Linux VLAN相关概念、转发原理及处理流程

背景

        二、三层转发是网络工程师经常接触到的一个问题，VLAN配置是二、三层转中一个很重要的概念，在配置VLAN的情况下，内核对报文是如何处理的呢？

概念

        了解VLAN转发，首先必须知道VLAN相关概念；

VLAN作用

        VLAN(Virtual Local Area Network)虚拟局域网，是一组逻辑上的设备和用户，这组设备和用户不受地理位置的限制，相互之间的通信好像在同一网段一样。

        VLAN用于逻辑上划分广播域，VLAN内可以通信，VLAN间不可以通信，从而实现网络隔离，将广播报文限制在一个VLAN内，缩小广播域，减小广播风暴对整个通信网络的影响；此外，由于只允许相同VLAN内通信，对于重要的敏感数据降低了泄漏的风险，增加了安全性。

        为了实现转发控制，在待转发的以太网帧中添加VLAN标签，设定端口对该标签和帧的处理方式；包括添加标签、去掉标签、转发帧、丢弃帧。

VLAN帧格式

       对比看出，打上标签的帧多个4个字节的VLAN标记，又称tag；VLAN Tag具体格式如下：

        TIPD：标签协议标识，2个字节，固定为0x8100，表明这是一个带有802.1Q 标签的以太网帧

        PRI：表示帧优先级，3bit，取值0-7，用于提供有差别的转发服务

        CFI：标准格式指示符，1bit，0 表示经典格式，1 表示非经典格式，如令牌环网，在以太网环境中，通常为0

        VLAN ID ：VLAN标识，表示一个帧所属VLAN，12bit，VLAN ID 范围为 0 --4095(2^12-1)，但0、4095保留，仅限系统使用，因此VLAN ID的有效范围为1-4094。

        802.1Q帧由交换机设备处理，而非用户主机；

        1）当交换机设备接收到普通以太网帧时，会插入4字节的VLAN tag变成802.1Q帧，称为“打标签”

        2）当交换机转发802.1Q帧时，若帧携带VLAN ID 与端口默认VLAN ID一致，则去除VLAN tag，称为“去标签”

        端口接收时总是希望能“打标签”，发送时总希望去除“标签”

VLAN划分

        VLAN划分即通过某种方法、约定或策略将特定端口、特定报文划分到特定VLAN的方式，目前VLAN划分有如下几种方式：

        1）基于端口划分（最常用）

         根据端口编号划分 VLAN

        2）基于MAC地址划分

        根据端口MAC地址划分VLAN

        3）基于协议划分

        根据数据帧的协议类型（或协议簇类型）、封装格式划分VLAN

        4）基于策略划分

        使用几个条件的组合来划分VLAN

        此外还有基于IP子网的划分等，具体使用何种方式，依据使用场景而定。

VLAN链路

        VLAN技术的出现，使得交换网络中出现了带