科的兩種端口類型，Access和Trunk。理解了這兩種類型，也就理解了思科交換的VLAN基本原理。

a). Access端口

思科的Access端口是為了連接PC(終端設備)而設計的。由于大部分終端設備都不支持(其實也不需要)VLAN TAG的，所以連接終端設備的端口只需要在一個VLAN中，而且是UNTAG的。Access端口就是這樣的。

如果將端口配置為Access模式，該端口就只能在一個VLAN中(也就是Access VLAN)，而且該端口在該VLAN中的屬性是UNTAG的。從某種意義上說，該VLAN也就是該端口的PVID。

b). Trunk端口

思科的Trunk端口是為了連接上行設備(路由器，交換機等支持多VLAN的設備)。通常情況下，上行端口需要匯聚多個VLAN的流量，所以該端口應該屬于多個VLAN。

如果將端口配置為Trunk模式，該端口可以屬于多個VLAN，在思科技術(shù)中，習慣稱該端口可以允許多個VLAN通過。該端口在一個VLAN中是UNTAG的，也就是該端口的PVID，在思科技術(shù)中，稱為Native VLAN。該端口在其他的VLAN中都是TAG的。

可以說，思科在VLAN的一般性原理上多增加了一層開發(fā)。如果理解了其本質(zhì)原理，可以看出是和2.2.3節(jié)完全吻合的。

3)交換機對VLAN的支持的發(fā)展歷程

從技術(shù)發(fā)展為產(chǎn)品總是需要一個過程，在接觸過早期交換機的童鞋們應該會知道，當時的交換機對VLAN的支持有兩種模式，SVL和IVL。

SVL: Shared VLAN Learning 共享式VLAN學習

IVL: Independent VLAN Learning 獨立VLAN學習

從通俗而簡單的角度來說，IVL就是每個VLAN有一個MAC-端口映射表，同一個MAC可以出現(xiàn)在多個表里面(也就是不同的VLAN里面);而SVL是在交換機內(nèi)建一張大表，映射關(guān)系是MAC-VLAN-端口，而且，一個MAC在表中只出現(xiàn)一次，只屬于一個VLAN。

顯然，SVL應該更容易實現(xiàn)一點，看起來是一種打補丁的實現(xiàn)方式，貌似不是真正的VLAN。早期的VLAN交換機中，有很多是SVL模式的。

我們前面2.1和2.2節(jié)所介紹的原理，都是針對IVL來講的。

從網(wǎng)絡上看到一位仁兄從專業(yè)的角度上總結(jié)了SVL和IVL的工作原理，非常準確而精辟，故我就不再加以潤色，直接引用了。

IVL，網(wǎng)上大部分資料都說為每個VLAN建一個表，看起來好像有很多表，其實這里所說的表是指邏輯上的表，實際上在交換機中還是只有一個表，如果將VID相同的記錄都提取出來組成一個表，那么就一個物理上的表在邏輯上就可以認為是多個表了。

● IVL (Independent VLAN Learning)

在MAC表中以MAC+VID為主鍵進行儲存。這樣，同一個MAC就可能由于VID的不同而在MAC表中存在多條記錄。

1).根據(jù)MAC+VID在MAC表中尋找，找不到轉(zhuǎn)3)

2).向找到的port轉(zhuǎn)發(fā)packet，end.

3).向packet攜帶的vid對應的整個VLAN的port轉(zhuǎn)發(fā)，end.

●  SVL(Shared VLAN Learning)

在MAC表中以MAC為主鍵進行儲存，也就是說同一個MAC在SVL方式下只能存在一個記錄在MAC表中。

1).在MAC中先根據(jù)MAC尋找相應的記錄，找不到轉(zhuǎn)4)

2).記錄中的VID與packet中攜帶的VID一樣，得到相應的port;不一樣轉(zhuǎn)5)

3).將packet轉(zhuǎn)發(fā)到相應的port，end.

4).向packet攜帶的vid對應的整個VLAN的port轉(zhuǎn)發(fā)，end.

5).drop，end.

這個過程還是需要一點基礎的，如果看的有點虛無縹緲，大可以略過該節(jié)，因為當今市場上，很少看到SVL的交換機了。