網(wǎng)絡(luò)性能是影響業(yè)務(wù)效率的一個重要因素。將大型廣播域分段是提高網(wǎng)絡(luò)性能的方法之一。路由器能夠?qū)V播包阻隔在一個接口上，但是，路由器的LAN接口數(shù)量有限，它的主要功能是在網(wǎng)絡(luò)間傳輸數(shù)據(jù)，而不是對終端設(shè)備提供網(wǎng)絡(luò)接入。訪問LAN的功能還是由接入層交換機來實現(xiàn)。與三層交換機相類似，通過在二層交換機上創(chuàng)建VLAN來減少廣播域?，F(xiàn)代交換機就是通過VLAN來構(gòu)造的，因此在某種程度上，學(xué)習(xí)交換機就是學(xué)習(xí)VLAN。

問題的產(chǎn)生:

如下圖所示，當(dāng)網(wǎng)絡(luò)上的所有設(shè)備在廣播域產(chǎn)生大量的廣播以及多播幀，就會與數(shù)據(jù)流競爭帶寬。這是由網(wǎng)絡(luò)管理數(shù)據(jù)流組成，如：ARP，DHCP，STP等。如下圖所示，假設(shè)PC 1產(chǎn)生ARP，Windows登錄，DHCP等請求：

這些廣播幀到達交換機1之后，遍歷整個網(wǎng)絡(luò)并到達所有節(jié)點直至路由器。隨著網(wǎng)絡(luò)節(jié)點增加，開銷的總數(shù)也在增長，直至影響交換機性能。通過實施VLAN斷開廣播域?qū)?shù)據(jù)流隔離開來，能夠解決這一問題。

什么是VLAN：

VLAN(virtual local area network)是一組與位置無關(guān)的邏輯端口。VLAN就相當(dāng)于一個獨立的三層網(wǎng)絡(luò)。VLAN的成員無需局限于同一交換機的順序或偶數(shù)端口。下圖顯示了一個常規(guī)的部署，左邊這張圖節(jié)點連接到交換機，交換機連接到路由器。所有的節(jié)點都位于同一IP網(wǎng)絡(luò)，因為他們都連接到路由器同一接口。

圖中沒有顯示的是，缺省情況下，所有節(jié)點實際上都是同一VLAN。因此，這種拓?fù)浣涌诳煽醋魇腔谕籚LAN的，如上面右圖所示。例如，Cisco設(shè)備默認(rèn)VLAN是VLAN 1，也稱為管理VLAN。默認(rèn)配置下包含所有的端口，體現(xiàn)在源地址表(source address table，SAT)中。該表用于交換機按照目的MAC地址將幀轉(zhuǎn)發(fā)至合適的二層端口。引入VLAN之后，源地址表按照VLAN將端口與MAC地址相對應(yīng)起來，從而使得交換機能夠做出更多高級轉(zhuǎn)發(fā)決策。下圖顯示了show mac address table和show vlan命令的顯示輸出。所有端口(FA0/1 – FA0/24)都在VLAN 1。

另一種常用的拓?fù)浣Y(jié)構(gòu)是兩個交換機被一個路由器分離開來，如下圖所示。這種情況下，每臺交換機各連接一組節(jié)點。每個交換機上的各節(jié)點共享一個IP地址域，這里有兩個網(wǎng)段：192.168.1.0和192.168.2.0。

注意到兩臺交換機的VLAN相同。非本地網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過路由器轉(zhuǎn)發(fā)。路由器不會轉(zhuǎn)發(fā)二層單播，多播以及廣播幀。這種拓?fù)溥壿嬙趦蓚€地方類似于多VLAN：同一VLAN下的節(jié)點共享一個通用地址域，非本地數(shù)據(jù)流(對應(yīng)多VLAN情況不同VLAN的節(jié)點)需通過路由器轉(zhuǎn)發(fā)。在一臺交換機上添加一個VLAN，去掉另一臺交換機的話，結(jié)構(gòu)如下所示：

每一個VLAN相當(dāng)于一個獨立的三層IP網(wǎng)絡(luò)，因此，192.168.1.0上的節(jié)點試圖與192.168.2.0上的節(jié)點通信時，不同VLAN通信必須通過路由器，即使所有設(shè)備都連接到同一交換機。二層單播，多播和廣播數(shù)據(jù)只會在同一VLAN內(nèi)轉(zhuǎn)發(fā)及泛洪，因此VLAN 1產(chǎn)生的數(shù)據(jù)不會為VLAN 2節(jié)點所見。只有交換機能看得到VLAN，節(jié)點和路由器都感覺不到VLAN的存在。添加了路由決策之后，可以利用3層的功能來實現(xiàn)更多的安全設(shè)定，更多流量以及負(fù)載均衡。

VLAN的作用：

安全性：每一個分組的敏感數(shù)據(jù)需要與網(wǎng)絡(luò)其他部分隔離開，減少保密信息遭到破壞的可能性。如下圖所示，VLAN 10上的教職工主機完全與學(xué)生和訪客數(shù)據(jù)隔離。

節(jié)約成本：無需昂貴的網(wǎng)絡(luò)升級，并且?guī)捈吧闲墟溌防寐矢佑行А?/p>

性能提高：將二層網(wǎng)絡(luò)劃分成多個邏輯工作組(廣播域)減少網(wǎng)絡(luò)間不必要的數(shù)據(jù)流并提升性能。

縮小廣播域：減少一個廣播域上的設(shè)備數(shù)量。如上圖所示：網(wǎng)絡(luò)上有六臺主機但有三個廣播域：教職工，學(xué)生，訪客。

提升IT管理效率：網(wǎng)絡(luò)需求相似的用戶共享同一VLAN，從而網(wǎng)絡(luò)管理更為簡單。當(dāng)添加一個新的交換機，在指定端口VLAN時，所有策略和步驟已配置好。

簡化項目和應(yīng)用管理：VLAN將用戶和網(wǎng)絡(luò)設(shè)備匯集起來，以支持不同的業(yè)務(wù)或地理位置需求。

每一個VLAN對應(yīng)于一個IP網(wǎng)絡(luò)，因此，部署VLAN的時候必須結(jié)合考慮網(wǎng)絡(luò)地址層級的實現(xiàn)情況。#p#

交換機間VLAN：

多交換機的情況下，VLAN是怎么工作的呢?下圖所示的這種情況，兩個交換機VLAN相同，都是默認(rèn)VLAN 1，即兩個交換機之間的聯(lián)系同在VLAN 1之內(nèi)。路由器是所有節(jié)點的出口。

這時單播，多播和廣播數(shù)據(jù)自由傳輸，所有節(jié)點屬于同一IP地址。這時節(jié)點之間的通信不會有問題，因為交換機的SAT顯示它們在同一VLAN。

而下面這種連接方式就會有問題。由于VLAN在連接端口的主機之間創(chuàng)建了三層邊界，它們將無法通信。

仔細(xì)看上圖，這里有很多問題。第一，所有主機都在同一IP網(wǎng)，盡管連接到不同的VLAN。第二，路由器在VLAN 1,因此與所有節(jié)點隔離。最后，兩臺交換機通過不同的VLAN互連。每一點都會造成通信阻礙，合在一起，網(wǎng)絡(luò)各元素之間會完全無法通信。

交換機用滿或同一管理單元物理上彼此分離的情形是很常見的。這種情況下，VLAN需要通過trunk延伸至相鄰交換機。trunk能夠連接交換機，在網(wǎng)絡(luò)間傳載VLAN信息。如下圖所示：

對之前的拓?fù)涞母倪M包括：

· PC 1和PC 2分配到192.168.1.0網(wǎng)段以及VLAN 2。

· PC 3和PC 4分配到192.168.2.0網(wǎng)段以及VLAN 3。

· 路由器接口連接到VLAN 2和VLAN 3。

· 交換機間通過trunk線互連。

注意到trunk端口出現(xiàn)在VLAN 1，他們沒有用字母T來標(biāo)識。trunk在任何VLAN都沒有成員?，F(xiàn)在VLAN跨越多交換機，同一VLAN下的節(jié)點可以物理上位于任何地方。

什么是Trunk：

Trunk是在兩個網(wǎng)絡(luò)設(shè)備之間承載多于一種VLAN的端到端的連接，將VLAN延伸至整個網(wǎng)絡(luò)。沒有VLAN Trunk，VLAN也不會非常有用。VLAN Trunk允許VLAN數(shù)據(jù)流在交換機間傳輸，所以設(shè)備在同一VLAN，但連接到不同交換機，能夠不通過路由器來進行通信。

一個VLAN trunk不屬于某一特定VLAN，而是交換機和路由器間多個VLAN的通道。如下圖所示，交換機S1和S2，以及S1和S3之間的鏈路，配置為傳輸從VLAN10,20,30以及90的數(shù)據(jù)流。該網(wǎng)絡(luò)沒有VLAN trunk就無法工作。

當(dāng)安裝好trunk線之后，幀在trunk線傳輸是就可以使用trunk協(xié)議來修改以太網(wǎng)幀。這也意味著交換機端口有不止一種操作模式。缺省情況下，所有端口都稱為接入端口。當(dāng)一個端口用于交換機間互連傳輸VLAN信息時，這種端口模式改變?yōu)閠runk，節(jié)點也路由器通常不知道VLAN的存在并使用標(biāo)準(zhǔn)以太網(wǎng)幀或“untagged”幀。trunk線能夠使用“tagged”幀來標(biāo)記VLAN或優(yōu)先級。

因此，在trunk端口，運行trunk協(xié)議來允許幀中包含trunk信息。如下圖所示：

PC 1在經(jīng)過路由表處理后向PC 2發(fā)送數(shù)據(jù)流。這兩個節(jié)點在同一VLAN但不同交換機。步驟如下：

· 以太網(wǎng)幀離開PC 1到達Switch 1。

· Switch 1的SAT表明目的地是trunk線的另一端。

· Switch 1使用trunk協(xié)議在以太網(wǎng)幀中添加VLAN id。

· 新幀離開Switch 1的trunk端口被Switch 2接收。

· Switch 2讀取trunk id并解析trunk協(xié)議。

· 源幀按照Switch 2的SAT轉(zhuǎn)發(fā)至目的地(端口4)。

VLAN tag如下圖所示，包含類型域，優(yōu)先級域，CFI(Canonical Format Indicator)指示MAC數(shù)據(jù)域，VLAN ID。