VLAN

2019年3月15日11:05周五农历 己亥 猪年 二月初九

VLAN概述
一个 VLAN ＝一个广播域 ＝一个逻辑子网
VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术 
VLAN协议可以解决以太网的广播问题和安全性，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。
优点：实现动态管理，虚拟工作组，限制广播，安全性
每个VLAN就象一个物理上独立的网桥
VLANs 可以跨越多个交换机
“打标签”链路可以承载多个VLAN的信息

VLAN端口模式：Access
接入链路(access link)所链接的端口只能属于一个VLAN
Access link用于终端设备和交换机相连
缺省所有端口都是Access link类型
VLAN端口模式：Trunk
Trunk端口可以属于多个VLAN
Trunk 链路可以承载多个VLAN信息的链路， 通过打标签来区别某一数据包属于哪一VLAN，“打标签”的标准：IEEE 802.1Q
Trunk 的作用是可使一个VLAN跨越多个交换机，一般用于交换机和交换机设备之间的链路

VLAN端口模式：Hybrid
Hybrid端口可以属于多个VLAN
Hybrid链路可以承载多个VLAN信息，可以打或者不打标签
打标签，可以区别数据包属于哪个VLAN
不打标签，可以转发多个VLAN的UnTag报文
端口的PVID
PVID:（Port Vlan ID）又称端口默认VLAN ID（default Vlan ID)。在基于端口划分的VLAN 中，每一个端口都会有一个PVID。
作用：端口可以属于多个VLAN，当一个untagged包进入交换机端口时，交换根据PVID插入标签并且根据PVID学习、交换转发。

端口的vlan属性
端口在相应的VLAN内可以是tagged的，也可以是untagged的。
端口是否tagged只和报文出方向有关，如果端口是tagged的，报文带有标签从端口送出，否则剥离标签从端口送出。而端口PVID在报文入方向起作用。

VLAN划分
基于端口：静态划分，配置简单，一旦用户物理位置移动，需要重新配置
基于MAC地址：动态划分，配置繁琐
基于子网：动态划分，效率较低
基于协议：动态划分，效率较低
基于IP组播：基于组播划分，适于城域网
基于策略：在策略数据库查看，该数据库决定该帧所属于的VLAN。
VLAN标准：802.1Q
TPID：0x8100
User Priority:0（最低）－7（最高）
CFI：规范格式标识符，表示长度/类型域后是否有源路由（RIF）信息。
E-RIF：该域是用于透明桥的源路由信息。

VLAN聚合
VLAN聚合（VLAN Aggregation，也可称为Super VLAN，使处在同一个物理交换设备中的分属不同虚拟广播域的主机，处在相同IPV4子网中并且使用同一个默认网关。
优点：
减少了对IP地址空间的消耗，提高了地址了使用效率
降低了网络中IP地址管理的难度。
带来的问题：
Supervlan可以看作是对二层广播域的一个捆绑 ，一个子网内有多个二层广播域，不同的广播域内的主机如何互相通信，子网内的主机如何与其它网络通信，ARP包和IP包的流程，这些都是supervlan所要解决的问题 
子VLAN之间通过ARP代理可以实现互相访问

在路由器项目中的扩展
-基于以太网实现
-在路由器项目中的应用，将多个VLAN子接口或者桥接接口绑定到一个supervlan接口，不同接口之间通过arp代理访问
VLAN隔离
混合端口：可以与在同一个PVLAN下的所有端口通讯
隔离端口：在同一个PVLAN下的隔离端口与另一个端口（除了混合端口以外）在层2上被完全隔离，不能互相通讯 
团体端口：团体端口只能与属于同一个PVLAN下的团体端口或者混合端口通讯，团体端口与隔离端口无法通讯 。

port1 port2 port3之间互相隔离，不允许通信，只能和port6通信；port4 port5之间可以通信，另外可以和port6通信。所有的端口只需分配共享一个IP地址。
优点：节省VLAN ID资源，配置方便，同一VLAN中实现隔离
VLAN翻译
VLAN翻译又叫VLAN映射，它允许用于边缘接入的不同以太网交换机的VLAN ID设置互相重叠，通过以太网交换机的VLAN翻译功能，将不同交换机的重复VLAN ID修改为不同的VLAN ID，并从上联端口发送出去，从而在二层核心交换机中也实现用户的隔离，这样就简化了边缘接入交换机的设置。
Vlan翻译是以入端口和入vlan作为索引，映射到新vlan。

VLAN翻译主要应用在城域网中，它允许用于边缘接入的不同以太网交换机的VLAN ID设置互相重叠，通过以太网交换机的VLAN翻译功能，将不同交换机的重复VLAN ID修改为不同的VLAN ID，并从上联端口发送出去，从而在二层核心交换机中也实现用户的隔离，这样就简化了边缘接入接入交换机的设置。