VLAN原理及配置实例

点击上方 “公众号”可以订阅哦！

VLAN概述

VLAN（Virtual Local Area Network，虚拟局域网）是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。划分VLAN的主要作用就是隔离广播域。VLAN逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。

VLAN划分方式

VLAN在交换机上的实现方法，可以大致划分为4类：

1

基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，明确指定各端口属于哪个VLAN的设定方法。根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

2

基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机配置所属组。也就是通过查询并记录端口所连计算机上网卡的MAC地址来 决定端口的所属。假定有一个MAC地址“00:d0:d0:12:34:56”被交换机设定为属于VLAN“10”，那么不论MAC地址为“00:d0:d0:12:34:56”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。

3

基于IP子网划分VLAN

基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要计算机的IP地址不变，就仍可以加入原先设定的VLAN。基于子网的VLAN是根据该帧所属的子网来决定其所属的VLAN。要做到这一点， 交换机必须查看接收帧的网络层的内容。这种VLAN 与交换机相似，把不同的子网分成不同的广播域。

4

基于网络协议划分VLAN

基于协议的VLAN将物理网络划分成基于协议的逻辑VLAN。在端口接收帧时，该端口的VLAN由该信息包中的协议类型决定。例如，IP，ICMP和IPX可能有各自独立的VLAN。IP广播帧只被送到IP VLAN中的所有端口。

和基于子网划分优点一样，比较灵活。适合于三层或者协议比较丰富的网络环境。

VLAN帧格式

目前实现VLAN功能的技术有很多，因此，极可能给用户造成设备不兼容的问题，导致用户的投资浪费。中兴系列交换机，均采用的是IEEE组织定义的 802.1Q协议来实现VLAN功能。

IEEE802.1Q是虚拟桥接局域网的正式标准，定义了同一个物理链路上承载多个子网的数据流的方法。IEEE 802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法，有利于保证不同厂家设备配置的 VLAN可以互通。

802.1Q标签头包含了2个字节的TPID和2个字节的TCI：

☆ TPID：Tag Protocol Identifier协议标志

●固定值为 0x8100，该值表明该帧承载的是 802.1Q/802.1p 标签信息

☆TCI：Tag Control Information 控制信息

● Priority：3bit, 帧的优先级,共有8种优先级，0－7

● Canonical Format Indicator( CFI )：CFI值为0说明是规范格式，1为非规范格式

● VLAN Identified( VLAN ID): 12bit,指明VLAN的ID，共4096个

在一个交换网络环境中，以太网的帧有两种格式：

1） 不带标签的报文 untagged frame

2） 带标签的报文 tagged frame

VLAN链路类型

VLAN有三种链路类型：Access、Trunk、Hybrid

1

Access

Access链路一般是指网络设备与主机之间的链路，一个Access端口只属于一个VLAN，Access端口发送不带标签的报文，缺省所有端口都包含在vlan1中，且都是Access port

2

Trunk

Trunk链路一般是指网络设备与网络设备之间的链路，一个Trunk端口可以属于多个VLAN，Trunk port通过发送带标签的报文来区别某一数据包属于哪一VLAN，标签遵守IEEE802.1q协议标准。

3

Hybrid

Hybrid端口可以用于交换机之间连接，也可以用于连接用户的计算机，Hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。

Hybrid端口与Trunk端口的不同之处：

● Hybrid端口可以允许多个VLAN的报文不打标签

● Trunk端口只允许缺省VLAN的报文不打标签

● 在同一个交换机上Hybrid端口和Trunk端口不能并存

802.1Q的转发原则：

1) 当Access端口收到帧时：该帧不包含802.1Q tag header，将被打上端口的PVID；

2) 当Access端口发送帧时：剥离802.1Q tag header，发出的帧为普通以太网帧；

3) 当Trunk端口收到帧时 ：如果该帧不包含802.1Q tag header，将打上端口的PVID； 如果该帧包含802.1Q tag header，则不改变；

4) 当Trunk端口发送帧时 ：当该帧的VLAN ID与端口的PVID不同时，直接透传；当该帧的VLAN ID与端口的PVID相同时，则剥离802.1Q tag header；

5) 当Hybrid端口收到帧时： 如果该帧不包含802.1Q tag header，将打上端口的PVID ； 如果该帧包含802.1Q tag header，则不改变 ；

6) 当Hybrid端口发送帧时：该帧包含802.1Q tag header，是否保留tag header 需根据Hybrid端口的设置来决定； 若端口设置为允许该VLAN的帧tagged，则保留tag header ； 若端口设置为允许该VLAN的帧untagged，则剥离802.1Q tag header。

VLAN配置实例

1

Access端口、trunk端口配置实例

交换机A的配置：

交换机B配置与A类似，省略。

2

Hybrid端口配置实例

PCA和PCB均属于VLAN 2，配置Hybrid端口PVID为1，属于VLAN 2的帧打上tag头