韩明

摘 要：以太网是目前企业园区网络内部局域网的主要组网架构，具有结构简单，部署方便，成本低廉等优点。由于交换机在传递未知单播帧时往往采用广播的方式，交换设备硬件负载高，数据转发率急剧下降，掉包严重，并且以太網安全性差，无法对企业网络的安全性提供保障。为了解决以太网的这个问题，必须对以太网广播的范围进行一定的控制和隔离，VLAN技术的出现为此提出了完美的解决方案。文章对VLAN技术在以太网中的应用进行研究。

关键词：VLAN； Access接口：Trunk接口；Hybrid接口

1 VLAN技术的基本原理

1.1 VLAN概念

虚拟局域网（Virtual Local Area Network，VLAN）技术，通过配置VLAN可以将一个物理局域网在逻辑上划分出多个广播域，并且只有相同VLAN的二层数据才能进行通信，不同VLAN范围的二层通信会被隔离。

1.2 VLAN技术的主要作用

1.2.1隔离广播流量

早期的以太网采用总线型，所有的主机处于同一个冲突范围，共享10 m带宽。两台主机同时发送数据时会造成冲突，单台主机发送数据时会以广播的形式发送，其他的主机都能收到。随着交换机的产生，部分解决了总线型网络的以上缺点。但是交换机同样是采用的以太网技术，只不过是将冲突域的范围进行了一定的缩小，在大型网络中还是不能完美地对广播的范围进行更精确的控制。VLAN技术部署在数据链路层，能够将一个物理的二层网络，逻辑上划分成多个不同的广播域，并且不同VLAN范围的主机不能通信，良好地对广播流量进行了隔离[1]。

1.2.2提升企业网络安全性

在企业网络中往往有多个核心部门，如财务部、人事部，在以太网中这些部门的计算机都能够被其他部门的主机访问，不符合企业网络安全的需求。通过部署VLAN技术可以将这些核心部门划分到不同的VLAN之中。由于不同VLAN间的通信是被隔离的，这样可以避免其他部门的主机对核心部门进行访问，有效地提升了企业内部网络安全性。

2 VLAN帧的格式

VLAN的数据帧标签长4个字节，其中包含了Tpid和Tci两个部分。Tci中又包含Pri，Cfi和VLAN ID 3个字段。Tpid用了2个字节，取值Ox8100表示这是一个携带VLAN标签的802.lq的数据帧。Tci是数据帧的控制信息，其中pri占用了3个bit，取值范围0到7，它描述数据帧的优先级，数值越大越优先，设备会优先发送级别高的数据帧。Cfi字段用一个bit来描述数据帧的硬件地址是否是经典格式。VLAN ID共占用12个bit，我们在划分VLAN时的取值范围是（0-4 095），由于0和4 095这两个VLAN ID为保留VLAN，所以每台交换机能够合法分配的VLAN ID为l到4 094。由于交换机和交换机之间在转发数据帧时都会携带VLAN标签，为了网络正常通信，每台交换机在出厂时都会有一个默认VLAN，编号为1，设备上的所有接口都划分在这个默认VlAN中。

3 VLAN的接口链路类型

3.1 Access链路接口

Access（接入链路）是VLAN当中的一种链路接口类型，该接口主要用于连接终端设备，如交换机与计算机和服务器的连接。交换机与交换机之间发送的数据帧都是携带VLAN标签的数据帧，而交换机与终端计算机之间通信时如果将携带VLAN标签的数据帧发给计算机，计算机接收到数据帧时并不能够读懂数据帧的含义。所以Access链路接口需要将交换机发送过来的数据帧的标签剥离，这个过程叫作untag，

3.2 Trunk链路接口

Trunk接口类型主要用于交换机与交换机之间的连接。Trunk链路允许携带多个VLAN标记的数据帧通过。如果交换机与交换机之间级联的链路设置为Access接口类型，就会造成网络通信故障，因为Access接口在发送数据时会将VLAN的标签剥离。当交换机与交换机之间通信时必须将接口类型设置为Trunk，否则会造成跨交换机的相同VLAN通信失败。当我们将交换机的端口设置为Trunk链路时，设备在通信时有以下几种情况。

3.2.1接收数据

当此端口收到不含VLAN标签的数据帧时，它将会以自己端口的pvid来对数据帧进行处理，会对原始数据帧添加自己的pvid，同时会检查VLAN安全规则列表是否己授权此VLAN通过，如果匹配就接受此数据，不匹配则过滤丢弃。如果此端口接收到已经携带相应VLAN标签的数据帧，同样会检查会检查VLAN安全规则列表是否己授权此VLAN通过，如果匹配就接受此数据，不匹配则过滤丢弃。

3.2.2发送数据

交换机在发送数据时检查原始数据帧的VLAN ID，如果和交换机的端口VLAN ID-致，则进行下一步安全性检查，检查VLAN安全规则列表是否己授权此VLAN通过，如果匹配就将标签剥离后发送。如果原始数据帧的VLAN标记和交换机发送端口的端口VLAN ID不一致时，先进行安全性检查，匹配后不更改原始数据帧的VLAN标签发送。

3.3 Hybrid端口

Hybrid端口是华为公司专有的技术专利，这种链路类型的端口既可以对数据帧剥离VLAN标签，又可以对数据帧加上标签。所以华为的Hybrid端口既可以连接计算机，又可以连接交换机，华为交换机的端口默认链路模式为Hybrid类型。这种链路类型部署时非常灵活，补全了Access接口和Trunk接口再应用是不够灵活的缺点[2]。

4 划分VLAN的主要方法

4.1基于端口

目前是企业内部部署VLAN时采用的主流方案，部署简单，维护方便。基于端口的VLAN划分通过将交换机的不同端口加入到VLAN中实现。此种方法会为不同的交换机端口打上相应的pvid号。交换机的默认VLANI包含了所有端口。基于端口来实现VLAN划分的缺点是灵活性较差。如企业部门更换办公地点时，需重新对该主机连接的交换机端口进行配置，将交换机现在的连接端口加入到相应的VLAN中。

4.2基于终端设备网络硬件地址

对于经常移动办公的终端设备，基于端口的配置方法不够灵活。我们可以采用基于設备网卡硬件地址的划分方法。在设备上我们需要将终端计算机网卡的硬件地址和VLAN的ID建立相应的关联关系。当设备发送数据时交换机会基于这种关联映射来对数据帧进行标记处理，将VLAN ID加入数据帧，这样终端设备即使频繁地移动改变地理位置，也能和相同VLAN的主机进行通信。

4.3基于IP地址

这种划分方法同样比较灵活，在设备上需要将终端主机的IP地址和VLAN ID进行关联。当终端主机发送数据时，交换机会检查数据帧中的源IP地址，对数据帧加上相应的VLAN ID后进行发送。

5 不同VLAN间通信的方法

5.1路由器单臂路由

我们可以通过路由器来实现不同VLAN之间的流量转发。（1）路由器配置子接口，给子接口配置不同网段的IP地址。（2）路由器的子接口封装dotlq，并声明子接口对应的VLAN id。（3）交换机和路由器相连的接口配置为Trunk链路，并允许相应的VLAN流量通过。（4）不同VLAN的计算机将自己的网关设置为路由器相应子接口的IP。（5）如果是华为的3层交换机，要注意的是华为的3层交换机默认禁止了子接口的arp广播。必须在设备的子接口上开启arp协议的广播功能。由于路由器一般没有高速硬件转发芯片，主要是基于软件来进行路由，所以转发效率低，不推荐此种方案。

5.2基于3层交换机vLANif接口高速转发

此种VLAN间路由的方式又称SVI虚接口路由，通过对3层交换机的VLAN接口配置IP，同时不同VLAN的计算机将自己的网关设置为交换机相应VLANif接口的IP来实现VLANl间路由。此种方式配置简单，同时在3层交换机中具有高速转发硬件芯片，所以转发效率高，推荐此种方案。

6 华为交换机基于端口的VLAN配置实例

华为交换机基于端口的VLAN配置实例有以下3种。

（1）在设备上创建VLAN并给VLAN命名。

[sw31]VLAN batch 10 20 30

[sw31-VLANifl0]descrIPtion sale

（2）将sl交换机的e/0/1端口加入VI.AN 10中。

[sw31-EthernetO/O/lO]port link-type Access [sw31-EthernetO/O/lOlport default VLAN 10

（3）糌交换机和交换机之间级联的端口设置为Trunk链路，并允许全部的VLAN通过。

[sw31-GigabitEthernetO/O/l]port link-type Trunk

[sw31一GigabitEthernet O/O/l]port Trunkallow-passVLAN all

7结语

VLAN技术的出现，比较完美地解决了以太网当中广播流量控制的问题，让企业能够对广播流量的范围进行灵活的管控。同时可以通过给不同的部门划分不同的VLAN来进行访问限制，提升了企业网络的安全性。

[参考文献]

[1]张海.浅谈VLAN技术[J]科技信息，2008 （13）：391-392

[2]刘智能.浅谈VLAN的实现方法[J].电脑知识与技术，2011 （12x）：9359-9360