定义
虚拟局域网(Virtual Local Area Network,VLAN)是一组逻辑上的设备和用户,通过端口分配、MAC地址分配等方式将同一局域网内的主机划分为不同的区域(VLAN),不同区域之间的主机无法直接通信(即使它们都在同一个有线局域网中),而同一区域内的主机之间可以正常通信,这就好像一个局域网一样,因此叫做虚拟局域网。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
划分标准
工作站到VLAN的映射有几种方法。通过端口、基于MAC地址是常见的划分标准。
1)、按端口划分
通过端口分配VLAN是许多VLAN厂商常采用的划分方法。交换机端口被分成不同的VLAN(例如一个交换机有6个端口,将其中三个划为一个VLAN,另外三个划为另一个VLAN),则端口所连接的站就被分配在一个特定的VLAN中,成为这个VLAN中的成员。这种划分方式简单明了,允许共享网络的升级,但这种划分模式将VLAN限制在了交换机上。
2)、按MAC地址划分
基于MAC地址的VLAN中,交换机使用表将一个站的MAC地址映射到一个VLAN,即对每个MAC地址的主机都划分到一个特定组中。这种划分VLAN方法的最大优点是当用户的物理位置改变(如从一个交换机换到其他交换机)时,VLAN不用重新配置。但这么划分的缺点是,这需要为每一个用户配置VLAN,当VLAN中的用户数量增多且由于某些原因MAC地址需要变化时,都要重新配置VLAN,这会让VLAN变得难以管理。
3)、 按IP地址划分
IP地址中有一类组播地址,这类地址是天然的VLAN,因为组播地址符合VLAN的大体定义。但按IP地址划分的方法效率不高。
VLAN标签
当不同的VLAN中的站连接在同一交换机时,交换机确保流量不在两个VLAN之间泄漏,无论这些站使用哪种类型的以太网接口。当多个VLAN跨越多个交换机(中继)时,在以太网帧发送到另一台交换机之前,需要使用VLAN来标记该帧的归属。本功能使用一个VLAN标签的标记(在以太网帧中占2字节),其中包含12位VLAN标识符(提供4096个VLAN,但保留VLAN 0和VLAN 4095)。它还包含支持QoS(Quality of Service)的3位优先级字段,不同的数值表示不同的服务级别。VLAN标签如图所示:
在很多情况下,管理员必须配置交换机端口,以便发送802.1p/q帧时能中继到适当的端口。有些交换机通过中继端口支持本地VLAN选项,即默认情况下未标记的帧与本地VLAN有关。中继端口用于互连带VLAN功能的交换机,其他端口通常用于直接连接工作站。
IEEE颁布的802.1p标准规定其帧头部包括一个3位优先级字段,它用于表明一个QoS级别。它用3位有效位定义了8个服务级别。0级为最低优先级用于传统的尽力而为的流量,7级为最高优先级,可用于关键路由或网管
功能。这个标准规定了优先级如何被编码在分组中,其优先级划分在Linux中可以使用vconfig命令来操作。
