维基百科 - VLAN

虚拟局域网（VLAN）是在数据链路层（OSI第2层）的计算机网络中被划分和隔离的任何广播域。[2] [3]在这种情况下，虚拟是指在局域网内通过附加逻辑重新创建和更改的物理对象。VLAN通过将标签应用于网络帧并在网络系统中处理这些标签来工作，从而创建网络流量的外观和功能，该网络流量在物理上位于单个网络上，但其作用就像在单独的网络之间划分一样。通过这种方式，VLAN可以保持网络应用程序的独立性，尽管它们连接到同一物理网络，并且不需要部署多组布线和网络设备。

VLAN允许网络管理员将主机分组在一起，即使这些主机没有直接连接到同一网络交换机。由于VLAN成员资格可以通过软件进行配置，这可以极大地简化网络设计和部署。如果没有VLAN，根据主机的资源对主机进行分组需要重新定位节点或重新连接数据链路。VLAN允许必须保持独立的设备共享物理网络的布线，但不能直接相互交互。这种有管理的共享带来了简单性、安全性、流量管理和经济性方面的好处。例如，VLAN可用于基于单个用户或用户组或其角色（例如，网络管理员），或基于流量特性（例如，防止低优先级流量影响网络的其余功能）来分离业务内的流量。许多互联网托管服务使用VLAN将客户的专用区域彼此分离，允许每个客户的服务器分组在单个网段中，无论单个服务器位于数据中心的何处。需要采取一些预防措施来防止流量从给定的VLAN“逃逸”，这种漏洞被称为VLAN跳变。

要将网络细分为VLAN，需要配置网络设备。更简单的设备可能只对每个物理端口进行分区（如果有的话），在这种情况下，每个VLAN都通过专用网络电缆运行。更复杂的设备可以通过VLAN标记来标记帧，从而可以使用单个互连（干线）来传输多个VLAN的数据。由于VLAN共享带宽，因此VLAN中继可以使用链路聚合、服务质量优先级或两者来高效地路由数据。

使用

VLAN解决了可扩展性、安全性和网络管理等问题。网络架构师设置VLAN以提供网络分段。VLAN之间的路由器过滤广播流量，增强网络安全性，执行地址摘要，并缓解网络拥塞。

在利用广播进行服务发现、地址分配和解析以及其他服务的网络中，随着网络上对等体的数量增加，广播的频率也增加。VLAN可以通过形成多个广播域来帮助管理广播流量。将大型网络拆分为较小的独立网段可以减少每个网络设备和网段必须承受的广播流量。交换机可能无法桥接VLAN之间的网络流量，因为这样做会违反VLAN广播域的完整性。

VLAN还可以帮助在单个物理基础设施上创建多个第三层网络。VLAN是数据链路层（OSI第2层）结构，类似于因特网协议（IP）子网，其是网络层（OSI层3）结构。在使用VLAN的环境中，VLAN和IP子网之间通常存在一对一的关系，尽管一个VLAN上可能有多个子网。

如果没有VLAN功能，用户将根据地理位置分配到网络，并受到物理拓扑和距离的限制。VLAN可以对网络进行逻辑分组，以将用户的网络位置与其物理位置解耦。通过使用VLAN，可以控制流量模式，并对员工或设备的搬迁做出快速反应。VLAN提供了适应网络需求变化的灵活性，并允许简化管理。3.

VLAN可用于将本地网络划分为几个不同的段，例如：[4]

• 生产
• 网络电话
• 网络管理
• 存储区域网络（SAN）
• 客人上网
• 非军事区

跨VLAN中继共享的公共基础设施可以以相对较低的成本提供具有极大灵活性的安全措施。服务质量方案可以针对实时（例如VoIP）或低延迟要求（例如SAN）优化干线链路上的流量。然而，VLAN作为一种安全解决方案应该非常小心地实施，因为除非小心实施，否则它们可能会被击败。5.

在云计算VLAN中，云中的IP地址和MAC地址是最终用户可以管理的资源。为了帮助缓解安全问题，将基于云的虚拟机放置在VLAN上可能比将其直接放置在互联网上更可取。6.

具有VLAN功能的网络技术包括：[需要引用]

• 异步传输模式（ATM）
• 光纤分布式数据接口（FDDI）
• 以太网
• HiperSockets
• InfiniBand
   

历史

在1981年至1984年成功地进行了以太网语音实验后，W.David Sincoskie加入了Bellcore，并开始解决扩大以太网的问题。在10Mbit/s的速度下，以太网比当时的大多数替代方案都快。然而，以太网是一个广播网络，没有很好的方法将多个以太网连接在一起。这将以太网的总带宽限制在10Mbit/s，节点之间的最大距离限制在几百英尺。

相比之下，尽管现有电话网络的单个连接速度限制在56kbit/s（不到以太网速度的百分之一），但该网络的总带宽估计为1Tbit/s[所需引用]（比以太网大100000倍）。

尽管可以使用IP路由将多个以太网连接在一起，但成本高昂且相对较慢。Sincoskie开始寻找每包处理次数较少的替代方案。在这个过程中，他独立地重新发明了透明桥接，这是现代以太网交换机中使用的技术。[7] 然而，使用交换机以容错方式连接多个以太网需要通过该网络的冗余路径，这反过来又需要生成树配置。这确保了从网络上的任何源节点到任何目的地只有一条活动路径。这会导致位于中心的交换机成为瓶颈，随着更多网络的互连，限制了可扩展性。

为了帮助缓解这个问题，Sincoskie通过在每个以太网帧上添加一个标签来发明VLAN。这些标签可以被认为是颜色，比如红色、绿色或蓝色。在这个方案中，每个交换机可以被分配来处理单一颜色的帧，而忽略其余的帧。网络可以用三个生成树互连，每个颜色一个生成树。通过发送不同帧颜色的混合，可以提高聚合带宽。辛科斯基称这是一座多树桥。他和Chase Cotton创建并完善了使该系统可行所需的算法。[8] 这种颜色现在在以太网帧中被称为IEEE 802.1Q报头或VLAN标签。虽然VLAN通常在现代以太网中使用，但它们并没有以本文首次设想的方式使用。【需要澄清】

1998年，在IEEE 802.1Q-1998标准的第一版中描述了以太网VLAN。[9] 这是用IEEE 802.1ad扩展的，以允许在提供商桥接服务中嵌套VLAN标签。该机制在IEEE 802.1ah-2008中得到了改进。

配置和设计注意事项

早期的网络设计者经常对物理局域网进行分段，目的是减少以太网冲突域的大小，从而提高性能。当以太网交换机使这成为一个非问题时（因为每个交换机端口都是一个冲突域），注意力转向了减少数据链路层广播域的大小。VLAN最初用于在一个物理介质上分离多个广播域。VLAN还可以用于限制对网络资源的访问，而不考虑网络的物理拓扑。[A]

VLAN在OSI模型的数据链路层进行操作。管理员通常将VLAN配置为直接映射到IP网络或子网，这看起来像是涉及网络层。通常，同一组织内的VLAN将被分配不同的非重叠网络地址范围。这不是VLAN的要求。使用相同重叠地址范围的独立VLAN没有问题（例如，两个VLAN各自使用专用网络192.168.0.0/16）。然而，如果不进行精细的IP重映射，就不可能在具有重叠地址的两个网络之间路由数据，因此，如果VLAN的目标是分割更大的整体组织网络，则必须在每个单独的VLAN中使用不重叠的地址。

未为VLAN配置的基本交换机禁用或永久启用了VLAN功能，默认VLAN包含设备上的所有端口作为成员。[3] 默认VLAN通常使用VLAN标识符1。每个连接到其端口之一的设备都可以向其他任何端口发送数据包。按VLAN组交换机的远程管理要求管理功能与一个或多个配置的VLAN相关联。

在VLAN的上下文中，术语干线表示承载多个VLAN的网络链路，这些VLAN通过插入到其分组中的标签（或标签）来识别。这样的中继线必须在支持VLAN的设备的标记端口之间运行，因此它们通常是交换机到交换机或交换机到路由器链路，而不是到主机的链路。（请注意，术语“中继”也用于Cisco所称的“通道”：链路聚合或端口中继）。路由器（第3层设备）充当通过不同VLAN的网络流量的骨干。只有当VLAN端口组要扩展到另一个设备时，才使用标记。由于两个不同交换机上的端口之间的通信通过所涉及的每个交换机的上行链路端口进行，因此包含这些端口的每个VLAN也必须包含所涉及的每一个交换机的上行端口，并且必须标记通过这些端口的流量。

交换机通常没有内置的方法来向在配线室工作的人指示VLAN到端口的关联。技术人员有必要对设备进行管理访问以查看其配置，或者将VLAN端口分配图表或图表保存在每个配线室中的交换机旁边。

协议和设计

目前最常用于支持VLAN的协议是IEEE 802.1Q。IEEE 802.1工作组定义了这种多路复用VLAN的方法，以努力提供多供应商VLAN支持。在引入802.1Q标准之前，存在一些专有协议，如Cisco交换机间链路（ISL）和3Com的虚拟局域网中继（VLT）。Cisco还通过在IEEE 802.10帧报头中携带VLAN信息来在FDDI上实现VLAN，这与IEEE 802.10标准的目的相反。

ISL和IEEE 802.1Q都执行显式标记——帧本身使用VLAN标识符进行标记。ISL使用不修改以太网帧的外部标记过程，而802.1Q使用帧内部字段进行标记，因此确实修改了基本的以太网帧结构。这种内部标记允许IEEE 802.1Q使用标准以太网硬件在接入链路和中继链路上工作。

IEEE 802.1Q

主要文章：IEEE 802.1Q
在IEEE 802.1Q下，给定以太网上的VLAN的最大数量为4094（由12位VID字段提供的4096个值减去范围两端的保留值，0和4095）。这不会对此类网络中的IP子网数量施加相同的限制，因为单个VLAN可以包含多个IP子网。IEEE 802.1ad通过增加对多个嵌套VLAN标签的支持来扩展所支持的VLAN的数量。IEEE 802.1aq（最短路径桥接）将VLAN限制扩展到1600万。这两种改进都已被纳入IEEE 802.1Q标准。

Cisco交换机间链路

主要文章：Cisco交换机间链接
交换机间链路（ISL）是一种Cisco专有协议，用于互连交换机，并在主干链路上的交换机之间传输流量时维护VLAN信息。提供ISL作为IEEE 802.1Q。ISL仅在某些Cisco设备上可用，并且已被弃用。[11]

Cisco VLAN中继协议

主要文章：VLAN集群协议
VLAN中继协议（VTP）是一种Cisco专有协议，用于在整个局域网上传播VLAN的定义。VTP可用于大多数Cisco Catalyst系列产品。其他制造商使用的可比较的IEEE标准是GARP VLAN注册协议（GVRP）或更新的多VLAN注册协议。

多VLAN注册协议

主要文章：多重注册协议
多重VLAN注册协议是多重注册协议的一种应用，允许在网络交换机上自动配置VLAN信息。具体而言，它提供了一种动态共享VLAN信息和配置所需VLAN的方法。

会员

VLAN成员资格可以静态地或动态地建立。

静态VLAN也称为基于端口的VLAN。静态VLAN分配是通过将端口分配给VLAN来创建的。当设备进入网络时，设备会自动采用端口的VLAN。如果用户更改端口并需要访问同一VLAN，则网络管理员必须手动为新连接分配端口到VLAN。

动态VLAN是使用软件或通过协议创建的。使用VLAN管理策略服务器（VMPS），管理员可以根据连接到交换机端口的设备的源MAC地址或用于登录该设备的用户名等信息，动态地将交换机端口分配给VLAN。当设备进入网络时，交换机会在数据库中查询设备所连接端口的VLAN成员身份。协议方法包括多重VLAN注册协议（MVRP）和有些过时的GARP VLAN注册协议。

基于协议的VLAN

在支持基于协议的VLAN的交换机中，可以基于其协议来处理业务。本质上，这根据流量的特定协议将流量从端口隔离或转发；任何其他协议的流量都不会在端口上转发。例如，这允许网络自动隔离IP和IPX流量。

VLAN交叉连接

VLAN交叉连接（CC或VLAN-XC）是一种用于创建交换VLAN的机制，VLAN CC使用IEEE 802.1ad帧，其中S标签用作MPLS中的标签。IEEE在IEEE 802.1ad-2005的第6.11部分中批准使用这种机制。分隔端口可以分离它们的流量，就像为每个组使用不同的交换机连接每个组一样。