VLAN虚拟局域网技术（详解）

VLAN------虚拟局域网技术

提高安全性，风险分担，在企业网中通常将不同的部门放在不同的广播域下；

VLAN技术--------交换机被路由器协同工作后，将原本的一个广播域，逻辑上切分为多个虚拟的广播域；

VLAN划分方式以及VLAN的接口模式：

VLAN划分的方式：

1.将VID和接口进行映射，区分VLAN的范围-------物理VLAN/一层VLAN；

2.将MAC地址和接口进行映射，区分VLAN的范围-------二层VLAN；

3.将数据帧中的类型（Type）和VID进行映射，区分VLAN的范围-------三层VLAN；

 VLAN的划分也可以基于IP地址来进行划分VLAN，基于策略划分VLAN等；
 
VLAN技术的基本思路：
 		我们可以将要发送的数据打上一个标签，不同的VLAN打上不同的标签，在发送时将数据发向标签中相对应的VID的接口。在数据接收时只需要将标签去掉就可以得到完整的数据。


802.1Q帧：对此IEEE组织规定了一种新的数据帧802.1Q帧，在源地址和类型（Tpye）之间添加了4个字节的tag（12位的VID），该tag就是所说的标签；
将打标签的帧称为tagged帧，将没有打标签的帧称为untagged;

Asscess接口：
根据这个特性我们将交换机和电脑之间的链路称为-----Asscess链路，并且这些帧都属于某一种VLAN。并且我们将对应的交换机的接口称为----Asscess接口；

Trunk接口：
我们将交换机和交换机之间的 链路称为----Trunk干道，里面通过的是tagged帧，并且里面可以通过多种不同VLAN的数据帧，我们将交换机一侧的接口称为trunk接口；

由上图可知，除了Trunk和Asscess口外还有一个口-------hybrid
hybrid接口：混杂口--------华为设备所独有的

[Huawei]display port vlan active ---------查看VLAN的表，VLAN的所有的工作逻辑都是基于这张表来执行的；

port--------接口信息；

Link Type----接口类型，在华为设备中所有的接口默认类型都是hybird；

PVID------接口所属的VID，所有接口默认的PVID为1；

华为规定所有进入交换机的流量都要带标签；如果进入的数据帧没有带标签，那么则需要带上对应接口PVID的标签；

VLAN list------允许列表

表示该接口允许放通的VLAN的流量，所有接口默认放通VLAN1的流量；

U/T--------如果是U，则表示发出到链路时不带标签。当然在交换机内部的所有的数据帧都带标签；如果是T，则表示发出到链路时带标签；

注意：在trunk链路中，一般的流量需要带标签通过，但是如果是PVID所对应的流量则不带标签通过；

接口类型详解：

Access

1.当一个Access接口从链路上收到一个untagged帧，交换机接收到这个数据帧之后，将打上自己PVID对应的VID的标签（即接收该帧接口的PVID）。因为在ACCESS接口中的PVID和允许列表中的VID是相同的，所以接口将转发该流量；

2.当一个access接口从交换机的其他接口接收到一个数据帧。因为该数据帧已经存在标签，所以不需要打标签。之后看是否可以进行转发，需要关注允许列表。如果允许列表中存在该数据帧中的VID，则转发。因为access接口发出时都不带标签，所以将剥离标签发出；如果允许列表中没有该VID，则不转发；

3.当一个access接口从链路上收到一个tagged帧。因为已经存在标签，所以不需要打标签。之后看允许列表，如果允许列表中存在对应VID，则转发；如果没有，则不转发；

Trunk

1.当一个trunk接口从链路上接收到一个tagged帧。因为 存在标签，所以不需要打标签。之后看允许列表，如果允许列表中存在该VID则转发；如果不存在，则不转发；

2.当一个trunk接口从交换机的其他接口接收到一个数据帧。因为存在标签，所以不需要打标签。之后看允许列表，如果允许列表中存在该VID，则转发（注意：如果该VID如果不是trunk接口的PVID则直接带标签转发，如果该VID与trunk接口的PVID相同则剥离标签转发）；如果不存在，则不转发；

3.当一个trunk接口从链路上untagged。交换机接收到这个数据帧之后，将打上自己的PVID。之后看允许列表，如果该列表中存在该VID，则转发；如果不存在，则不转发。

hybrid

流量的接收和发送方式类似于trunk；

三种接口的权限

ACCESS（用户）----------可以修改PVID，可以修改允许列表（注意：只能通过一个VLAN的流量，并且必须是PVID所对应的VLAN，不能修改封装方式，只能是不带标签发送）

trunk接口（管理员）-------可以修改PVID，可以修改允许列表，并且可以放通多个VLAN的流量。不能修改封装方式，如果不是PVID所对应的VLAN，则必须带标签发出；如果是PVID所对应的VLAN，则不带标签发出；

hybrid接口（超级管理员）------可以修改PVID，可以修改允许列表，并且，可以放通多个VLAN流量。可以修改封装方式。

VLAN 的配置：

第一步：**创建VLAN**

[Huawei]display vlan -------查看VLAN信息，默认存在VLAN1。

VID-----是有IEEE这个组织发明的，表示VLAN的id；------有一个标准802.1Q，表示VLAN技术；要求VID由12位二进制构成，0-4096，其中0和4096保留；

[Huawei]vlan 2 ------创建一个VLAN

[Huawei]vlan batch 3 to 10 --------批量创建VLAN

[Huawei]undo vlan batch 3 to 10 ------删除VLAN

第二步：将接口划入VLAN

access配置：

[Huawei-GigabitEthernet0/0/1]port link-type access

[Huawei-GigabitEthernet0/0/1]port default vlan 2

Trunk干道配置：

[Huawei-GigabitEthernet0/0/5]port link-type trunk ---------设置接口为trunk

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 ---------设置trunk放通的VLAN流量

hybrid接口配置：

[Huawei-GigabitEthernet0/0/1]port link-type hybrid -----------将接口的模式修改为hybrid

[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 2 ----------写hybrid接口的PVID

[Huawei-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4 ------------允许列表，untagged表示允许列表数据帧向外发出时不带标签（U标记）；

[Huawei-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 4 ----------允许列表，tagged表示该允许列表数据帧向外发送时带标签（T标记）；

接口组技术：

我们可以将多个接口划分到一个组中去，在这个组中配置任何东西，该接口组中的每一个接口都会生效；用于批量配置；

[Huawei]port-group group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2
将g0/0/1,g0/0/2划入一个接口组；
[Huawei-port-group]port link-type access 
[Huawei-port-group]port default  vlan 2
对接口进行批量操作；

以太网数据帧结构：

Type:表示的是上层（网络层）使用的是什么协议；

FCS：真校验序列，保证数据的完整性；

Preamble：前导符，区分一个完整数据帧的表示，二层数据往下发时是一连串的二进制，它的作用就是用来标识一个完整的数据帧；

判断广播域：

判断有几个广播域是从泛洪的角度来看的，我们可以使用arp协议来测试；

VLAN间的通信

不同VLAN间的通信需要用到三层路由技术；

不同间的VLAN的通信相当于是跨广播域通信，需要将数据上传到3层路由器，再由路由器下发；

方法一：

子接口技术：

该技术就是为了解决不同VLAN间通信的技术，针对不同的VLAN设置的一个虚拟接口；在路由器的接口上做；

两个不同的VLAN使用的是不同的网段；

如上：为了使VLAN2和VLAN3进行通信

1.将LSW1上的接口G0/0/5做为Trunk，向外发送时带标签；

[Huawei-GigabitEthernet0/0/5]p l t

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

2.在AR2上的G0/0/0接口做子接口；

[Huawei]interface GigabitEthernet 0/0/0.1 --------创建子接口1 [Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 -----配ip地址 [Huawei-GigabitEthernet0/0/0.1]dot1q ? termination Termination [Huawei-GigabitEthernet0/0/0.1]dot1q termination vid ? INTEGER<1-4094> Specify low VLAN ID [Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2 ------表示该子接口识别VLAN2的流量

[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable --------开启该子接口的arp广播功能，子接口的arp默认是关闭的，如果不打开就不能响应主机的arp请求，就无法通信；

[Huawei]interface GigabitEthernet 0/0/0.2----------创建子接口2 [Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24 [Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 3 ---------------表示该子接口识别VLAN3的流量

[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable

方法二：

使用三层交换机来实现VLAN间的通信（是企业中常用的方法）；

SVI接口-------叫做交换机虚拟接口-----在华为中叫做：VLANif接口

• 网络的管理方法有两种：

  1.带内管理：通过网络进行管理，比如telnet,ssh,web;

  2.带外管理：不通过网络进行管理，比如插console线；

  普通的二层交换机不具备带内管理的功能；

  我们可以在交换机上虚拟一个三层接口，这样就可以做到远程管理；

管理VLAN--------这个虚拟接口配置的是哪个VLAN网段的地址，那么就称该虚拟接口为管理VLAN。

三层交换机---------三层交换机可以做到每一个VLAN都创建一个vlanif接口-------vlanif接口最大的意义就是可以做网关。此时在三层交换机里面既有路由表又有mac地址表；

配置：

[Huawei]interface Vlanif 2 ---------创建VLAN虚拟接口；

[Huawei-Vlanif2]ip address 192.168.1.254 24 ------配置ip地址

[Huawei]interface Vlanif 3

[Huawei-Vlanif3]ip address 192.168.2.254 24