作者：美國福祿克網(wǎng)絡(luò)公司

    什么是（虛擬局域網(wǎng)）VLAN？

    VLAN是一種用邏輯的定義方法，把兩個或更多的連在交換網(wǎng)絡(luò)上的終端規(guī)劃在一起。

    這種邏輯定義方法可以延伸到多個交換機。被規(guī)劃在一起的終端，可以通過幾種網(wǎng)絡(luò)設(shè)置來規(guī)劃。似乎任何一種網(wǎng)絡(luò)技術(shù)一樣，了解在您的網(wǎng)絡(luò)上存在的VLAN的特性，是有效地治理網(wǎng)絡(luò)一個非常重要的一節(jié)。這可令您更精確的設(shè)定VLAN并在事故發(fā)生時減少故障診斷的時間。

    為什么要用VLAN呢?

    采用VLAN的主要原因有幾個：如控制廣播域的范圍，網(wǎng)絡(luò)安全，第三層地址的治理，和網(wǎng)絡(luò)資源的集中治理。

    控制廣播域的范圍

    當一個廣播域內(nèi)的設(shè)備增加時，在廣播域內(nèi)設(shè)備的廣播頻率便會相對增加。廣播率的提高，對設(shè)備的效率會有很大的影響，因為每一個設(shè)備都必須中斷其CPU正在處理的業(yè)務(wù)，來處理收到的廣播包，以決定是否需要對包內(nèi)的數(shù)據(jù)作進一步處理。這種中斷降低了CPU處理正常業(yè)務(wù)的效率，增長了完成這些業(yè)務(wù)的時間。

    VLAN一個非常重要的好處是在一個VLAN內(nèi)的廣播包不會跑到別的VLAN上去。通過限制一個VLAN 上的設(shè)備數(shù)目，在一個VLAN 上的廣播率便可受到控制。一個正常的廣播率應(yīng)該平均每秒不超過30 個廣播包。雖然還沒有正式的文檔宣稱，但通過現(xiàn)場性能監(jiān)測，建議廣播不應(yīng)該超出30 個/秒。

    網(wǎng)絡(luò)安全

    有很多時候，網(wǎng)管人員需要限制對本地網(wǎng)絡(luò)中一個或多個非凡設(shè)備的接入。假如所有的設(shè)備都在同一個廣播域內(nèi)，便很難執(zhí)行這種限制。通過建立多個廣播域，可以通過地址過濾和建立連接認可地址表來實現(xiàn)該限制。

    數(shù)據(jù)包要跨越一個VLAN必須通過一個3層路由設(shè)備。這種路由設(shè)備讓網(wǎng)管人員可以定義設(shè)備間的接入。這種接入控制功能的使用，可以控制和監(jiān)視對敏感資源設(shè)備的接入。

    第3層地址治理

    一個很常見的設(shè)計，是把同類型的設(shè)備，規(guī)劃在同一個ip子網(wǎng)。例如把打印機安排在同一個IP子網(wǎng)上，屬于會計部的工作站和服務(wù)器卻在另一個子網(wǎng)。在邏輯上這樣似乎很合理，但在一個大型企業(yè)網(wǎng)絡(luò)上，這種構(gòu)想沒有VLAN是無法實現(xiàn)的。

    網(wǎng)絡(luò)資源的集中治理

    假定我們把所有的打印機都規(guī)劃在一個子網(wǎng)上，而每一個打印機都必須在同一個廣播域里。這樣等于需要在每一個樓層上，分別安裝交換機。這些交換機都需要光纜和銅纜的連接，而這些打印機子網(wǎng)都需要連接到自己的專用路由器端口上。

    利用VLAN，可以讓打印機和網(wǎng)絡(luò)中的其他設(shè)備連接到同一個交換機，分享同一條互聯(lián)的電纜或光纖鏈路、同一個路由器端口。

    VLAN的挑戰(zhàn)

    采用VLAN的一個最大挑戰(zhàn)就是文檔備案。當您把一個設(shè)備連接到交換機時，沒有一個好辦法知道設(shè)備所連的交換機端口究竟是被設(shè)定到哪一個VLAN，或是否被設(shè)定成VLAN骨干（Trunk）端口。在大多數(shù)的情況下，確定端口的VLAN設(shè)置只可以通過Telnet 登錄到交換機的控機臺，這種過程需要用戶口令并對交換機的設(shè)置治理指令有比較深刻的了解。

    當您對網(wǎng)絡(luò)作擴容、移動或改變時，以上的挑戰(zhàn)便更加明顯。例如在一個企業(yè)里，安裝交換機時一般的策略是把頭12個端口設(shè)成VLAN23，但是實際上，網(wǎng)管人員可能是因為后來端口不足或是因為企業(yè)的政策推行不完善而把設(shè)定更改。無論如何，當一個設(shè)備連接到交換器的頭12個端口時，無法保證他會在VLAN23這個VLAN上。

    通過VLAN透視來解決

    VLAN透視選件是一個附加在OptiView集成式網(wǎng)絡(luò)分析儀上的選件。這個選件可以幫助網(wǎng)管人員應(yīng)對對交換機的VLAN設(shè)定作文檔備案的挑戰(zhàn)。

    VLAN透視選件通過SNMP來詢問交換機的每一個端口的VLAN 設(shè)置。這些訊息可以直接顯示在OptiView 集成式網(wǎng)絡(luò)分析儀的顯示屏上或通過遙控界面來觀看。交換機支持的每一個VLAN 號都會列在顯示屏的左邊，在右邊顯示出對應(yīng)的每一個VLAN 號的交換機端口。

    除了顯示VLAN和端口的相關(guān)性，VLAN透視選件還會顯示每個端口的VLAN配置。這對確定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常有用的。對骨干端口，VLAN 協(xié)議標記那些顯示的幀。這對解決兩臺交換機通過VLAN 骨干連接產(chǎn)生的連通問題是非常有幫助的。

    顯示VLAN配置信息的能力，不僅僅對分析儀所在廣播域的VLAN有效，只要是綜合分析儀通過IP可達的任何交換機都有效。這表明VLAN 透視可以顯示綜合分析儀經(jīng)過很多路由器跳數(shù)以后達到的交換機VLAN配置信息。除了可以顯示VLAN 配置，VLAN 透視可以生成基于每一個交換機的Html（瀏覽器格式）報告。該報告描敘交換機的現(xiàn)有VALN 和每個VLAN 的包含的交換機端口。除了顯示信息，還可以生成遠端IP 子網(wǎng)的交換機報告。

    最初的配置

    1年后的配置

    VLAN的其中一個優(yōu)點是交換機端口很輕易便可以從一個VLAN改變到另一個VLAN。由于改變太輕易，大部分的改變都沒有馬上記錄下來。這也是對維護VLAN網(wǎng)絡(luò)、做文檔備案的最大挑戰(zhàn)。很多企業(yè)都需要一個簡單的方法來找出當前自己VLAN 的設(shè)定情況。

    VLAN最佳實踐

    擁有一個健康的VLAN不能依靠僥幸。需要在腦海中有最優(yōu)化性能的目標，仔細地設(shè)計和維護。假如在VLAN設(shè)計的時候就不注重，結(jié)果就是網(wǎng)絡(luò)會非常復(fù)雜，在故障查找和維護時都會非常困難。

    確定使用VLAN的原因

    使用VLAN的4個可能原因在文檔的開始已經(jīng)大概做了描述：控制廣播域的范圍、網(wǎng)絡(luò)安全、第3層地址治理、網(wǎng)絡(luò)資源集中治理。當設(shè)計一個VLAN 的時候，這些原因都需要仔細地研究。舉例來說，假如在您的環(huán)境中，所有的用戶都需要接入所有服務(wù)器和網(wǎng)絡(luò)設(shè)備，安全性就不再是應(yīng)用VLAN 的原因。

    然而，假如您有語音在IP上傳送（VoIP）的應(yīng)用，語音在一個VLAN上傳送，數(shù)據(jù)在另一個VLAN傳送，就是應(yīng)用VLAN 的一個很好的原因。通過分離這兩種類型的業(yè)務(wù)，對語音流量提供服務(wù)質(zhì)量保證，減少了抖動和丟包。

    使用VLAN減少路由跳數(shù)

    為了把幀從一個VLAN傳遞到另一個，必須用一個3層設(shè)備進行路由。這個設(shè)備可以是一個傳統(tǒng)的路由器，或者是一個3層交換機。從發(fā)送者到接收者，路由器每增加一跳都會增加幀的延遲時間，這有可能造成一個性能瓶頸。

    設(shè)計VLAN網(wǎng)絡(luò)的目的應(yīng)該是把某個設(shè)備所需要的所有資源放到與該設(shè)備相同的VLAN。使用VLAN答應(yīng)在保證物理層上的硬件集中的同時、保證服務(wù)器邏輯上更靠近用戶。這答應(yīng)客戶設(shè)備直接通過交換網(wǎng)絡(luò)接入資源，而不需要通過路由器。在這種方式下，一個單獨的VLAN可以出現(xiàn)在一個校園網(wǎng)的多個交換機上，計算機室的一個服務(wù)器可以和相隔幾個建筑物遠的客戶服務(wù)器是同一個VLAN。一個通常的設(shè)計是把所有服務(wù)器放在同一個VLAN。不幸的是，這要求所有的客戶至少要經(jīng)過一個路由器才能接入這些服務(wù)器。在把IP 地址治理變的更輕易的同時，引入了額外的延遲和潛在的性能瓶頸。

    保持最小的VLAN數(shù)目

    有一個創(chuàng)建過多的不需要的VLAN的傾向。當交換機本身可以支持上千個VLAN的時候，每增加一個VLAN就會給路由器和網(wǎng)絡(luò)其他設(shè)備帶來額外的開銷。

    這方面的一個例子是有一個42層大樓的網(wǎng)絡(luò)。除了用于治理的VLAN和服務(wù)器中心的VLAN，每層都有一個自己的VLAN。該網(wǎng)絡(luò)運行IP和IPX 協(xié)議。總共有超過2000 臺IPX 設(shè)備在整個本地網(wǎng)絡(luò)，包括打印機、存儲器、時鐘服務(wù)器。

    每60秒，路由器會對每個VLAN發(fā)出服務(wù)廣告協(xié)議（SAP）包。每個包包含7種服務(wù)。這導(dǎo)致每60 秒，每個廣播域內(nèi)發(fā)出286 個SAP 包。由于總共有46 個VLAN，路由器每分鐘不得不發(fā)出超過13,000 個SAP 包。人們發(fā)現(xiàn)當路由器每分鐘發(fā)出的幀超過2000 的時候，已經(jīng)會給CPU 帶來問題。當交換機可以支持46 個VLAN的時候，我們發(fā)現(xiàn)路由器支持不了這么多VLAN。

    VLAN類型

    把一個設(shè)備分配到一個VLAN有3鐘通常的方法：

    1)基于端口的VLAN

    2)基于協(xié)議的VLAN

    3)基于MAC的VLAN

    基于端口的VLAN

    基于端口的VLAN，一個交換機端口可以手工地配置到某個指定的VLAN。任何連接到這個端口的設(shè)備就和該VLAN中的所有其他的交換端口處于同一個廣播域。

    基于端口的VLAN的挑戰(zhàn)是每個VLAN中有哪些端口的文檔備案。VLAN的成員信息并沒有顯示在交換機端口的外面。確定VLAN 成員不能夠僅僅通過查看交換機物理端口。只有通過查看配置信息采可以確定成員。

    基于協(xié)議的VLAN

    基于協(xié)議的VLAN，是通過區(qū)分承載數(shù)據(jù)所用的3層協(xié)議來確定VLAN的成員。然而這需要工作在一個多類型協(xié)議的環(huán)境下，在一個主要以IP為基礎(chǔ)網(wǎng)絡(luò)，這種方法不是非凡實用。

    基于MAC的VLAN

    基于端口的VLAN的一個問題是，當一個設(shè)備從交換機某個端口移走后，該交換機端口又接入了一個新的設(shè)備，新設(shè)備會進入原來的那個VLAN。在前面打印機VLAN的例子里，假如一臺打印機從該端口移走了，該端口又接入了一臺財務(wù)服務(wù)器。財務(wù)服務(wù)器就和打印機服務(wù)器進入同一個VLAN了。這將會限制對財務(wù)服務(wù)器的接入，不得不重新分配網(wǎng)絡(luò)資源。

    基于MAC的VLAN可以解決上面的這個問題，VLAN的成員是基于設(shè)備的MAC 地址，而不是交換機的物理端口。假如一個設(shè)備從交換機的一個端口移到另外一個，該設(shè)備屬于哪一個VLAN，還是由設(shè)備來決定的。不幸的是，用MAC 地址來確定VLAN 耗費時間，而且現(xiàn)在使用的很少。

    VLAN標簽

    VLAN標簽用來指示VLAN的成員，它封裝在能夠穿越局域網(wǎng)的幀里。這些標簽在數(shù)據(jù)包進入VLAN的某一個交換機端口的時候被加上，在從VLAN 的另一個端口出去的時候被去除。根據(jù)VLAN 的端口類型會決定是給幀加入還是去除標簽。VLAN 中的兩類接口類型是指接入端口和骨干端口。

    接入端口

    接入端口用在幀接入或者離開VLAN時。當接入端口收到一個幀的時候，幀并沒有包含一個VLAN標簽。一旦幀進入接入端口，會給幀加入VLAN標簽。

    當幀在交換機里面的時候，附著進入接入端口時被附上的VLAN標簽。當幀通過目的接入端口離開交換機的時候，VLAN標簽就被去除了。傳輸設(shè)備和接收設(shè)備并不知道收到的幀曾經(jīng)被加過VLAN標簽。

    骨干端口

    網(wǎng)絡(luò)中包含多于一個交換機的時候，必須把VLAN標簽的幀從一個交換機傳到另一個交換機。骨干端口和接入端口的區(qū)別是骨干端口在傳出幀之前，不會去除VLAN的標簽。保留了VLAN標簽，接收交換機就能知道傳輸幀屬于哪一個VLAN。幀就可以傳送到接收交換機的合適端口。

    VLAN標簽技術(shù)

    每一個VLAN標記幀包含指明自身所屬VLAN的字段。有兩種種主要的VLAN標簽格式，思科公司的Inter-Swith Link（ISL）格式和標準的802.1Q 格式。

    思科ISL

    Inter-SwithLink（ISL）格式是思科私有VLAN標簽格式。在使用的時候，VLAN標簽在每個幀的頭部增加26 字節(jié)信息，在幀尾部附加4 字節(jié)CRC。標簽的格式如下：

    基于802.1Q標準的標簽

    ISL是思科公司的私有格式，而802.1Q是IEEE的標準格式。802.1Q 標準答應(yīng)VLAN 標記幀可以在不同廠家的交換機之間傳遞。802.1Q 標簽比ISL 標簽包含更少的域，是插入幀而不是放入幀頭。

    維護VLAN

    一個網(wǎng)絡(luò)使用VLAN后一個最大的挑戰(zhàn)就是對穿過多個交換機的VLAN的配置維護。沒有一個集中的方法配置和維護VLAN信息，網(wǎng)絡(luò)治理員必須對每一個交換機進行獨立的VLAN 配置。思科公司開發(fā)了一種VLANTrunk 協(xié)議來幫助克服這些缺點。

    VTP——VLANTrunk協(xié)議

    VLANTruank協(xié)議答應(yīng)在一個單獨的設(shè)備（VTP服務(wù)器）上配置VLAN，并把配置信息通過交換網(wǎng)絡(luò)傳遞出去。這減少了治理VLAN 需要的總時間。

    在一個VTP環(huán)境里，一臺交換機可以是以下3種不同的角色之一。可以是一臺VTP服務(wù)器、一臺VTP客戶機、或者工作在透明模式。角色決定了交換機在VLAN 網(wǎng)絡(luò)中被如何配置。

    VLANTrunk協(xié)議有支持多個VTP域的能力。每個VTP 域的客戶交換機從該域的VTP 服務(wù)器接收自身的配置信息。在同一個本地網(wǎng)絡(luò)可以有多個VTP 域。

    VTP服務(wù)器

    VTP服務(wù)器是每個VTP域的根本。服務(wù)器是VTP域內(nèi)唯一的可以增加、刪除、重命名VLAN 的交換機。當一臺未經(jīng)配置的思科交換機第一次上電開機的時候，它的默認模式是服務(wù)器模式。我們必須把它該成客戶機或者透明模式。

    VTP服務(wù)器周期性地廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號。這個修改號是VTP 域的一部分，它確保VTP 域內(nèi)的所有交換機有現(xiàn)行的、正確的VLAN 配置信息。

    當VLAN在VTP服務(wù)器上被創(chuàng)建的時候，和其他VLAN配置信息一起存儲在服務(wù)器的NVRAM（存儲單元）。當交換機重啟的時候，配置信息還是被保留。

    VTP客戶模式

    VTP客戶交換機從VTP服務(wù)器接收所有客戶交換機的配置信息。客戶交換機不能刪除、添加、重命名VLAN。當客戶交換機加入一個新的VLAN，VLAN必須被添加到VTP 服務(wù)器上面去。這樣新的VLAN 才能傳遞到所有的客戶交換機。當新的VLAN 增加后，客戶交換機上的端口會關(guān)聯(lián)到新的VLAN。

    類似VTP服務(wù)器，客戶交換機在NVRAM（存儲單元）存儲VLAN配置。然而，不像VTP服務(wù)器，當客戶交換機重啟的時候，所有的VLAN 配置信息丟失了。交換機啟動完成后，需要發(fā)送一條VTP 請求消息給VTP服務(wù)器，來獲取現(xiàn)行的VLAN 配置。

    VTP透明模式

    VTP透明交換機和VTP客戶交換機不同，VLAN可以在這些交換機上手工配置。假如配置為VTP 域的一部分，他們可以從VTP 服務(wù)器接收VLAN 配置信息。然而，他們不會通知VTP 域本地配置的VLAN。配置成透明模式的交換機還是會收到VTP 配置幀并傳遞這些幀到所有的骨干端口。這答應(yīng)VTP 客戶交換機可以連接到一個VTP 透明交換機。客戶交換機透過透明交換機還是可以和VTP 服務(wù)器交換VLAN 配置信息。

    VTP數(shù)據(jù)幀

    用來配置和維持VTP域的數(shù)據(jù)幀可以封裝成802.1Q或者ISL幀格式。VTP使用一個保留的廣播地址做為所有幀的目的地。這個廣播地址0x01-00-00-0C-CC-CC-CC伴隨著一個子網(wǎng)接入?yún)f(xié)議（SNAP）的邏輯鏈路控制（LLC）碼，和一個在SNAP頭的2003類型碼。每個數(shù)據(jù)幀包含一個VTP頭和VTP消息類型。（注重在下面的描述中，只是顯示了VTP消息格式，而不是整個以太網(wǎng)幀的格式。）

    有3種類型的VTP消息：

    1）summary（摘要）

    2）Subset（子集）

    3）Request（請求）

    Summary（摘要）幀

    摘要幀可以是VTP服務(wù)器或者VTP客戶機發(fā)出的，每5分鐘一次或者當VTP域發(fā)生改變后立即發(fā)出。摘要廣播包括VTP域的基本信息和配置的修改情況。摘要幀可能跟隨著許多的具體的描述幀——子集（Subset）幀。

    摘要幀格式如下所示。

    子集幀（Subset）

    子集幀用來提供VTP域內(nèi)每個VLAN的具體信息。子集幀可以是對VTP請求幀的響應(yīng)，或者當配置改變時發(fā)出（和摘要幀一起發(fā)出）。

    請求幀（Request）

    當以下的情況之一發(fā)生時，VTP客戶機發(fā)送請求幀（Request）到VTP服務(wù)器：

    VTP域名字改變

    VTP客戶交換機收到一個配置修改號碼更高的摘要廣播消息

    丟失了一條子集幀

    交換機重啟

    VTP服務(wù)器將用一條摘要幀和能夠滿足請求的若干條子集幀的進行響應(yīng)。

    結(jié)論

    由于VLAN技術(shù)的使用非常普遍，設(shè)計和維護網(wǎng)絡(luò)時必須考慮VLAN的存在。我們豐富的經(jīng)驗和工具將幫助您搭建和保持VLAN網(wǎng)絡(luò)的健康。

    網(wǎng)絡(luò)工程師和經(jīng)理首先需要理解VLAN在網(wǎng)絡(luò)中是如何工作的，學會好的文檔習慣來有效地優(yōu)化VLAN性能和解決故障。采用類似OptiView集成網(wǎng)絡(luò)分析儀Vlan透視性選件這樣專門為收集、顯示VLAN 具體信息而設(shè)計的先進工具，才能夠大大地減少設(shè)備開銷和故障查找解決時間。VLAN 透視選件通過提供可以支持下一步行動的準確信息，助網(wǎng)絡(luò)經(jīng)理一臂之力，把那些原來需要花費大量的時間和資源才能解決的難題，快速定位出來并排除。