在传统的二层交换网络中,所有的主机默认都属于同一个广播域。这意味着任何一台主机发送的广播报文(例如 ARP 请求、DHCP 发现报文),都会被无条件地转发到网络中的每一个角落。当企业网络中的电脑数量达到数百台甚至上千台时,铺天盖地的广播流量将演变成“广播风暴”,严重压榨交换机性能并堵塞正常业务带宽,同时还带来了巨大的内网安全隐患。
为了打破物理地域的限制并精细化控制二层网络,VLAN(虚拟局域网)技术应运而生。VLAN 允许网络管理员在物理交换机内部,通过软件逻辑将不同的端口划分到不同的虚拟局域网中(例如财务部划分到 VLAN 10,研发部划分到 VLAN 20)。属于不同 VLAN 的端口之间在二层完全物理隔离,广播报文绝对无法越界。这不仅将广播风暴的影响完美限制在单个 VLAN 内部,更使得即便是同一间办公室内的相邻工位,由于所属 VLAN 不同,在未经三层网关路由的情况下也无法直接互访,显著提高了企业内网的机密安全性。
而在实际企业组网中,一个部门的人员往往分布在不同的楼层,这就需要跨越物理交换机来实现相同 VLAN 的互通。为了避免为每个 VLAN 专门拉一根物理网线连接交换机,IEEE 制定了著名的 802.1Q 标准,也就是 Trunk(干道)技术。Trunk 链路允许在一条单一的物理线路上同时承载多个 VLAN 的流量。当数据包进入 Trunk 链路时,交换机会在以太网帧头中强制插入一个 4 字节的 VLAN Tag(标签),标明该数据属于哪个 VLAN。对端交换机收到后,读取标签,剥离标签,然后精准地将原始数据包转发给对应 VLAN 的端口。通过 Access 端口与 Trunk 端口的高效配合,现代园区网得以构建起极为灵活、可弹性扩展的逻辑二层架构。