Ethernet 系列（13）-- 基础学习::VLAN

目录

1. 什么是VLAN:

2. 使用VLAN的目的：

2.1. 提高性能 ：

2.2. 加强安全 

2.3. 简化管理：

3. VLANs的类型：

3.1. 基于端口的（静态）VLAN：

3.2. 基于使用的（动态） VLAN：

4. VLANs如何工作：

5. VLANs的缺点:

5.1. 每个交换域限制4096个VLAN:

5.2. 管理生成树结构:

5.3. 通过墙壁插孔和AP进行VLAN识别:

1. 什么是VLAN:

虚拟局域网（VLAN）是一种逻辑覆盖网络，它将共享物理局域网的设备子集组合在一起，隔离每个组的流量。 

局域网是同一地点（例如同一建筑或校园）的一组计算机或其他设备，它们共享相同的物理网络。局域网通常与以太网（第2层）广播域相关联，这是以太网广播数据包可以到达的网络设备集。 

局域网上的计算机可以直接或通过连接到同一交换机的无线接入点（AP）连接到相同的网络交换机。计算机还可以连接到一组互连交换机中的一个，例如一组都连接到骨干交换机的接入交换机。一旦流量穿过路由器并参与第3层（IP相关）功能，即使所有内容都在同一栋楼或同一楼层，也不认为它在同一局域网上。因此，一个位置可能有许多相互连接的局域网。

2. 使用VLAN的目的：

网络工程师使用VLAN的原因有很多，包括以下几点： 

• 提高性能 
• 加强安全 
• 简化管理

2.1. 提高性能 ：

• VLAN可以通过减少给定端点看到和处理的流量来提高其上设备的性能。VLAN划分了广播域，减少了任何给定设备看到广播的其他主机的数量。例如，如果所有桌面IP语音电话都在一个VLAN上，而所有工作站都在另一个VLAN中，那么电话将看不到任何工作站生成的广播流量，反之亦然。每个都可以将其网络资源仅用于相关流量。
• 工程师还可以为每个VLAN定义不同的流量处理规则。例如，他们可以设置规则，对连接会议室设备的VLAN上的视频流量进行优先级排序，以帮助保证远程呈现设备的性能。

2.2. 加强安全 

VLAN分区还可以通过对哪些设备可以相互访问进行更高程度的控制来提高安全性。例如，网络团队可能会将对网络设备或物联网设备的管理访问限制在特定的VLAN。

2.3. 简化管理：

使用VLAN对端点进行分组还使管理员能够出于纯粹的管理、非技术目的对设备进行分组。例如，他们可能会将所有会计计算机放在一个VLAN上，将所有人力资源计算机放在另一个VLAN中，以此类推。

3. VLANs的类型：

VLAN可以是基于端口的（有时称为静态）或基于使用的（有时也称为动态）。

3.1. 基于端口的（静态）VLAN：

网络工程师通过将网络交换机上的端口分配给VLAN来创建基于端口的VLAN。这些端口仅在分配的VLAN上通信，每个端口仅在一个VLAN上。虽然基于端口的VLAN有时被称为静态VLAN，但重要的是要记住它们不是真正的静态VLAN，因为分配给端口的VLAN可以动态、手动或通过网络自动化进行更改。

3.2. 基于使用的（动态） VLAN：

网络工程师通过根据流量类型或创建流量的设备动态地将流量分配给VLAN来创建基于使用的VLAN。可以根据安全证书指示的连接设备的身份或使用的网络协议将端口分配给VLAN。一个端口可以与多个动态VLAN相关联。更改通过端口连接的设备，甚至更改现有设备的使用方式，都可能会更改分配给该端口的VLAN。

4. VLANs如何工作：

• VLAN在网络交换机上由VLAN ID标识。交换机上的每个端口都可以分配一个或多个VLAN ID，如果没有分配其他端口，则将进入默认VLAN。每个VLAN都为连接到配置有其VLAN ID的交换机端口的所有主机提供数据链路访问。 
• VLAN ID被转换为VLAN标签，这是发送到该VLAN的每个以太网帧的报头数据中的一个12位字段。由于标签的长度为12位，因此每个交换域最多可以定义4096个VLAN。VLAN标签由IEEE在802.1Q标准中定义。 
• 当从连接的主机接收到以太网帧时，它没有VLAN标签。交换机添加VLAN标签。在静态VLAN中，交换机插入与入口端口的VLAN ID相关联的标签。在动态VLAN中，它插入与该设备的ID或其生成的流量类型相关联的标记。 
• 交换机将标记的帧转发到其目标媒体访问控制地址，仅转发到与VLAN关联的端口。广播、未知单播和多播流量被转发到VLAN中的所有端口。交换机之间的中继链路知道哪些VLAN跨越交换机，接受并传递中继两侧使用的任何VLAN的所有流量。当帧到达其目标交换机端口时，在将帧传输到目标设备之前，VLAN标签会被删除。 
• 生成树协议（STP）用于在每个第2层域中的交换机之间创建无环拓扑。可以使用每个VLAN的STP实例，这支持不同的第2层拓扑。如果多个VLAN之间的拓扑结构相同，也可以使用多实例STP来减少STP开销。

5. VLANs的缺点:

5.1. 每个交换域限制4096个VLAN:

• 现代数据中心或云基础设施中VLAN的一个缺点是每个交换域只能有4096个VLAN。单个网段可能承载数万个系统和数百或数千个不同的租户组织，每个租户组织可能需要数十或数百个VLAN。 
• 为了解决这一限制，已经创建了其他协议，包括虚拟可扩展局域网、使用通用路由封装的网络虚拟化和通用网络虚拟化封装。它们支持更大的标签，这使得可以定义更多的VLAN，并能够在第3层数据包中隧道传输第2层帧。

5.2. 管理生成树结构:

另一个缺点是，当VLAN众多且庞大时，网络可能难以管理防止流量循环所需的生成树结构。最简单的解决方法是从网络中删除冗余链路。不幸的是，这会使网络在删除冗余链路的任何地方都容易发生单点故障。

5.3. 通过墙壁插孔和AP进行VLAN识别:

• VLAN的另一个挑战是，很难确保给定墙壁插孔或AP可以访问的VLAN易于识别。这可能会使最终用户和现场服务支持人员在尝试将新东西连接到网络时变得更加困难。 
• 另一个并非VLAN独有但仍然影响它们的缺点是规划不佳，这使得整个VLAN规划过于复杂、脆弱，并且随着需求和底层网络设备的变化而难以维护。