五、Vlan技术-526互联

一、什么是vlan

1.传统以太网问题

在典型交换网络中，当某台主机发送一个广播帧或未知单播帧时，该数据帧会被泛洪，甚至传递到整个广播域。广播域越大，产生的网络安全问题、垃圾流量问题，就越严重
为了解决广播域带来的问题，人们引入了VLAN (Virtual Local Area Network)，即虚拟局域网技术：

通过在交换机上部署VLAN，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络的安全性，同时减少垃圾流量，节约网络资源。

vlan的好处：

▫ 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。
▫ 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
▫ 增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
▫ 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他 VLAN的正常工作。

二、vlan 的基本原理

1.VLAN标签 (VLAN Tag)

• 要使交换机能够分辨不同VLAN 的报文，需要在报文中添加标识VLAN信息的字段。
• IEEE 802.1Q协议规定，在以太网数据帧中加入 4 个字节的 VLAN标签，又称VLAN Tag，简称Tag

2.Vlan的划分方式

计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说，当计算机发出的 Untagged帧一旦进入交换机后，交换机必须通过某种划分原则把这个帧划分到某个特定的 VLAN中去。

VLAN的划分包括如下5种方法：

▫ 基于接口划分：根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的标签，然后数据帧将在指定VLAN中传输。
▫ 基于MAC地址划分：根据数据帧的源MAC地址来划分VLAN。 ▪ 网络管理员预先配置MAC地址和VLAN ID映射关系表，当交换机收到的是 Untagged帧时，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
▫ 基于IP子网划分：根据数据帧中的源IP地址和子网掩码来划分VLAN。 ▪ 网络管理员预先配置IP地址和VLAN ID映射关系表，当交换机收到的是 Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
▫ 基于协议划分：根据数据帧所属的协议（族）类型及封装格式来划分VLAN。 ▪ 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
▫ 基于策略划分：根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、 MAC地址、IP地址等。 ▪ 网络管理员预先配置策略，如果收到的是Untagged帧，且匹配配置的策略时，给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。

3.以太网二层接口类型
• Access接口

Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。

• Trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。

• Hybrid接口

Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、 AP。华为设备默认的接口类型是Hybrid。

三、vlan配置举例

vlan vlan-id //创建VLAN

vlan batch { vlan-id1 [ to vlan-id2 ] } //指定批量创建的VLAN ID

undo vlan //用来删除指定VLAN

port link-type access //接口视图下配置接口的链路类型为Access

port default vlan vlan-id //在接口视图下，配置接口的缺省VLAN并同时加入这个VLAN

port link-type trunk //在接口视图下，配置接口的链路类型为Trunk