Linux系统VLAN、三层交换和Trunk的区别详解

熟悉linux系统的用户都了解，在Linux系统中VLAN，三层交换和Trunk是三个容易混淆的概念。如果对这三个概念只是一知半解的，就会不可避免绕一些弯路，浪费不少时间。下面，小编就给大家介绍Linux系统VLAN、三层交换和Trunk的区别详解。

Linux系统

1.VLAN和三层没有任何关系

如果先不提Trunk而纯粹的VLAN实际上就是将多个纯二层的以太网交换机合并成了一个，用软件进行控制。合并后的交换机就是支持VLAN的交换机，参与合并的多个物理交换机如今退化成了逻辑意义上的交换机。多个物理交换机并不是傻乎乎的合并后完事，VLAN交换机的另一个意义就是可以通过各种策略指定哪个物理port属于哪个逻辑交换机，如果让物理交换机实现这个，就不得不涉及购置，布线等问题，这就说明了软件真的比硬件更加灵活，以软件为基准，硬件其实就是固化了的软件。

如果想明白VLAN的含义，在Linux上配置几个Bridge就可以了。我们知道，Linux内置了一个软Bridge实现，通过brctl可以进行配置，一个单独的Linux物理主机配置了N块以太网卡，就可以简单的模拟VLAN的概念(注意，此时还没有引入VLAN的本质-Trunk)了：

a.新增一个br0，将网卡1/2/3加进去;

b.新增一个br1，将网卡4/5/6加进去;

c....

d.网卡1连接一个纯二层交换机1;

e.网卡4连接一个纯二层交换机2;

f....

这样Linux主机上就存在了多个Bridge，你可以将Linux主机这个物理的机器视为一个支持VLAN的机器了。

VLAN交换机是一个纯二层的设备。然而，如果仅仅这样，那就没有必要推出VLAN的概念了，VLAN到底和上述的简单配置有什么不同呢?这就涉及到了IEEE802.1q标准。

2.Trunk和三层没有任何关系

如果一个VLAN交换机上配置了两个VLAN，分别为VLAN1和VLAN2，另外几台VLAN交换机上可能也需要配置VLAN1和VLAN2，毕竟单独一台机器的口子有限，因此对于组网，不级联的拓扑是很少见的，现在关键的问题就是需要让处在不同VLAN交换机的口子可以属于同一个VLAN，即属于同一个广播域。办法很简单，那就是每一个VLAN用一个线将两个VLAN交换机上属于同一个VLAN的口子连起来，如果两台交换机上分别有3个VLAN，那就扯3根线。。。这不得不说是一个好方法，但决不是一个妙方法。对于硬件上的体力活儿，软件一般都能很好的解决，这一次，又是软件帮了忙，正如VLAN的概念提出时那样。

Trunk标准提出来了，所谓的Trunk就是可以让多个VLAN在两个交换机级联时复用一根线，因此软件上需要对数据帧做一些文章，以便数据帧到达另一个交换机的时候知道自己属于哪个VLAN从而限制帧的传输域，802.1q正是做这个的，从而这也成了VLAN的核心。Trunk只是简化了布线，降低了硬件成本，这是一个通过软件降低硬件成本的绝好的例子。

既然Trunk可以通过多个VLAN的数据，那么实际上Trunk是将广播域延伸到了另外一台交换机上，而对于LAN，其广播域延伸到哪里，LAN也就延伸到了那里。事实上这并不与VLAN的初衷之一-限制广播域相冲突，Trunk将广播透传的时候是打着VLAN id标记的，也就是说广播除了可以在Trunk上或者在自己VLAN内部传输，是决不会到达其它VLAN里面的，如果一个广播到达了这样一个交换机，其上既没有别的Trunk口，也没有广播携带的VLAN id对应的VLAN，那么广播也就到此为止而消失了。

到此为止，丝毫没有任何第三层的概念出现。

3.VLAN接口的概念

VLAN接口的概念和Linux上Bridge的实现十分相像，就是可以为一个VLAN配置一个或者多个接口，在该接口上可以指定三层的IP地址，在VLAN的某一个口子(物理二层接口)上配置这样一个VLAN接口(三层接口)实际上就等同于在VLAN的该口子上插入了一台三层设备，只是这台设备是一台虚拟的设备罢了，另外和真正插一台设备不同的是，由于它是处在本机内部的，因此它所配置IP地址当然也就属于本机IP地址了，处在路由表的Local域中。

理解了这一点就会明白，实际上配置了VLAN接口的VLAN交换机实际上是往纯VLAN交换机里面硬塞了一台三层设备，二者合而为一，因此更能加深对“VLAN交换机是一个纯二层的设备”这个观点的认识。

4.LAN交换机上可以配置IP地址

姑且先抛开VLAN的概念，说一下LAN交换机。一般以为LAN交换机是纯二层的设备，可是知道了VLAN接口的概念后，我们发现即使没有VLAN，也是可以将一台虚拟的三层设备插入到一个LAN交换机的口子上去的，其实Linux的软Bridge就是这样做的，那么内置了三层虚拟设备的LAN交换机就有了三层的功能。这是什么呢?还是以Linux为例，在Linux上配置两个Bridge，分别为br0，br1，在br0上配置IP地址1.1.1.1/24，在br1上配置IP地址2.2.2.2/24，我们就可以看到br0标示的一个LAN上的流量可以通过br0的IP地址被路由到br1，反之，br1标示的LAN流量也可以通过br1的IP地址路由到br0，这是什么?这就是三层交换机，一个将路由器接口变成交换机接口的路由器，这部三层交换机上拥有两组LAN接口，虽然可以略见VLAN的概念，但是没有任何标准说这个三层交换机上的两组LAN就是两个VLAN。

可见，三层交换机可以和VLAN没有关系。
[page]

5.以太网三层交换机

从上述第4节可以看出，三层交换机可以和VLAN没有关系，然而实际情况下，三层交换机一般都支持VLAN，为何设备厂商要如此做呢?这涉及到一个工业设计的问题，工业上的设计主要关注产品的使用而不是理论上的合理性，因此将VLAN引入第4节的“两组LAN”是最合适不过的了。

另外，三层交换机本质上还是偏重于“交换机”而不是“三层”，交换机的特征就是交换，所谓的交换是一个快速转发的概念，基本都是使用硬件芯片完成的，大量的存储芯片以空间换时间完成快速交换，这得益于以太网帧头的简单易操作性以及LAN交换机设计时关注了基于源MAC的自动学习和基于目标MAC的转发，之所以能如此还是因为以太网是一个BMA，即广播网络，到底数据应该由谁接收不是交换机决定的，而是各个端点主机决定的，这样的话交换机就可以模糊的进行转发，做到尽可能的精确-通过源MAC/端口学习，大不了就广播。这就是以太网交换的特征，三层交换机可以利用以太网交换的大量存储芯片用来存储IP层的路由结果，利用以太网快速交换的思想用来进行三层转发，数据包的第一次通过还是要走三层，这相当于一次学习的过程，类似以太网的MAC/端口学习，以后的结果就可以存储于ASCI了，这样就完成了快速转发。

6.三层交换机和路由器的区别

这个问题的答案铺天盖地，然而内容也是千篇一律，很少有人研究其背后的原因。既然以太网三层交换机可以做到一次路由多次转发，那么为何不再WAN上使用呢?如果仅仅是因为WAN不一定是以太网的话，那大可为了性能在WAN上引入以太网技术，这并不是主要原因，实际上，如果再深入一点看一下WAN上的路由器和接入层路由器的路由表就会恍然大悟了，WAN路由器上的表项数量十分庞大，且在BGP的影响下虽不频繁但是还是会有刷新，如果使用硬件来转发的话，光是对存储空间的需求就是一个挑战，三层交换机的快速转发实际上用到了cache的概念，有cache就会有冲突，特别在WAN环境下，IP地址的变动，可达性信息的变动会导致大量的cache冲突，因此三层交换机带来的收益会被马上抵消，另外WAN环境实际上用不到很多交换机口子，因此三层交换机内部背板芯片布线对于WAN环境是不合理的。其实用不着为WAN的性能担心，WAN路由器早就使用了类似Cisco CEF的快速转发技术了。

三层交换机的使用场合是单个小型机构内部，因为这种地方的特定IP地址几乎不会变动，路由相对稳定，IP地址总量也不多，且路由基本都能汇聚，正好符合cache最优化使用的原则，三层交换机用武之地正在于此。

7.VLAN间的通信

这个问题的方案也是铺天盖地，答案同样千篇一律。VLAN间的通信方式被总结出来有两种：1.使用单臂路由方式;2.使用三层交换方式。这好像是从CCNP/CCIE或者华为的HCSE的考试指南中流出来的，如果背下来当然是有用的，当初我考HCSE的时候还背了呢。学习到了一定程度就应该抛弃答案，回归本质。两个VLAN间的通信其实就是两个LAN间的通信，两个LAN间的通信需要一个网关来路由，那么VLAN间通信也就需要一个网关来路由了，这个网关的选择就多样了，可以选择VLAN接口，可以选择路由器等等，最终具体属于一个VLAN的主机在访问另一个VLAN的主机时如何能寻址到这个三层接口，那也有很多选择，VLAN的access链路上帧保持原样，流量若要跨越交换机的级联线，那么需要通过Trunk链路，最终总能找到这个下一跳三层接口。