还担心对交换机的vlan不懂吗，快来看看vlan、trunk的概念吧 _vlan

一、VLAN的基本概念

文章插图

对于一台二层交换机来说，整机就是一个广播域、一个LAN 。这意味着，只要连接到这个广播域的PC配置在一个IP子网内，即可进行互相访问，而且更重要的一点是，处于同一个广播域内的某个用户，发送一个广播数据帧，意味着在这个广播域内的所有用户都会收到这个数据帧，并且耗费资源来处理（即使她它可能并不需要这个数据帧）。当这个广播域变得特别大、用户数量变得特别多时，网络就非常有可能被大量的广播消耗掉大量资源。
另一方面，实际的网络中经常存在这样的需求：连接在同一个交换机上的用户有可能是不同的业务部门，我希望对他们进行隔离，或者以独立的网络单元进行管理。
基于上述需求，引入VLAN的概念，所谓VLAN，翻译为Virtual LAN，实际上是一个虚拟的、逻辑的LAN，通过VLAN技术，我们可以在交换机上，根据接口等信息进行LAN的划定。例如：

文章插图

上图中，我们基于设备接口进行VLAN的划分。将接口1、2划分到了VLAN10，将接口23、24划分到了VLAN20 。这样一来，接口1、2所连接的PC就加入了VLAN10，处于同一个LAN、同一个广播域内，那么这些PC只要配置同一个网段的IP地址，就能够直接进行互访了。而接口23、24处于另一个VLAN20，另一个LAN、另一个广播域。属于VLAN20的PC之间能够直接进行互访。但是，不同的VLAN之间，用户是被隔离的（除非借助路由设备），当然，一个VLAN内的广播数据帧并不会被泛洪到另一个VLAN来，因为他们处于不同的广播域。

文章插图

有了VLAN技术，我们的网络设计将更加灵活、更加可控。VLAN是一个虚拟的LAN，不再受设备的限制。我们可以根据实际的业务环境需要，灵活的进行VLAN的规划。而VLAN更可以跨交换机，因此VLAN的成员，也就是业务PC所处的位置就非常灵活了。例如上图所示，你可能希望每个部门单独划分到一个LAN中，部分之间互相隔离，而一个部门的员工又往往未必在同一楼层，可能分散在不同的楼层，那么有了VLAN技术，完全可以把分散在不同楼层的业务PC划分入一个VLAN 。
下面做一个小结：
一个VLAN中所有设备都是在同一广播域内，不同的VLAN为不同的广播域；
VLAN之间互相隔离，广播不能跨越VLAN传播，因此不同VLAN之间的设备一般无法互访，不同VLAN间需通过三层设备实现相互通信；
一个VLAN一般为一个逻辑子网，由被配置为此VLAN成员的设备组成；
【还担心对交换机的vlan不懂吗，快来看看vlan、trunk的概念吧】VLAN中成员多基于交换机的接口分配，划分VLAN就是对交换机的接口划分；
VLAN工作于OSI参考模型的第二层；
VLAN是二层交换机的一个非常根本的工作机制。
二、Access的基本概念

文章插图

三、Trunk的基本概念

文章插图

前面我们已经了解了VLAN的概念。我们可以借助VLAN技术，在一台交换机上创建多个VLAN以便对应不同的业务部门，然后基于交换机的接口，将不同的接口划分给不同的VLAN 。
如果我分别在两台交换机上部署了VLAN，并且做了统一性的VLAN规划，这时两台交换机对接的时候就需要小心。因为这两台交换机之间互联的链路，需要承载多个VLAN的数据，那么如果某个特定VLAN的数据从一台交换机发送出来，经过交换机之间的链路到达另一台交换机，后者如何判定，这个数据到底应该放入哪一个VLAN呢？
这里我们就需要一种“标记”手段。在将数据送出这个互联接口前，给数据做上相应的标记（tag），对端交换机在收到这个数据之后，就能够根据前者对数据所做的标记来识别数据究竟是属于哪一个VLAN的。这时候，我们称两台交换机之间的互联链路为一段干道链路，而链路两端的接口称为Trunk接口。
上面提到的“标记”手段，我们成为干道封装协议，一个众所周知的公有协议是802.1q，或者叫Dot1Q，由于是公有协议，因此几乎所有的交换机厂商都能支持。Dot1q针对数据帧的处理方式很简单，就是在原始的以太网数据帧中插入一个dot1q的字段，同时重新做CRC校验。在插入的Dot1q字段中，就有VLANID字段用来指示这个数据帧所属的VLAN 。