二层交换机不能隔离广播，所有端口位于同一广播域内。

通过路由器将网络分段，可以解决广播风暴的问题。

但是，路由器价格贵，且路由器的转发性能相对较差。

最终选择通过VLAN划分广播域。

VLAN概念

virtual local area network

VLAN是指交换机上创建的, 能将代表一个大的广播域的物理LAN分隔为若干个小的广播域的逻辑LAN，这个逻辑LAN就是我们所说的VLAN。

也可以理解成，一台物理交换机在逻辑上，分割成若干台虚拟交换机。

VLAN的作用

隔离广播域

隔离网络二层访问

增加网络安全性、抗病毒能力

增加组网的灵活性

一个VLAN=一个广播域=逻辑网段（子网）

分段，灵活性，安全性。

VLAN的规划设计

按业务划分

    一类业务对应一个VLAN

按部门划分

    一个部门对应一个VLAN

按广播域大小划分

    一个WorkGroup对应一个VLAN

按网络物理位置划分

   一个楼层或连续的几个办公室对应一个VLAN

基于端口的VLAN

对于可网管的交换机而言，VLAN1缺省存在，且所有端口都位于VLAN1

基于MAC地址的VLAN

基于协议的VLAN

基于子网的VLAN

 

VLAN中继Trunk

VLAN的延伸：不同交换机相同VLAN的互通。

Trunk的作用

Access接口：一般用来连接用户终端的接口，承载正常的以太网帧, 仅仅属于某个特定的VLAN。

Trunk接口：常用来连接网络设备，承载被标识的以太网帧, 对于Cisco交换机，缺省时能够承载所有VLAN的数据，而华为的交换机缺省时，只能承载VLAN1的数据。

Trunk接口及链路的作用：一个物理链路同时承载多个Vlan的数据，以保证交换网络高可扩展性的实现。

Trunk的封装

为区分TRUNK链路中多个VLAN的数据，需要对每个VLAN的数据进行标识。TRUNK中标识VLAN的协议有

ISL

是Cisco专用的标准。在以太网报文中增加了26byte作为VLAN tag.

Dot1Q

是IEEE制订的标准802.1Q，几乎所有的厂商设备都支持。在以太网报文中增加了4byte作为VLAN tag.

802.1Q 标签帧比ISL 标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。

 

VLAN路由

二层隔离：不同VLAN二层隔离，在企业网中，一般将部门/业务划分多个VLAN，服务器组有独立的VLAN。

三层互访需求：处在各个部门（各个VLAN）的企业员工存在互访需求，各个部门需要访问服务器。这些VLAN之间的互访需要经过三层进行互通。

不同VLAN之间的流量不能直接跨越VLAN的边界，需要使用路由，通过路由将报文从一个VLAN转发到另外一个VLAN。

二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。

三层交换机中的路由和二层交换

二层交换引擎：实现同一网段内的快速二层转发

三层路由引擎：实现跨网段的三层路由转发