面试问题——VLAN

1.什么是VLAN？

VLAN（Virtual Local Area Network）是一种虚拟局域网技术，用于在物理网络上创建逻辑上独立的网络分段。VLAN可以将不同物理位置的设备组织成逻辑上的群组，使得这些设备可以在逻辑上彼此通信，就像它们连接在同一个局域网上一样。

2.举出2个VLAN划分的好处？

VLAN的主要目的是提供更灵活的网络管理和更好的网络性能。通过划分网络成不同的VLAN，可以实现以下几个方面的优势：

1. 逻辑隔离：VLAN可以将不同的设备或用户分割成逻辑上独立的群组，使它们无法直接通信。这提供了更高的安全性和隔离性，可以有效控制网络中的访问权限和流量流向。

2. 网络优化：将设备组织成不同的VLAN可以帮助优化网络性能。例如，可以将具有高带宽需求的设备（如服务器）放置在同一VLAN中，以提供更好的性能和资源管理。

3. 管理简化：通过VLAN，管理员可以更容易地管理和配置网络。可以根据需求对VLAN进行灵活的调整和重配置，而无需改变物理布线。

实现VLAN通常需要网络交换机的支持，交换机上的端口可以被分配给不同的VLAN，从而实现设备之间的隔离和通信。此外，VLAN还可以与其他网络技术（如路由器、子网划分、VLAN间的互联等）结合使用，以实现更复杂的网络架构和功能。

3.什么是本地VLAN？

本地VLAN（Local VLAN）是一种在单个交换机上配置的VLAN。它是在交换机上创建的、仅在该交换机内部有效的虚拟局域网。

本地VLAN的主要特点是它们只存在于单个交换机上，无法跨越多个交换机进行通信。本地VLAN通常用于将连接到同一交换机的设备划分为不同的逻辑组，以实现隔离、安全性和性能优化。

通过将交换机的端口分配给不同的本地VLAN，可以实现以下功能：

1. 隔离和安全性：不同的本地VLAN之间的设备无法直接通信，可以提供隔离和安全性。例如，可以将服务器和敏感设备放置在一个本地VLAN中，将普通用户设备放置在另一个本地VLAN中，从而限制它们之间的直接通信。

2. 广播控制：本地VLAN可以限制广播流量在其范围内传播，减少广播风暴对整个网络的影响。通过将广播流量限制在本地VLAN内，可以提高网络性能和效率。

3. 资源优化：通过本地VLAN，可以根据不同的需求将设备进行逻辑上的分组。例如，将具有高带宽需求的设备放置在一个本地VLAN中，以优化网络资源的分配和利用。

需要注意的是，本地VLAN只在单个交换机内部有效，无法直接与其他交换机上的本地VLAN通信。如果需要实现跨交换机的VLAN通信，需要使用更高级的技术，如基于路由器的互联（Inter-VLAN Routing）或VLAN间的链路聚合（VLAN Trunking）。

4.默认以太网VLAN是什么？

默认情况下，以太网交换机上的所有接口都属于同一个VLAN，通常称为默认VLAN或VLAN 1。这是交换机的出厂配置，其中所有接口都被分配到该默认VLAN中。

默认以太网VLAN（通常为VLAN 1）在初始配置中没有进行任何特定的设置或分割。所有连接到交换机的设备都处于同一个默认VLAN中，并可以直接相互通信。

然而，出于安全和管理的考虑，建议对默认以太网VLAN进行一些配置调整：

1. 改变默认VLAN ID：可以选择将默认VLAN的VLAN ID从默认的VLAN 1更改为其他ID。这样做可以增加网络的安全性，因为默认VLAN通常是攻击者在网络中进行潜伏和探测的常用目标。

2. 隔离默认VLAN：可以将默认VLAN与其他VLAN隔离开来，确保默认VLAN上的设备无法直接与其他VLAN中的设备通信。这可以提高网络的安全性和隔离性。

3. 禁用不需要的端口：对于那些未使用的交换机端口，建议禁用它们，以减少网络上的潜在攻击面。

5.VLAN成员类型有哪些？

VLAN成员类型指的是设备或接口在VLAN中的成员身份。以下是常见的VLAN成员类型：

1. Access端口成员：Access端口是连接主机设备的接口，它们被配置为属于特定的VLAN。Access端口上的设备只能属于一个VLAN，并且只能与同一VLAN中的其他设备直接通信。

2. Trunk端口成员：Trunk端口用于在交换机之间传输多个VLAN的数据流量。Trunk端口可以同时传输多个VLAN的数据帧，并使用特定的标记协议（如802.1Q标记）将不同VLAN的数据帧进行区分。Trunk端口可以连接多个交换机并实现跨交换机的VLAN通信。

3. Hybrid端口成员：Hybrid端口是一种灵活的端口类型，可以同时支持Access和Trunk功能。Hybrid端口允许管理员在端口级别上选择将其配置为Access端口或Trunk端口。这使得Hybrid端口可以根据需要灵活地连接不同类型的设备。

4. 空闲端口成员：空闲端口是指未分配给任何VLAN的交换机端口。这些端口通常处于关闭或未使用状态，不属于任何VLAN。

6.什么是静态VLAN？

静态VLAN（Static VLAN）是一种通过手动配置来创建和管理的虚拟局域网。在静态VLAN中，管理员需要手动指定交换机端口和VLAN之间的关联关系，将端口分配给特定的VLAN。

静态VLAN的特点如下：

1. 手动配置：静态VLAN需要管理员手动配置交换机端口和VLAN之间的关联。管理员需要指定每个端口属于哪个VLAN，以及VLAN之间的通信策略。

2. 固定成员关系：在静态VLAN中，端口和VLAN之间的成员关系是固定的。一旦配置完成，成员关系通常不会自动变化，除非管理员手动进行更改。

3. 局限性：静态VLAN的配置在单个交换机上有效，无法自动跨越多个交换机。因此，在跨交换机的环境中，静态VLAN需要在每个交换机上进行独立的配置。

4. 管理复杂性：随着网络规模的增长，静态VLAN的管理可能变得复杂。管理员需要仔细规划和维护VLAN和端口之间的关系，并确保配置的一致性和准确性。

静态VLAN通常适用于小型或较简单的网络环境，其中VLAN的数量相对较少且变化较少。对于更大规模、动态变化频繁的网络，通常会使用动态VLAN技术，如VLAN管理策略协议（VLAN Management Policy Protocol，VMPP）或VLAN注册协议（VLAN Registration Protocol，VRP）来自动管理VLAN成员关系。

7.什么是动态VLAN?

动态VLAN（Dynamic VLAN）是一种使用特定协议或技术自动创建和管理的虚拟局域网。与静态VLAN不同，动态VLAN可以根据设备的特征或网络策略动态地将设备分配到不同的VLAN中。

以下是两种常见的动态VLAN技术：

1. VLAN管理策略协议（VLAN Management Policy Protocol，VMPP）：VMPP是一种协议，用于自动将设备分配到特定的VLAN中。它通过与设备进行认证和协商，根据设备的身份、MAC地址、认证信息等特征动态地将设备分配到相应的VLAN。VMPP可以提供更灵活和自动化的VLAN管理，适用于中小型网络环境。

2. VLAN注册协议（VLAN Registration Protocol，VRP）：VRP是一种协议，用于自动将设备注册到VLAN中。它通过与网络设备（如IP电话或无线接入点）进行通信，自动将这些设备注册到相应的VLAN中。VRP通常与动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）或其他设备发现协议结合使用，以实现自动的VLAN分配和配置。

使用动态VLAN技术可以带来以下好处：

1. 自动化和灵活性：动态VLAN技术可以根据设备的特征或网络策略自动分配设备到相应的VLAN中，减少了管理员手动配置的工作量，并提供了更灵活的网络管理能力。

2. 简化网络管理：动态VLAN技术可以简化网络管理，尤其是在大规模和复杂的网络环境中。设备的添加、移动和更改可以自动触发VLAN的调整，简化了网络维护和配置的复杂性。

3. 增强安全性：动态VLAN技术可以根据设备的身份或认证信息将设备分配到相应的VLAN中，提供了更细粒度的访问控制和安全性。

8.什么是VLAN数据帧"打vlan tag"?

"打VLAN标记"（Tagging）是指在以太网帧（Ethernet frame）中添加VLAN标记（VLAN tag），以区分不同VLAN的数据帧。VLAN标记是一个额外的数据字段，包含有关帧所属VLAN的信息，使得交换机和其他网络设备能够正确地处理和路由VLAN间的数据流量。

当数据帧通过支持VLAN的网络设备（如交换机）传输时，可以进行两种VLAN数据帧处理方式：打标记（Tagged）和不打标记（Untagged）：

1. 打标记（Tagged）：在打标记的情况下，数据帧在传输过程中会在以太网帧的头部添加一个额外的VLAN标记（VLAN tag）。这个VLAN标记包含了VLAN ID等信息，用于标识数据帧所属的VLAN。打标记通常在Trunk端口上使用，以允许单个物理链路传输多个VLAN的数据流量。

2. 不打标记（Untagged）：在不打标记的情况下，数据帧在传输过程中不会添加额外的VLAN标记。这意味着数据帧不会在物理链路上携带关于VLAN的信息。不打标记通常在Access端口上使用，用于连接VLAN成员设备。

9.什么类型的流量可以通过native vlan进行传输？

Native VLAN是指在Trunk端口上配置的默认VLAN。通过Native VLAN，可以将某个特定的VLAN作为未打标记的默认VLAN，使其在Trunk链路上传输未打标记的数据帧。

10.如何修改native vlan？

要修改交换机上的Native VLAN，需要进入交换机的配置模式，并进行相应的配置。以下是一般情况下修改Native VLAN的步骤：

1. 进入特权模式：使用适当的用户名和密码登录到交换机，并进入特权模式。这通常可以通过执行命令如enable或enable privileged来实现。

2. 进入全局配置模式：一旦进入特权模式，可以通过执行命令configure terminal或conf t进入交换机的全局配置模式。

3. 定位到Trunk端口：找到需要修改Native VLAN的Trunk端口，并进入该端口的配置模式。这通常可以通过执行命令如interface <interface-name>来实现，其中<interface-name>是Trunk端口的标识符（如GigabitEthernet 1/0/1）。

4. 修改Native VLAN：在Trunk端口的配置模式下，执行命令switchport trunk native vlan <vlan-id>，其中<vlan-id>是要设置为Native VLAN的VLAN标识符。例如，要将VLAN 10设置为Native VLAN，可以执行命令switchport trunk native vlan 10。

5. 应用配置：完成修改后，使用命令exit退出Trunk端口的配置模式。然后，使用命令exit再次退出全局配置模式。

6. 保存配置：最后，执行命令write或copy running-config startup-config以保存所做的配置更改。

11.列举出2种能在单条链路上传输多个vlan的协议？

以下是两种能够在单条链路上传输多个VLAN的协议：

1. IEEE 802.1Q：IEEE 802.1Q是一种标准的VLAN标记协议，广泛应用于以太网网络中。它允许在单个物理链路上传输多个VLAN的数据帧。在IEEE 802.1Q中，每个数据帧的头部会添加一个额外的VLAN标记，其中包含有关数据帧所属VLAN的信息。这样，交换机和其他网络设备可以根据VLAN标记对数据帧进行正确的转发和处理。IEEE 802.1Q标准定义了VLAN标记的格式和处理规则，确保了跨不同厂商设备的互操作性。

2. Cisco Inter-Switch Link（ISL）：ISL是思科公司开发的一种专有的VLAN标记协议。类似于IEEE 802.1Q，ISL允许在单个物理链路上传输多个VLAN的数据帧。ISL协议在数据帧的头部添加了一个附加的ISL帧，其中包含有关数据帧所属VLAN的信息。ISL在思科设备之间使用较为常见，但在其他厂商设备上使用较少，因为它是一种专有协议。

12.那个vlan不会被802.1Q打vlan tag？

在IEEE 802.1Q标准中，VLAN ID范围是1到4094。然而，VLAN ID为0（零）和VLAN ID为4095的特殊VLAN是不会被802.1Q打VLAN标记的。

1. VLAN ID为0（零）：VLAN ID为0的VLAN是称为"Reserved VLAN"，它用于特殊目的，不会被802.1Q打VLAN标记。这是为了避免与默认的Native VLAN（未打标记的VLAN）发生混淆。

2. VLAN ID为4095：VLAN ID为4095的VLAN是称为"Reserved VLAN"，也不会被802.1Q打VLAN标记。这是为了保留给协议和控制帧使用。

13.trunck模式和access模式的区别？

Trunk模式和Access模式是两种常见的端口模式，用于在交换机上配置不同类型的端口。它们的主要区别在于它们如何处理VLAN标记和数据帧的转发。

1. Trunk模式：

   • 用途：Trunk模式用于连接交换机之间的链路或交换机与VLAN感知设备之间的链路。
   • VLAN标记：在Trunk模式下，数据帧会打上VLAN标记，以区分不同VLAN的数据流量。
   • 多个VLAN：Trunk端口能够同时传输多个VLAN的数据帧，包括打上VLAN标记的数据帧和未打上VLAN标记的数据帧（Native VLAN）。
   • 默认Native VLAN：Trunk端口通常会配置一个默认的Native VLAN，用于传输未打上VLAN标记的数据帧。
   • 通信方式：在Trunk链路上，交换机之间使用标记的数据帧进行通信，以便正确路由和转发数据。

2. Access模式：

   • 用途：Access模式用于连接主机或非VLAN感知设备的链路。
   • VLAN标记：在Access模式下，数据帧通常不会打上VLAN标记，除非将某个端口设置为带有特定VLAN的Access VLAN。
   • 单个VLAN：Access端口通常只传输一个VLAN的数据帧，不涉及多个VLAN的传输。
   • 未打标记的数据帧：Access端口上的数据帧通常是未打上VLAN标记的，即未标记的数据帧。
   • 通信方式：在Access链路上，交换机与主机或非VLAN感知设备之间使用未标记的数据帧进行通信。

14.802.1Q最多支持多少个vlan？为什么？

IEEE 802.1Q标准最多支持4096个VLAN。这是因为在802.1Q标准中，VLAN标识符（VLAN ID）的字段长度为12位，可以表示的数字范围是0到4095（共4096个可能的值）。

然而，实际上，其中一些VLAN ID是保留的或不可用的。其中，VLAN ID 0被保留用于特殊目的，用于默认的Native VLAN。而VLAN ID 4095也被保留用于特殊目的，用于保留帧（Reserved frames）。

因此，实际可用的VLAN ID范围是1到4094，总共4094个VLAN。这些VLAN ID用于标识不同的虚拟局域网（VLAN），以便在网络中实现逻辑隔离和灵活的流量控制。

15.802.1Q的报文头长度是多少？

IEEE 802.1Q的报文头长度是4个字节（32位）。该报文头被添加到以太网帧的帧头之前，用于标记和识别VLAN信息。

802.1Q报文头的格式如下：

• 2个字节（16位）的标记协议识别码（TPID）字段，用于指示该帧使用802.1Q协议。
• 2个字节（16位）的VLAN标识符（VLAN ID）字段，用于指示该数据帧所属的VLAN。

16.什么是QinQ？

QinQ（也称为双层VLAN或嵌套VLAN）是一种网络技术，用于在以太网网络中实现多层次的虚拟局域网（VLAN）隔离。QinQ通过在原有的802.1Q VLAN标记上添加额外的VLAN标记，形成一个嵌套的VLAN结构。

在QinQ中，外层VLAN标记用于区分不同的虚拟专用线路（Virtual Private Wire Service，VPWS），而内层VLAN标记用于区分VPWS中的不同客户或业务。

具体来说，QinQ在原始数据帧的VLAN标记字段中添加了一个额外的VLAN标记，形成了一个新的VLAN标记堆栈。这个堆栈可以有多个层级，每个层级都有自己的VLAN标记。内层的VLAN标记用于区分用户或业务，而外层的VLAN标记用于区分不同的VPWS。

QinQ的优点是可以提供更大的VLAN扩展性和更灵活的隔离。它允许在一个物理链路上同时传输多个不同的VPWS，每个VPWS又可以有自己的内层VLAN标记。这对于服务提供商和企业网络中需要实现多层次的隔离和分割的场景非常有用。

需要注意的是，QinQ技术需要支持QinQ的网络设备，并且在源端和目的端之间需要协商和配置正确的VLAN标记堆栈。

17.如何配置私有vlan？

要配置私有VLAN，您需要在交换机上执行以下步骤：

1. 创建私有VLAN：

   • 进入交换机的配置模式。这通常是通过进入命令行界面（CLI）或通过Web界面来完成。
   • 创建一个新的VLAN，并将其设置为私有VLAN。这可以通过使用适当的命令或配置选项来完成。例如，在Cisco交换机上，可以使用"vlan <VLAN ID>"命令创建VLAN，并使用"private-vlan isolated"命令将其设置为私有VLAN。

2. 配置主VLAN：

   • 创建一个主VLAN，并将其关联到私有VLAN。主VLAN用于连接私有VLAN中的主机设备。在Cisco交换机上，可以使用"vlan <VLAN ID>"命令创建主VLAN，并使用"private-vlan primary"命令将其设置为主VLAN。然后，使用"private-vlan association <private VLAN ID>"命令将主VLAN与私有VLAN进行关联。

3. 配置隔离VLAN（可选）：

   • 创建一个隔离VLAN，并将其关联到私有VLAN。隔离VLAN用于隔离私有VLAN中的主机设备之间的通信。在Cisco交换机上，可以使用"vlan <VLAN ID>"命令创建隔离VLAN，并使用"private-vlan isolated"命令将其设置为隔离VLAN。然后，使用"private-vlan association <private VLAN ID>"命令将隔离VLAN与私有VLAN进行关联。

4. 将端口分配给私有VLAN：

   • 选择要分配给私有VLAN的交换机端口，并将其配置为私有VLAN的成员端口。在Cisco交换机上，可以使用"interface <interface ID>"命令进入端口配置模式，并使用"switchport mode private-vlan <VLAN mode>"和"switchport private-vlan host-association <private VLAN ID>"命令将端口配置为私有VLAN的成员端口。

18.在一台交换机上配置了5个vlan，那么在这台交换机上与几个广播域？

在一台交换机上配置了5个VLAN，那么在这台交换机上将有5个广播域（Broadcast Domain）。

每个VLAN都代表一个独立的广播域，这意味着广播帧只会在同一VLAN内的设备之间进行广播，而不会跨越VLAN边界。通过配置5个不同的VLAN，交换机将逻辑上划分为5个独立的广播域。

这种划分使得在一个VLAN内的设备可以相互通信和广播信息，而与其他VLAN内的设备隔离开来。这有助于提高网络的安全性和性能，以及实现逻辑上的隔离和分割。

因此，配置了5个VLAN的交换机将具有5个独立的广播域，每个广播域内的设备可以互相通信，而与其他广播域内的设备隔离开来。

19.什么是vlan？什么是内部vlan？

VLAN（Virtual Local Area Network）是一种在局域网（LAN）中创建逻辑上隔离的虚拟网络的技术。通过使用VLAN，可以将一个物理的局域网划分为多个逻辑上独立的虚拟子网络，从而实现更灵活的网络管理和安全控制。

每个VLAN被视为一个独立的广播域，其中的设备可以互相通信，而与其他VLAN中的设备隔离开来。这意味着广播和组播帧只会在同一VLAN内传播，不会跨越VLAN边界。VLAN可以根据不同的需求和策略进行配置，例如按部门、按功能、按项目等方式划分。

内部VLAN（Inner VLAN）是指在QinQ（嵌套VLAN）中使用的第二个或后续的VLAN标记。QinQ技术允许在一个VLAN中创建多个VLAN层次的结构，其中外层VLAN用于区分不同的虚拟专用线路（VPWS），而内层VLAN则用于区分VPWS中的不同客户或业务。

在内部VLAN的概念中，内层VLAN被视为主VLAN的成员，并与主VLAN一起形成一个嵌套的VLAN结构。内部VLAN的使用可以帮助在一个物理链路上实现更多的隔离和分割，以满足复杂的网络需求和多租户环境中的安全性和资源隔离要求。

需要注意的是，内部VLAN通常与QinQ技术相关联，用于在嵌套VLAN结构中实现多层次的隔离和分割。而在普通的VLAN部署中，通常不会使用内部VLAN的概念。

20.什么是VTP协议，VTP协议的作用？

VTP（VLAN Trunking Protocol）是一种Cisco专有的协议，用于在局域网中自动同步和管理VLAN配置信息。VTP协议允许在一个VLAN管理域（VLAN Management Domain）中的交换机之间进行VLAN信息的传播和同步。

VTP协议的作用如下：

1. 自动同步VLAN配置：通过VTP协议，交换机可以自动同步VLAN的名称、ID、VLAN成员关系等配置信息。当在VLAN管理域中的任何一个交换机进行VLAN配置更改时，这些更改将被广播到其他支持VTP的交换机，从而实现VLAN配置的自动同步。

2. 简化VLAN配置管理：VTP协议简化了VLAN的配置管理。管理员只需要在VLAN管理域中的一个交换机上进行VLAN的创建、修改或删除操作，VTP将负责将这些更改广播到其他交换机，无需手动在每个交换机上进行相同的配置。

3. 减少人为错误：VTP协议减少了人为错误的风险。通过自动同步VLAN配置，可以避免手动在多个交换机上进行配置时可能出现的不一致或遗漏。

4. 加快VLAN部署速度：使用VTP协议可以加快VLAN的部署速度。管理员只需在一个交换机上创建VLAN，并确保其他交换机正确配置了VTP，VLAN配置将自动传播到整个网络中的所有交换机。

需要注意的是，VTP协议仅适用于Cisco设备，并且需要在VLAN管理域中的所有交换机上启用和配置。此外，VTP协议具有不同的版本（如VTPv1、VTPv2、VTPv3），各版本之间有一些差异和功能扩展。