VLAN

广播域 是广播帧可以到达的区域。换句话说，由多个交换机和主机组成的网络就是一个广播域。

网络规模越大，广播域就越大，泛洪流量也越来越大，降低通信效率。在一个广播域内的任意两台主机之间可以任意通信，通信数据有被窃取的风险。

为了解决广播域扩大带来的性能问题和安全性降低问题， VLAN 技术应运而生。VLAN 技术能够在逻辑上把一个物理局域网分隔为多个广播域，每个广播域称为一个虚拟局域网（即 VLAN ）。每台主机只能属于一个 VLAN ，同属一个 VLAN 的主机通过二层直接通信，属于不同 VLAN 的主机只能通过 IP 路由功能才能实现通信。通过划分多个 VLAN ，从而减小广播域传播的范围，过滤多余的包，提高网络的传输效率，同时提高了网络的安全性。

VLAN 原理

VLAN 技术通过给数据帧插入 VLAN 标签（又叫 VLAN TAG）的方式，让交换机能够分辨出各个数据帧所属的 VLAN 。

VLAN 标签是用来区分数据帧所属 VLAN 的，是 4 个字节长度的字段，插入到以太网帧头部上。VLAN 标签会插入到源 MAC 地址后面， IEEE 802.1Q 标准有这个格式定义和字段构成说明。

• TPID （标签协议标识符）：
  长度 2 个字节，值为 0x8100 ，用来表示这个数据帧携带了 802.1Q 标签。不支持 802.1Q 标准的设备收到这类数据帧，会把它丢弃。

• TCI （标签控制信息）：
  长度 2 个字节，又分为三个子字段，用来表示数据帧的控制信息：

• 优先级（ Priority ）：长度为 3 比特，取值范围 0 ~ 7 ，用来表示数据帧的优先级。取值越大，优先级越高。当交换机发送拥塞是，优先转发优先级高的数据帧。

• CFI （规范格式指示器）：长度为 1 比特，取值非 0 即 1 。

• VLAN ID （ VLAN 标识符）：长度为 12 比特，用来表示 VLAN 标签的数值。取值范围是 1 ~ 4094 。

划分 VLAN 后，交换机如何处理广播报文？

交换机上划分了多个 VLAN 时，在交换机接收到广播数据帧时，只会将这个数据帧在相同 VLAN 的端口进行广播。

划分 VLAN 后，交换机如何处理目的 MAC 地址不在 MAC 地址表中的单播数据帧？

交换机上划分了多个 VLAN 时，当交换机接收到一个目的 MAC 地址不存在于自己 MAC 地址表中的单播数据帧时，只会将这个数据帧在相同 VLAN 的端口进行泛洪。

划分 VLAN 后，不同 VLAN 的主机能否通信？

划分多 VLAN 的环境中，即使交换机 MAC 地址表里保存了某个数据帧的目的 MAC 地址条目，若这个目的 MAC 地址所对应的端口与数据帧的入端口在不同的 VLAN 中，交换机也不会通过 MAC 地址表中的端口发送数据帧。

小结：在不使用路由转发的前提下，交换机不会从一个 VLAN 的端口中接收到的数据帧，转发给其它 VLAN 的端口。

怎么区分不同的 VLAN ？

通过 VLAN ID 进行区分，例如 VLAN 10 和 VLAN 20 就是不同的 VLAN 。

VLAN 技术有哪些好处？

• 增加了广播域的数量，减小了每个广播域的规模，也减少了每个广播域中终端设备的数量；
• 增强了网络安全性，保障网络安全的方法增加了；
• 提高了网络设计的逻辑性，可以规避地理、物理等因素对于网络设计的限制。

划分 VLAN

我们可以使用不同的方法，把交换机上的每个端口划分到某个 VLAN 中，以此在逻辑上分隔广播域。

交换机通常会使用基于端口划分 VLAN 的方法。在交换机上手动配置，绑定交换机端口和 VLAN ID 的关系。

优点：配置简单。想要把某个端口划分到某个 VLAN 中，只需要把端口的 PVID （端口 VLAN ID ）配置到相应的 VLAN ID 即可。

缺点：当终端设备移动位置是，可能需要为终端设备连接的新端口重新划分 VLAN 。

除了这种方法外，还可以使用基于 MAC 地址划分 VLAN 、基于 IP 地址划分 VLAN 、基于协议划分 VLAN 、基于策略划分 VLAN 等方法来划分 VLAN。

PVID ：接口默认 VLAN ID ，是交换机端口配置的参数，默认值是 1 。