VLAN（虚拟局域网）

VLAN的定义

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。

VLAN的优势

（1）限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

（2）增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

（3）提高网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。

（4）灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。
VLAN的分类

（1）静态VLAN

（2）动态VLAN

VLAN端口类型

根据对Vlan帧的识别情况，交换机端口的类型(模式)分为Access端口、Trunk端口及Hybrid端口。

Access端口：交换机上连接用户主机的端口，只能连接接入链路。Access端口只属于一个Vlan，且仅向该Vlan转发数据帧。该Vlan的Vid = 端口PVid，故Vlan内所有端口都处于untagged状态。Access端口在从主机接收帧时，给帧加上Tag标签;在向主机发送帧时，将帧中的Tag标签剥掉。

Trunk端口：交换机上与其他交换机或路由器连接的端口，只能连接汇聚链路。Trunk端口允许多个Vlan的带标签帧通过，在收发帧时保留Tag标签。在它所属的这些Vlan中，对于Vid = 端口PVid的Vlan，它处于Untagged port状态;对于Vid ≠ 端口PVid的Vlan，它处于Tagged port状态。

Hybrid端口：交换机上既可连接用户主机又可连接其他交换机的端口，它既可连接接入链路又可连接汇聚链路。Hybrid 端口允许多个Vlan的帧通过，并可在出端口方向将某些Vlan帧的Tag标签剥掉。

注意，Access、Trunk和Hybrid端口是厂家对某种端口的称谓，并非IEEE802.1Q协议标准定义。

 

Access端口只属于一个Vlan，PVid就是其所在Vlan，故不用设置;Trunk和Hybrid端口属于多个Vlan，故需要设置PVid(缺省为1)。若设置端口PVid，则当端口收到不带Vlan Tag的数据帧时，对该帧加上Tag标记(Vid设置为端口所属的默认Vlan编号)并转发到属于PVid的端口;当端口发送Vlan Tag的数据帧时，若收帧的Vlan Tag和端口PVid相同，剥除Vlan Tag后再发送该帧。

Hybrid端口与Trunk端口在接收数据时处理方法相同，区别在于发送数据时：Hybrid端口允许多个Vlan的数据帧发送时不带标签，而Trunk端口只允许默认Vlan的数据帧发送时不带标签。在同一交换机上Hybrid端口和Trunk端口不能并存，实际使用中可用Hybrid代替Trunk。

本Hybrid端口的PVid和相连的对端交换机Hybrid端口的PVid必须一致。

 

由于端口类型不同，交换机对帧的处理过程也不同。下表根据不同的端口类型分别介绍。

表2 不同端口类型的Vlan帧处理方式

VLAN端口状态

交换机端口可配置为属于某个或某几个Vlan。端口状态指其在某个Vlan中的状态，该状态决定端口接收到tagged或untagged帧时对该帧的处理方式。针对每个Vlan，端口有两种状态，即Tagged port和Untagged port。同一端口可根据不同Vlan ID设置Tagged或Untagged。

当为该端口配置其所属的Vlan时，若该Vlan的Vid = 端口PVid时，则端口在此Vlan中处于Untagged port状态;若Vid ≠ 端口PVid，则端口在此Vlan中处于Tagged port状态。

PVid只与报文的入口方向有关，对于进入交换机的无标签帧会打上进入端口的PVid标签;交换机内每个数据帧都带标签。Tagged/Untagged只与帧的出口方向有关，对于出端口为Untagged port的，转发帧时要剥除帧中的标签，否则保留标签。

图解转发过程，方便理解