《计算机网络》深入学：虚拟局域网（VLAN）技术与应用

CS 实验室推出了系列文章《计算机网络》深入学，有兴趣阅读完整内容的朋友请点击专栏。

1. 引言

在传统的局域网（LAN）架构中，物理位置决定了网络结构。连接在同一个交换机或集线器上的所有设备属于同一个广播域（Broadcast Domain）。随着企业网络规模的扩大，这种扁平化的网络结构暴露出了诸多问题：广播风暴频发导致带宽浪费、不同部门间缺乏数据隔离带来的安全隐患，以及由于人员变动导致的物理布线调整困难。

虚拟局域网（Virtual Local Area Network，简称 VLAN）技术的出现，彻底打破了物理位置对网络结构的限制。它允许网络管理员在逻辑上划分网络，而非物理上。本章将深入探讨 VLAN 的起源、核心原理、IEEE 802.1Q 标准以及在现代网络中的演进。

2. VLAN 的发展简史

2.1 从共享介质到交换式网络

在以太网发展的早期（20世纪80年代），网络主要依靠集线器（Hub）互联，所有设备共享带宽并处于同一个冲突域。随着网桥和二层交换机的引入，冲突域被有效地分割到了每一个端口，但广播域的问题依然存在。

2.2 广播风暴的挑战

在二层交换网络中，当一台主机发送广播帧（如 ARP 请求）时，交换机会无条件地向所有其他端口转发。如果网络中有 500 台主机，一个广播包就会被复制 499 份。当网络规模达到一定程度，大量的广播流量会由"背景噪音"演变为"广播风暴"，严重消耗 CPU 资源和带宽。

2.3 VLAN 的诞生

为了解决这一问题，早期的网络设备厂商（如 20 世纪 90 年代的 Kalpana、SynOptics 以及后来的 Cisco）开始尝试在交换机内部通过软件配置将端口分组。1998年，IEEE 正式发布了 IEEE 802.1Q 标准，统一了不同厂商间 VLAN 的实现方式，标志着 VLAN 技术进入成熟期。

3. VLAN 的基本原理

VLAN 的核心思想是将物理连接与逻辑分组分离。无论设备连接在网络中的哪个物理位置，只要它们被划分到同一个 VLAN ID 下，它们就像是在同一个独立的物理局域网中通信一样。

3.1 逻辑隔离

在未配置 VLAN 的交换机上，所有端口默认属于 VLAN 1。配置 VLAN 后，交换机通过查找内部的 VLAN 成员表来决定转发范围。

图 3-1：物理局域网与虚拟局域网的对比

3.2 端口类型：Access 与 Trunk

这是理解 VLAN 最关键的概念。在交换机互联的环境中，链路被分为两类：

1. 接入链路（Access Link）：

   • 连接对象：普通终端设备（PC、打印机、服务器）。
   • 特点：链路上传输的是标准以太网帧（不带 VLAN 标签）。交换机在接收到数据时，根据端口配置打上标签；在发送给 PC 时，剥离标签。因为普通网卡无法识别带有 VLAN 标签的数据。

2. 干道链路（Trunk Link）：

   • 连接对象：交换机与交换机之间，或交换机与路由器/服务器之间。
   • 特点：一条物理线缆需要承载多个 VLAN 的数据。为了区分数据属于哪个 VLAN，必须在数据帧中添加特殊的标识（Tag）。

4. IEEE 802.1Q 协议标准

为了在 Trunk 链路上区分不同 VLAN 的数据，IEEE 制定了 802.1Q 标准（俗称 Dot1q）。它采用了一种"内部标记"机制。

4.1 帧格式的改变

802.1Q 并没有建立新的帧格式，而是在标准以太网帧的源 MAC 地址和类型/长度字段之间，"插入"了一个 4 字节的标签（Tag）。

图 4-1：IEEE 802.1Q 数据帧格式

4.2 Native VLAN（本征 VLAN）

在 802.1Q Trunk 链路中，有一个特殊的概念叫 Native VLAN。默认情况下，Trunk 链路允许不带标签的流量通过，并将其归类为 Native VLAN（通常默认为 VLAN 1）。这主要用于兼容不支持 VLAN 的老旧设备或控制流量。

5. VLAN 间路由（Inter-VLAN Routing）

VLAN 虽然实现了隔离，但现实中不同部门（VLAN）之间往往需要通信（例如，人事部需要访问位于服务器 VLAN 的邮件服务器）。由于 VLAN 隔离了二层广播，不同 VLAN 间的通信必须经过**第三层（网络层）**设备。

5.1 单臂路由（Router-on-a-stick）

早期方案。使用一台路由器，通过一个物理接口连接交换机的 Trunk 口。路由器在物理接口上创建多个逻辑"子接口"，每个子接口对应一个 VLAN 网关。

• 缺点：存在单点故障，带宽受限于单根物理链路，易成为瓶颈。

5.2 三层交换（Layer 3 Switching）

现代主流方案。三层交换机集成了路由功能。它在内部为每个 VLAN 创建虚拟接口（SVI - Switched Virtual Interface）。

• 原理：数据包从 VLAN A 进入，交换机剥离二层头，查找三层路由表，重新封装二层头，转发到 VLAN B。这一切都在硬件（ASIC芯片）中高速完成。

图 5-1：三层交换机实现 VLAN 间路由

6. 实际应用与划分方式

在工程实践中，VLAN 的划分方式不仅限于基于端口。

1. 基于端口（Port-based）：最常用。将交换机端口 1-5 划入 VLAN 10。配置简单，但用户更换位置需要重新配置端口。
2. 基于 MAC 地址 ：根据网卡的 MAC 地址决定其属于哪个 VLAN。
   • 优点：用户物理位置移动，VLAN 身份不变。
   • 缺点：需要预先收集大量 MAC 地址，管理成本高。
3. 基于协议：将 IP 协议划入 VLAN 10，IPX 协议划入 VLAN 20。现已少见。
4. 基于子网：根据 IP 子网段自动映射 VLAN。

典型应用场景：

• 企业办公网：按部门划分（研发、销售、财务），隔离敏感数据。
• 园区网：按业务划分（视频监控专用 VLAN、语音电话专用 Voice VLAN、访客 WiFi 专用 VLAN）。

7. 现代发展与局限性

随着云计算和大型数据中心的兴起，传统 VLAN 技术面临挑战：

1. 数量限制：12 位的 VLAN ID 只能支持 4094 个 VLAN。对于拥有数万租户的公有云来说远远不够。
2. 灵活性限制：虚拟机在不同物理服务器间迁移时，要求物理交换机配置保持一致，管理复杂。

7.1 VXLAN 的兴起

为了解决上述问题，VXLAN (Virtual Extensible LAN) 应运而生。它是一种网络虚拟化技术。

• 原理：MAC-in-UDP。将二层以太网帧封装在四层 UDP 包中传输。
• 优势：VLAN ID 扩展到了 24 位（VNI），支持 1600 万个逻辑网络；且可以在三层网络架构之上构建大二层网络，极大地适应了数据中心虚拟化需求。

8. 本章小结

VLAN 是现代局域网构建的基石。它通过 IEEE 802.1Q 标准，在逻辑上将广播域分割，实现了流量隔离、安全增强和网络管理的灵活性。理解 Access 与 Trunk 端口的区别，以及三层交换机在 VLAN 间路由中的作用，是掌握园区网技术的关键。随着网络技术的发展，虽然 VXLAN 等新技术在数据中心层面逐渐接棒，但在企业园区网和接入层，传统 VLAN 依然是不可替代的标准技术。