VLAN(虚拟局域网)通过为子网提供数据链路连接来抽象出局域网的概念。一个或多个网络交换机可支持多个独立的VLAN,从而创建子网的第2层数据链路,通常由一个或多个以太网交换机组成。
VLAN(虚拟局域网)通过为子网提供数据链路连接来抽象出局域网(LAN)的概念。一个或多个网络交换机可以支持多个独立的 VLAN,从而创建子网的第 2 层(数据链路)实现。VLAN 与广播域相关联。它通常由一个或多个以太网交换机组成。
VLAN 使网络管理员可以轻松划分单个交换网络,以满足其系统的功能和安全要求,而无需运行新电缆或对其当前网络基础架构进行重大更改。 端口交换机上的(接口)可以分配给一个或多个 VLAN,从而可以将系统划分为逻辑组 – 基于与之关联的部门 – 并建立有关如何允许单独组中的系统与每个系统进行通信的规则其他。这些组的范围可以从简单实用(一个 VLAN 中的计算机可以看到该 VLAN 上的打印机,但该 VLAN 之外的计算机不能)到复杂和合法的(例如,零售银行部门中的计算机无法与计算机中的计算机交互)交易部门)。
每个 VLAN 为连接到配置了相同 VLAN ID 的交换机端口的所有主机提供数据链路访问。VLAN 标记是以太网报头中的 12 位字段,可为每个交换域提供最多 4,096 个 VLAN。VLAN 标记在 IEEE(电气和电子工程师协会)802.1Q 中标准化,通常称为 Dot1Q。
从连接的主机收到未标记的帧时,使用 802.1Q 格式将该接口上配置的 VLAN ID 标记添加到数据链路帧头。然后将 802.1Q 帧转发到目的地。每个交换机使用该标记将每个 VLAN 的流量与其他 VLAN 分开,仅在配置 VLAN 的情况下转发。交换机之间的中继链路(如下所述)处理多个 VLAN,使用标签将它们隔离开来。当帧到达目标交换机端口时,在将帧传输到目标设备之前删除 VLAN 标记。
可以使用中继配置在单个端口上配置多个 VLAN ,其中通过端口发送的每个帧都使用 VLAN ID 进行标记,如上所述。相邻设备的接口可能位于另一台交换机上或支持 802.1Q 标记的主机上,需要支持中继模式配置才能发送和接收带标记的帧。任何未标记的以太网帧都分配给默认 VLAN,可以在交换机配置中指定。
当启用 VLAN 的交换机从连接的主机收到未标记的以太网帧时,它会添加分配给入口接口的 VLAN 标记。帧将使用目标 MAC 地址(媒体访问控制地址)转发到主机端口。广播,未知单播和多播(BUM 流量)被转发到 VLAN 中的所有端口。当先前未知的主机回复未知的单播帧时,交换机将学习该主机的位置,并且不会泛洪寻址到该主机的后续帧。
交换机转发表通过两种机制保持最新。首先,定期从转发表中删除旧的转发条目,通常是可配置的计时器。其次,任何拓扑更改都会导致转发表刷新计时器减少,从而触发刷新。
生成树协议(STP)用于在每个第 2 层域中的交换机之间创建无环路拓扑。可以使用每 VLAN STP 实例,如果多个 VLAN 之间的拓扑相同,则可以使用不同的第 2 层拓扑或多实例 STP(MISTP)来减少 STP 开销。STP 阻止可能产生转发环路的链路转发,从选定的根交换机创建生成树。这种阻塞意味着一些链路将不会用于转发,直到网络的另一部分发生故障导致 STP 使链路成为活动转发路径的一部分。
每个交换域 4,096 个 VLAN 的限制给大型主机提供商带来了问题,这些提供商通常需要为每个客户分配数十或数百个 VLAN。为了解决此限制,其他协议(如 VXLAN (虚拟可扩展 LAN),NVGRE (使用通用路由封装的网络虚拟化)和 Geneve)支持更大的标签以及在第 3 层(网络)数据包内隧道第 2 层帧的能力。
最后,VLAN 之间的数据通信由路由器执行。现代交换机通常包含路由功能,称为第 3 层交换机。