VLAN的认识与配置

vlan的背景

VLAN （Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个物理局域网划分成多个虚拟局域网--VLAN，每个VLAN就是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间的主机则不能直接互通，这样，广播数据帧被限制在一个VLAN内。

  在交换式以太网中，由于交换机所有端口处于一个广播域内，导致一台计算机发出的广播帧，局域网中所有的计算机都能收到，使得局域网中的有限网络资源被无用的信息所占据，导致大量的网络带宽资源被极大的浪费，过多的广播流CPU负担过重，系统反应过慢等问题，而VLAN技术的出现在如何降低广播域的范围，I提升局域网的性能等方面做出了很大的贡献。

---

隔离广播的两种方法

起初，使用路由器来隔离广播，是因为路由器的接口处于独立的广播域中，终端主机发出的广播帧在接口被终止，可以在网络中用来隔离网络，减少广播范围，但是路由器的弊端在于它的价格要比交换机高，大部分中低端路由器使用软件转发，转发性能不高，所以在局域网中使用路由器来进行隔离广播成本高，性能低。

后来，vlan技术的出现，人们用vlan隔离广播，解决了交换机在进行语句网无法限制广播的问题，这种技术可以把一个LAN划分多个逻辑的LAN--VLAN，每个VLAN是一个广播域，不用的vlan间的设备不能直接互通，只能通过路由器等三层设备而互通，这样广播帧被限制在一个vlan内，目前绝大多数，交换机都能够支持vlan，使用vlan来减少广播域的范围，减少LAN内的广播流量，是一种高效率，低成本的方案。

 VLAN的优点

有效控制广播域范围：广播域被限制在一个VLAN内，广播流量仅在VLAN中传播，节省了带宽，提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等设备。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN的类型

1.基于端口的VLAN

基于端口的VLAN是最简单、最有效的VLAN划分方法，它按照设备端口来定义VLAN成员。将指定端口加入到指定VLAN中之后，该端口就可以转发指定VLAN的数据帧。
上图中，交换机端口G1／0／1和G1／0／2被划分到VLAN10中，端口G1／0／3和G1／0／4被划分到VLAN20中，则PCA和PCB处于VLAN10中，可以互通；PCC和PCD处于VLAN20中，可以互通。但PCA和PCC处于不同VLAN，它们之间不能互通。

2.基于协议的VLAN

基于协议的VLAN是根据端口接收到的报文所属的协议（族）类型来给报文分配不同的VLAN ID.可用来划分VLAN的协议族有IP、IPX。
交换机从增口接收残以太网祯后.会根据候中所封装的协仪类型来确定报文所属的VLAN.残后将数据餐自动划分判指定的VLAN中传输。
普特性主要应用小将网络中提供的协议典型与VLAN相绑定，方便管理和维护。

3.基于子网的协议

基于IP子网的VLAN是根据报文源IP地址及子网掩码作为依据来进行划分的。设备从端口接收到报文后，根据报文中的源IP地址，找到与现有VLAN的对应关系，然后自动划分到指定VLAN中转发。
此特性主要用于将指定网段或IP地址发出的数据在指定的VLAN中传送。

VLAN的技术原理

VLAN标签

在VLAN技术中，通过给以太网帧附加一个标签（Tag）来标记这个以太网帧能够在哪个VLAN中传播。这样，交换机在转发数据帧时，不仅要查找MAC地址来决定转发到哪个端口，还要检查端口上的VLAN标签是否匹配。
在上图中，交换机给主机PCA和PCB发来的以太网帧附加了VLAN10的标签，给PCC和PCD发来的以太网帧附加VLAN20的标签，并在MAC地址表中增加关于VLAN标签的记录。这样，交换机在进行MAC地址表查找转发操作时，会查看VLAN标签是否匹配；如果不匹配，则交换机不会从端口转发出去。这样相当于用VLAN标签把MAC地址表里的表项区分开来，只有相同VLAN标签的端口之间能够互相转发数据帧。
IEEE在802.1Q中定义了在以太网帧中所附加标签的格式。

802.1Q帧格式

在传统的以太网帧中添加了4个字节的802.1Q标签后，成为带有VLAN标签的帧（TaggedFrame）。而传统的不携带802.1Q标签的数据帧称为未打标签的帧（Untagged Frame）。
802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。
TPID （Tag Protocol Indentifier）是 IEEE定义的新的类型，表明这是一个封装了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
TCI （Tag control Information）包含的是帧的控制信息，它包含了下面的一些元素：
·Prlority：这3位指明数据帧的优先级。一共有8种优先级，0-7。
· CFI （Canonical Format Indicator）：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环／源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
·VLAN ID （VLAN Identifier）：共12比特，指明VLAN的编号。VLAN编号一共4096个，每个支持802.1Q协议的交换机发送出来的数据帧都会包含这个域，以指明自己属于哪一个VLAN。

单交换机VLAN标签操作

交换机根据数据帧中的标签来判定数据帧属于哪一个VLAN，那么标签是从哪里来的呢？VLAN标签是由交换机端口在数据帧进入交换机时添加的。这样做的好处是，VLAN对终端主机是透明的，终端主机不需要知道网络中VLAN是如何划分的，也不需要识别带有802.1Q标签的以太网帧，所有的相关事情由交换机负责。
当终端主机发出的以太网帧到达交换机端口时，交换机检查端口所属的VLAN，然后给进入端口的帧打相应的802.1Q标签。端口所属的VLAN称为端口默认VLAN，又称为PVID（PortVLAN ID)。
同样，为保持VLAN技术对主机透明，交换机负责剥离出端口的以太网帧的802.1Q标签。

Access链路类型端口

这种只允许默认VLAN的以太网帧通过的端口称为Access链路类型端口。Access端口在收到以太网帧后打VLAN标签，转发出端口时剥离VLAN标签，对终端主机透明，所以通常用来连接不需要识别802.1Q协议的设备，如终端主机、路由器等。

跨交换机VLAN标签操作

这种只允许默认VLAN的以太网帧通过的端口称为Access链路类型端口。Access端口在收到以太网帧后打VLAN标签，转发出端口时剥离VLAN标签，对终端主机透明，所以通常用来连接不需要识别802.1Q协议的设备，如终端主机、路由器等。

Trunk链路类型端口

允许多个VLAN帧通过的端口称为Trunk链路类型端口。Trunk 端口可以接收和发送多个VLAN的数据帧，且在接收和发送过程中不对帧中的标签进行任何操作。
不过，默认VLAN帧是一个例外。在发送帧时，Trunk端口要剥离默认VLAN帧中的标签；同样，交换机从Trunk端口接收到不带标签的帧时，要打上默认VLAN标签。
Trunk 蒲口一般用于在交换机之间互连。

Hybrid链路类型端口

除了Access链路类型和Trunk链路类型端口外，交换机还支持第三种链路类型端口，称为Hybrid链路类型端口。Hybrid端口可以接收和发送多个VLAN的数据帧，同时还能够指定对任何VLAN帧进行剥离标签操作。
当网络中大部分主机之间需要隔离，但这些隔离的主机又需要与另一台主机互通时，可以使用Hybrid端口。

VLAN的基本配置

vlan的基本配置

创建VLAN并进入视图

将特定端口加入到当前VLAN中

配置Trunk端口

配置端口的链路类型为Trunk类型

允许指定的VLAN通过当前Trunk窗口

设置Trunk端口的缺省VLAN

Trunk 瑞口能够允许多个VLAN的数据帧通过，通常用于在交换机之间互连。配置某个端口成为Trunk端口的步骤如下。
第1步：在以太网辅口视图下指定端口链路类型为Trunk，配置命令为：
port link-type trunk
第2步：默认情况下，Trunk增口只允许默认VLAN即VLAN1的数据帧通过，所以，需要在以太网端口视图下指定哪些VLAN能够通过当前Trunk缩口。配置命令为：
port trunk permit vlan (vlan-jd-list|all)
第3步：必要时，可以在以太回蜀口祝图下设定Trunk瑞口的默认VLAN，配置命令为：
port trunk pvld vlan vian-id

配置Hybrid端口

配置端口的链路类型为Hybrid类型

允许指定的VLAN通过当前Hybrid端口

设置Hybrid端口的缺省VLAN