交换机Vlan-Access和Trunk的说明和配置方法

置顶数通工程师

于 2025-10-11 10:30:34 发布

阅读量692

点赞数 24

CC 4.0 BY-SA版权

文章标签：华为信息与通信运维

本文链接：https://blog.csdn.net/weixin_42167875/article/details/153041342

#王者杯·14天创作挑战营·第6期#

文章目录

前言
Vlan原理
接口的链路类型
原理的总结说明
不同厂家的设备如何配置Access和Trunk端口
总结

前言

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

早期以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

使用VLAN能给用户带来以下受益：

限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

Vlan原理

要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。

即在传统以太网数据帧中，添加4Byte的Vlan标签（Tag）

fig_dc_cfg_vlan_100501

TPID，2Byte，Tag Protocol Identifier（标签协议标识符），表示数据帧类型。
PRI，3bit（注意，是小b），Priority，表示数据帧的802.1p优先级，取值范围为0～7，值越大优先级越高。当网络阻塞时，交换机优先发送优先级高的数据帧。
CFI，1bit，表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网。
VID，12bit，表示该数据帧所属VLAN的编号，VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。

在一个VLAN交换网络中，以太网帧主要有以下两种形式：
有标记帧（Tagged帧）：加入了4字节VLAN标签的帧。
无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧。

接口的链路类型

交换机内部处理的数据帧一律都带有VLAN标签，而现网中交换机连接的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的交换机上，且跨越交换机的VLAN可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。

Access接口
- Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。交换机内部只处理Tagged帧，所以Access接口需要给收到的数据帧添加VLAN Tag，也就必须配置缺省VLAN。配置缺省VLAN后，该Access接口也就加入了该VLAN。当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。为了防止用户私自更改接口用途，接入其他交换设备，可以配置接口丢弃入方向带Tag的报文。
Trunk接口
- Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。
Hybrid接口
- Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。
- Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如在灵活QinQ中，服务提供商网络的多个VLAN的报文在进入用户网络前，需要剥离外层VLAN Tag，此时Trunk接口不能实现该功能，因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。有关灵活QinQ的详细介绍，请参见“VLAN Mapping配置”中的“配置灵活QinQ”。
QinQ接口
- QinQ接口（802.1Q-in-802.1Q）使用QinQ协议，一般用于私网与公网之间的连接。它可以给帧加上双层Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094×4094个VLAN，满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag，用来标识公网的VLAN；内层Tag通常被称作私网Tag，用来标识私网的VLAN。QinQ接口也被称为Dot1q-tunnel接口。

原理的总结说明

VLAN

VLAN（Virtual Local Area Network）即虚拟局域网的概念。可以参考博主上一篇文章，交换机的应用场景和配置。我们只需要理解这一概念：Vlan是在普通的数据帧中添加了Vlan标签，交换机内部处理的数据帧一律都带有VLAN标签，所以实现了同Vlan标签相同的可以互通，不同Vlan标签的数据不互通。

Access

当交换机1,2,3口均配置 Access Vlan 10，连接了PC1，PC2，PC3 时，这三台设备就组成了一个小型的局域网。

PC1 发数据到交换机Access口，交换机将该数据帧打上vlan10的标签，在有vlan10标签的局域网中互通。

PC1与PC3互通，PC1发数据到交换机打上vlan10的标签，当数据从交换机3口发出去，到PC3时，该vlan标签被剥离（这是Access口的特性），PC正常也只能接收没有Tag的数据，PC1和PC3互通。所以，交换机在对接PC、服务器时，正常都使用Access接口类型。

拓展：如何让PC可以接受有Tag的数据

在以太网卡 → 属性 → 配置 → 高级

可以在 vlan ID 中打上对应的 vlan 标签

9922720e0cf3d7ca2399ddf1e01fbe096a63a9ce

Trunk

当交换机1,2,3口连接了PC1，PC2，PC3，并且接口分别配置了 Access vlan 10,20,30 ，交换机通过10口连接上行路由器设备。此时的10口就需要设置为Trunk口，添加vlan 10,20,30 的标签。此时，数据在交换机内部发送到10口，带有 vlan 10,20,30 标签的数据会被接收，其它vlan标签的数据被丢弃。当数据从10口发出到路由器时，发出的数据被打上了vlan 10,20,30的标签，此时对端路由器也需要设置为Trunk口，允许vlan 10,20,30 的通过。

不同厂家的设备如何配置Access和Trunk端口

提示：同厂家不通版本，配置命令也会略有差异

华为

vlan 10
#
vlan 20
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20
#
# 上行口配置为Trunk
#
interface GigabitEthernet1/0/3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20

华三

vlan 10
#
vlan 20
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 port link-type access
 port access vlan 10
#
interface GigabitEthernet1/0/2
 port link-mode bridge
 port link-type access
 port access vlan 20
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 10 20

中兴


!<switchvlan>
$
vlan 10
vlan 20
$
switchvlan-configuration

  interface gei-0/1/1/1
    switchport mode access
    switchport access vlan 10
  $
  interface gei-0/1/1/2
    switchport mode access
    switchport access vlan 10
  $
  interface xgei-0/1/1/3
    switchport mode trunk
    switchport trunk vlan 10,20

锐捷

vlan 10
!
vlan 20
!
interface GigabitEthernet 0/1
 switchport mode access
 switchport access vlan 10
!
interface GigabitEthernet 0/2
 switchport mode access
 switchport access vlan 20
!
interface GigabitEthernet 0/3
 switchport mode trunk
 switchport trunk allowed vlan 10 20

迈普

vlan 10
 exit

vlan 20
 exit

interface gigabitethernet0/1
 switchport mode access
 switchport access vlan 10

interface gigabitethernet0/2
 switchport mode access
 switchport access vlan 20

interface gigabitethernet0/3
 switchport mode trunk
 switchport trunk allowed vlan add 10,20
 switchport trunk pvid vlan 1