关于VLAN 虚拟局域网的小知识

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。

VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域。VLAN之间的通信是通过第3层的路由器来完成的，与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。

一．tag：

传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入4Byte的802.1Q字段用来标识Vlan-tag。

1. 802.1Q报文：

① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100

② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用

③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网）

④ Vlan ID： Vlan tag标识号，12bit，可以标识0-4095的Vlan id

802.1Q抓包：

2. Vlan有效值：

在802.1Q报文中，使用12bit可以标识4096个Vlan-id，其中：

① Vlan0：当接口启用了Eth-Trunk，则此接口属于Vlan0

② Vlan1：缺省Vlan，默认所有端口位于此Vlan中

③ Vlan4095：全FFF位，作为预留值

④ Vlan2---4094：可用作Vlan-id

二．Vlan端口：

在Vlan划分中，可以将端口划分为三种方式，分别为access接入端口；trunk中继端口；hybrid混合端口。不同的端口处理数据各不相同。

三. 本征Vlan：

本征Vlan，是指交换机与交换机之间的trunk端口或Hybrid端口配置相同的缺省Vlan，当trunk端口接收到一个从access接口发送过来的数据包，并且access的Vlan id和trunk端口的缺省Vlan一致时，会直接发送数据包，当对端收到一个没有tag的数据包，会打上端口缺省的tag送往端口，提高了效率，默认缺省Vlan为1，使用命令port trunk pvid Vlan xx修改。

抓包：

四. VLAN的划分类型：

VLAN可以基于多种方式划分：

① 基于接口

② 基于MAC

③ 基于IP

④ 基于协议

⑤ 基于策略

（1）基于接口：

基于接口是目前最广泛的方式，配置省略。

（2）基于MAC：

VLAN可以基于客户端的MAC地址进行划分，当接收到一个没有TAG的数据包，交换机会查看源MAC地址表，根据源MAC地址表打上相应的tag。

配置命令：

配置命令：

将LSW1和LSW2的G0/0/1端口设置为trunk，允许Vlan10和Vlan20通过

LSW1:

[Huawei]Vlan 10

[Huawei-Vlan10]mac-Vlan mac-address 0000-0000-0001

[Huawei]Vlan 20

[Huawei-Vlan20]mac-Vlan mac-address 0000-0000-0002

[Huawei]inter g0/0/2

[Huawei-GigabitEthernet0/0/2]mac-Vlan enable

[Huawei-GigabitEthernet0/0/2]port hybrid untagged Vlan 10--不打标签出去[1]

[Huawei]inter g0/0/3

[Huawei-GigabitEthernet0/0/3]mac-Vlan enable

[Huawei-GigabitEthernet0/0/3]port hybrid untagged Vlan 20

根据发送数据包的源MAC地址封装标签，当收到一个数据包时，查看tag，如果tag和映射表中去往mac的tag相同，删除标签，发送给主机，如果不同，直接丢弃。

（3）基于IP：

VLAN可以基于客户端的MAC地址进行划分，当接收到一个没有TAG的数据包，交换机会查看源IP地址，根据源IP地址打上相应的tag。

配置命令：

LSW5：

[Huawei]Vlan 10

[Huawei-Vlan10]ip-subnet-Vlan ip 192.168.1.0 24

[Huawei]Vlan 20

[Huawei-Vlan20]ip-subnet-Vlan ip 192.168.2.0 24

[Huawei]inter g0/0/2

[Huawei-GigabitEthernet0/0/2]port hybrid untagged Vlan 10

[Huawei-port-group]ip-subnet-Vlan enable

[Huawei]inter g0/0/3

[Huawei-GigabitEthernet0/0/3]port hybrid untagged Vlan 20

[Huawei-port-group]ip-subnet-Vlan enable

（4）基于协议：

可以基于IPX协议、IP协议，IP版本等类型对数据包进行划分：

配置命令：

[Huawei]Vlan 10

[Huawei-Vlan10]protocol-Vlan ipx ethernetii

[Huawei]Vlan 20

[Huawei-Vlan20]protocol-Vlan ipv4

[Huawei]port-group group-member g0/0/2 g0/0/3 [Huawei-GigabitEthernet0/0/3]port hybrid untagged Vlan all

[Huawei-port-group] [Huawei-GigabitEthernet0/0/1]protocol-Vlan Vlan 10 all[2]

（5）基于策略：

Vlan的划分可以基于策略进行划分，定义一系列的策略，符合策略便属于同一Vlan。

策略内容：

① mac地址（必选）

② IP地址（必选）

③ 接口ID

④ 优先级

[Huawei]Vlan 10

[Huawei-Vlan10]policy-Vlan mac-address 0001-0001-0001 ip 192.168.1.1 interface g0/0/1 priority 1

[Huawei]Vlan 20

[Huawei-Vlan10]policy-Vlan mac-address 0002-0002-0002 ip 192.168.1.2 interface g0/0/2 priority 2

[Huawei]port-group group-member g0/0/2 g0/0/3 [Huawei-GigabitEthernet0/0/3]port hybrid untagged Vlan all

[Huawei-GigabitEthernet0/0/1]protocol-Vlan Vlan 10 all---将端口与Vlan10进行关联[3]

五. VLAN间路由：

部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发，因此必须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。

1.单臂路由：

将交换机和路由器之间的链路配置为Trunk链路，并且在路由器上创建子接口以支持VLAN路由，当不同Vlan通信，通过SWA的Trunk接口送往路由器子接口到达RTA走网关，通过三口去往不同网段。

单臂路由配置：

① SWA的上连接口配置Trunk放行Vlan

② RTA配置单臂路由：

[Huawei]inter g0/0/0.2

[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 2—封装dot1Q PVID为2

[Huawei-GigabitEthernet0/0/0.2]ip add 192.168.2.1 24---配置子接口IP

[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable---开启ARP广播功能

2.VLANIF：