VLAN原理与配置

什么是VLAN

传统以太网由于泛洪等操作容易产生网络安全和垃圾流量问题，而且广播域越大，网络安全问题和垃圾流量问题就越严重。为了解决此类问题，人们引入了VLAN——虚拟局域网技术。

通过在交换机上部署VLAN，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络安全性，减少垃圾流量，节约网络资源。

VLAN的特点：1、一个VLAN就是一个广播域，所以在同一个VLAN内部，计算机可以直接进行二层通信；而不同VLAN内的计算机，无法直接进行二层通信，只能进行三层通信来传递信息，因此可以将广播报文限制在一个VLAN内。2、VLAN的划分不受地域限制。

VLAN的好处：1、由于不受地域限制，VLAN可以更好的划分不同的用户进入不同的广播域，方便网络构建和维护。2、限制了广播报文，节省带宽。3、不同的VLAN之间无法直接传输报文，提高了安全性。4、故障被限制在一个VLAN中，本VLAN内的故障不会影响其他VLAN的正常工作。

VLAN的基本原理

如何识别VLAN

当不同交换机之间的同一VLAN进行数据传输时，如果不加标识，交换机就无法识别对方传来的数据所属的VLAN，也不知道应该将这个数据输出到本地哪个VLAN中。

IEEE 802.1Q协议规定，在以太网数据帧中加入4个字节的VLAN标签，又称VLAN Tag，简称Tag，用以标识该数据帧所属VLAN，这种带标签的数据帧称为IEEE 802.1Q数据帧，也称VLAN数据帧。

交换机识别出某个帧是属于哪个VLAN后（如何识别？见下文划分VLAN），会在这个帧的特定位置上添加一个标签。这个标签明确地标明这个帧属于哪个VLAN，使得接收到该数据帧的其他交换机能够轻易识别出它的所属VLAN。

在一个VLAN交换网络中，以太网帧主要有以下两种形式：有标记帧（Tagged帧）：IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入Tag的数据帧。无标记帧（Untagged帧）：原始的、未加入4字节Tag的数据帧。

VLAN数据帧的组成结构：1、TPID，2字节，标识数据帧类型，0X8100表示VLAN数据帧。2、PRI，3bit,表示数据帧的优先级。3、CFI，1bit,表示MAC地址在不同的传输介质中是否以标准格式进行封装，0表示MAC地址以标准格式进行封装，1表示以非标准格式封装，以太网中为0。4、VID，12bit,表示该数据帧所属VLAN的编号。

计算机无法识别Tagged数据帧，因此计算机处理和发出的都是Untagged数据帧；为了提高处理效率，交换机内部处理的数据帧一律都是Tagged帧（由交换机添加tag)。

划分VLAN

计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说，当计算机发出的Untagged帧一旦进入交换机后，交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。VLAN的划分方式有5种：
一、基于接口划分，使用最广，将接口人为配置PVID（port VLAN ID)，划分到某个VLAN，使用该接口的主机将被打上相应VLAN的标签。优点是简单方便，实现容易，缺点是不够灵活，当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属可能会发生变化。每个交换机的接口都应该配置一个PVID，到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。默认情况下，PVID的值为1。
二、基于MAC地址划分，网络管理员预先配置MAC地址和VLAN ID映射关系表。根据数据帧的源MAC地址来划分VLAN。优点是灵活性提高，当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属不会发生变化（因为计算机的MAC地址没有变）。缺点是存在安全性问题，容易伪造MAC地址。
三、基于IP子网划分，网络管理员预先配置IP地址和VLAN ID映射关系表，根据数据帧的源IP地址来划分VLAN。
四、基于协议划分，运营商常用，网络管理员预先配置以太网帧中的协议域和VLAN ID映射关系表，根据数据帧所属的协议（族）类型及封装格式来划分VLAN。
五、基于策略划分，安全性高。将多种条件组合起来，只有全部匹配是才划分到相应VLAN。

二层交换机接口类型

基于接口的VLAN划分依赖于接口类型，以下为交换机的三种接口：

• Access接口
  特点：仅允许VLAN ID与接口PVID相同的数据帧通过。
  
• Trunk接口
  对于Trunk接口，除了要配置PVID外，还必须配置允许通过的VLAN ID列表，其中VLAN 1是默认存在的。Trunk接口特点：Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。Trunk接口可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即当帧的VLAN ID与接口PVID相同时剥除Tag）。
  
• Hybrid接口
  对于Hybrid接口，除了要配置PVID外，还存在两个允许通过的VLAN ID列表，一个是Untagged VLAN ID列表，另一个是Tagged VLAN ID列表，其中VLAN 1默认在Untagged VLAN列表中。这两个允许通过列表中的所有VLAN的帧都是允许通过这个Hybrid接口的。与Trunk最主要的区别就是，能够支持多个VLAN的数据帧，不带标签通过。
  

实现Vlan间通信

VLAN技术的提出，满足了二层组网隔离广播域需求，使得属于不同VLAN的网络无法互访，但不同VLAN之间又存在着相互访问的需求。VLAN之间需要通过三层通信实现互访，三层通信需借助三层设备，常见的三层设备：路由器、三层交换机、防火墙等。以下为实现vlan间通信的方法：

使用路由器物理接口

在二层交换机上配置VLAN，每个VLAN单独使用一个交换机接口与路由器互联，由于路由器三层接口无法处理携带VLAN Tag的数据帧，因此交换机上连接路由器的接口需配置为Access。路由器的一个物理接口作为一个VLAN的网关（将此物理接口的IP地址设置为相同vlan内pc的网关地址），使用路由器的物理接口实现VLAN之间的通信，存在一个VLAN就需要占用一个路由器物理接口。此类方法的可扩展性太差。（网关实质上是一个网络通向其他网络的IP地址）

使用路由器子接口（单臂路由）

子接口（Sub-Interface）是基于路由器物理接口所创建的逻辑接口，以物理接口ID+子接口ID进行标识，子接口同物理接口一样可进行三层转发。将子接口和vlan绑定，当路由器收到报文时，根据报文的VLAN Tag不同，路由器将收到的报文交由对应的子接口处理。

基于一个物理接口创建多个子接口，将该物理接口对接到交换机的Trunk接口，即可实现使用一个物理接口为多个VLAN提供三层转发服务。

三层子接口本身并不支持VLAN报文，当它收到VLAN报文时，会将VLAN报文当成是非法报文而丢弃。因此，需要在子接口上配置VLAN终结（VLAN Termination），用以终结携带VLAN Tag的数据帧。

VLAN终结的实质包含两个方面：对接口接收到的报文，剥除VLAN标签后进行三层转发或其他处理。对接口发出的报文，又将相应的VLAN标签添加到报文中后再发送。

子接口配置示例：
[R1]interface GigabitEthernet0/0/1.10
[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10（用来配置终结vlan的vlan id)
[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1.10]arp broadcast enable(开启arp广播，如果未开启，将不能转发广播报文，在收到广播报文后它们直接把该报文丢弃）

使用VLANIF技术实现vlan间通信（重要）

三层交换机：三层交换机（Layer 3 Switch）除了具备二层交换机的功能，还支持通过三层接口（如VLANIF接口）实现路由转发功能。注意：三层交换机的路由转发需要通过三层接口才能实现

VLANIF接口是一种三层的逻辑接口，支持VLAN Tag的剥离和添加，因此可以通过VLANIF接口实现VLAN之间的通信，每个vlan的vlanif相当于vlan的网关。VLANIF接口编号与所对应的VLAN ID相同，如VLAN 10对应VLANIF 10。

VLANIF配置示例：
[SW1]vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24

三层通信过程解析（实现不同VLAN间相互访问并访问外网）

更多信息

在考虑业务时，相同vlan的设备不论多少个，都可以在逻辑上视为处于同一个接口，不必在乎物理位置，因为不论物理位置在哪，要访问其他网段都需要通过网关，这个思路拿到三层交换机来看，就可以看作一个vlanif接口为所有对应vlan下的所有主机提供路由服务
vlan通信配置可参考博客：https://blog.csdn.net/weixin_40943540/article/details/125019554
二、三层接口对比：