冲突域与广播域
在理解VLAN之前,我们需要先建立两个关键概念:冲突域 和广播域。它们是衡量网络"好坏"的两把尺子,也是驱动数据链路层技术不断进化的核心矛盾。
冲突域
定义 :网络中任意两台设备同时发送数据就会产生冲突的区域。
特点:
- 共享同一物理介质的设备,处于同一个冲突域中
- 冲突域越大,冲突越频繁,网络效率越低
- 半双工通信模式下,冲突不可避免
比喻:一间大教室,所有人用同一个对讲机频道说话。只有一个人能说,其他人必须听着。人越多,抢话越频繁------整个教室就是一个冲突域。
关键问题:冲突域怎么缩小?
| 设备 | 冲突域变化 | 原因 |
|---|---|---|
| 集线器 | 扩大冲突域 | 只是把信号复制到所有端口,所有端口仍在同一个冲突域 |
| 交换机 | 分割冲突域 | 每个端口是独立冲突域,不会跨端口传播冲突信号 |
| 路由器 | 分割冲突域 | 不转发冲突信号,每个接口是独立冲突域 |
一句话 :交换机的出现,让冲突域缩小到每个端口------冲突问题被彻底解决。
广播域
定义 :网络中一个设备发送广播帧,所有能收到这个广播帧的设备的集合。
特点:
- 广播帧的目的MAC地址是全1(
FF:FF:FF:FF:FF:FF),会被泛洪到整个广播域 - 所有收到广播帧的设备都必须停下来处理它,即使这个广播和自己无关
- 广播域越大,广播帧的泛滥越严重,网络效率越低
比喻:一个公司的大开间办公室,有人在门口用喇叭喊"谁是财务部的李会计?"全公司所有人都必须停下工作,听听是不是找自己。喇叭声能传到的范围,就是广播域。
关键问题:广播域怎么缩小?
| 设备 | 广播域变化 | 原因 |
|---|---|---|
| 集线器 | 一个广播域 | 所有端口在同一广播域 |
| 交换机 | 仍然是一个广播域 | 交换机会把广播帧泛洪到所有端口 |
| 路由器 | 分割广播域 | 路由器不转发广播帧,广播被限制在一个网络内部 |
| VLAN | 逻辑上分割广播域 | 一个VLAN就是一个广播域,不同VLAN之间广播隔离 |
一句话 :交换机解决了冲突域,但没有解决广播域。VLAN的出现,就是要把广播域也缩小。
两个域的演进史
| 时代 | 核心设备 | 冲突域 | 广播域 | 主要矛盾 |
|---|---|---|---|---|
| 共享式以太网 | 集线器 | 整个网络 | 整个网络 | 冲突严重,效率低 |
| 交换式以太网 | 交换机 | 缩小到每个端口 | 仍然是整个网络 | 广播泛滥,安全性差 |
| VLAN时代 | 交换机+VLAN | 每个端口 | 缩小到每个VLAN | 广播域可控,安全隔离 |
这条演进路线揭示了一个清晰的道路 :
冲突域靠交换机解决(物理分割),广播域靠VLAN解决(逻辑分割)。两个"域"的缩小,就是数据链路层技术不断进化的核心驱动力。
虚拟局域网 VLAN
新矛盾:广播域太大
交换式以太网的"副作用"
交换机出现后,每台设备独享端口带宽,冲突问题被彻底消灭。但一个被忽略的问题浮出水面:广播域不仅没有缩小,反而因为设备数量增加而变得更大了。
在交换式以太网中:
- 交换机收到广播帧,会泛洪到所有端口
- ARP协议必须靠广播来查询MAC地址
- DHCP协议必须靠广播来寻找服务器
- 网络中所有设备,都能收到每一台设备发出的广播帧
广播域太大带来三大问题
| 问题 | 表现 | 后果 |
|---|---|---|
| 广播风暴 | 广播帧被泛洪到全网,所有设备必须接收处理 | 消耗网络带宽和CPU资源,影响正常通信 |
| 安全性差 | 任何设备都能抓包看到所有通信 | 财务数据和研发数据在同一"大厅"里裸奔 |
| 管理混乱 | 所有设备混在一起,无法按部门分级管理 | 无法做精细化管控 |
核心矛盾
"一个物理网络中所有设备处于同一个广播域" vs "需要按部门、按功能做逻辑隔离"
比喻:交换机让每个人有了独立办公室(独享带宽),但所有办公室的门都对着同一个大厅。任何人在大厅里喊一声(广播),所有人办公室的门都必须打开听。财务部在讨论薪资,隔壁研发部听得一清二楚------不安全,而且很烦。
理想方案
能不能在同一个物理空间里,给不同部门建上隔断墙,让他们的"喊话"只能在自己部门内部传播?
这就是VLAN(虚拟局域网)的诞生背景。
VLAN如何解决?(打标签and逻辑隔离)
VLAN的核心思想
VLAN就是把一个物理局域网,逻辑上划分成多个相互隔离的虚拟局域网。
- 每个VLAN是一个独立的广播域
- 同一个VLAN内的设备可以直接通信
- 不同VLAN的设备之间不能直接通信------即使它们连在同一个交换机上
- VLAN间通信必须经过网络层(路由器或三层交换机)
比喻:在一个大办公室里,用玻璃隔断划分出财务部、研发部、市场部。同一个部门的人在隔断里面可以自由讨论(VLAN内通信),但财务部的声音传不到研发部(VLAN隔离)。如果财务部要找研发部,必须走公共走廊,经过前台转接(路由器转发)。
VLAN是怎么工作的?
VLAN通过给以太网帧打标签来实现逻辑隔离。
标准的以太网帧格式(不打标签)
802.1Q标准:在帧中插入VLAN标签
802.1Q标签的结构 :
| 字段 | 长度 | 说明 |
|---|---|---|
| TPID | 2字节 | 固定为 0x8100,标识这是一个带VLAN标签的帧 |
| PCP | 3位 | 优先级(QoS服务质量),0-7,数值越大优先级越高 |
| CFI | 1位 | 规范格式指示,以太网中固定为0 |
| VID | 12位 | VLAN ID,标识这个帧属于哪个VLAN,取值范围 1-4094 |
VID是核心 :它告诉交换机"这个帧属于哪个VLAN"。交换机收到带标签的帧后,只在属于同一个VLAN的端口之间转发。不同VLAN的端口完全收不到。
12位VID意味着最多可以划分4094个VLAN(0和4095保留,不能使用)。
端口的两种角色
交换机的一个物理端口,可以配置成两种角色之一:
| 端口类型 | 收发什么样的帧 | 通常连接什么设备 |
|---|---|---|
| Access口 | 收发不带标签的帧。收到时打上所属VLAN的标签,发出时去掉标签 | 终端设备(电脑、打印机、服务器) |
| Trunk口 | 收发带标签的帧,允许多个VLAN的帧通过 | 交换机之间、交换机与路由器之间 |
比喻:
- Access口是每个部门的大门。员工进门时,门口保安给他贴上"财务部"的胸牌(打标签);出门时保安把胸牌收回(去标签)。员工自己不知道身上有标签。
- Trunk口是连接不同楼层的主干走廊。走廊上来来往往的人都戴着各自部门的胸牌,到了目的楼层门口,保安根据胸牌判断放不放行。
为什么需要Trunk口?
因为不同交换机上的设备可能属于同一个VLAN。例如,一号楼二楼和二号楼三楼都有财务部的员工,他们需要处于同一个VLAN内。Trunk口允许带标签的帧在交换机之间传输,让跨越交换机的VLAN通信成为可能。
VLAN如何隔离广播域?
当一个广播帧进入交换机:
- 交换机判断这个广播帧属于哪个VLAN
- 交换机只向属于同一个VLAN的其他端口泛洪这个广播帧
- 其他VLAN的端口完全不会收到这个广播帧
效果:不同VLAN的设备,即使物理上连接在同一个交换机上,也完全感觉不到对方的存在。每个VLAN就像一个独立的、专用的物理网络。
📌 小结 :从冲突域到广播域,数据链路层的技术演进围绕一个核心主题------把"域"缩小。交换机将冲突域缩小到每个端口,VLAN进一步将广播域缩小到每个虚拟子网。VLAN通过802.1Q标签,在逻辑上把一个物理网络切分成多个隔离的广播域,Access口负责给帧穿脱标签,Trunk口负责在交换机之间传递带标签的帧。而VLAN间的通信,已经超出链路层的能力范围------需要交给网络层的路由器来处理。
📌 下一篇预告:离开有线世界,进入无线局域网(802.11 WiFi)。无线信道比有线更不可靠,冲突更难检测------CSMA/CD在无线中根本没法用。那无线网络怎么办?CSMA/CA给出了一个完全不同的答案。