2.1.2 VLAN接口

VLAN接口是在实际网络部署中经常用到的一类逻辑接口。说到VLAN接口就不得不先讲一下VLAN的定义，VLAN接口通俗来讲就是应用在VLAN环境下的接口的总称。

虚拟局域网（Virtual Local Area Network，VLAN）工作在OSI模型的第二层，即数据链路层，基于报文的目标MAC地址进行转发，用于分隔广播域和二层网络。它可以根据用户网络的需要按照部门、功能、应用等因素将网络分成不同的局域网，而不受物理网络的限制。同一个虚拟局域网中的用户可以互相访问传输数据。

要改变VLAN网络的拓扑结构，并不用使网络中的设备发生物理上的移动或者连接线路的调整。管理员仅需改动防火墙的VLAN设置，就可将不同部门从一个大的广播域分别“移到”各自独立的VLAN（如工程部VLAN、销售部VLAN、财务部VLAN），如图2-3所示。这可以使网络节点的移动、变换、增加变得非常灵活和容易。

根据划分方式的不同，VLAN可以分为以下几种：

●基于端口的VLAN：根据设备的端口号来划分VLAN。

●基于MAC地址的VLAN：根据访问PC网卡的MAC地址来划分VLAN。

●基于网络层的VLAN：根据报文中的IP地址信息确定添加的VLAN Tag信息。

●基于协议的VLAN：根据接收到的报文所携带的协议类型来给报文分配不同的VLAN Tag。网络管理员需要配置以太网帧中的协议和VLAN Tag的映射关系表。

基于端口的VLAN也称静态VLAN，是当前使用非常广泛的一种VLAN划分方法。它通过端口来定义VLAN的成员，相比其他几类划分方法，这种端口的划分方法比较简单，易于维护和理解。通过创建VLAN接口，将物理接口划分到同一个虚拟局域网，当数据报文进入该接口的时候，就会被打上相应的Tag（也称VLAN ID），之后在VLAN内部传输，所有数据报文都携带相同的Tag。

防火墙一般部署在企业的网络出口，作为网关使用，所以VLAN接口一般工作在混合模式。混合模式是指 VLAN接口既可工作在数据链路层，通过MAC地址转发二层数据，又可工作在网络层，通过IP地址路由转发IP报文。图2-4所示为VLAN划分。ge0和ge1划入VLAN100，VLAN接口1的地址为192.168.1.1，工程部1和工程部2同属于VLAN100，共享一个广播域；而ge2划入VLAN200，VLAN接口2的地址为192.168.2.1，销售部属于VLAN200，与工程部通过不同的VLAN隔离。

VLAN接口主要有以下参数：

●名称：VLAN的名称，一般根据ID直接命名，如VLAN100。

●Tag（VLAN ID）：VLAN的ID，即TAG信息，如100。

●IP地址：当VLAN接口参与三层路由转发的时候，需要配置IP地址。

●管理状态：和物理接口一样，可以设置管理状态为Up或Down。

●VLAN内物理接口：选择将哪个物理接口划归VLAN内，划分方式可以是Tag方式和Untag方式，两种方式对于报文处理的机制略有不同。

●MTU（Maximum Transmission Unit）：指最大传输单元，用来通知对方所能接收服务单元的最大尺寸，说明发送方能够接收的有效载荷大小。

●STP（Spanning Tree Protocol）：生成树协议，用于解决VLAN内部的环路问题。