VLAN原理学习笔记

以太网是一种基于CSMA/CD的数据网络通信技术，其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。

在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。

1、VLAN快速配置

Vlan:Virtual Local Area Network，虚拟局域网

主要作用：隔离广播提高网络的稳定性和安全性。方便灵活的管理网络。

VLAN配置命令：

（1）创建VLAN 10 20

vlan batch 10 20

（2）接入交换机接口，配置接口类型，把接口划入对应的VLAN

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#多个接口类型一致时，可通过port-group group-member 把连续的接口放到逻辑上的端口组中进行配置，提高配置效率。

port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4

port link-type access

port default vlan 20

（3）调试命令

查看VLAN配置--display vlan

vlan 1是设备默认的。

查看接口类型以及pvid-- display port vlan active

华为设备默认接口类型为hybrid。

2、什么是VLAN

2.1传统以太网的问题

在典型交换网络中，当某台主机发送一个广播帧或未知单播帧时，该数据帧会被泛洪，甚至传递到整个广播域。

广播域越大，产生的网络安全问题、垃圾流量问题，就越严重。

2.2虚拟局域网 (VLAN, Virtual LAN)

虚拟局域网VLAN可以隔离广播域。

特点：

▫ 不受地域限制。

▫ 同一VLAN内的设备才能直接进行二层通信。

如上图，通过vlan进行划分区域，那么vlan 10的流量就能在同一区域中传播，不会影响到其他区域。

总结：

配置vlan的优点：方便管理，减少”垃圾流量“，让网络更安全更稳定！！

2.3现网中Vlan典型应用

现网中Vlan典型应用（1）

现网中Vlan典型应用（2）

3、VLAN的基本概念

3.1如何实现VLAN

Switch1与Switch2同属一个企业，该企业统一规划了网络中的VLAN。其中VLAN10用于A部门，VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。

PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理，后者无法判断该数据所属的VLAN，也不知道应该将这个数据输出到本地哪个VLAN中。

3.1.1 VLAN标签 (VLAN Tag)

交换机如何识别接收到的数据帧属于哪个VLAN？

通过VLAN标签。

VLAN标签：

要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。

IEEE 802.1Q协议规定，在以太网数据帧中加入4个字节的VLAN标签，又称VLAN Tag，简称Tag。

3.1.2 VLAN数据帧

3.1.3 VLAN 数据帧其他知识

（1）VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLANID的有效取值范围是1～4094。

（2）交换机利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内。

（3）如何识别带VLAN标签的数据帧：数据帧的Length/Type = 0x8100（了解）。

（4）一般情况下，计算机（PC）无法识别Tagged数据帧，因此计算机处理和发出的都是Untagged数据帧；

（5）为了提高处理效率，交换机内部处理的数据帧一律都是Tagged帧。

3.1.4 VLAN的实现

Switch1和Switch2之间的链路要承载多个VLAN的数据，需要一种基于VLAN的数据“标记”手段，以便对不同VLAN的数据帧进行区分。

IEEE 802.1Q标准（也被称为Dot1Q）定义了该“标记”方法。该标准对传统的以太网数据帧进行修改，在帧头中插入802.1Q Tag，而在该Tag中，便可以写入VLAN信息。

3.2VLAN的划分方式

整个网络是如何划分VLAN的？

VLAN划分方式：

基于接口；基于MAC地址；基于IP子网划分；基于协议划分；基于策略。

3.2.1基于接口的VLAN划分

原理：

根据交换机的接口来划分VLAN。

网络管理员预先给交换机的每个接口配置不同的PVID，将该接口划入PVID对应的VLAN。

当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag，然后数据帧将在指定PVID中传输。

缺省VLAN，PVID

Port VLAN ID，是接口上的缺省VLAN。

取值：1~4094。

3.2.2基于MAC地址的VLAN划分

原理：

根据数据帧的源MAC地址来划分VLAN。

网络管理员预先配置MAC地址和VLANID映射关系表。

当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的Tag，然后数据帧将在指定VLAN中传输。

映射表：

记录了MAC地址和VLAN ID的关联情况。

4、以太网二层接口类型

接口类型有Access接口，Trunk接口和Hybrid接口

（1）Access接口

交换机上常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。

（2）Trunk接口

Trunk接口允许多个VLAN的数据帧通过，这些数据帧通过802.1QTag实现区分。Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。

（3）Hybrid接口

Hybrid接口与Trunk接口类似，也允许多个VLAN的数据帧通过，这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个（或某些）VLAN的数据帧时是否携带Tag。

（4）交换机接口类型总结

Access ：接终端服务器路由器（非子接口）

Trunk：接交换机交换机和交换机之间

Hybrid：同时具备access和trunk两种特性，用于基于mac、IP子网、认证策略等划分vlan场景。还可用于Voice vlan等特殊场景。

4.1 Access接口（仅处理PVID）

4.2 Trunk接口

4.3 Access接口与Trunk接口举例

请描述主机之间数据访问的全流程。

如，主机1发送数据到SW1的Access接口，经过处理带上PVID 10的标签，当主机1的数据从SW1经过SW2到达主机3，SW1与SW2互连做了Trunk，PVID 10会经由VLAN List去匹配是否符合条件方行通过，允许列表有VLAN 10，那么PVID 10可以通过抵达主机3完成通信过程。

4.4 Hybrid接口

4.5Hybrid接口举例

请描述主机访问服务器的全流程。

如，主机1发送数据到交换机port 1，交换机的port 1接收到带untagged的数据为其打上PVID 10的标签，经过port 3的VLAN列表，允许其通过，抵达SW2的port 1时，SW2的port 1允许PVID 10通过，发送到Server上就会剥离标签，完成访问。同理，返回的PVID 100到SW1的port 1发出给主机1时会剥离标签，完成访问。

4.6小结