什么是VLAN？圖文詳解

1、什么是VLAN？ VLAN（Virtual LAN），翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺(tái)家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)也就是廣播域。在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域，指的是廣播幀（目標(biāo)MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴(yán)格地說，并不僅僅是廣播幀，多播幀（Multicast Frame）和目標(biāo)不明的單播幀（Unknown Unicast Frame）也能在同一個(gè)廣播域中暢行無阻。本來，二層交換機(jī)只能構(gòu)建單一的廣播域，不過使用VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個(gè)廣播域。

2、未分割廣播域時(shí)那么，為什么需要分割廣播域呢？那是因?yàn)?，如果僅有一個(gè)廣播域，有可能會(huì)影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因，請(qǐng)參看附圖加深理解。BA交換機(jī)1交換機(jī)2交換機(jī)3交換機(jī)4交換機(jī)5圖中，是一個(gè)由5臺(tái)二層交換機(jī)（交換機(jī)15）連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí)，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求（ARP Request）信息”，來嘗試獲取計(jì)算機(jī)B的MAC地址。交換機(jī)1收到廣播幀（ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機(jī)2收到廣播幀后也會(huì)Flood

3、ing。交換機(jī)3、4、5也還會(huì)Flooding。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。交換機(jī)1交換機(jī)2交換機(jī)3交換機(jī)4交換機(jī)5ARP RequestBroadcast廣播幀會(huì)傳播到網(wǎng)絡(luò)中的每一臺(tái)主機(jī)，并且對(duì)每一臺(tái)計(jì)算機(jī)的CPU造成負(fù)擔(dān)。請(qǐng)大家注意一下，這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說：只要計(jì)算機(jī)B能收到就萬(wàn)事大吉了?？墒鞘聦?shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無謂消耗。廣播信息是那

4、么經(jīng)常發(fā)出的嗎？讀到這里，您也許會(huì)問：廣播信息真是那么頻繁出現(xiàn)的嗎？答案是：是的！實(shí)際上廣播幀會(huì)非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時(shí)，除了前面出現(xiàn)的ARP外，還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣播信息。ARP廣播，是在需要與其他主機(jī)通信時(shí)發(fā)出的。當(dāng)客戶機(jī)請(qǐng)求DHCP服務(wù)器分配IP地址時(shí)，就必須發(fā)出DHCP的廣播。而使用RIP作為路由協(xié)議時(shí)，每隔30秒路由器都會(huì)對(duì)鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協(xié)議使用多播傳輸路由信息，這也會(huì)被交換機(jī)轉(zhuǎn)發(fā)（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播。例

5、如在Windows下雙擊打開“網(wǎng)絡(luò)計(jì)算機(jī)”時(shí)就會(huì)發(fā)出廣播（多播）信息。（Windows XP除外）總之，廣播就在我們身邊。下面是一些常見的廣播通信：l ARP請(qǐng)求：建立IP地址和MAC地址的映射關(guān)系。l RIP：一種路由協(xié)議。l DHCP：用于自動(dòng)設(shè)定IP地址的協(xié)議。l NetBEUI：Windows下使用的網(wǎng)絡(luò)協(xié)議。l IPX：Novell Netware使用的網(wǎng)絡(luò)協(xié)議。l Apple Talk：蘋果公司的Macintosh計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。如果整個(gè)網(wǎng)絡(luò)只有一個(gè)廣播域，那么一旦發(fā)出廣播信息，就會(huì)傳遍整個(gè)網(wǎng)絡(luò)，并且對(duì)網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)。因此，在設(shè)計(jì)LAN時(shí)，需要注意如何才能有效地分

6、割廣播域。廣播域的分割與VLAN的必要性分割廣播域時(shí)，一般都必須使用到路由器。使用路由器后，可以以路由器上的網(wǎng)絡(luò)接口（LAN Interface）為單位分割廣播域。但是，通常情況下路由器上不會(huì)有太多的網(wǎng)絡(luò)接口，其數(shù)目多在14個(gè)左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個(gè)（一般為4個(gè)左右）連接LAN一側(cè)的網(wǎng)絡(luò)接口，但那實(shí)際上是路由器內(nèi)置的交換機(jī)，并不能分割廣播域。況且使用路由器分割廣播域的話，所能分割的個(gè)數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個(gè)數(shù)，使得用戶無法自由地根據(jù)實(shí)際需要分割廣播域。與路由器相比，二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口。因此如果

7、能使用它分割廣播域，那么無疑運(yùn)用上的靈活性會(huì)大大提高。用于在二層交換機(jī)上分割廣播域的技術(shù)，就是VLAN。通過利用VLAN，我們可以自由設(shè)計(jì)廣播域的構(gòu)成，提高網(wǎng)絡(luò)設(shè)計(jì)的自由度。實(shí)現(xiàn)VLAN的機(jī)制實(shí)現(xiàn)VLAN的機(jī)制在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機(jī)是如何使用VLAN分割廣播域的。首先，在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如，計(jì)算機(jī)A發(fā)送廣播信息后，會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。1234交換機(jī)廣播幀交換機(jī)收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN；同時(shí)

8、設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再?gòu)腁發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。同樣，C發(fā)送廣播信息時(shí)，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。1234交換機(jī)廣播幀交換機(jī)收到廣播幀后，只轉(zhuǎn)發(fā)到屬于同一VLAN的其他端口。廣播域廣播幀廣播域就這樣，VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍(lán)兩色識(shí)別不同的VLAN，在實(shí)際使用中則是用“VLAN ID”來區(qū)分的。直觀地描述VLAN如果要更為直觀地描述VLAN的話，

9、我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)。1234交換機(jī)在紅、藍(lán)兩個(gè)VLAN之外生成新的VLAN時(shí)，可以想象成又添加了新的交換機(jī)。但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。明明接在同一臺(tái)交換機(jī)上，但卻偏偏無法通信這個(gè)事實(shí)也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。需要VLAN間通信時(shí)怎么辦那么，當(dāng)我們需要在不同的VLAN間通信時(shí)又該如何是好呢？請(qǐng)大家再次回憶一下：VLA

10、N是廣播域。而通常兩個(gè)廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作“VLAN間路由”。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。其中的具體內(nèi)容，等有機(jī)會(huì)再細(xì)說吧。在這里希望大家先記住不同VLAN間互相通信時(shí)需要用到路由功能。VLAN的訪問鏈接交換機(jī)的端口交換機(jī)的端口，可以分為以下兩種：l 訪問鏈接（Access Link）l 匯聚鏈接（Trunk Link）接下來就讓我們來依次學(xué)習(xí)這兩種不同端口的特征。這一講，首先學(xué)習(xí)“訪問鏈接”。訪問鏈接訪問鏈接，指的是“只屬于一個(gè)VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)

11、據(jù)幀”的端口。在大多數(shù)情況下，訪問鏈接所連的是客戶機(jī)。通常設(shè)置VLAN的順序是：l 生成VLANl 設(shè)定訪問鏈接（決定各端口屬于哪一個(gè)VLAN）設(shè)定訪問鏈接的手法，可以是事先固定的、也可以是根據(jù)所連的計(jì)算機(jī)而動(dòng)態(tài)改變?cè)O(shè)定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動(dòng)態(tài)VLAN”了。靜態(tài)VLAN靜態(tài)VLAN又被稱為基于端口的VLAN（Port Based VLAN）。顧名思義，就是明確指定各端口屬于哪個(gè)VLAN的設(shè)定方法。1234交換機(jī)端口VLAN11234122VLAN2將交換機(jī)的每個(gè)端口靜態(tài)指派給VLANVLAN1由于需要一個(gè)個(gè)端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過一定數(shù)字（比如數(shù)百臺(tái)）后

12、，設(shè)定操作就會(huì)變得煩雜無比。并且，客戶機(jī)每次變更所連端口，都必須同時(shí)更改該端口所屬VLAN的設(shè)定這顯然不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)。動(dòng)態(tài)VLAN另一方面，動(dòng)態(tài)VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī)，隨時(shí)改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作。動(dòng)態(tài)VLAN可以大致分為3類：l 基于MAC地址的VLAN（MAC Based VLAN）l 基于子網(wǎng)的VLAN（Subnet Based VLAN）l 基于用戶的VLAN（User Based VLAN）其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。基于MAC地址的VLAN，就是通過查詢并記錄端口所

13、連計(jì)算機(jī)上網(wǎng)卡的MAC地址來決定端口的所屬。假定有一個(gè)MAC地址“A”被交換機(jī)設(shè)定為屬于VLAN“10”，那么不論MAC地址為“A”的這臺(tái)計(jì)算機(jī)連在交換機(jī)哪個(gè)端口，該端口都會(huì)被劃分到VLAN10中去。計(jì)算機(jī)連在端口1時(shí)，端口1屬于VLAN10；而計(jì)算機(jī)連在端口2時(shí)，則是端口2屬于VLAN10。MACVLANA1BCD122VLAN2VLAN112341234MAC:AMAC:BMAC:CMAC:DMAC:CMAC:BMAC:AMAC:D即使計(jì)算機(jī)改變了所連接的端口，交換機(jī)仍會(huì)查出它的MAC地址，并正確指定端口所屬的VLAN。由于是基于MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI

14、的第二層設(shè)定訪問鏈接的辦法。但是，基于MAC地址的VLAN，在設(shè)定時(shí)必須調(diào)查所連接的所有計(jì)算機(jī)的MAC地址并加以登錄。而且如果計(jì)算機(jī)交換了網(wǎng)卡，還是需要更改設(shè)定。基于子網(wǎng)的VLAN，則是通過所連計(jì)算機(jī)的IP地址，來決定端口所屬VLAN的。不像基于MAC地址的VLAN，即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變，就仍可以加入原先設(shè)定的VLAN。網(wǎng)絡(luò)地址VLAN/241/242VLAN2VLAN112341234即使計(jì)算機(jī)改變了所連接的端口，交換機(jī)仍會(huì)通過IP地址正確指定端口所屬的VLAN。IP地址

15、IP地址IP地址IP地址IP地址IP地址IP地址IP地址IP地址因此，與基于MAC地址的VLAN相比，能夠更為簡(jiǎn)便地改變網(wǎng)絡(luò)結(jié)構(gòu)。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問鏈接的方法。基于用戶的VLAN，則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來決定該端口屬于哪個(gè)VLAN。這里的用戶識(shí)別信息，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如可以是Windows

16、域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息?？偟膩碚f，決定端口所屬VLAN時(shí)利用的信息在OSI中的層面越高，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。訪問鏈接的總結(jié)綜上所述，設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種，其中動(dòng)態(tài)VLAN又可以繼續(xù)細(xì)分成幾個(gè)小類。其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題；因此在選擇交換機(jī)時(shí)，一定要注意事先確認(rèn)。下表總結(jié)了靜態(tài)VLAN和動(dòng)態(tài)VLAN的相關(guān)信息。種類解說靜態(tài)VLAN（基于端口的VLAN）將交換機(jī)的各端口固定指派給VLAN動(dòng)態(tài)VLAN基于MAC地址的VLAN

17、根據(jù)各端口所連計(jì)算機(jī)的MAC地址設(shè)定基于子網(wǎng)的VLAN根據(jù)各端口所連計(jì)算機(jī)的IP地址設(shè)定基于用戶的VLAN根據(jù)端口所連計(jì)算機(jī)上登錄用戶設(shè)定VLAN的匯聚鏈接需要設(shè)置跨越多臺(tái)交換機(jī)的VLAN時(shí)到此為止，我們學(xué)習(xí)的都是使用單臺(tái)交換機(jī)設(shè)置VLAN時(shí)的情況。那么，如果需要設(shè)置跨越多臺(tái)交換機(jī)的VLAN時(shí)又如何呢？在規(guī)劃企業(yè)級(jí)網(wǎng)絡(luò)時(shí)，很有可能會(huì)遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況，這時(shí)可能就需要考慮到如何跨越多臺(tái)交換機(jī)設(shè)置VLAN的問題了。假設(shè)有如下圖所示的網(wǎng)絡(luò)，且需要將不同樓層的A、C和B、D設(shè)置為同一個(gè)VLAN。交換機(jī)1交換機(jī)2ACBD這時(shí)最關(guān)鍵的就是“交換機(jī)1和交換機(jī)2該如何

18、連接才好呢？”最簡(jiǎn)單的方法，自然是在交換機(jī)1和交換機(jī)2上各設(shè)一個(gè)紅、藍(lán)VLAN專用的接口并互聯(lián)了。交換機(jī)1交換機(jī)2ACBD每增加一個(gè)VLAN，都需要添加一條互聯(lián)網(wǎng)線，并且還需要額外的端口。但是，這個(gè)辦法從擴(kuò)展性和管理效率來看都不好。例如，在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時(shí)，為了讓這個(gè)VLAN能夠互通，就需要在交換機(jī)間連接新的網(wǎng)線。建筑物樓層間的縱向布線是比較麻煩的，一般不能由基層管理人員隨意進(jìn)行。并且，VLAN越多，樓層間（嚴(yán)格地說是交換機(jī)間）互聯(lián)所需的端口也越來越多，交換機(jī)端口的利用效率低是對(duì)資源的一種浪費(fèi)、也限制了網(wǎng)絡(luò)的擴(kuò)展。為了避免這種低效率的連接方式，人們想辦法讓交換機(jī)間互聯(lián)的網(wǎng)線集中到

19、一根上，這時(shí)使用的就是匯聚鏈接（Trunk Link）。何謂匯聚鏈接？匯聚鏈接（Trunk Link）指的是能夠轉(zhuǎn)發(fā)多個(gè)不同VLAN的通信的端口。匯聚鏈路上流通的數(shù)據(jù)幀，都被附加了用于識(shí)別分屬于哪個(gè)VLAN的特殊信息?，F(xiàn)在再讓我們回過頭來考慮一下剛才那個(gè)網(wǎng)絡(luò)如果采用匯聚鏈路又會(huì)如何呢？用戶只需要簡(jiǎn)單地將交換機(jī)間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了。這時(shí)使用的網(wǎng)線還是普通的UTP線，而不是什么其他的特殊布線。圖例中是交換機(jī)間互聯(lián)，因此需要用交叉線來連接。接下來，讓我們具體看看匯聚鏈接是如何實(shí)現(xiàn)跨越交換機(jī)間的VLAN的。A發(fā)送的數(shù)據(jù)幀從交換機(jī)1經(jīng)過匯聚鏈路到達(dá)交換機(jī)2時(shí)，在數(shù)據(jù)幀上附加了表示屬于紅色V

20、LAN的標(biāo)記。交換機(jī)2收到數(shù)據(jù)幀后，經(jīng)過檢查VLAN標(biāo)識(shí)發(fā)現(xiàn)這個(gè)數(shù)據(jù)幀是屬于紅色VLAN的，因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口。這時(shí)的轉(zhuǎn)送，是指經(jīng)過確認(rèn)目標(biāo)MAC地址并與MAC地址列表比對(duì)后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口。只有當(dāng)數(shù)據(jù)幀是一個(gè)廣播幀、多播幀或是目標(biāo)不明的幀時(shí)，它才會(huì)被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。藍(lán)色VLAN發(fā)送數(shù)據(jù)幀時(shí)的情形也與此相同。交換機(jī)1交換機(jī)2ACBD 數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)Trunk LinkTrunk Link通過匯聚鏈路時(shí)，自動(dòng)附加VLAN識(shí)別信息通過識(shí)別VLAN標(biāo)識(shí)，轉(zhuǎn)發(fā)給相應(yīng)的端口，同時(shí)去除VLAN標(biāo)識(shí)，恢復(fù)成原始數(shù)據(jù)幀。通過匯

21、聚鏈路時(shí)附加的VLAN識(shí)別信息，有可能支持標(biāo)準(zhǔn)的“IEEE 802.1Q”協(xié)議，也可能是Cisco產(chǎn)品獨(dú)有的“ISL（Inter Switch Link）”。如果交換機(jī)支持這些規(guī)格，那么用戶就能夠高效率地構(gòu)筑橫跨多臺(tái)交換機(jī)的VLAN。另外，匯聚鏈路上流通著多個(gè)VLAN的數(shù)據(jù)，自然負(fù)載較重。因此，在設(shè)定匯聚鏈接時(shí)，有一個(gè)前提就是必須支持100Mbps以上的傳輸速度。另外，默認(rèn)條件下，匯聚鏈接會(huì)轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。換一個(gè)角度看，可以認(rèn)為匯聚鏈接（端口）同時(shí)屬于交換機(jī)上所有的VLAN。由于實(shí)際應(yīng)用中很可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù)，因此為了減輕交換機(jī)的負(fù)載、也為了減少對(duì)帶寬的浪

22、費(fèi)，我們可以通過用戶設(shè)定限制能夠經(jīng)由匯聚鏈路互聯(lián)的VLAN。關(guān)于IEEE802.1Q和ISL的具體內(nèi)容，將在下一講中提到。IEEE802.1Q與ISL匯聚方式在交換機(jī)的匯聚鏈接上，可以通過對(duì)數(shù)據(jù)幀附加VLAN信息，構(gòu)建跨越多臺(tái)交換機(jī)的VLAN。附加VLAN信息的方法，最具有代表性的有：l IEEE802.1Ql ISL現(xiàn)在就讓我們看看這兩種協(xié)議分別如何對(duì)數(shù)據(jù)幀附加VLAN信息。IEEE802.1QIEEE802.1Q，俗稱“Dot One Q”，是經(jīng)過IEEE認(rèn)證的對(duì)數(shù)據(jù)幀附加VLAN識(shí)別信息的協(xié)議。在此，請(qǐng)大家先回憶一下以太網(wǎng)數(shù)據(jù)幀的標(biāo)準(zhǔn)格式。IEEE802.1Q所附加的VLAN識(shí)別信息，位

23、于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域（Type Field）”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計(jì)4字節(jié)。在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容，那么CRC值自然也會(huì)有所變化。這時(shí)數(shù)據(jù)幀上的CRC是插入TPID、TCI后，對(duì)包括它們?cè)趦?nèi)的整個(gè)數(shù)據(jù)幀重新計(jì)算后所得的值。Ethernet Version 26Bytes6Bytes2Bytes461500Bytes4Bytes目標(biāo)MAC地址發(fā)送源MAC地址CRC數(shù)據(jù)部分類型目標(biāo)MAC地址發(fā)送源MAC地址CRC數(shù)據(jù)部分TPIDTCI類型6Bytes6Bytes2Bytes461500Bytes4BytesIEEE802.1Q0x81002

24、Bytes2Bytes內(nèi)含12bit的VLAN標(biāo)識(shí)CRC經(jīng)過重新計(jì)算而當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí)，TPID和TCI會(huì)被去除，這時(shí)還會(huì)進(jìn)行一次CRC的重新計(jì)算。TPID的值，固定為0x8100。交換機(jī)通過TPID，來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE802.1Q的VLAN信息。而實(shí)質(zhì)上的VLAN ID，是TCI中的12位元。由于總共有12位，因此最多可供識(shí)別4096個(gè)VLAN?；贗EEE802.1Q附加的VLAN信息，就像在傳遞物品時(shí)附加的標(biāo)簽。因此，它也被稱作“標(biāo)簽型VLAN（Tagging VLAN）”。ISL（Inter Switch Link）ISL，是Cisco產(chǎn)品支持的一種與IEEE802

25、.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協(xié)議。使用ISL后，每個(gè)數(shù)據(jù)幀頭部都會(huì)被附加26字節(jié)的“ISL包頭（ISL Header）”，并且在幀尾帶上通過對(duì)包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4字節(jié)CRC值。換而言之，就是總共增加了30字節(jié)的信息。在使用ISL的環(huán)境下，當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí)，只要簡(jiǎn)單地去除ISL包頭和新CRC就可以了。由于原先的數(shù)據(jù)幀及其CRC都被完整保留，因此無需重新計(jì)算CRC。Ethernet Version 2ISL6Bytes6Bytes2Bytes461500Bytes4Bytes目標(biāo)MAC地址發(fā)送源MAC地址CRC數(shù)據(jù)部分類型6Bytes6Byte

26、s2Bytes461500Bytes4Bytes目標(biāo)MAC地址發(fā)送源MAC地址CRC數(shù)據(jù)部分類型CRC4BytesISL包頭26Bytes包含VLAN編號(hào)保留原CRC不變對(duì)從ISL包頭到原CRC為止重新計(jì)算CRCISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個(gè)包裹起來，因此也被稱為“封裝型VLAN（Encapsulated VLAN）”。需要注意的是，不論是IEEE802.1Q的“Tagging VLAN”，還是ISL的“Encapsulated VLAN”，都不是很嚴(yán)密的稱謂。不同的書籍與參考資料中，上述詞語(yǔ)有可能被混合使用，因此需要大家在學(xué)習(xí)時(shí)格外注意。并且由于ISL是Cisco獨(dú)有的協(xié)議，

27、因此只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。VLAN間路由1VLAN間路由的必要性根據(jù)目前為止學(xué)習(xí)的知識(shí)，我們已經(jīng)知道兩臺(tái)計(jì)算機(jī)即使連接在同一臺(tái)交換機(jī)上，只要所屬的VLAN不同就無法直接通信。接下來我們將要學(xué)習(xí)的就是如何在不同的VLAN間進(jìn)行路由，使分屬不同VLAN的主機(jī)能夠互相通信。首先，先來復(fù)習(xí)一下為什么不同VLAN間不通過路由就無法通信。在LAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。也就是說，如果廣播報(bào)文無法到達(dá)，那么就無從解析MAC地址，亦即無法直接通信。計(jì)算機(jī)分屬不同的VLA

28、N，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文。因此，屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網(wǎng)絡(luò)層的信息（IP地址）來進(jìn)行路由。關(guān)于路由的具體內(nèi)容，以后有機(jī)會(huì)再詳細(xì)解說吧。路由功能，一般主要由路由器提供。但在今天的局域網(wǎng)里，我們也經(jīng)常利用帶有路由功能的交換機(jī)三層交換機(jī)（Layer 3 Switch）來實(shí)現(xiàn)。接下來就讓我們分別看看使用路由器和三層交換機(jī)進(jìn)行VLAN間路由時(shí)的情況。使用路由器進(jìn)行VLAN間路由在使用路由器進(jìn)行VLAN間路由時(shí)，與構(gòu)建橫跨多臺(tái)交換機(jī)的VLAN時(shí)的情況類似，我們還是會(huì)遇到“該如何連接路由器與交換

29、機(jī)”這個(gè)問題。路由器和交換機(jī)的接線方式，大致有以下兩種：l 將路由器與交換機(jī)上的每個(gè)VLAN分別連接l 不論VLAN有多少個(gè)，路由器與交換機(jī)都只用一條網(wǎng)線連接最容易想到的，當(dāng)然還是“把路由器和交換機(jī)以VLAN為單位分別用網(wǎng)線連接”了。將交換機(jī)上用于和路由器互聯(lián)的每個(gè)端口設(shè)為訪問鏈接，然后分別用網(wǎng)線與路由器上的獨(dú)立端口互聯(lián)。如下圖所示，交換機(jī)上有2個(gè)VLAN，那么就需要在交換機(jī)上預(yù)留2個(gè)端口用于與路由器互聯(lián)；路由器上同樣需要有2個(gè)端口；兩者之間用2條網(wǎng)線分別連接。交換機(jī)路由器連紅色VLAN的路由器端口連藍(lán)色VLAN的路由器端口如果采用這個(gè)辦法，大家應(yīng)該不難想象它的擴(kuò)展性很成問題。每增加一個(gè)新的V

30、LAN，都需要消耗路由器的端口和交換機(jī)上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會(huì)帶有太多LAN接口的。新建VLAN時(shí)，為了對(duì)應(yīng)增加的VLAN所需的端口，就必須將路由器升級(jí)成帶有多個(gè)LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。那么，第二種辦法“不論VLAN數(shù)目多少，都只用一條網(wǎng)線連接路由器與交換機(jī)”呢？當(dāng)使用一條網(wǎng)線連接路由器與交換機(jī)、進(jìn)行VLAN間路由時(shí)，需要用到匯聚鏈接。具體實(shí)現(xiàn)過程為：首先將用于連接路由器的交換機(jī)端口設(shè)為匯聚鏈接，而路由器上的端口也必須支持匯聚鏈路。雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上

31、定義對(duì)應(yīng)各個(gè)VLAN的“子接口（Sub Interface）”。盡管實(shí)際與交換機(jī)連接的物理端口只有一個(gè)，但在理論上我們可以把它分割為多個(gè)虛擬端口。VLAN將交換機(jī)從邏輯上分割成了多臺(tái)，因而用于VLAN間路由的路由器，也必須擁有分別對(duì)應(yīng)各個(gè)VLAN的虛擬接口。交換機(jī)支持匯聚鏈路的路由器連接藍(lán)色VLAN的子接口匯聚鏈接連接紅色VLAN的子接口采用這種方法的話，即使之后在交換機(jī)上新建VLAN，仍只需要一條網(wǎng)線連接交換機(jī)和路由器。用戶只需要在路由器上新設(shè)一個(gè)對(duì)應(yīng)新VLAN的子接口就可以了。與前面的方法相比，擴(kuò)展性要強(qiáng)得多，也不用擔(dān)心需要升級(jí)LAN接口數(shù)不足的路由器或是重新布線。VLAN間路由2同一VL

32、AN內(nèi)的通信接下來，我們繼續(xù)學(xué)習(xí)使用匯聚鏈路連接交換機(jī)與路由器時(shí)，VLAN間路由是如何進(jìn)行的。如下圖所示，為各臺(tái)計(jì)算機(jī)以及路由器的子接口設(shè)定IP地址。交換機(jī)路由器端口的MAC地址：R連接藍(lán)色VLAN的子接口00/24匯聚鏈接連接紅色VLAN的子接口00/24123456A/24GW00B/24GW00C/24GW00D/24GW00紅色VLAN（VLAN ID=1）的網(wǎng)絡(luò)地址為

33、/24，藍(lán)色VLAN（VLAN ID=2）的網(wǎng)絡(luò)地址為/24。各計(jì)算機(jī)的MAC地址分別為A/B/C/D，路由器匯聚鏈接端口的MAC地址為R。交換機(jī)通過對(duì)各端口所連計(jì)算機(jī)MAC地址的學(xué)習(xí)，生成如下的MAC地址列表。端口MAC地址VLAN1A12B13C24D256R匯聚首先考慮計(jì)算機(jī)A與同一VLAN內(nèi)的計(jì)算機(jī)B之間通信時(shí)的情形。計(jì)算機(jī)A發(fā)出ARP請(qǐng)求信息，請(qǐng)求解析B的MAC地址。交換機(jī)收到數(shù)據(jù)幀后，檢索MAC地址列表中與收信端口同屬一個(gè)VLAN的表項(xiàng)。結(jié)果發(fā)現(xiàn)，計(jì)算機(jī)B連接在端口2上，于是交換機(jī)將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2，最終計(jì)算機(jī)B收到該幀。收發(fā)信雙方同屬

34、一個(gè)VLAN之內(nèi)的通信，一切處理均在交換機(jī)內(nèi)完成。交換機(jī)路由器端口的MAC地址：R連接藍(lán)色VLAN的子接口00/24匯聚鏈接連接紅色VLAN的子接口00/24123456A/24GW00B/24GW00C/24GW00D/24GW00數(shù)據(jù)幀源MAC：A；目標(biāo)MAC:B源IP：/24目標(biāo)IP：/24同一VLAN內(nèi)的通信，處理均在交換機(jī)內(nèi)

35、部完成不同VLAN間通信時(shí)數(shù)據(jù)的流程接下來是這一講的核心內(nèi)容，不同VLAN間的通信。讓我們來考慮一下計(jì)算機(jī)A與計(jì)算機(jī)C之間通信時(shí)的情況。交換機(jī)路由器端口的MAC地址：R連接藍(lán)色VLAN的子接口,00/24連接紅色VLAN的子接口,00/24123456A/24GW00B/24GW00C/24GW00D/24GW00數(shù)據(jù)幀源MAC：A；目標(biāo)MAC:R源IP：

36、/24目標(biāo)IP：/24 數(shù)據(jù)幀 數(shù)據(jù)幀數(shù)據(jù)幀源MAC：R；目標(biāo)MAC:C源IP：/24目標(biāo)IP：/24計(jì)算機(jī)A從通信目標(biāo)的IP地址（）得出C與本機(jī)不屬于同一個(gè)網(wǎng)段。因此會(huì)向設(shè)定的默認(rèn)網(wǎng)關(guān)（Default Gateway，GW）轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前，需要先用ARP獲取路由器的MAC地址。得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀。的數(shù)據(jù)幀中，目標(biāo)MAC地址是路由器的地址R、但內(nèi)含的目標(biāo)IP地址仍是最終要通信的對(duì)象C的地址。這一部分的內(nèi)容，涉及到局域網(wǎng)內(nèi)經(jīng)過路由器轉(zhuǎn)發(fā)時(shí)的通

37、信步驟，有機(jī)會(huì)再詳細(xì)解說吧。交換機(jī)在端口1上收到的數(shù)據(jù)幀后，檢索MAC地址列表中與端口1同屬一個(gè)VLAN的表項(xiàng)。由于匯聚鏈路會(huì)被看作屬于所有的VLAN，因此這時(shí)交換機(jī)的端口6也屬于被參照對(duì)象。這樣交換機(jī)就知道往MAC地址R發(fā)送數(shù)據(jù)幀，需要經(jīng)過端口6轉(zhuǎn)發(fā)。從端口6發(fā)送數(shù)據(jù)幀時(shí)，由于它是匯聚鏈接，因此會(huì)被附加上VLAN識(shí)別信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀，因此如圖中所示，會(huì)被加上紅色VLAN的識(shí)別信息后進(jìn)入?yún)R聚鏈路。路由器收到的數(shù)據(jù)幀后，確認(rèn)其VLAN識(shí)別信息，由于它是屬于紅色VLAN的數(shù)據(jù)幀，因此交由負(fù)責(zé)紅色VLAN的子接口接收。接著，根據(jù)路由器內(nèi)部的路由表，判斷該向哪里中繼。由于目標(biāo)網(wǎng)

38、絡(luò)/24是藍(lán)色VLAN，且該網(wǎng)絡(luò)通過子接口與路由器直連，因此只要從負(fù)責(zé)藍(lán)色VLAN的子接口轉(zhuǎn)發(fā)就可以了。這時(shí)，數(shù)據(jù)幀的目標(biāo)MAC地址被改寫成計(jì)算機(jī)C的目標(biāo)地址；并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍(lán)色VLAN的識(shí)別信息。這就是圖中的數(shù)據(jù)幀。交換機(jī)收到的數(shù)據(jù)幀后，根據(jù)VLAN標(biāo)識(shí)信息從MAC地址列表中檢索屬于藍(lán)色VLAN的表項(xiàng)。由于通信目標(biāo)計(jì)算機(jī)C連接在端口3上、且端口3為普通的訪問鏈接，因此交換機(jī)會(huì)將數(shù)據(jù)幀除去VLAN識(shí)別信息后（數(shù)據(jù)幀）轉(zhuǎn)發(fā)給端口3，最終計(jì)算機(jī)C才能成功地收到這個(gè)數(shù)據(jù)幀。進(jìn)行VLAN間通信時(shí)，即使通信雙方都連接在同一臺(tái)交換機(jī)上，也必須經(jīng)過：發(fā)送

39、方交換機(jī)路由器交換機(jī)接收方這樣一個(gè)流程。三層交換機(jī)（1）使用路由器進(jìn)行VLAN間路由時(shí)的問題現(xiàn)在，我們知道只要能提供VLAN間路由，就能夠使分屬不同VLAN的計(jì)算機(jī)互相通信。但是，如果使用路由器進(jìn)行VLAN間路由的話，隨著VLAN之間流量的不斷增加，很可能導(dǎo)致路由器成為整個(gè)網(wǎng)絡(luò)的瓶頸。交換機(jī)使用被稱為ASIC（Application Specified Integrated Circuit）的專用硬件芯片處理數(shù)據(jù)幀的交換操作，在很多機(jī)型上都能實(shí)現(xiàn)以纜線速度（Wired Speed）交換。而路由器，則基本上是基于軟件處理的。即使以纜線速度接收到數(shù)據(jù)包，也無法在不限速的條件下轉(zhuǎn)發(fā)出去，因此會(huì)成為速

40、度瓶頸。就VLAN間路由而言，流量會(huì)集中到路由器和交換機(jī)互聯(lián)的匯聚鏈路部分，這一部分尤其特別容易成為速度瓶頸。并且從硬件上看，由于需要分別設(shè)置路由器和交換機(jī)，在一些空間狹小的環(huán)境里可能連設(shè)置的場(chǎng)所都成問題。三層交換機(jī)（Layer 3 Switch）為了解決上述問題，三層交換機(jī)應(yīng)運(yùn)而生。三層交換機(jī)，本質(zhì)上就是“帶有路由功能的（二層）交換機(jī)”。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能，因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。關(guān)于三層交換機(jī)的內(nèi)部結(jié)構(gòu)，可以參照下面的簡(jiǎn)圖。三層交換機(jī)路由模塊交換模塊內(nèi)部是匯聚鏈路在一臺(tái)本體內(nèi)，分別設(shè)置了交換機(jī)模塊和路由器模塊；而內(nèi)置的路由模塊與交換模塊

41、相同，使用ASIC硬件處理路由。因此，與傳統(tǒng)的路由器相比，可以實(shí)現(xiàn)高速路由。并且，路由與交換模塊是匯聚鏈接的，由于是內(nèi)部連接，可以確保相當(dāng)大的帶寬。三層交換機(jī)（2）使用三層交換機(jī)進(jìn)行VLAN間路由（VLAN內(nèi)通信）在三層交換機(jī)內(nèi)部數(shù)據(jù)究竟是怎樣傳播的呢？基本上，它和使用匯聚鏈路連接路由器與交換機(jī)時(shí)的情形相同。 假設(shè)有如下圖所示的4臺(tái)計(jì)算機(jī)與三層交換機(jī)互聯(lián)。當(dāng)使用路由器連接時(shí)，一般需要在LAN接口上設(shè)置對(duì)應(yīng)各VLAN的子接口；而三層交換機(jī)則是在內(nèi)部生成“VLAN接口（VLAN Interface）”。VLAN接口，是用于各VLAN收發(fā)數(shù)據(jù)的接口。（注：在Cisco的Catalyst系列交換機(jī)上，

42、VLAN Interface被稱為SVISwitched Virtual Interface）路由模塊交換模塊A（MAC）/24GW00B（MAC）/24GW00C（MAC）/24GW00D（MAC）/24GW00紅色VLAN接口00/24藍(lán)色VLAN接口00/24源MAC:A;目標(biāo)MAC:B源IP：目標(biāo)IP：1234VLAN內(nèi)通信在

43、交換模塊內(nèi)部完成為了與使用路由器進(jìn)行VLAN間路由對(duì)比，讓我們同樣來考慮一下計(jì)算機(jī)A與計(jì)算機(jī)B之間通信時(shí)的情況。首先是目標(biāo)地址為B的數(shù)據(jù)幀被發(fā)到交換機(jī)；通過檢索同一VLAN的MAC地址列表發(fā)現(xiàn)計(jì)算機(jī)B連在交換機(jī)的端口2上；因此將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2。使用三層交換機(jī)進(jìn)行VLAN間路由（VLAN間通信）接下來設(shè)想一下計(jì)算機(jī)A與計(jì)算機(jī)C間通信時(shí)的情形。針對(duì)目標(biāo)IP地址，計(jì)算機(jī)A可以判斷出通信對(duì)象不屬于同一個(gè)網(wǎng)絡(luò)，因此向默認(rèn)網(wǎng)關(guān)發(fā)送數(shù)據(jù)（Frame 1）。交換機(jī)通過檢索MAC地址列表后，經(jīng)由內(nèi)部匯聚鏈接，將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由模塊。在通過內(nèi)部匯聚鏈路時(shí)，數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識(shí)別信息（Fr

44、ame 2）。路由模塊在收到數(shù)據(jù)幀時(shí)，先由數(shù)據(jù)幀附加的VLAN識(shí)別信息分辨出它屬于紅色VLAN，據(jù)此判斷由紅色VLAN接口負(fù)責(zé)接收并進(jìn)行路由處理。因?yàn)槟繕?biāo)網(wǎng)絡(luò)/24是直連路由器的網(wǎng)絡(luò)、且對(duì)應(yīng)藍(lán)色VLAN；因此，接下來就會(huì)從藍(lán)色VLAN接口經(jīng)由內(nèi)部匯聚鏈路轉(zhuǎn)發(fā)回交換模塊。在通過匯聚鏈路時(shí)，這次數(shù)據(jù)幀被附加上屬于藍(lán)色VLAN的識(shí)別信息（Frame 3）。交換機(jī)收到這個(gè)幀后，檢索藍(lán)色VLAN的MAC地址列表，確認(rèn)需要將它轉(zhuǎn)發(fā)給端口3。由于端口3是通常的訪問鏈接，因此轉(zhuǎn)發(fā)前會(huì)先將VLAN識(shí)別信息除去（Frame 4）。最終，計(jì)算機(jī)C成功地收到交換機(jī)轉(zhuǎn)發(fā)來的數(shù)據(jù)幀。路由模塊交換模塊

45、A（MAC）/24GW00B（MAC）/24GW00C（MAC）/24GW00D（MAC）/24GW00紅色VLAN接口00/24藍(lán)色VLAN接口00/24Frame 1源MAC:A;目標(biāo)MAC:R源IP：目標(biāo)IP：1234Frame 2附加紅色VLAN識(shí)別信息源MAC:A;目標(biāo)MAC:R源IP：目標(biāo)IP：192

46、.168.2.1Frame 3附加藍(lán)色VLAN識(shí)別信息源MAC:R;目標(biāo)MAC:C源IP：目標(biāo)IP：Frame 4源MAC:R;目標(biāo)MAC:C源IP：目標(biāo)IP：整體的流程，與使用外部路由器時(shí)的情況十分相似都需要經(jīng)過發(fā)送方交換模塊路由模塊交換模塊接收方。加速VLAN間通信的手段流（Flow）根據(jù)到此為止的學(xué)習(xí)，我們已經(jīng)知道VLAN間路由，必須經(jīng)過外部的路由器或是三層交換機(jī)的內(nèi)置路由模塊。但是，有時(shí)并不是所有的數(shù)據(jù)都需要經(jīng)過路由器（或路由模塊）。例如，使用FTP（File Transfer Protocol）傳

47、輸容量為數(shù)MB以上的較大的文件時(shí)，由于MTU的限制，IP協(xié)議會(huì)將數(shù)據(jù)分割成小塊后傳輸、并在接收方重新組合。這些被分割的數(shù)據(jù)，“發(fā)送的目標(biāo)”是完全相同的。發(fā)送目標(biāo)相同，也就意味著同樣的目標(biāo)IP地址、目標(biāo)端口號(hào)（注：特別強(qiáng)調(diào)一下，這里指的是TCP/UDP端口）。自然，源IP地址、源端口號(hào)也應(yīng)該相同。這樣一連串的數(shù)據(jù)流被稱為“流（Flow）”。只要將流最初的數(shù)據(jù)正確地路由以后，后繼的數(shù)據(jù)理應(yīng)也會(huì)被同樣地路由。據(jù)此，后繼的數(shù)據(jù)不再需要路由器進(jìn)行路由處理；通過省略反復(fù)進(jìn)行的路由操作，可以進(jìn)一步提高VLAN間路由的速度。路由模塊MAC地址:R交換模塊1234FTP客戶端IP:/24M

48、AC地址:AFTP服務(wù)器IP:/24MAC地址:BEther HeaderIP HeaderTCP HeaderDataCRC一連串流的以太幀頭、TCP/IP包頭都相同。路由的結(jié)果，也應(yīng)該完全相同。目標(biāo)MAC:R源MAC:B目標(biāo)端口:2000源端口:21目標(biāo)IP:源IP:加速VLAN間路由的機(jī)制接下來，讓我們具體考慮一下該如何使用三層交換機(jī)進(jìn)行高速VLAN間路由。首先，整個(gè)流的第一塊數(shù)據(jù)，照常由交換機(jī)轉(zhuǎn)發(fā)路由器路由再次由交換機(jī)轉(zhuǎn)發(fā)到目標(biāo)所連端口。這時(shí)，將第一塊數(shù)據(jù)路由的結(jié)果記錄到緩存里保存下來。需要記錄的信息有：l 目標(biāo)IP地址

49、l 源IP地址l 目標(biāo)TCP/UDP端口號(hào)l 源TCP/UDP端口號(hào)l 接收端口號(hào)（交換機(jī)）l 轉(zhuǎn)發(fā)端口號(hào)（交換機(jī)）l 轉(zhuǎn)發(fā)目標(biāo)MAC地址等等。同一個(gè)流的第二塊以后的數(shù)據(jù)到達(dá)交換機(jī)后，直接通過查詢先前保存在緩存中的信息查出“轉(zhuǎn)發(fā)端口號(hào)”后就可以轉(zhuǎn)發(fā)給目標(biāo)所連端口了。這樣一來，就不需要再一次次經(jīng)由內(nèi)部路由模塊中繼，而僅憑交換機(jī)內(nèi)部的緩存信息就足以判斷應(yīng)該轉(zhuǎn)發(fā)的端口。這時(shí)，交換機(jī)會(huì)對(duì)數(shù)據(jù)幀進(jìn)行由路由器中繼時(shí)相似的處理，例如改寫MAC地址、IP包頭中的TTL和Check Sum校驗(yàn)碼信息等，路由模塊MAC地址:R交換模塊1234FTP客戶端IP:/24MAC地址:AFTP服務(wù)器

50、IP:/24MAC地址:B路由的結(jié)果已被緩存下來1、同一個(gè)流的第二塊數(shù)據(jù)到達(dá)交換機(jī)。2、參照交換機(jī)上的緩存信息后，數(shù)據(jù)幀被轉(zhuǎn)發(fā)到相應(yīng)的端口。3、如同經(jīng)過路由器中繼一樣，部分?jǐn)?shù)據(jù)包頭信息被改寫。從第二塊數(shù)據(jù)開始，路由模塊不再參與流的路由。通過在交換機(jī)上緩存路由結(jié)果，實(shí)現(xiàn)了以纜線速度（Wired Speed）接收發(fā)送方傳輸來數(shù)據(jù)的數(shù)據(jù)、并且能夠全速路由、轉(zhuǎn)發(fā)給接收方。需要注意的是，類似的加速VLAN間路由的手法多由各廠商獨(dú)有的技術(shù)所實(shí)現(xiàn)，并且該功能的稱謂也因廠商而異。例如，在Cisco的Catalyst系列交換機(jī)上，這種功能被稱為“多層交換（Multi Layer Switc

51、hing）”。另外，除了三層交換機(jī)的內(nèi)部路由模塊，外部路由器中的某些機(jī)型也支持類似的高速VLAN間路由機(jī)制。傳統(tǒng)型路由器存在的意義路由器的必要性三層交換機(jī)的價(jià)格，在問世之初非常昂貴，但是現(xiàn)在它們的價(jià)格已經(jīng)下降了許多。目前國(guó)外一些廉價(jià)機(jī)型的售價(jià)，折合成人民幣后僅為一萬(wàn)多元，而且還在繼續(xù)下降中。既然三層交換機(jī)能夠提供比傳統(tǒng)型路由器更為高速的路由處理，那么網(wǎng)絡(luò)中還有使用路由器的必要嗎？答案是：“是”。使用路由器的必要性，主要表現(xiàn)在以下幾個(gè)方面：l 用于與WAN連接三層交換機(jī)終究是“交換機(jī)”。也就是說，絕大多數(shù)機(jī)型只配有LAN（以太網(wǎng)）接口。在少數(shù)高端交換機(jī)上也有用于連接WAN的串行接口或是ATM接口

52、，但在大多數(shù)情況下，連接WAN還是需要用到路由器。l 保證網(wǎng)絡(luò)安全在三層交換機(jī)上，通過數(shù)據(jù)包過濾也能確保一定程度的網(wǎng)絡(luò)安全。但是使用路由器所提供的各種網(wǎng)絡(luò)安全功能，用戶可以構(gòu)建更為安全可靠的網(wǎng)絡(luò)。路由器提供的網(wǎng)絡(luò)安全功能中，除了最基本的數(shù)據(jù)包過濾功能外，還能基于IPSec構(gòu)建VPN（Virtual Private Network）、利用RADIUS進(jìn)行用戶認(rèn)證等等。l 支持除TCP/IP以外的網(wǎng)絡(luò)架構(gòu)盡管TCP/IP已經(jīng)成為當(dāng)前網(wǎng)絡(luò)協(xié)議架構(gòu)的主流，但還有不少網(wǎng)絡(luò)利用Novell Netware下的IPX/SPX或Macintosh下的Appletalk等網(wǎng)絡(luò)協(xié)議。三層交換機(jī)中，除了部分高端機(jī)型外基本上還只支持TCP/IP。因此，在需要使用除TCP/IP之外其他網(wǎng)絡(luò)協(xié)議的環(huán)境下，路由器還是必不可少的。注：在少數(shù)高端交換機(jī)上，也能支持上述路由器的功能。例如Cisco的Catalyst6500系列，就可以選擇與WAN連接的接口模塊；還有可選的基于IPSec實(shí)現(xiàn)VPN的模塊；并且也能支持TCP