虚拟局域网（VLAN）

最新推荐文章于 2023-05-29 19:06:43 发布

VIP文章 www.yanjun.pro

最新推荐文章于 2023-05-29 19:06:43 发布

阅读量543

点赞数

分类专栏：网络文章标签：网络运维

本文链接：https://blog.csdn.net/weixin_45719852/article/details/126370655

版权

更多文章请移步：www.yanjun.pro

当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量

在这种情况下出现了 VLAN 技术，这种技术可以把一个 LAN 划分成多个逻辑的 VLAN，每个 VLAN 是一个广播域，VLAN 内的主机间通信就和在一个 LAN 内一样，而 VLAN 间则不能直接互通，这样，广播报文就被限制在一个 VLAN 内

1、使用 VLAN 的优点

限制广播域： 广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力
增强局域网的安全性： 不同 VLAN 内的报文在传输时是相互隔离的，即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信
提高了网络的健壮性： 故障被限制在一个 VLAN 内，本 VLAN 内的故障不会影响其他 VLAN 的正常工作
灵活构建虚拟工作组： 用 VLAN 可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活

2、VLAN 分类

静态VLAN

由管理员将交换机端口分配给 VLAN，将交换机端口分配到特定 VLAN 后，除非手工修改，否则它将一直属于该VLAN。静态 VLAN 易于配置和管理，非常适合用于需要控制所有用户移动的网络环境
动态VLAN

动态 VLAN 可根据 MAC 地址、协议甚至创建动态 VLAN 的应用程序来确定节点所属的 VLAN，动态接入端口只能属于一个 VLAN，这是由 VMPS（VLAN 管理策略服务器）动态分配的，在同一台交换机中，可以同时有动态接入端口和中继端口，但动态接入端口只能连接到终端，而不能连接到其他交换机

3、标识 VLAN

交换机端口为接入端口（access）时，只能属于一个 VLAN ，而为中继端口（trunk）时，可属于所有 VLAN。可手工将端口配置为接入端口或中继端口，也可在每个端门上运行动态中继协议 (DTP )，并让它来设置交换端口模式（DTP通过与链路另一端的端口协商来设置端口模式）。交换机的接口只能是接入端口或者中继端口中的一种，不能同时是接入端口和中继端口

接入端口

接入端口只属于一个 VLAN ，且只为该 VLAN 传输数据流，这种端口以本机格式发送和接收数据流，而不进行 VLAN 标记，接入端口收到数据流后，都假定它属于该端口所属的 VLAN。除非使用路由，否则各 VLAN 之间不能相互通信
中继端口

中继端口可以同时传输多个 VLAN 的数据流，使用中继可让一个端口同时属于众多不同的 VLAN

3.1、对帧进行标记

帧到达的每台交换机都首先从帧标记中获取 VLAN ID ，然后查看过滤表中的信息，以确定如何对帧进行处理。如果帧到达的交换机还有另一条中继链路，那么该帧将被从该中继链路端口转发出去；当帧到达出口后，如果有一条接入链路和帧中的 VLAN ID 匹配后，交换机将把 VLAN ID 删除，让目标设备即使不明白 VLAN ID 也能够接收帧

对于中继端口，可同时支持标记过和未标记的数据流，中继端口有一个默认端口 VLAN ID (PVID ），这是用于传输未标记数据流的 VLAN ID

不管数据流是否被标记过，如果其包含的 VLAN ID 为 NULL，则认为它属于 PVID 对应的 VLAN（默认为 VLAN 1）；如果分组包含的 VLAN ID 与出站端口的本机 VLAN 相同，则在发送时不对其进行标记，因此只能传输到同一 VLAN 中的主机或设备；对于其他所有数据流，发送时都必须添加 VLAN ID，以便能够在该 VLAN 中传输

3.2、链路类型和接口类型

交换机内部处理的数据帧一律都带有 VLAN 标签，而现网中交换机连接的设备有些只会收发无标记帧，要与这些设备交互，就需要接口能够识别无标记帧并在收发时给帧添加、剥除 VLAN 标签。同时，现网中属于同一个 VLAN 的用户可能会被连接在不同的交换机上，且跨越交换机的 VLAN 可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个 VLAN 的数据帧

为了适应不同的连接和组网，华为定义了 Access 接口、Trunk 接口、Hybrid 接口和 QinQ 接口4种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型

3.2.1、链路类型

接入链路

接入链路只可以承载1个 VLAN 的数据帧，用于连接交换机和用户终端。通常情况下，用户终端并不需要知道自己属于哪个 VLAN，也不能识别带有 Tag 的帧，所以在接入链路上传输的帧都是无标记帧。
干道链路

干道链路可以承载多个不同 VLAN 的数据帧，用于交换机间互连或连接交换机与路由器，为了保证其它网络设备能够正确识别数据帧中的 VLAN 信息，在干道链路上传输的数据帧必须都打上 Tag。

3.2.2、接口类型

Access 接口

Access 接口一般用于和不能识别 Tag 的用户终端（如用户主机、服务器等）相连，或者不需要区分不同 VLAN 成员时使用，Access 接口大部分情况只能收发无标记帧，且只能为无标记帧添加唯一 VLAN 的 Tag。但当 Access 接口收到带有 Tag 的帧，并且帧中 VID 与 PVID 相同时，Access 接口也能接收并处理该帧。
Trunk 接口

Trunk 接口一般用于连接交换机、路由器、AP 以及可同时收发标记帧和无标记帧的语音终端，它可以允许多个 VLAN 的帧带 Tag 通过，但只允许一个 VLAN 的帧从该类接口上发出时不带 Tag（即剥除Tag）。
Hybrid 接口

Hybrid 接口既可以用于连接不能识别 Tag 的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发标记帧和无标记帧的语音终端、AP。它可以允许多个 VLAN 的帧带 Tag 通过，且允许从该类接口发出的帧根据需要配置某些 VLAN 的帧带 Tag（即不剥除Tag）、某些 VLAN 的帧不带 Tag（即剥除Tag）。

Hybrid 接口和 Trunk 接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口，比如在灵活 QinQ 中，服务提供商网络的多个 VLAN 的报文在进入用户网络前，需要剥离外层 VLAN Tag，此时Trunk 接口不能实现该功能，因为 Trunk 接口只能使该接口缺省 VLAN 的报文不带 VLAN Tag 通过。
QinQ接口

QinQ（802.1Q-in-802.1Q）接口是使用 QinQ 协议的接口，一般用于私网与公网之间的连接，它可以给帧加上双层 Tag，即在原来 Tag 的基础上，给帧加上一个新的 Tag，从而可以支持多达4094×4094个 VLAN，满足网络对 VLAN 数量的需求。外层的 Tag 通常被称作公网 Tag，用来标识公网的 VLAN；内层 Tag 通常被称作私网 Tag，用来标识私网的 VLAN。

3.3、链路类型协商协议（LNP）基本原理

3.3.1、LNP定义

链路类型协商协议 LNP 用来动态协商以太网接口的链路类型为 Access 或者 Trunk

以太网接口的链路类型协商为 Access，缺省情况下加入 VLAN1
以太网接口的链路类型协商为 Trunk，缺省情况下加入 VLAN1～4094

3.3.2、LNP产生背景

当前，交换机支持的以太网接口的接口类型有：Access、Hybrid、Trunk 和 QinQ，这四种接口类型分别用于不同的网络位置，均由手工配置指定。如果网络拓扑变更，以太网接口的接口类型也需要重新配置，配置较为繁琐。为了简化用户配置，可通过 LNP 配置以太网接口的链路类型自协商功能，自动协商出接口的接口类型为 access 或者 trunk，并加入相应 VLAN

4、VLAN划分

4.1、基于接口划分（常用）

网络管理员预先给交换机的每个接口配置不同的 PVID，当一个数据帧进入交换机时，如果没有带 VLAN 标签，该数据帧就会被打上接口指定 PVID 的 Tag。然后数据帧将在指定 PVID 中传输。

优点

定义成员简单
缺点

成员移动需重新配置 VLAN
适用场景

适用于任何大小但位置比较固定的网络

配置示例

# 在SwitchA和SwitchB上创建VLAN2和VLAN3，并将连接用户的接口分别加入VLAN。
# SwitchB的配置与SwitchA类似，不再赘述。 
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 2 3
[SwitchA] interface gigabitethernet 0