交换机之VLAN

一、基本原理

1.网络的安全性差。由于各个端口之间可以直接互访，降低了网络的安全性。

2.网络效率低。用户可能收到大量不需要的报文，例如不必要的广播报文，这些报文同时消耗网络带宽资源和客户主机CPU资源。

3.业务扩展能力差。网络设备平等的对待每台主机的报文，无法实现有差别的服务，例如无法优先转发用于网络管理的以太网帧。

二、VLAN技术目标

VLAN技术把用户划分成多个逻辑的网络（group），组内可以通信，组间不允许通信，二层转发的单播、组播、广播报文只能在组内转发。同时，VLAN技术可以很容易地实现组成员的添加或删除。即VLAN技术提供了一种管理手段，控制终端之间的互通。如上图，组1和组2的PC无法相互通信。

三、通过标签管理实现VLAN

为了实现转发控制，在待转发的以太网帧中添加VLAN标签，然后设定交换机端口对该帧和标签的处理方式，包括丢弃帧、转发帧、添加标签、移除标签。

转发帧时，检查以太网报文中携带的VLAN标签，是否为该端口允许通过的标签，判断出该以太网帧是否能够从端口转发出去。上图中，假设有一种方法，SWA将主机A发出的所有以太网帧都加上标签5，此后查询二层转发表，根据目的MAC地址将该帧转发到SWB连接的端口。由于在该端口配置了仅允许VLAN 1通过，主机A发的帧将被丢弃。

即支持VLAN技术的交换机，转发以太网帧时不再仅仅依据目的MAC地址，同时还要考虑该端口的VLAN配置情况，从而实现对二层转发的控制。

四、划分VLAN的方式

目前常用的是基于端口的划分：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN。如果收到的是untagged帧，则VLAN ID的取值为PVID。