传统的以太网是一个平面网络,网络中的所有主机通过hub或交换机相连,处在同一个广播域中。hub是物理层设备,没有交换功能,接收的报文会向所有端口转发;交换机是链路层设备,具备根据报文的目的mac地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的mac地址不在交换机mac地址表中)时,也会向除报文入端口之外的所有端口转发。
上述情况使网络中的主机会收到大量并非以自身为目的地的报文,在浪费大量带宽资源的同时,也造成了严重的安全隐患。
隔离广播域的传统方法是使用路由器,但是路由器成本较高,而且端口较少,无法划分细致的网络。
为解决以太网交换机在lan中无法限制广播的问题,出现了vlan(virtual local area network,虚拟局域网)技术。
如图1-1所示,vlan把一个物理上的lan划分成多个逻辑上的lan,每个vlan是一个广播域。vlan内的主机间通信就和在一个lan内一样,而不同vlan内的主机不能直接通信。
vlan的组成不受物理位置的限制。一个vlan可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。同一vlan内的各台计算机无须被放置在同一物理空间里,即这些计算机不一定属于同一个物理网段。
与传统以太网相比,vlan具有如下的优点:
广播被限制在一个vlan内,节省了带宽,提高了网络处理能力。
增强了lan的安全性。vlan间不能直接通信,即一个vlan内的主机无法直接访问另一个vlan内的资源,如果要访问需要通过路由器或三层交换机等三层设备。
减少了用户端的网络配置。使用vlan可以划分不同的用户到不同的虚拟工作组中,当用户的物理位置在vlan覆盖范围内移动时,不需要改变其网络的配置。
1.1.2 vlan原理
要使交换机能够分辨不同vlan的报文,需要在报文中添加标识vlan的字段。由于交换机工作在第二层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,如果添加识别字段,也需要添加到数据链路层封装中。
ieee于1999年颁布了用以标准化vlan实现方案的ieee 802.1q协议标准草案,对带有vlan标识的报文结构进行了统一规定。
传统的以太网数据帧在目的mac地址和源mac地址之后封装上层协议的类型字段。如图1-2所示
其中da表示目的mac地址,sa表示源mac地址,type表示报文所属协议类型。
ieee 802.1q协议规定在目的mac地址和源mac地址之后封装4个字节的vlan tag,用以标识vlan的相关信息。
如图1-3所示,vlan tag包含四个字段,分别是tpid,priority,cfi和vlan id。
tpid用来标识本数据帧是带有vlan tag的数据,长度为16bit,在h3c系列以太网交换机上默认取值为0x8100。
priority表示802.1p的优先级,长度为3bit,相关内容请参见“qos”部分的介绍。
cfi字段标识mac地址在不同的传输介质中是否以标准格式进行封装,在本章中不进行具体描述,长度1bit。
vlan id标识该报文所属vlan的编号,长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以vlan id的取值范围一般为1~4094。
交换机利用vlan id来识别报文所属的vlan,当接收到的报文不携带vlan tag时,交换机会为该报文封装带有接收端口缺省vlan id的vlan tag,将报文划分到接收端口的缺省vlan中传输。有关端口缺省vlan设置的内容,请参见《h3c s7500 系列以太网交换机 操作手册》“端口基本配置”部分的介绍。