Appearance
VLAN虚拟局域网
考情分析
VLAN 在 408 中属于中低频考点,偶尔以选择题形式出现。重点考查 VLAN 的作用(隔离广播域)、802.1Q 标签格式以及 Trunk 链路的概念。
考频:★★☆
为什么需要 VLAN
前面提到,交换机不能隔离广播域。一个交换机(或多个交换机互连)构成的二层网络中,任何一个站点发送的广播帧都会传遍整个网络。
当网络规模增大后,广播帧的数量也会增大,浪费带宽、增加安全风险。传统方案是用路由器来隔离广播域,但路由器端口少、成本高。
VLAN(Virtual Local Area Network,虚拟局域网) 的思路:在一台交换机上逻辑划分出多个独立的广播域,不需要额外的路由器。同一 VLAN 内的站点可以互相通信,不同 VLAN 之间的广播帧互不干扰。
VLAN 的实现方式
基于端口划分(最常用)
把交换机的端口分成若干组,每组构成一个 VLAN。
交换机 24 口:
VLAN 10: 端口 1-8 (财务部)
VLAN 20: 端口 9-16 (技术部)
VLAN 30: 端口 17-24 (市场部)端口 1 发出的广播帧只会转发到端口 2-8,不会到达端口 9-24。
优点:配置简单,应用最广泛。 缺点:设备换端口后需要重新配置 VLAN。
基于 MAC 地址划分
根据设备的 MAC 地址来分配 VLAN。无论设备连在交换机的哪个端口,都属于预设的 VLAN。
优点:设备移动后不需要重新配置。 缺点:需要逐一登记 MAC 地址,管理麻烦。
基于 IP 地址划分
根据设备的 IP 地址(网络层信息)来分配 VLAN。
优点:不依赖物理位置。 缺点:需要读取三层信息,效率较低。
408 考试中默认是基于端口划分。
IEEE 802.1Q 标签
当两台交换机之间需要传输多个 VLAN 的帧时,接收方交换机需要知道每个帧属于哪个 VLAN。IEEE 802.1Q 标准通过在以太网帧中插入一个 4 字节的 VLAN 标签来实现。
标签格式
802.1Q 标签插入在以太网帧的源 MAC 地址和类型字段之间:
| 字段 | 长度 | 说明 |
|---|---|---|
| TPID | 2 字节 | 标签协议标识,固定值 0x8100,表示这是一个 802.1Q 标记帧 |
| TCI | 2 字节 | 标签控制信息 |
TCI 的内部结构:
| 子字段 | 长度 | 说明 |
|---|---|---|
| Priority | 3 位 | 优先级(0~7),用于 QoS |
| CFI | 1 位 | 规范格式指示(以太网中通常为 0) |
| VID | 12 位 | VLAN 标识符(0~4095) |
VID 是最关键的字段:12 位意味着最多支持
标签的添加与移除
- 入交换机时: 如果帧来自普通端口(Access 端口),交换机根据端口所属 VLAN 给帧打上对应的 802.1Q 标签
- 出交换机时: 如果帧从 Access 端口发出,交换机移除标签(终端设备不感知 VLAN 标签)
- 交换机之间传输: 帧带着标签在 Trunk 链路上传输
端口类型
Access 端口
- 连接终端设备(PC、服务器等)
- 只属于一个 VLAN
- 收到帧时打标签,发出帧时去标签
- 终端设备不感知 VLAN 的存在
Trunk 端口(干道端口)
- 连接交换机之间
- 可以传输多个 VLAN 的帧
- 帧在 Trunk 链路上始终携带 802.1Q 标签
- 通过标签中的 VID 来区分帧属于哪个 VLAN
交换机A 交换机B
┌─────────┐ Trunk链路 ┌─────────┐
│ VLAN 10 │←─────────────→│ VLAN 10 │
│ VLAN 20 │ (带802.1Q标签) │ VLAN 20 │
└─────────┘ └─────────┘Trunk 链路允许多个 VLAN 的流量共享同一条物理链路,通过标签进行区分。
同一 VLAN vs 跨 VLAN 通信
同一 VLAN 内通信
同一 VLAN 内的站点之间可以直接通过交换机通信(二层转发),不需要路由器。即使这些站点连在不同的物理交换机上,只要通过 Trunk 链路互连,也能互通。
跨 VLAN 通信
不同 VLAN 之间的帧被交换机隔离,默认不能互通。要实现跨 VLAN 通信,必须经过三层设备(路由器或三层交换机)。
实现方式:
1. 路由器单臂路由(Router on a Stick)
路由器的一个物理接口通过 Trunk 链路连接交换机,配置多个子接口,每个子接口对应一个 VLAN。
2. 三层交换机
三层交换机同时具备二层交换和三层路由功能,在交换机内部完成 VLAN 间的路由转发,效率更高。
易错点
1. VLAN 隔离的是广播域,不是冲突域
交换机本身就能隔离冲突域(每个端口独立冲突域)。VLAN 的作用是在此基础上进一步隔离广播域。
2. 跨 VLAN 通信一定要三层设备
同一 VLAN 不同交换机 → 可以通过 Trunk 链路二层互通。 不同 VLAN → 必须经过路由器或三层交换机,纯二层交换机做不到。
3. 802.1Q 标签是 4 字节,不是 2 字节
TPID(2字节)+ TCI(2字节)= 4 字节。有些同学只记住了 VID 的 12 位,忽略了标签的完整结构。
4. 带 VLAN 标签的帧长会变化
普通以太网帧最大 1518 字节,加上 4 字节 802.1Q 标签后变为 1522 字节。这不违反以太网标准,802.1Q 帧的最大长度就是 1522 字节。
5. VID 不等于端口号
VID 是 VLAN 的逻辑编号,和交换机的物理端口号没有直接对应关系。一个 VLAN 可以包含多个端口,一个端口(如果是 Trunk)也可以传输多个 VLAN 的帧。
高频考点清单
- VLAN 的目的:在二层交换机上隔离广播域
- 三种 VLAN 划分方式(基于端口最常用)
- 802.1Q 标签格式:4 字节(TPID 2B + TCI 2B),VID 12 位
- Access 端口和 Trunk 端口的区别
- 同一 VLAN 二层互通,跨 VLAN 需要三层路由
- VLAN 数量上限:4094 个(VID 1~4094)