秒懂虚拟局域网VLAN技术

什么是VLAN

1) 传统以太网的问题

在典型交换网络中，当某台主机发送一个广播帧或未知单播帧时，该数据帧会被泛洪，甚至传递到整个广播域。广播域越大，产生的网络安全问题、垃圾流量问题，就越严重。

2) 虚拟局域网 (VLAN, Virtual LAN)

虚拟局域网VLAN可以隔离广播域。

特点：

不受地域限制。

同一VLAN内的设备才能直接进行二层通信。

• 为了解决广播域带来的问题，人们引入了VLAN (Virtual Local Area Network)，即虚拟局域网技术：

▫ 通过在交换机上部署VLAN，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络的安全性，同时减少垃圾流量，节约网络资源。

• VLAN的特点：

▫ 一个VLAN就是一个广播域，所以在同一个VLAN内部，计算机可以直接进行二层通信；而不同VLAN内的计算机，无法直接进行二层通信，只能进行三层通信来传递信息，即广播报文被限制在一个VLAN内。

▫ VLAN的划分不受地域的限制。

• VLAN的好处：

▫ 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

▫ 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

▫ 增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

▫ 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。

• 注：二层，即数据链路层。

VLAN的基本原理

1) 如何实现VLAN

2) VLAN标签 (VLAN Tag)

3) VLAN数据帧

在一个VLAN交换网络中，以太网帧主要有以下两种形式：

a) 有标记帧（Tagged帧）：IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag）的数据帧。

b) 无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的数据帧。

VLAN数据帧中的主要字段：

c) TPID：2字节，Tag Protocol Identifier（标签协议标识符），表示数据帧类型。

i. 取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

ii. 各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时，为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。

d) PRI：3 bit，Priority，表示数据帧的优先级，用于QoS。

取值范围为0～7，值越大优先级越高。当网络阻塞时，交换机优先发送优先级高的数据帧。

4) VLAN的划分方式

VLAN的划分包括如下5种方法：

a) 基于接口划分：根据交换机的接口来划分VLAN。

i. 网络管理员预先给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的标签，然后数据帧将在指定VLAN中传输。

b) 基于MAC地址划分：根据数据帧的源MAC地址来划分VLAN。

i. 网络管理员预先配置MAC地址和VLAN ID映射关系表，当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。

c) 基于IP子网划分：根据数据帧中的源IP地址和子网掩码来划分VLAN。

i. 网络管理员预先配置IP地址和VLAN ID映射关系表，当交换机收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。

d) 基于协议划分：根据数据帧所属的协议（族）类型及封装格式来划分VLAN。

i. 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。

e) 基于策略划分：根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等。

i. 网络管理员预先配置策略，如果收到的是Untagged帧，且匹配配置的策略时，给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。

5) 基于接口的VLAN划分

划分原则：

a) 将VLAN ID配置到交换机的物理接口上，从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。

特点：

b) 这种划分原则简单而直观，实现容易，是目前实际的网络应用中最为广泛的划分VLAN的方式。

c) 当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属可能会发生变化。

缺省VLAN，PVID (Port VLAN ID)

d) 每个交换机的接口都应该配置一个PVID，到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。

e) 默认情况下，PVID的值为1。

6) 基于MAC地址的VLAN划分

划分原则：

a) 交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时，交换机将分析帧中的源MAC地址，然后查询MAC地址与VLAN ID的对应表，并根据对应关系把这个帧划分到相应的VLAN中。

特点：

b) 这种划分实现稍微复杂，但灵活性得到了提高。

c) 当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属不会发生变化（因为计算机的MAC地址没有变）。

d) 但这种类型的VLAN划分安全性不是很高，因为恶意计算机很容易伪造MAC地址。

7) 以太网二层接口类型

• 基于接口的VLAN划分依赖于交换机的接口类型。

• Access接口

Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。

• Trunk接口

Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。

• Hybrid接口

▫ Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。

▫ 华为设备默认的接口类型是Hybrid。

VLAN的基础配置命令

• vlan命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。

• undo vlan用来删除指定VLAN。

• 缺省情况下，将所有接口都加入到一个缺省的VLAN中，该VLAN标识为1。

▫ 命令：

▫ vlan vlan-id

▪ vlan-id：指定VLAN ID。整数形式，取值范围是1～4094。

▫ vlan batch { vlan-id1 [ to vlan-id2 ] }

▪ batch：指定批量创建VLAN。

▪ vlan-id1 to vlan-id2：指定批量创建的VLAN ID，其中：

− vlan-id1表示第一个VLAN的编号。

− vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1，它与vlan-id1共同确定一个VLAN范围。

▪ 如果不指定to vlan-id2参数，则只创建vlan-id1所指定的VLAN。

▪ vlan-id1和vlan-id2是整数形式，取值范围是1～4094。

• 命令：port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] | all }

▫ vlan-id1 [ to vlan-id2 ]：指定Trunk类型接口加入的VLAN，其中：

▪ vlan-id1表示第一个VLAN的编号。

▪ to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。

▪ vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。

▫ all：指定Trunk接口加入所有VLAN。

• 命令：port trunk pvid vlan vlan-id，设置Trunk类型接口的缺省VLAN。

▫ vlan-id：指定Trunk类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。

• 命令：port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }

▫ vlan-id1 [ to vlan-id2 ]：指定Hybrid类型接口加入的VLAN，其中：

▪ vlan-id1表示第一个VLAN的编号。

▪ to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。

▪ vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。

▫ all：指定Hybrid接口加入所有VLAN。

• 命令：port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }

▫ vlan-id1 [ to vlan-id2 ]：指定Hybrid类型接口加入的VLAN，其中：

▪ vlan-id1表示第一个VLAN的编号。

▪ to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。

▪ vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。

▫ all：指定Hybrid接口加入所有VLAN。

• 命令：port hybrid pvid vlan vlan-id，设置Hybrid类型接口的缺省VLAN。

▫ vlan-id：指定Hybrid类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。