理解Vlan的工作原理

第7章理解并实施交换技术任务7.2理解虚拟局域网（VLAN）

在本节中，将首先介绍传统的局域网，分析随着互联网时代的发展，传统局域网所面对的局限性，然后引出VLAN与传统局域网的区别、VLAN的特性，以及它如何去突破传统局域网的局限，VLAN的通信原理和相关各项技术的工作过程与配置实施。任务7.2.1理解传统局域网规划的局限性

首先通过网络工程环境中企业用户的实际需求来关注一个传统的局域网，然后与VLAN做一个比较，来理解什么是VLAN。传统的局域网（LAN）如图7.13所示，传统局域网的特点是每个集线器（Hub）是一个广播域，不能在同一个集线器上划分广播域。广播域只能由三层设备（路由器）来划分，这样将严重影响局域网的结构，将严重受到地理位置的限制。比如：在图7.9中，主机C1、C2、C3必须在同一楼层，并连接到同一个集线器（Hub3）上。如果将主机C1移动到二楼或者三楼，在不改变主机C1的IP地址的情况下，主机C1将丢失与网络的通信。由于集线器不能隔离广播，所以网络的整体性能与安全性都很差。而现代化的企业行政组织结构，往往需要突破这种地理位置的限制，员工可能被分散在不同的地理位置进行办公，所以就现今的实际需求而言，必须打破现有地理位置的限制。图7.13传统的局域网（LAN）任务7.2.2理解虚拟局域网（VLAN）

虚拟局域网（VirtualLocalAreaNetwork，VLAN）技术主要是为了解决二层交换机在进行局域网互联时无法限制广播的问题，同时，打破地理位置对局域网规则的限制，从某种程度上提高网络性能，加强了安全性。这种技术可以把一个LAN划分成多个逻辑的虚拟LAN，也就是所谓的VLAN，每个VLAN就是一个广播域。在同一个VLAN中，主机之间的相互通信原理，与传统的LAN通信过程相同；而不同的VLAN之间，不能直接进行广播通信，这样广播被限制在一个VLAN内。所以很多技术工程人员，又给VLAN技术一个比较通俗而形象的定义：“一台物理交换机可以当多台逻辑交换机使用”。至于为什么会这样定义VLAN，本小节后续会做详细描述。如图7.14所示为虚拟局域网（VLAN）。VLAN的特点是：在一台二层交换机上隔离了广播，打破了传统局域网受地理位置限制的局限性，提高了性能与安全性。在如图7.13所示的环境中，主机C1、C2、C3只能被安放在同一楼层，并连接到同一个集线器Hub3。但是当VLAN出现后，在如图7.14所示的环境中，主机C1、C2、C3可以被安放在不同的楼层，这是VLAN帮助传统局域网突破地理位置限制的一种典型代表，并且每个VLAN对应一个子网，以一个独立的广播域体现。任务7.2.2图7.14虚拟局域网（VLAN）注意：在此，读者可能会提出两个问题：VLAN为什么可以隔离广播域？VLAN为什么可以打破地理位置的限制,当VLAN打破地理位置的限制后，同一个VLAN内的主机如何完成通信?比如，在图7.14中三楼的主机C1如何与二楼的主机C2完成通信？任务7.2.2

VLAN为什么可以隔离广播域上面讲解了传统局域网与VLAN在特性上的区别。那么，VLAN为什么会具备这些特性？为什么可以隔离广播域？事实上，它是通过交换机芯片上的隔离技术做到的，具体如图7.15所示。图7.15通过交换机芯片上的隔离技术隔离广播域任务7.2.3理解：VLAN的通信原理、VLAN干道、VLAN的标记与VTP协议程VLAN打破地理位置限制后的通信原理如图7.16所示，网络环境中的各个VLAN打破了传统地理位置的限制。交换机Switch_A上的主机A与交换机Switch_B上的主机C属于同一个VLAN，只是它们突破了传统地理位置的限制，没有被连接到同一台交换机上，一个VLAN内的主机被分散到了两个不同的物理交换设备上，通常称这种VLAN为“跨越式VLAN”。就跨越式VLAN中的两台主机通信，产生了两个问题：第一个问题是，VLAN2的主机A要向VLAN2的主机C发送数据时，就要从交换机Switch_A转发到交换机Switch_B，那么，用一种什么样的技术来保证Switch_A会将VLAN2中的主机A产生的数据准确地传递到Switch_B

上的VLAN2的主机C，而不会误传递给Switch_B中的VLAN3的主机D呢？第二个问题是，不同的VLAN之间是被相互隔离的，没有三层路由技术不可能进行通信，那么，Switch_A和Switch_B的Fa0/3端口属于哪一个VLAN？是VLAN2还是VLAN3？如果两个设备的中间连接路线的Fa0/3端口属于VLAN2，那么VLAN3的数据就不能通过两个设备的中间连接路线的Fa0/3端口进行传递；反之亦然。带着这两个问题，进入VLAN干道、VLAN标记与VTP协议的学习中。图7.16网络环境中的各个VLAN打破了传统地理位置的限制任务7.2.3VLAN干道、VLAN标记VLAN干道：干道（Trunk）是用来连接两台不同交换机的中间线路，以保证在跨越多台交换机上的同一个VLAN的成员之间能相互通信，其中两台交换机之间互连的端口就称为Trunk端口。Trunk端口不属于任何VLAN，但是能承载所有VLAN的通信流量。那么，根据VLAN干道的定义，就可以解答上面所提出的第二个问题，VLAN2与VLAN3都可以使用交换机Switch_A和Switch_B的Fa0/3端口来传递不同VLAN的数据，前提是Fa0/3既不要划分到VLAN2，也不要划分到VLAN3，而是让它保持VLAN干道（Trunk）的特性，因为干道能承载任何VLAN的流量。如果交换机Switch_A的VLAN2中的主机要访问交换机Switch_B的VLAN2中的主机，则可以把两台交换机的级联端口（Fa0/3）配置为Trunk端口。当交换机把数据包从级联端口（Fa0/3）发出去时，会在数据帧中做一个标记（Tag），指示该数据帧属于哪一个VLAN，其他交换机收到这样一个数据帧后，则会将该数据帧转发到标记中所指定的VLAN，从而完成跨越交换机与一个VLAN的通信。VLAN干道目前有两种标准：ISL和802.1Q。ISL是Cisco专有技术；802.1Q则是IEEE的国际标准。除了Cisco两者都支持外，其他厂商都只支持802.1Q。VLAN标记Tag：具体过程如图7.17所示。

1、当Switch_A上的主机A要发送数据给Switch_B上的主机C时，在主机A上会产生一个常规的以太网帧，然后将这个常规的以太网帧发送给交换机Switch_A。

2、交换机Switch_A将这个常规的以太网帧打上一个属于VLAN2的标记（Tag）。

3、交换机Switch_A将打上标记后的数据帧通过Trunk传递到交换机Switch_B。

4、Switch_B能成功地读出帧中的VLAN标记是2。

5、Switch_B读出VLAN的标记帧是属于VLAN2后，将该帧转发到VLAN2。任务7.2.3图7.17VLAN标记的具体过程

VLAN标记（Tag）一般使用两种方法：802.1Q与ISL。而交换机是使用802.1Q还是ISL，这取决于用户对干道实施的是什么样的封装类型。注意：在此，读者可能会提出两个问题：VLAN为什么可以隔离广播域？VLAN为什么可以打破地理位置的限制,当VLAN打破地理位置的限制后，同一个VLAN内的主机如何完成通信?比如，在图7.14中三楼的主机C1如何与二楼的主机C2完成通信？任务7.2.4VTP干道协议及其工作模式

VTP（VLANTrunkingProtocol）通过网络保持VLAN配置的一致性，VTP协议负责增加、删除、调整VLAN，自动地将信息向网络中其他的交换机广播。此外，VTP减少了那些可能导致安全问题的配置，更加便于管理。如图7.18所示，VTP服务模式的交换机将其配置的VLAN数据库信息通过干道传递给不同VTP模式的交换机。下面我们进一步来理解VTP的三种工作模式。图7.18VTP原理示意图任务7.2.4VTP服务模式：被配置为VTPServer模式的交换机向邻居交换机广播VLAN数据库信息，该消息通过Trunk链路传输，邻近的交换机会学习到相应的VLAN数据库信息。在VTPServer模式下可以任意添加、删除和修改VLAN信息。VTP客户模式：当交换机配置成VTPClient模式后，它会向下游交换机传送VTP信息，VTP客户端会从VTP服务模式的VTP信息中学习新的VLAN信息，并存放到自己的本地数据库中。但是在VTP客户模式下，在本地交换机中增加、删除、修改的VLAN信息，不会被传递到下游交换机。VTP透明模式：在VTP透明模式下，交换机不会从VTP信息中学习VLAN的相关信息。也就是说，它不会把从VTP服务器学到的VLAN信息保存在本地，只会将接收到的VTP信息传递给邻居交换机。VTP的工作模式介绍注意：关于VTP报文的构成，以及取证VTP的数据帧，请参看7.2.6节“理解并取证：802.1Q、ISL、VTP的报文结构”。为了更形象地理解VLAN的通信过程，以及体会VTP协议的工作原理，可以完成7.2.9节“演示：虚拟局域网（VLAN）的基本配置（VLAN划分、Trunk、VTP）”的实验。任务7.2.5

理解VTP裁剪模式（VTPPruning）

VTPPruning是VTP的一个附属功能，目标在于裁剪干道（Trunk）上不必要的信息流量。如图7.19所示，交换机S1是VTP服务模式，并在它的VLAN数据库中建立了两个VLAN（VLAN2和VLAN3）；交换机S2是VTP客户模式，但是它只规划了一个VLAN（VLAN2）。此时，通过VTP的工作原理，交换机S2通过VTP协议将会从S1学习到相关的VLAN数据库，其中就包括了VLAN2和VLAN3，但事实上交换机S2上仅规划了一个VLAN信息，既交换机S2的Fa0/2端口对应的VLAN2，如果不加以优化调整，交换机VLAN3中产生的广播信息流量，将通过干道（Trunk）流向交换机S2。这是没有必要的流量转发，尽管最终交换机S2会丢弃VLAN3的流量，因为交换机S2上根本就没有VLAN3，但事实上VLAN3的流量还是通过干道转发到了交换机S2上，只是交换机S2将VLAN3的流量丢弃而已，这浪费了干道的带宽，加大了交换机S2的处理延……如果在交换机S1上配置VTPPruning功能，那么交换机S1就不会把VLAN3的信息流量传输给交换机S2，从而提高了干道的使用率，减小了交换机S2的处理延时。任务7.2.5图7.20关于VTP裁剪在交换机S1的干道上配置VTP裁剪：s1(config)#interfacefastEthernet0/1s1(config-if)#switchporttrunkpruningvlan3任务7.2.6理解并取证：802.1Q、ISL、VTP的报文结构

前面描述了关于VLAN如何完成标记以及VTP的功能与作用，在本小节将重点取证VLAN标记的两种方式（802.1Q和ISL）的报文结构,以及VTP的报文结构。802.1Q标准：1996年3月，IEEE802.1Internet工作委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了VLAN标记方式中不同厂商的标签格式，并制订了VLAN标准在未来一段时间内的发展方向，以此形成的802.1Q标准在业界获得了广泛推广。802.1Q标准的出现打破了虚拟局域网依赖厂商标准的僵局，从而推动了VLAN的标准化发展。另外，来自市场需求的压力促使各大网络厂商立刻将新标准融合到他们各自的产品开发中。802.1Q是一种“数据帧内部插入式”的VLAN标记方式，所谓“内部插入”的VLAN标记，指示802.1Q的VLAN标记会改变常规以太网数据帧的结构，会在常规的以太网数据帧中插入4个字节的标记头。关于802.1Q的数据帧结构如图7.20所示。取证在通信过程中的802.1Q数据帧如图7.21所示。任务7.2.6图7.20802.1Q的数据帧结构一、目标地址：指示数据链路层的目标MAC地址。二、源地址：指示数据链路层的源MAC地址。三、802.1QVLANTag:VLAN的标记字段，其中该字段又包含了4个字段，Tag属性ID、用户优先级、规划格式指示器、VLANID，这4个字段共计使用4个字节。（一）Tag属性ID：该字段指示标记属性标识符，一般情况下，值为0x8100，表示传输的是一个802.1Q的标记。（二）用户优先级：该字段指示数据帧的优先级（priority），当网络发生拥塞时，用作指示数据帧被转发的紧急程度，分为8个等级，数值越高，越被优先转发，默认情况下该值是0。属于QOS功能中的COS字段值，关于该字段的更多信息，将在CCNP的QOS部分作详细描述。（三）规范格式指示器：该字段指示MAC地址是否使用规范形式体现，如果该字段的值是0指示MAC使用的是规范格式，如果该字段值是1指示MAC使用的是非规范格式，正常情况下该字段的值总是0。（四）VLANID：指示该数据帧属于具体的哪个VLAN，802.1Q支持4096个VLAN。任务7.2.6四、类型/长度：原数据帧类型和长度，所谓原数据帧类型是指在被802.1Q标记之前的原始以太网数据帧类型，如果是基于IP协议的数据帧封装，那么该字段的值是0x0800。五、数据：被封装在数据帧里面的上层数据。六、帧校验：指示数据帧的校验值。图7.21取证的802.1Q数据帧任务7.2.6ISL（Inter-SwitchLink）：是Cisco公司的专用封装方式，因此只能被Cisco的设备支持。它用于连接多台交换机，当数据在交换机之间的干道传输时，ISL负责标记VLAN信息。它是在常规的以太网数据帧的前面为其封装一个长度为26个字节的ISL头部，如图7.22所示，它不改变原有以太网数据帧的结构。取证在通信过程中的ISL数据帧如图7.23所示。图7.22ISL的数据帧结构一、目的地址：该字段的值通常是一个组播MAC地址（0x01-000c-0000），它向接收该数据帧的交换机表示，这是一个ISL封装的帧。二、TYPE(类型)：该字段指示源数据帧的类型，如果该字段的值是0000，则表示为以太网数据帧；0001表示为令牌环网数据帧；0010表示为FDDI的数据帧；0011表示为ATM的数据帧。三、USER(用户)：该字段的值通常是0,在特殊情况下用于令牌环网的传送。任务7.2.6四、源地址：发送ISL数据帧的源交换机的MAC地址。五、长度：该字段指示ISL头部和用户数据的总长度，但是它不包括目的地址、类型、用户、源地址、长度和ISL的CRC字段。六、SNAP：该字段为固定值0xAA-AA-03。七、HSA：一般情况下，该值是0x00-00-0C，该字段来源于“源地址”字段中MAC的厂商ID部分，思科MAC的厂商ID是0x00-00-0C。八、VLANID：标记VLAN的编号数值，ISL只能支持1024个VLAN。九、BPDU：如果在数据帧中包括了STP、ISL、VTP、CDP等消息，那么该字段将被置位为1。十、Index：指示标记该数据帧时是来源于交换机的哪个端口。十一、CRC：一个从ISL的目的地址到用户数据结束的整个数据帧的CRC值，但是它不会替代用户数据帧的CRC值，所以可以看作是对整个数据帧进行了双重完整性校验。图7.23取证的ISL数据帧任务7.2.6数据帧总长度上的区别：正常以太网数据帧的大小为1518字节，如果使用802.1Q标记方式，那么数据帧的总长度将变为1522字节，这意味着它打破了标准的802.3数据帧长度，但是802.3的组织机构定义了一个802.3ac的子集，将最大数据帧的长度扩展到1522字节，如果传统的802.3设备不支持1522字节的大小，它也可以处理该数据帧，只是会报告“babygiant（小巨人）”数据帧。而ISL将正常的以太网数据帧的大小1518字节扩展到1548字节，26个字节的ISL头部、4个字节的CRC位，只能被思科的设备所支持，属于厂商特性。标记效率上的区别：802.1Q和ISL是两种不同的标记方式。802.1Q是在常规以太网数据帧的内部插入VLAN标记，只使用4个字节的插入字段，它更简约；而ISL是在常规以太网数据帧外部增加一个VLAN标记，额外增加26个字节的开销，所以802.1Q比ISL具有更小的开销。对VLAN支持数量上的区别：802.1Q最多支持4096个VLAN的标记，而ISL支持1024个VLAN的标记，从支持更多的VLAN数量上讲802.1Q更具备优势。802.1Q与ISL标记的关键区别任务7.2.6理解并取证VTP的报文结构VTP消息被封装在802.1Q或者ISL数据帧中，其报文结构如图7.24所示。整个VTP消息包括了VTP的消息头部与消息内容两个部分，VTP的头部包括域名、域名长度、VTP版本、VTP配置修正号、VTP消息类型；VTP的消息内容包括MD5的散列值、帧格式、VLAN的配置信息等。下面参考如图7.25所示的取证在通信过程中的VTP消息数据帧来理解各个字段的意义。

图7.24VTP的报文结构任务7.2.6一、域名：VTP正在使用的域名。注意：如果想使用VTP同步不同交换机设备上VLAN相关的管理信息，那么各个交换设备上配置的VTP域名必须相同。二、域名长度：指示正在使用的VTP域名的长度。三、VTP版本：指示正在使用VTP消息的版本号，VTP有V1和V2两个版本。注意：如果想使用VTP同步不同交换机设备上VLAN相关的管理信息，那么各个交换设备上配置的VTP版本号必须相同。四、VTP配置修正号：当交换机的配置发生改变时，VTP配置修正号从0开始发生变化，每发生一次改变，配置修正号加1。五、VTP消息类型：VTP有三种消息类型，分别是汇总（Summary）、子集（Subnet）、查询（Request）消息。（一）关于VTP的汇总（Summary）消息：汇总消息是最常见的一种消息类型，汇总消息包括了VTP的域名、配置修正号和其他VTP配置细节。汇总消息可以采用周期性发送，也可以采用触发更新式发送，如果使用周期性发送汇总消息，那么每隔5分钟，VTP服务端或者客户端将发送汇总消息，如图7.25所示的取证VTP的消息数据帧就是VTP的汇总消息，该消息用于公告给同一个VTP域内的所有交换机。如果使用触发更新，那么当前VTP配置发生变化时，VTP汇总消息将立即被发送。（二）关于VTP的子集（Subnet）消息：子集消息包括了具体的VLAN配置信息，如：创建或者删除VLAN、挂起或者激活VLAN、VLAN重命名、改变VLAN的MTU等。（三）关于查询（Request）消息：当VTP域名改变、或者接收了一个高于本地交换机的VTP配置修正号、交换机重新启动、由于故障或者某种原因导致VTP的子集通告丢失，VTP服务端收到一个查询消息时，它会回应一个VTP汇总消息与子集消息。理解VTP的报文结构特性任务7.2.6六、MD5散列值：该字段指示从VTP消息中计算得到的MD5散列值，如果交换机的VLAN信息发生变化，那么该值也会重新计算。七、帧的格式：指示VTP消息使用802.1Q还是ISL数据帧格式。八、VLAN的配置信息：指示具体的VLAN配置信息。理解VTP的报文结构特性图7.25取证VTP的消息数据帧任务7.2.7在实施VLAN技术时，需要特别注意VLAN1的使用，如果干道封装的是ISL协议，那么VLAN1与其他常规VLAN没有任何区别，它会被打上VLAN标记1；如果干道封装的是802.1Q协议，VLAN1将不被标记，通常管它叫802.1Q的NativeVLAN（本地VLAN）或者叫作“无标记VLAN”。通过上面的描述得到一个结论：ISL与802.1Q对VLAN1的处理方式是不同的！ISL和802.1Q对VLAN1的处理方式不同，802.1Q的干道允许传输没有打上VLAN标记的数据帧，通常那些没有