VLAN原理和配置笔记

你的好爸爸

已于 2023-02-25 18:21:29 修改

阅读量276

点赞数

分类专栏：网络文章标签：网络服务器 linux

于 2022-12-03 11:39:02 首次发布

本文链接：https://blog.csdn.net/my_oul/article/details/128159625

版权

网络专栏收录该内容

15 篇文章 0 订阅

订阅专栏

VLAN原理和配置

VLAN就是虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户进行二层互访，而不同的VLAN的用户被二层隔离，这样既能隔离广播域，也能提升网络的安全性

vlan工作原理

传统以太网:随着主机数量的增加，共享网络中的冲突会越来越严重，交换网络中的广播也会越来越多

VLAN能够隔离广播域

vlan帧格式：

通过tag区分不同vlan

DMac（6b）+SMac（6）+type（2）+data（46-1500）+fcs（4）：没有携带tag的帧

DMac（6b）+SMac（6）+tag+type（2）+data（46-1500）+fcs（4）：携带tag的帧

在这里插入图片描述

VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明。
TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下：
Priority：3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧。
CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。
VLAN Identifier：VLAN ID，12比特，在X7系列交换机中，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。

在现有的交换网络环境中，以太网的帧有两种格式：

没有加上VLAN标记的标准以太网帧（untagged frame）；有VLAN标记的以太网帧（tagged frame）。

链路类型

用户主机和交换机之间的链路为接入链路，交换机与交换机之间的链路为干道链路

主机向上传输经过第一个交换机会打上一个tag标记，到达目的交换机会取消tag标记
在这里插入图片描述

Access：可以接收相同tag标记相同的接收终端设备

接入链路（Access Link）：连接用户主机和交换机的链路称为接入链路

Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路，并且只能允许唯一的VLAN ID通过本端口

access接发规则

Access 端口在收到数据后会添加vlan tag，vlan ID和端口的PVID相同

Access端口在转发数据钱会移除vlan tag

主机不能识别带有tag标记的流量

如果该端口收到对端设备发送的帧是untagged（不带VLAN标签），交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged（带VLAN标签），交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时，接收该报文。当VLAN ID与该端口的PVID不同时，丢弃该报文。

Access端口发送数据帧时，总是先剥离帧的Tag，然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。

trunk 接收规则

trunk：可以接收不同tag 只在交换机间连接交换机时使用。可以实现不同位置相同vlan的连接

干道链路（Trunk Link）：连接交换机和交换机的链路称为干道链路

Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。Trunk端口允许多个VLAN的帧（带Tag标记）通过

当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文。否则丢弃该报文。

端口发送数据帧时，当VLAN ID与端口的PVID相同，且是该端口允许通过的VLAN ID时，去掉Tag，发送该报文。当VLAN ID与端口的PVID不同，且是该端口允许通过的VLAN ID时，保持原有Tag，发送该报文。

trunk端口收到帧时，如果该帧不包含tag，将添加端口的PVID；如果该帧包含tag，则不改变

当trunk端口发送帧时，该帧的vlan ID在trunk的允许发送列表中：若与端口的PVID相同。则剥离tag发送，若与端口的PVID不同时，则直接发送

trunk：建立多个不同的vlan通信

PVID

PVID即 port vlan ID 表示端口在缺省情况下所属的vlan，也就是默认VLAN，一旦设置了

交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。

缺省情况下，常见交换机每个端口的PVID都是1

缺省：就是系统默认的状态

vlan划分

基于端口：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机的端口处于VLAN1中。此方法配置简单，但是当主机移动位置时，需要重新配置VLAN
基于Mac地址：根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN
基于ip子网划分：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签。
基于协议划分：基于协议划分：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系
基于策略：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都是需要手工配置的。

一般都是基于端口的vlan划分最常见

VLAN基本配置

vlan配置

port link-type access/trunk（设置接口类型）

添加vlan：例如 vlan 10 自动进去直接输入 vlan属于那个部门

vlan bat 10 20 ;创建10 和20 两个vlan

vlan bat X to Y ：创建多个VLAN

进入接口加vlan：port default vlan 10

port trunk all-pass vlan 10 20 :允许vlan10 和20通信

port trunk all-pass vlan all 允许所有vlan通信

进入vlan配置

vlan作用：

隔离广播域，提升网络性能
隔离不同用户或者业务，便于管理

控制广播
增强网络安全性
简化网络管理

hybrid接口特点

特点：华为交换机默认为hybrid模式

即可以实现access接口的功能，也可以实现trunk接口的功能

不借助三层设备即可实现vlan通信和访问控制

hybrid接口相对于access接口

需求

vlan间的路由

vlan间的路由：

部署了vlan的传统交换机不能实现不同vlan间的二层报文转发

单臂路由：多条路由不容易实现，单臂路由可以加多个子接口

实现vlan通信方法

一

解决VLAN间通信问题的第一种方法是：在路由器上为每个VLAN分配一个单独的接口，并使用一条物理链路连接到二层交换机上。当VLAN间的主机需要通信时，数据会经由路由器进行三层路由，并被转发到目的VLAN内的主机，这样就可以实现VLAN之间的相互通信。

然而，随着每个交换机上VLAN数量的增加，这样做必然需要大量的路由器接口，而路由器的接口数量是极其有限的。并且，某些VLAN之间的主机可能不需要频繁进行通信，如果这样配置的话，会导致路由器的接口利用率很低。因此，实际应用中一般不会采用这种方案来解决VLAN间的通信问题

二

配置单臂路由

dot1q：IEE 802.1q

开启子接口例如：int g0/0/0.1 intint g0/0/0.1

解决VLAN间通信问题的第二种方法是：
在交换机和路由器之间仅使用一条物理链路连接。在交换机上，把连接到路由器的端口配置成Trunk类型的端口，并允许相关VLAN的帧通过。在路由器上需要创建子接口，逻辑上把连接路由器的物理链路分成了多条。一个子接口代表了一条归属于某个VLAN的逻辑链路。配置子接口时，需要注意以下几点：
必须为每个子接口分配一个IP地址。该IP地址与子接口所属VLAN位于同一网段。
需要在子接口上配置802.1Q封装，来剥掉和添加VLAN Tag，从而实现VLAN间互通。
在子接口上执行命令arp broadcast enable使能子接口的ARP广播功能。
本例中，主机A发送数据给主机B时，RTA会通过G0/0/1.1子接口收到此数据，然后查找路由表，将数据从G0/0/1.2子接口发送给主机B，这样就实现了VLAN2和VLAN3之间的主机通

三

解决VLAN间通信问题的第三种方法是：
在三层交换机上配置VLANIF接口来实现VLAN间路由。如果网络上有多个VLAN，则需要给每个VLAN配置一个VLANIF接口，并给每个VLANIF接口配置一个IP地址。用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址。

三层交换

二层交换机：基于Mac地址转发

三层交换机：也可以基于Mac地址转发，第一次转发时基于路由功能转发，后面都是用二层交换转发，因为已经知道了怎么转发

三层交换机作用：一次路由多次交换（方便）

路由器：多次路由

为每个VLan创建一个vlanif接口作为网关

配置三层交换

[SWA]vlan batch 2 3  创建vlan
[SWA-GigabitEthernet0/0/1]port link-type access    	 /确定接口
[SWA-GigabitEthernet0/0/1]port default vlan 2  		/确定vlan
[SWA-GigabitEthernet0/0/2]port link-type access		/确定接口
[SWA-GigabitEthernet0/0/2]port default vlan 3		/确定vlan



SWA]interface vlanif 2    		/进入vlan接口配置
[SWA-Vlanif2]ip address 192.168.2.254 24 		/配置ip网关
[SWA-Vlanif2]quit			/退出
[SWA]interface vlanif 3 		/进入vlan接口配置
[SWA-Vlanif3]ip address 192.168.3.254 24 		/配置ip网关
[SWA-Vlanif3]quit		/退出