◆廖繼東 伍琰

（河南省總工會(huì)干部學(xué)校 河南 45002）

VLAN 是一種依賴(lài)于交換技術(shù)之上的，基于協(xié)議的虛擬網(wǎng)絡(luò)技術(shù)[1]。每個(gè) VLAN 都由一組相同需求的計(jì)算機(jī)組成，并且這些計(jì)算機(jī)可以來(lái)自不同的物理空間，VLAN 內(nèi)的主機(jī)間通信就和在一個(gè)LAN 內(nèi)一樣；而VLAN 之間則不能直接互通，每個(gè)VLAN 是一個(gè)廣播域，廣播報(bào)文就被限制在一個(gè)VLAN 內(nèi)[2]。

初學(xué)者對(duì)VLAN 的劃分比較容易掌握，但是對(duì)VLAN 的工作機(jī)制、相關(guān)協(xié)議并不是很清楚。作者以思科Packet Tracer 為實(shí)驗(yàn)平臺(tái)，搭建VLAN 的網(wǎng)絡(luò)拓?fù)洌鐖D1，通過(guò)抓取協(xié)議包來(lái)分析VLAN 的工作機(jī)制，以提供對(duì)VLAN 技術(shù)更清晰的認(rèn)識(shí)。

圖1 實(shí)驗(yàn)拓?fù)?/p>

其中PC0、PC2、PC4 劃到VLAN 10，PC1 和PC3 劃到VLAN 20，兩臺(tái)交換機(jī)之間使用trunk 鏈路。

1 不同的VLAN 如何被識(shí)別

通過(guò)PC0（192.168.1.10）PING PC2（192.168.1.20），我們發(fā)現(xiàn)盡管這兩臺(tái)PC 不屬于一臺(tái)交換機(jī)，但是屬同一VLAN，他們可以PING 通。通過(guò)PC0（192.168.1.10）PING PC1（192.168.1.100），我們發(fā)現(xiàn)盡管這兩臺(tái)PC 同屬于一臺(tái)交換機(jī)，一個(gè)網(wǎng)段，但是由于分屬不同VLAN，他們不能PING 通。

那么交換機(jī)是如何來(lái)識(shí)別數(shù)據(jù)幀是否屬于不同的VLAN 呢？

IEEE 于1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 實(shí)現(xiàn)方案的IEEE 802.1Q 協(xié)議標(biāo)準(zhǔn)草案。思科還可以使用私有協(xié)議ISL 進(jìn)行封裝[3]，由于很少使用這里不作討論。802.1Q VLAN 只定義了數(shù)據(jù)幀的封裝格式，即，在以太網(wǎng)幀頭中插入了4 個(gè)字節(jié)的VLAN 字段。

我們通過(guò)交換機(jī)1 的VLAN10 的PC0（192.168.1.10）PING 交換機(jī)2 的VLAN10 的PC2（192.168.1.20），兩臺(tái)交換機(jī)連接端口設(shè)置為trunk，可以PING 通。通過(guò)抓取協(xié)議包，我們可以看到，ICMP 包在Trunk 鏈路上被封裝為802.1q 數(shù)據(jù)幀。

如圖2 所示，IEEE802.1Q 就是在幀中插入了一個(gè)四個(gè)字節(jié)的TAG 標(biāo)簽[3]：

圖2 802.1Q 的幀結(jié)構(gòu)

（1）標(biāo)記協(xié)議標(biāo)致（TPID）：固定值0x8100，標(biāo)識(shí)該幀載有802.1Q標(biāo)記信息

（2）標(biāo)記控制信息（TCI）：

Priority：優(yōu)先級(jí)，3 比特。

Canonical Format Indicator：1 比特，表示總線(xiàn)型以太網(wǎng)，F(xiàn)DDI，令牌環(huán)網(wǎng)。

VLANID：12 比特，表示VID，范圍1～4094。

從圖2 也可以看出PC0 發(fā)往PC2 的數(shù)據(jù)包攜帶的VLANID 是10，這就表明它的VLAN 信息。

2 VLAN 標(biāo)簽是如何被添加

2.1 誰(shuí)來(lái)添加VLAN 標(biāo)簽

在PC0 PING PC2 的時(shí)候，通過(guò)抓取數(shù)據(jù)包，可以看到PC0 發(fā)出的數(shù)據(jù)包不是802.1Q 數(shù)據(jù)幀，如圖3 所示，但是在兩臺(tái)交換機(jī)的trunk鏈路上被封裝為802.1Q 數(shù)據(jù)幀，如圖4 所示，這說(shuō)明是交換機(jī)對(duì)PC發(fā)送的數(shù)據(jù)重新進(jìn)行封裝，添加VLAN 標(biāo)簽。

圖3 PC0 發(fā)出的數(shù)據(jù)包

圖4 PC0 PING PC3 的數(shù)據(jù)在交換機(jī)0 中的變化

添加VLAN 標(biāo)簽，是由交換機(jī)的端口所屬的VLAN ID 決定的。思科交換機(jī)端口支持三種常用模式，接入模式（access）、中繼模式（trunk）、動(dòng)態(tài)模式（dynamic）[4]。在同一端口上，access 模式與trunk模式只能選擇其一。配置成access 模式的端口通常連接終端設(shè)備，配置成trunk 模式的端口通常用來(lái)連接網(wǎng)絡(luò)設(shè)備。access 模式下端口只能劃分給某一個(gè) VLAN，而trunk 模式則是為了允許多個(gè) VLAN通過(guò)而設(shè)計(jì)的，思科默認(rèn)容許所有VLAN。

2.2 何時(shí)添加VLAN 標(biāo)簽

我們通過(guò)交換機(jī)1 的VLAN10 的PC0（192.168.1.10）PING 同一交換機(jī)1 的VLAN10 的PC4（192.168.1.30），可以PING 通，但是發(fā)現(xiàn)數(shù)據(jù)包在交換機(jī)中并沒(méi)有被封裝為802.1Q，如圖5 所示。

圖5 PC0 PING PC4 的數(shù)據(jù)在交換機(jī)0 中沒(méi)有變化

為什么同一個(gè)VLAN 之間的PC 是可以通信，但是數(shù)據(jù)包卻有的被封裝為802.1Q，有的卻沒(méi)有？

是因?yàn)閍ccess 端口和trunk 端口對(duì)報(bào)文不同的處理方式。

（1）access 端口

接收?qǐng)?bào)文：對(duì)不帶VLAN 標(biāo)簽的報(bào)文，接收該報(bào)文。對(duì)帶VLAN標(biāo)簽的報(bào)文，當(dāng)VLAN 標(biāo)簽與端口VLAN 標(biāo)簽相同時(shí)，接收該報(bào)文；否則，丟棄該報(bào)文。

發(fā)送報(bào)文：發(fā)送無(wú)VLAN 標(biāo)簽的報(bào)文。

因?yàn)镻C0 和PC4 都是在同一個(gè)交換機(jī)的access 口，PC0 發(fā)出的數(shù)據(jù)是不帶VLAN 標(biāo)簽的，而PC0 和PC4 所處的交換機(jī)端口屬于同樣的VLAN ID，所以可以直接轉(zhuǎn)發(fā)。

（2）trunk 端口

接收?qǐng)?bào)文：對(duì)不帶VLAN 標(biāo)簽的報(bào)文，打上本征 VLAN ID。對(duì)帶VLAN 標(biāo)簽的報(bào)文，當(dāng)VLAN ID 在接口允許通過(guò)的VLAN ID列表里時(shí)，接收該報(bào)文。

發(fā)送報(bào)文：當(dāng)VLAN ID 與本征VLAN ID 相同，且是該接口允許通過(guò)的VLAN ID 時(shí)，去掉VLAN 標(biāo)簽并發(fā)送該報(bào)文；當(dāng)VLAN ID與本征VLAN ID 不同，且是該接口允許通過(guò)的VLAN ID 時(shí)，保持原有VLAN 標(biāo)簽，發(fā)送該報(bào)文。

因?yàn)镻C0 和PC2 之間需要通過(guò)trunk 鏈路，所以數(shù)據(jù)被打上PC0所接入的交換機(jī)端口的VLAN ID（VLAN 10），封裝為802.1Q 數(shù)據(jù)幀，由交換機(jī)0 通過(guò)trunk 鏈路傳輸?shù)浇粨Q機(jī)1。

2.3 VLAN 數(shù)據(jù)在交換機(jī)內(nèi)部是否攜帶標(biāo)簽

很多書(shū)上解釋?zhuān)簽榱颂岣咛幚硇?，交換機(jī)內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN 標(biāo)簽，已統(tǒng)一方式處理。當(dāng)一個(gè)數(shù)據(jù)進(jìn)入交換機(jī)接口時(shí)，如果沒(méi)有帶VLAN 標(biāo)簽，該數(shù)據(jù)幀就會(huì)被標(biāo)記上默認(rèn)VLAN。

作者對(duì)這樣的理解不認(rèn)同，因?yàn)槿绻@樣做的話(huà)，多此一舉。我們來(lái)看剛才PC0 與PC4 通信，同屬一臺(tái)交換機(jī)，一個(gè)VLAN，他們之間通信經(jīng)過(guò)交換機(jī)如果需要打標(biāo)簽的話(huà)，那豈不是加重交換機(jī)的計(jì)算負(fù)載嗎？所以作者認(rèn)為，像這樣的兩個(gè)主機(jī)在相互通信的時(shí)候，僅僅是查看CAM 表，而不需要執(zhí)行打標(biāo)簽和剝離標(biāo)簽的動(dòng)作。

3 本征VLAN

本征VLAN，本征 VLAN 常出現(xiàn)在trunk 類(lèi)型端口的配置中，也稱(chēng)為Native VLAN。下面我們搭建一個(gè)網(wǎng)絡(luò)拓?fù)洌鐖D6，來(lái)理解本征VLAN。

圖6 PC0 PING PC3 的數(shù)據(jù)包

PC0（192.168.1.10）屬于VLAN10，PC0（192.168.1.20）屬于VLAN10，PC2 和PC3 沒(méi)有加入任何VLAN，也就屬于默認(rèn)VLAN1。交換機(jī)之間使用Trunk 鏈路。這時(shí)，PC2 和PC0 不能通信，這很容易理解，因?yàn)樗鼈兎謱賄LAN10 和VLAN1。

但是當(dāng)PC0 PING PC1，可以通信，ICMP 包在trunk 鏈路上被封裝為802.1Q。PC2 PING PC3，可以通信，但I(xiàn)CMP 包在trunk鏈路上沒(méi)有被封裝為802.1Q。

這就是本征VLAN 的作用，Native VLAN（本征VLAN）和其他VLAN 的另外一個(gè)區(qū)別在于：非Native VLAN 在trunk 中傳輸數(shù)據(jù)時(shí)要被添加VLAN 標(biāo)記的（如dot1q 或者isl），但是native VLAN 在trunk中傳輸數(shù)據(jù)時(shí)是不進(jìn)行標(biāo)記的。當(dāng)前的本征VLAN 是缺省VLAN，也就是VLAN1，所以屬于VLAN1 的數(shù)據(jù)在通過(guò)trunk 鏈路，是不帶VLAN 標(biāo)簽的。

但是我們把交換機(jī)的trunk 鏈路的本征VLAN 改為VLAN 10：

Switch（config）#int gigabitEthernet 0/1

Switch（config-if）#switchport trunk native VLAN 10

在這里注意，兩個(gè)交換機(jī)都要配置本征VLAN，而且要一致。

這時(shí)候，PC0 PING PC1，發(fā)現(xiàn)ICMP 包在trunk 鏈路上沒(méi)有被封裝為802.1Q，如圖7 所示。這是因?yàn)楸菊鱒LAN 已經(jīng)改為PC0所處的VLAN10 了。

圖7 PC0 PING PC1 的數(shù)據(jù)包

但是，PC2 PING PC3，發(fā)現(xiàn)ICMP 包在trunk 鏈路上被封裝為802.1Q，其中攜帶的VLANID 是1，正是PC2 和PC3 所處的VLAN1，如圖8 所示。

圖8 PC2 PING PC3 的數(shù)據(jù)包

本征VLAN，可以理解為是不打標(biāo)簽的VLAN，對(duì)于在局域網(wǎng)中數(shù)據(jù)報(bào)文量大的VLAN，在經(jīng)過(guò)交換設(shè)備老是打標(biāo)簽tag，然后再去標(biāo)簽，很浪費(fèi)計(jì)算資源，指定這種VLAN 在通過(guò)trunk 鏈路時(shí)不加標(biāo)簽。另外如果幀在進(jìn)入trunk 時(shí)是沒(méi)有標(biāo)記的，那么trunk 就會(huì)給他打上native VLAN 的標(biāo)記，該幀在trunk 中就以native VLAN 的身份傳輸，native VLAN 是用于trunk 口的，在access 口沒(méi)有native VLAN 的概念。

4 結(jié)束語(yǔ)

VLAN 的本質(zhì)就是數(shù)據(jù)包進(jìn)入VLAN 環(huán)境中，通過(guò)增加標(biāo)簽對(duì)數(shù)據(jù)幀進(jìn)行隔離。初學(xué)者對(duì)VLAN 的劃分比較容易掌握，但是對(duì)VLAN 的工作機(jī)制、相關(guān)協(xié)議并不是很清楚。作者以思科Packet Tracer 為實(shí)驗(yàn)平臺(tái)，通過(guò)抓取協(xié)議包來(lái)分析VLAN 的工作機(jī)制，分析了數(shù)據(jù)在傳輸中如何表明所屬VLAN，如何添加VLAN 標(biāo)簽以及什么是本征VLAN，以提供對(duì)VLAN 技術(shù)更清晰的認(rèn)識(shí)。