先解释两个词:
端口(port):在通信设备中,一般指二层口,该口用于隔绝广播域,基于MAC地址转发,但本身不能设置任何地址;
接口(interface):在通信设备中,用于区别二层的端口,指的是三层口,该口可以配置IP地址,基于IP路由转发。
在传统的局域网中,几个至几十个交换机连接一个大的局域网,一个局域网中的主机台数可能达到上千台,那么由于交换机只能隔绝冲突域,一个端口是一个冲突域,而不能隔绝广播域,会导致局域网内的ARP广播占用大量带宽影响性能,甚至影响网络的正常使用。此外成百上千的计算机在同一个局域网中也会影响网络安全性。
VLAN(Virtual Local Area Network,虚拟局域网)技术,在交换机不能隔绝广播域并且路由器转发性能过低且价格昂贵,需要交换机能够将这许多主机划区域管理的迫切需求下应运而生。
1、二层VLAN:
VLAN技术本是二层技术,用来隔绝广播域,限制广播帧对于局域网带宽的影响。因为VLAN在二层,理论上VLAN不可以设置IP,不同VLAN之间不能直接通信,将某些端口加入到VLAN中,那么这些端口所连接的主机也就不能和其他VLAN中的主机进行通信。要想不同VLAN的主机能够通信,则必须借助路由器来进行路由转发。
2、三层VLAN:
既然有了路由器可以实现VLAN之间通信,为什么还要有三层VLAN和三层交换机?
①首先是因为路由器是一个网络层设备,其主要的功能并非转发报文,而是进行路由选择,其转发是基于CPU层面的软件转发,性能效率远远低于基于交换芯片的交换机硬件层面转发。三层交换机集合了二层交换机的VLAN技术和路由器的路由转发功能,其支持VLAN interface,即VLAN接口,也就是VLAN有了逻辑接口,也就有了接口所能配置IP的能力,三层VLAN由此产生。我们给VLAN的逻辑接口配置ip地址,该IP地址就相当于划入到VLAN的端口所连接设备的网关,以实现VLAN间路由。
②其次,路由器的物理接口数目是比较少的(太多的话,其路由转发处理效率跟不上,还是浪费资源),连接的VLAN个数也就是有限的。假设一个三层交换机有48个端口,使用二层VLAN,划分为24个VLAN,每个VLAN2台机器。有一个4个广域网口的路由器,则路由器最多只能连通4个VLAN,其余VLAN想要和其他VLAN通信,则必须再来几个甚至十几个路由器。
而三层交换机可以划分VLAN interface的个数理论上可达无限个,但实际限制为最多4096个,相比于寥寥数个路由接口也是优略很明显了。如此多的VLAN不仅满足可以随意划分VLAN interface,隔离需要隔离的设备机器,此外在隔离的同时,如果想和某一VLAN interface通信不需要添加任何其他设备,只需要给该VLAN interface和其他VLAN interface配置IP地址,就可以进行高效率的数据转发通信。(下面一幅草图很形象的描述了一台交换机上划分VLAN interface的“随意性”)。
总结:三层交换机因为其VLAN interface,拥有高性能的二层转发功能,且具备三层路由(还有一次路由多次转发等优点)功能。不仅隔绝广播域,抑制了广播风暴,也增加了网路安全性,还有很高性价比,可以说是在校园网、城域网等大型局域网中起到了中流砥柱的作用。