网络技术项目实例（1）：VLAN技术项目应用案例

vlan在生产环境都是怎么用的，为什么这样用，先从vlan的技术原理说起

vlan是个二层技术，是工作在交换层面的，我们从交换机的转发原理来看。

交换机连接多个节点，会生成mac地址表，然后根据mac地址表进行数据转发。

mac地址表是这样的（以华为交换机为例，其他各厂商类似）

如图，交换机记录了每个PC的mac地址对应的接口号，这样就可以帮他们进行数据转发了。

（mac地址学习原理可查看专栏相关文章，本文暂不详述）

测试可以看到，两个pc是可以通信的

通信原理也非常简单，pc1发出的数据帧到达交换机，这个数据帧的目标mac是pc2的，交换机查看mac地址表，得知pc2的mac对应的是gi0/0/2口，发出

现在来划分vlan，通过vlan实现数据隔离，再来查看划分vlan后的mac表

vlan batch 10 20     #建立两个vlan#
interface GigabitEthernet0/0/1 
 port link-type access       #将1口的接口类型设置为access，接口类型在本文后半部分会详细介绍#
 port default vlan 10        #将接口加入vlan 10#
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20

命令如上，建立vlan10和vlan20，并且把1口和2口分别放进vlan 10和20

无法通信，已经实现了隔离

在mac表中，能看到2个mac属于不同的vlan，所以是隔离的

上述的vlan划分方法，是基于交换机接口的，那么还有其他的vlan划分方法吗？

有，还有两种，基于协议的，和基于子网的

基于协议的vlan划分方法，可以基于哪些协议呢，我们在命令行上看一下

[Huawei-vlan30]protocol-vlan ?

INTEGER<0-15> Protocol index

at AT(AppleTalk Protocol) configuration information

ipv4 IPv4 configuration information

ipv6 IPv6 configuration information

ipx IPX(Internetwork Packet eXchange) configuration information

可以看到，支持自动将ip、ipx、apple talk放进不同的vlan

实际项目上从来不会用，因为现在ip一统天下，也没有其他协议

 

那么基于子网的呢

[Huawei-vlan30]ip-subnet-vlan ip 192.168.30.0 255.255.255.0

这样可以实现30子网的主机自动划入vlan 30，非常方便

项目上做规划的时候，子网和vlan也确实是一一对应的

但是真正在做实施的时候，我们还是会使用基于接口的方式配置vlan，而不是用这种基于子网的自动的方式，为什么呢

因为这样的话，交换机必须去查看报文的三层头部信息，会降低交换机的性能，毕竟人家擅长的是二层工作。

总结，虽然划分vlan的方式有3种，基于接口，基于子网，基于协议，但是项目上一般只会用基于接口的方式。

问题又来了，那么多少节点放到1个vlan好呢？

可以根据部门划分，部门A，部门B，部门C各一个vlan，但是如果某个部门人数特别多，那么当然还要部门内部划分多个vlan，建议1个vlan的实际节点数在200以内，最多也不要超过254也就是1个C类的网段。

当然为了网络的稳定性以及易维护性，也有些方案我们做了“每台主机1个vlan”的方案，当然这种应用就不是常规的vlan配置方法了，可能会用到“私有vlan”，“QinQ”，“保护端口”等进阶隔离技术。可关注专栏，后续都会详细介绍。

 

上述讲的是单台交换机的vlan划分以及工作原理，当然实际项目上不会只有1台交换机，vlan信息是怎么跨交换机传递的呢？

这里就涉及到802.1Q技术，也就是给数据帧打vlan标签的技术，这样，另一台交换机就知道一个数据帧是哪个vlan的了

交换机的接口有access、trunk、hybird三种类型，其中hybird类型并不是所有厂商的产品都支持，这里重点来看access和trunk两种类型。

access接口：一般用来连接终端主机，就像文章前面，连接主机的接口都是access模式，并且指定了vlan，这样交换机就知道这个接口收到的包，是什么vlan的了

trunk接口：一般用作交换机互连，就像上图，从trunk收发的包都会携带vlan标签，通过标签来识别数据帧是什么vlan

现在来看一下配置过程

interface GigabitEthernet0/0/3 #进入交换机互连接口#

port link-type trunk #接口类型配置为trunk#

port trunk allow-pass vlan 10 20 #设置可通过哪些vlan#

以上是LSW1的配置，LSW2的配置类似，这里省略

 

新加入的PC3属于vlan 10，ip地址是192.168.100.3

经过测试，PC1可以和PC3通，PC2不能和PC3通，是因为数据帧在经过trunk到达右边交换机时，携带了vlan标签，通过标签识别，只允许vlan 10和PC3通信

 

现在从Gi0/0/3抓包，通过wireshark分析一下携带vlan标签的数据帧

然后从右边交换机的access抓包，发现数据帧发出时，没有了标签

 

所以，右边交换机从trunk口收到这个ping包时，通过查看标签知道了这个包所属的vlan，然后标签的使命就完成了

所以在从access发出时，会再拆掉标签，这样pc3收到的包和pc1发出的完全一样。打标签和拆标签其实是交换机做的，pc机自身是不需要知道自己所在的vlan的。

最后，我们看个整体的vlan项目实例

在该校园网中，学生寝室会用家用交换机（腾达、水星等）连接多个pc，家用交换机当然是不会打标签的。

家用交换机和企业级二层交换机（也就是项目上说的的接入层交换机）相连，此时接入层交换机使用access口，用来指定各个寝室所在的vlan。

接入层交换机再通过trunk连接汇聚层交换机，这样就可以给数据帧打上标签，使汇聚层交换机知道各个数据帧的vlan了