华为交换机入门（六）：VLAN的配置

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。

VLAN 主要用来解决如何将大型网络划分为多个小网络，隔离原本在同一个物理LAN中的不同主机间的二层通信，以使广播流量不会占据更多带宽资源，同时也提高网段间的安全性，因为广播域缩小了，广播风暴产生的可能性也大大降低了。

在LAN通信中有许多通信都会产生广播数据帧的，如ARP在MAC地址寻址时会产生广播数据帧、DHCP服务器在为客户端自动分配IP地址时也会产生许多广播数据帧。还有许多病毒也会产生许多广播数据帧。
在物理LAN中，各主机是可以直接通过网络体系结构中的第二层，即数据链路层进行通信的，但划分VLAN后，不同VLAN中的主机是不可以直接通过第二层进行通信的，必须通过第三层，即网络层

虽然在交换式网络中相对以集线器为集中设备的共享式网络来说缩小了冲突域，同时在非全交换全双工模式的以太网络中通过CSMA/CD技术提供了冲突避免解决方案，但依然没有解决缩小广播域的问题。

LAN内的广播数据帧仍然可以在整个 LAN 内广播，会引起网络性能的下降，浪费宝贵的带宽资源，且其影响随着广播域的增大而迅速增强。

此时唯一有效的途经就是重新划分LAN，把单一结构的大LAN划分成相互逻辑独立的小型虚拟LAN，这就是VLAN技术产生的背景。

参考资料：计算机网络基础

一、vlan的工作原理

（一）同一物理交换机中的VLAN形成原理理解

VLAN的形成原理关键就是要理解“虚拟”这两个字。“虚拟”表示VLAN所组成的是一个虚拟，或者说是逻辑 LAN，并不是一个物理 LAN。

通过不同的划分规则把连接的交换机上的各个用户主机划分到不同的 VLAN 中，同一个交换机中划分的各个VLAN 可以理解为一个个虚拟交换机。

如图所示的物理交换机中就划分了5个VLAN，相当于有5个相互只有逻辑连接关系的虚拟交换机。

其实只要把一个 VLAN 看成一台交换机，就比较好理解了，因为虚拟交换机与物理交换机具有许多相同的基本属性。同一物理交换机上的不同VLAN之间就像永远不可能有物理连接，只有逻辑连接的不同物理交换机一样。

既然没有物理连接，那不同VLAN肯定是不能直接相互通信的，即使这些不同VLAN中的成员都处于同一IP网段，因为不同VLAN间的二层通信是隔离了的，只能通过更高的三层进行相互通信。

（二）不同物理交换机中的VLAN形成原理理解

因为一个VLAN中成员计算机不是依据成员的物理位置来划分的，所以这些成员计算机通常连接在网络中的不同交换机上，这样才更显示出 VLAN 切分的灵活性和实用性。也就是说一个VLAN可以跨越多台物理交换机，这就是VLAN的中继（Trunk）功能。

这时就不要总按照物理交换机来看待用户主机的分布了，而要从逻辑的VLAN角度来看待了。

如图就不是把它当成两台物理交换机，而是把它当成是五台（VLAN 1、VLAN 2、VLAN 3、VLAN 4和VLAN 5）仅存在逻辑连接关系，但两台物理交换机中相同的 VLAN 间有相互物理连接关系的虚拟交换机了。

在同一物理交换机上不可能存在两个相同的VLAN，而在不同交换机上可以有相同的VLAN，而且这些不同物理交换机上的相同VLAN间一般情况下是可以直接互访的。

当然这得要求：
1.它们都位于同一个IP网段
2.物理交换机连接的端口上允许这些VLAN数据包通过。

不仅如此，如果位于不同交换机上的两个不同VLAN处于同一个IP网段，且交换机间连接的两个端口是分别隶属通信双方VLAN的Access端口，或者不带VLAN标签的Hybrid端口，则这两个VLAN间也是可以直接通信的。

(三）认识VLAN标签

VLAN是二层协议，对应于 IEEE 802.1q标准。这样一来，在二层的数据帧中会打上所属VLAN的标签，这就是 IEEE 802.1q标签（Tag），也就是通常所说的VLAN标签。

每台支持802.1Q协议的交换机发送的数据包都会包含VLAN ID，以指明交换机属于哪一个VLAN。因此，在一个VLAN交换网络中，以太网帧有以下两种形式：

• 有标记帧（tagged frame）：加入了4字节802.1Q Tag的帧
• 无标记帧（untagged frame）：原始的、未加入4字节802.1Q Tag的帧

802.1Q Tag包含4个字段，各字段解释如表1所示：

VLAN Identified”（VLAN标识）字段，占 12位，指明VLAN的ID，取值范围为 0～4 095，共4 096个，但由于 0和4 095为协议保留取值，所以VLAN ID的实际有效取值范围是 1～4 094。每个进入支持 802.1q协议的交换机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。

（四）二层以太网端口

在华为交换机中主要包括 Access（访问）、Trunk（干道）和 Hybrid（混合）、QinQ这4种二层以太网端口。

（1）Access端口

Access端口主要是用来连接用户主机的二层以太网端口。它有一种最主要的特性是仅允许一个VLAN的帧通过，反过来也就是Access端口仅可以加入一个VLAN中，且Access端口发送的以太网帧永远是Untagged（不带标签）的。

（2）Trunk端口

Trunk端口是用来连接与其他交换机的二层以太网端口。它的最主要特性是允许多个 VLAN 的帧通过，并且所发送的以太网帧都是带标签的，除了发送VLAN ID与PVID（Port Default VLAN ID，端口缺省VLAN ID）一致的VLAN帧。

（3）Hybrid端口。

Hybrid端口可以说是以上Access端口和Trunk端口的混合体，它们具有共同的特性，是一种特殊的二层以太网端口。正因如此，Hybrid端口既可以连接用户主机，又可以连接其他交换机、路由器设备。同时 Hybrid 端口又允许一个或多个VLAN的帧通过，并可选择以带标签或者不带标签的方式发送数据帧。

（4）QinQ端口

QinQ端口是专用于QinQ协议的二层以太网端口。它可以给数据帧加上双层VLAN标签，即在原来标签的基础上，给帧加上一个新的标签，从而可以支持多达4094×4 094个VLAN，满足企业用户网络对VLAN数量更高的需求。S1700和S2700SI不支持QinQ类型端口。

【经验之谈】这里所说的数据帧“收”是指交换机端口接收从对端设备发来的数据帧，而不是接收从交换机内部的另一个端口发来的数据帧，因为在交换机内部传输的数据帧都是带有VLAN标签的，无论是从哪种交换机端口发来的数据帧。
同理，这里所说的数据帧“发”是指从交换机端口向对端设备发送数据帧，而不是指本地交换机中一个端口向另一个交换机端口发送数据帧。这一点要特别注意，否则很难理解这些端口的数据接收、发送规则。

（五）链路类型

Access、Trunk和Hybrid这三种以太网端口所形成的链路又可归纳成两种以太网链路：接入链路（Access Link）和干道链路（Trunk Link）。

• 接入链路（Access Link）：用于连接用户主机和交换机的链路。通常情况下，主机并不需要知道自己属于哪个VLAN，主机硬件通常也不能识别带有VLAN标记的帧。因此，主机发送和接收的帧都是untagged帧。
• 干道链路（Trunk Link）：用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同VLAN数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个VLAN，所以在干道链路上传输的帧都是Tagged帧。

交换机在接收到帧后，会根据对应端口类型采取相应的数据收、发处理。如果帧需要通过另一台交换机转发，则该帧必须通过干道链路透传到对端交换设备上。

为了保证其他交换设备能够正确处理帧中的VLAN信息，在干道链路上传输的帧必须打上VLAN标签。当交换机最终确定帧出端口后，在将帧发送给主机前需要将 VLAN 标签从帧中删除，这样主机接收到的帧都是不带VLAN标签的以太网帧，也只有这样主机才可能识别。

所以一般情况下，干道链路上传输的都是带VLAN标签的帧，接入链路上传输的都是不带 VLAN 标签的帧。这样处理的好处是网络中配置的 VLAN 信息可以被所有交换设备正确处理，而主机不需要了解VLAN信息。

（六）vlan的划分

VLAN 最基本的配置是划分 VLAN，VLAN 划分成功后即可实现不同 VLAN 内用户的二层隔离，达到缩小广播域的目的。

华为交换机可支持以下 5 种 VLAN 划分方式：基于端口划分、基于MAC地址划分、基于子网划分、基于协议划分、基于策略划分。

优先级：
如果一交换机上同时配置了以上多种方式划分的VLAN，则对于具体的用户主机来说将按以下从高到低的优先级顺序采用最终的 VLAN 划分方式：基于匹配策略划分 VLAN→基于MAC地址划分VLAN和基于子网划分VLAN→基于协议划分VLAN→基于端口划分VLAN。

（六）VLAN间通信

1.VLAN内跨越交换机通信原理

有时属于同一个VLAN的用户主机被连接在不同的交换机上。当VLAN跨越交换机时，就需要交换机间的接口能够同时识别和发送跨越交换机的VLAN报文。这时，需要用到Trunk Link技术。
这时，需要用到Trunk Link技术。

Trunk Link有两个作用：

• 中继作用
  把VLAN报文透传到互联的交换机。

• 干线作用
  一条Trunk Link上可以传输多个VLAN的报文。
  

在如图所示的网络中，为了让DeviceA和DeviceB之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯，需要配置连接接口同时加入两个VLAN。即应配置DeviceA的以太网接口Port2和DeviceB的以太网接口Port1同时加入VLAN2和VLAN3。

当用户主机Host A发送数据给用户主机Host B时，数据帧的发送过程如下：

1. 数据帧首先到达DeviceA的接口Port4。
2. 接口Port4给数据帧加上Tag，Tag的VID字段填入该接口所属的VLAN的编号2。
3. DeviceA查询自己的MAC地址表中是否存在目的地址为Host B的MAC地址的转发表项。
   – 如果存在，DeviceA将数据帧转发给接口Port2。
   – 如果不存在，DeviceA会将数据帧发送到本设备上除port4接口外的所有属于VLAN2的接口。
4. 接口Port2将帧转发到DeviceB上。
5. DeviceB收到数据帧后，会查询自己的MAC地址表中是否存在目的地址为Host B的MAC地址的转发表项。
   – 如果存在，DeviceB会将数据帧发送给出接口Port3。
   – 如果不存在，DeviceB会将数据帧发送到本设备上除port1接口外的所有属于VLAN2的接口。
6. 接口Port3将数据帧发送给主机Host B。

2.VLAN间通信原理

一般情况下不同 VLAN 是不能直接进行通信的，因为 VLAN 间缺省是二层隔离的，但有时又需要不同VLAN中的用户进行通信。
华为S系列交换机提供了3种实现VLAN间通信的解决方案：

• 三层VLANIF接口方案
• 三层以太网子接口方案
• VLAN Switch（VLAN交换）方案。

VLANIF接口的三层交换技术是将路由技术与交换技术合二为一的技术，在交换机内部实现了路由，提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后，会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时，将根据此表直接从二层通过而不是通过三层，从而消除了路由器进行路由选择而造成的网络延迟，提高了数据包转发效率。

为了保证第一次数据流通过路由表正常转发，路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议，实现三层路由可达。VLANIF接口由此而产生。

主机A和C的通信过程如下:

1. 主机A将主机C的IP地址和自己所在网段进行比较，发现主机C和自己不在同一个子网。
2. 主机A发送ARP请求给自己的网关Device，请求网关的MAC地址。
3. Device收到该ARP请求后，返回ARP应答报文，报文中源MAC地址为VLANIF2的MAC地址。
4. 主机A学习到网关的MAC地址。
5. 主机A向网关发送目的MAC为VLANIF接口MAC地址、目的IP为主机C的IP地址的报文。
6. Device收到该报文后进行三层转发，发现主机C的IP地址为直连路由，报文将通过VLANIF3接口进行转发。
7. Device作为VLAN3内主机的网关，向VLAN3内发送一个ARP广播，请求主机C的MAC地址。