VLAN（全）

VLAN（Virtual LAN）虚拟局域网

虚拟局域网VLAN可以隔离广播域。

特点：

不受地域限制。

同一VLAN内的设备才能直接进行二层通信。

优势：

灵活构建虚拟工作组。

限制广播域。

增强局域网的安全性。

提高了网络的健壮性。

IEEE 802.1Q数据帧，也称VLAN数据帧。

在源MAC地址和类型之间插入4字节的Tag。

Tag中包含12b的VLAN-ID，VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。

VLAN的划分包括如下5种方法：

基于接口划分。

基于MAC地址划分。

基于IP子网划分。

基于协议划分。

基于策略划分。

缺省VLAN，PVID

Port VLAN ID，是接口上的缺省VLAN。

取值：1~4094。

默认情况下，PVID的值为1。

VLAN接口类型：

Access接口（接入端口）

通常用来连接用户终端，Access接口只能加入一个VLAN。

Trunk接口（干道端口）

通常用于交换机之间互联，也可用于连接路由器子接口，允许多个VLAN通过。

Hybrid接口（混合端口，华为默认）

既能连接用户主机，又能连接交换机，允许多个VLAN通过。

VLAN转发原则：

Access接口特点：

仅允许VLAN ID与接口PVID相同的数据帧通过。

Access接口接收数据帧：

Untagged数据帧，打上PVID，接收。

Tagged数据帧，与PVID比较，相同则接收；不同则丢弃。

Access接口发送数据帧：

发送数据帧

VID与PVID比较，相同则剥离标签发送；不同则丢弃。

Trunk接口特点：

Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。

Trunk接口可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

Trunk接口接收数据帧：

Untagged数据帧，打上PVID，且VID在允许列表中，则接收；VID不在允许列表，则丢弃。

Tagged数据帧，查看VID是否在允许列表中，在允许列表中，则接收；VID不在允许列表，则丢弃。

Trunk接口发送数据帧：

VID在允许列表中，且VID与PVID一致，则剥离标签发送。

VID在允许列表，但VID与PVID不一致，则直接带标签发送。

不在允许列表中，则直接丢弃。

Hybrid接口特点：

Hybrid接口仅允许VLAN ID在允许通过列表中的数据帧通过。

Hybrid接口可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag。

与Trunk最主要的区别就是，能够支持多个VLAN的数据帧，不带标签通过。

Hybrid接口接收数据帧：

Untagged数据帧，打上PVID，且VID在允许列表中，则接收；VID不在允许列表中，则丢弃。

Tagged数据帧，查看VID是否在允许列表中，在允许列表中，则接收；VID不在允许列表，则丢弃。

Hybrid接口发送数据帧：

VID不在允许列表中，直接丢弃。

VID在Untagged列表中，剥离标签发送。

VID在Tagged列表中，带标签直接发送。

display vlan 查看VLAN的相关信息。

VLAN路由

VLAN（Virtual Local Area Network，虚拟局域网）隔离了二层广播域，使得属于不同VLAN的网络无法互访，但不同VLAN之间又存在着相互访问的需求。

同VLAN且同网段的PC之间可直接进行通信，称为二层通信。

VLAN之间需要通过三层通信实现互访，三层通信需借助三层设备。

常见的三层设备：路由器、三层交换机、防火墙等。

子接口（Sub-Interface）是基于路由器以太网接口所创建的逻辑接口，子接口同物理接口一样可进行三层转发。

子接口不同于物理接口，可以终结携带VLAN Tag的数据帧。

子接口终结VLAN的实质包含两个方面：

对接口接收到报文，剥除VLAN标签后进行三层转发或其他处理。

对接口发出的报文，又将相应的VLAN标签添加到报文中后再发送。

VLANIF接口是一种三层的逻辑接口，支持VLAN Tag的剥离和添加，通过VLANIF接口实现VLAN之间的通信。

VLANIF接口的IP地址作为主机的网关IP地址，和主机的IP地址必须位于同一网段。

三种实现VLAN间通信的方式：

通过路由器物理接口实现、

通过路由器子接口实现、

通过三层交换机VLANIF接口实现。