VLAN

概述

什么是vlan

• VLAN技术，即虚拟局域网（Virtual Local Area Network）技术，是一种在物理网络上根据用途、工作组、应用等来逻辑划分的局域网技术。

• VLAN技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN之间则不能直接通信，这样，广播报文就被限制在了一个VLAN内。

• 一个交换机的物理接口默认都处于同一个广播域中，同一个VLAN中，且VLAN编号为1；

• VLAN编号：

  • 1：默认所有物理接口都在1号口中

  • [2,4094]：自定义范围

• VLAN编号相同，则在同一个广播域中，可以进行通信，不同，则处于不同广播域中，不能直接进行通信，需要借助路由转发。

VLAN优点

• 广播域限制：VLAN技术可以将物理网络划分为逻辑上的不同广播域，这意味着网络上传送的数据包只会在与自己位于同一个VLAN的端口之间交换，从而有效避免了带宽的浪费。这种限制也帮助减少了广播风暴的影响，因为在一个VLAN域中产生的广播风暴不会传播到该VLAN域之外的端口，从而最大程度地防止和减少了广播风暴的产生。

• 提高安全性：VLAN内部的广播和单播流量不会被转发到其他VLAN中，这有助于控制网络流量，减少设备投资，简化网络管理，并提高网络安全性。VLAN能够限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，从而确保网络的安全性。

• 灵活构建虚拟工作组：VLAN技术使得管理员可以根据实际应用需求，将同一物理局域网内的不同用户逻辑地划分成不同的广播域。每个VLAN都包含一组有着相同需求的计算机工作站，这意味着同一工作组的用户不必局限于某一固定的物理范围，网络构建和维护更为方便灵活。

• 简化网络管理：VLAN技术使得网络管理员能够更轻松地管理整个网络。例如，当设备移动时，VLAN能够自动识别，减少了网络设备的移动、添加和修改的管理开销。此外，交换端口可以基于应用类型和访问特权进行分组，进一步简化了网络管理。

VLAN分类

静态VLAN

• 静态vlan是一种基于端口的vlan划分方式。

• 在静态VLAN中，网络管理员手动将交换机端口划分到不同的VLAN中。这意味着每个端口都属于一个固定的VLAN，与连接到该端口的设备无关。

• 静态VLAN的优点在于配置简单，一旦端口被分配到某个VLAN，连接到该端口的设备就会自动成为该VLAN的成员，无需进行额外的配置或认证。

• 此外，静态VLAN提供了稳定的网络拓扑结构，便于网络管理员进行管理和维护。

动态VLAN

• 动态VLAN则是基于设备属性（如MAC地址）来划分VLAN的。

• 动态VLAN通过查询一个数据库或策略服务器来确定设备的VLAN成员资格。当设备连接到交换机时，交换机会根据设备的MAC地址或其他属性来查询数据库，以确定设备应该属于哪个VLAN。

• 这种方式使得VLAN的划分更加灵活，可以根据设备的属性或需求动态地调整VLAN成员资格。然而，动态VLAN的配置相对复杂，需要维护一个包含设备属性与VLAN对应关系的数据库或策略服务器。

链路类型

链路类型主要可以分为三种：Access链路、Trunk链路和Hybrid链路。

Access链路

这种链路类型主要是用于连接交换机与用户设备。由于大多数电脑不能发送带vlan标签的帧，所以在Access链路上运动的数据帧只能是不带标签的，且这些帧只能属于某个特定的vlan。

Trunk链路

Trunk链路主要用于连接交换机与交换机或路由器。在Trunk链路上运动的帧只能是带标签的帧，并且这些帧可以属于不同的vlan。每一个交换机的端口（Access端口或者Trunk端口）都应该配置一个PVID（Port VLAN ID），到达这个端口的不带标签的帧将一律被交换机划分到PVID所指定的VLAN。

Hybrid链路

Hybrid链路类型提供了更大的灵活性。当收到一个报文时，Hybrid端口会首先判断是否有VLAN信息。如果没有，则打上端口的PVID，并进行交换转发；如果有，则判断该Hybrid端口是否允许该VLAN的数据进入，如果可以则转发，否则丢弃。在发送报文时，Hybrid端口会判断该VLAN在本端口的属性，决定是带标签发送还是不带标签发送。

接口类型

VLAN的接口类型主要包括三种：Access接口、Trunk接口和Hybrid接口。

Access接口

• 常用于交换机连接终端、主机或服务器。

• 在接收数据时，如果数据帧不带VLAN标签，则使用接口的PVID（Port VLAN ID）数值作为标签，给数据帧打上标签。如果数据帧携带VLAN标签，接口会检查该标签是否与本接口一致，如果一致则接受数据帧，不一致则丢弃标签。

• 在发送数据帧时，Access接口会一律剥离VLAN标签。

Trunk接口

• 通常用于交换机连接交换机或路由器。

• 可以属于多个VLAN，并在同一时间传递多个VLAN的数据帧。

• 在接收数据帧时，Trunk接口会检查数据帧中的VLAN标签，判断该标签是否允许通过，如果允许则接收数据帧，否则丢弃数据。

Hybrid接口

• 既可以连接用户终端，也可以连接交换机/路由器。

• 在发送数据时，Hybrid接口可以像Access接口一样不携带标签，也可以像Trunk接口一样携带标签，从而灵活控制接口上发送的数据帧是否携带标签。

命令

创建VLAN

vlan 编号
vlan batch 编号1 编号2
vlan batch 起始编号 to 结束编号

查看所有VLAN

display vlan

查看指定的vlan

display vlan 编号

access接口配置

#进入物理接口
int g编号
#设置接口链路类型
port link-type access
可简写为 p l a
#设置接口默认vlan编号
port default valn 编号
可简写为 p d v 编号

trunk接口配置

#进入物理接口视图
int g编号
#设置接口链路类型为干道类型
port link-type trunk
可简写为p l t
#设置可承载的vlan编号
port trunk allow-pass vlan 编号1 编号2 ......
可简写为 p t a v 编号1 编号2

实例

拓扑图如下

PC配置好IP后进行测试是否连通

sw1

sys
vlan batch 10 20
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a 
p d v 20
int g0/0/5
p l t
p t a v 10 20

sw2

sys
vlan batch 10 20
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a 
p d v 20
int g0/0/5
p l t
p t a v 10 20

pc1 ping pc 2

无法ping通，pc1 和pc2 不在同一个vlan中

pc1 ping pc 5

同一vlan，可以通信。