交换机VLAN基础知识及基本划分方法，揭开VLAN的面纱

一.VLAN基础

VLAN（Virtual Local Area Network，虚拟局域网）是一种将局域网设备从逻辑上划分成一个 个网段，从而实现虚拟工作组的数据交换技术，这种技术通过在局域网数据帧上定义扩展字段， 来对物理网络进行逻辑上的分割，从而限定局域网数据帧的转发范围，缩小广播域。VLAN技 术主要应用于交换机、路由器和无线控制器等网络设备中。

VLAN基础及简单的VLAN划分方法

同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的 成员才能听到，而不会传输到其他的VLAN中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

VLAN基础及简单的VLAN划分方法

1技术特点

(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。

(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。

(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。

2.TAG和UNTAG

基于端口的VLAN,这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

IEEE于1999年发布了用以规范VLAN实现的IEEE Std 802.1Q标准。 IEEE 802.1Q协议标准为各种局域网网络结构定义了VLAN的Tag字段，不同网络结构中，连接 设备可以通过共同的数据特征进行VLAN识别。

对于常见的以太网网络模型，其主要的报文封装格式类型有两种，分别为Ethernet II型和 802.2/802.3型。对于这两种以太网报文的封装格式，IEEE 802.1Q协议标准在数据帧首部的目 的mac地址（DA）和源MAC地址（SA）后定义了VLAN Tag，用以标识VLAN的相关信息。

VLAN基础及简单的VLAN划分方法

VLAN基础及简单的VLAN划分方法

3. 端口的链路类型

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

以太网端口有 3种链路类型:access、trunk、General

Access类型端口只能属于1个VLAN 般用于连接计算机端口；

Trunk类型端口可以允许多个VLAN通过,可以接收和发送多个VLAN 报文,一般用于交换机之间的连接；

General类型端口可以允许多个VLAN通过，可以接收和发送多个VLAN 报文，可以用于交换机的间连接也可以用于连接用户计算机。

General端口和Trunk端口在接收数据时处理思路方法是一样的，唯一区别的处在于发送数据时:General端口可以允许多个VLAN报文发送时不打标签，而Trunk端口只允许缺省VLAN报文发送时不打标签。

缺省VLAN( PVID）:

Access端口只属于1个VLAN 所以它缺省VLAN就是它所在VLAN不用设置；

General端口和 Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下 Hybrid端口和Trunk端口缺省VLAN为VLAN 1；

如果设置了端口缺省VLAN ID当端口接收到不带VLAN Tag报文后则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag报文时，如果该报文 VLAN ID和端口缺省VLAN ID相同，则系统将去掉报文VLAN Tag，然后再发送该报文。

交换机接口出入数据处理过程:

Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口 PVID并进行交换、转发，如果有则直接丢弃(缺省) Acess端口发报文:将报文VLAN信息剥离直接发送出去

trunk端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发，如果有判断VLAND ID是否在该trunk的允许范围内，如果在范围内则转发，否则丢弃

trunk端口发报文:比较端口PVID和将要发送报文VLAN信息如果两者相等则剥离VLAN信息再发送，如果不相等则直接发送

General端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发。如果有则判断该General端口是否允许该VLAN数据进入:如果可以则转发，否则丢弃(此时端口上untag配置是不用考虑，untag配置只对发送报文时起作用)

General端口发报文:

1、判断该VLAN在本端口属性

2、如果是untag,则剥离VLAN信息再发送;如果是tag,则直接发送.

VLAN基础及简单的VLAN划分方法

二.如何划分VLAN

1. 如下图所示，接入交换机是二层交换机，使用汇聚交换机（三层交换机）作为用户的网关。

2. PC1和PC2分别属于VLAN 2和VLAN 3，通过接入交换机SW2接入汇聚交换机。

3. PC3和PC4属于VLAN 4，通过SW3接入汇聚交换机。

4. 汇聚交换机作为PC1、PC2、PC3和PC4的网关，实现用户PC间的互访以及Internet访问。

5. 内网VLAN 2的网段为192.168.2.0/24，VLAN 3的网段为192.168.3.0/24，VLAN 4的网段为192.168.4.0/24。

配置思路

1. 配置接入交换机，基于接口划分VLAN，实现二层互通。

2. 配置汇聚交换机作为用户的网关并启用DHCP功能，实现三层互通并为用户自动分配IP。

3. 配置汇聚交换机与AR相连的接口及默认路由，实现与AR的对接。

4. 配置AR与汇聚交换机相连的接口及到内网网段的路由，实现与汇聚交换机的对接。

5. 配置AR的上网功能。

6. 配置NAT实现内网访问互联网

操作步骤

一、配置接入交换机

将接口加入相应VLAN

<SW2> system-view

[SW2] vlan batch 2 3

[SW2] interface gigabitethernet 0/0/1

[SW2-GigabitEthernet0/0/1] port link-type access

[SW2-GigabitEthernet0/0/1] port default vlan 2

[SW2-GigabitEthernet0/0/1] quit

[SW2] interface gigabitethernet 0/0/3

[SW2-GigabitEthernet0/0/3] port link-type access

[SW2-GigabitEthernet0/0/3] port default vlan 3

[SW2-GigabitEthernet0/0/3] quit

[SW2] interface gigabitethernet 0/0/2

[SW2-GigabitEthernet0/0/2] port link-type trunk

[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 3

SW3也类似，这里就不贴脚本啦

配置汇聚交换机

1. 将互联接口加入相应VLAN

<SW1> system-view

[SW1] vlan batch 2 3 4

[SW1] interface gigabitethernet 0/0/2

[SW1-GigabitEthernet0/0/2] port link-type trunk

[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 3

[SW1-GigabitEthernet0/0/2] quit

[SW1] interface gigabitethernet 0/0/3

[SW1-GigabitEthernet0/0/3] port link-type access

[SW1-GigabitEthernet0/0/3] port default vlan 4

[SW1-GigabitEthernet0/0/3] quit

2、配置VLANIF接口和DHCP服务器

[SW1] dhcp enable

[SW1] interface vlanif 2

[SW1-Vlanif2] ip address 192.168.2.1 255.255.255.0

[SW1-Vlanif2] dhcp select interface

[SW1-Vlanif2] dhcp server DNS-list 114.114.114.114

[SW1-Vlanif2] quit[SW1] interface vlanif 3

[SW1-Vlanif3] ip address 192.168.3.1 255.255.255.0

[SW1-Vlanif3] dhcp select interface

[SW1-Vlanif3] dhcp server dns-list 114.114.114.114

[SW1-Vlanif3] quit[SW1] interface vlanif 4

[SW1-Vlanif4] ip address 192.168.4.1 255.255.255.0

[SW1-Vlanif4] dhcp select interface

[SW1-Vlanif4] dhcp server dns-list 114.114.114.114[SW1-Vlanif4] quit