VLAN原理概述

为何引入VLAN？ 随着网络环境中，计算机等终端设备的数量越来越多，传统的以太网正在面临冲突严重、广播泛滥以及安全性无法得到保障等各种问题。

VLAN的概述： VLAN（Vitrual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，也能够提升网络的安全性。

传统以太网的弊端以及为何引入VLAN 早期的局域网LAN技术基于总线型结构，存在以下问题: 1、多节点同时发送消息，产生冲突； 2、从任意节点发出的消息都会被发送至其他节点中去，形成广播； 3、所有主机共享一条传输通道，无法控制网络中的信息安全； 4、这种网络既构成了一个冲突域，也构成了一个广播域； 冲突域：网络计算机数量越多，冲突月严重，网络效率越低； 广播域：当网络中发送信息的计算机数量变多时，广播流量将会耗费大量的带宽。 因此，传统局域网不仅面临冲突域太大和广播域太大两大难题，而且无法保障传输信息的安全。 为了扩展传统LAN，以接入更多计算机，同时避免冲突的恶化，出现了网桥和二层交换机，它们能有效隔离冲突域。网桥和交换机采用交换方式将来自入端口的信息转发到出端口上，克服了共享网络中的冲突问题。但是，采用交换机进行组网时，广播域和信息安全问题依旧存在。 为限制广播域的范围，减少广播流量，需要在没有二层互访需求的主机之间进行隔离。路由器是基于三层IP地址信息来选择路由和转发数据的，其连接两个网段时可以有效抑制广播报文的转发，但成本较高。因此，人们设想在物理局域网上构建多个逻辑局域网，即VLAN。

VLAN技术 VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域，也就是多个VLAN。VLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机共享同一个广播域，它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域，不能直接实现二层互通。这样，广播报文就被限制在各个相应的VLAN内，同时也提高了网络安全性。

VLAN帧格式： 通过Tag标签区分不同VLAN 在现有的交换网络环境中，以太网的帧有两种格式： 没有加上VLAN标记的标准以太网帧（untagged frame）； 有VLAN标记的以太网帧（tagged frame）

链路类型

VLAN链路分为两种类型： Access链路和Trunk链路 接入链路（Access Link）：连接用户主机和交换机的链路； 干道链路（Trunk Link）：连接交换机和交换机的链路；干道链路上通过的帧一般为带Tag的VLAN帧。

PVID

PVID即Port VLAN ID，代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。

VLAN端口类型 Access： 1、Access端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。 2、Access端口在转发数据前会移除VLAN Tag。

Trunk： 1、当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；如果该帧包含Tag，则不改变。 2、当Trunk端口发送帧时，该帧的VLAN ID在Trunk的允许发送列表中：若与端口的PVID相同时，则剥离Tag发送；若与端口的PVID不同时，则直接发送。 3、Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。Trunk端口允许多个VLAN的帧（带Tag标记）通过。

Hybrid 1、Hybrid端口既可以连接主机，又可以连接交换机。 2、Hybrid端口可以以Tagged 或Untagged方式加入VLAN 。

VLAN划分的方法 1、基于端口划分（最为常见；不足之处：当主机位置移动，需要重新配置VLAN） 2、基于MAC地址划分（即使主机移动位置也不需要重新配置VLAN） 3、基于IP地址划分； 4、基于协议划分（需要配置协议类型和VLAN ID之间的映射关系）； 5、基于策略划分（手动配置）；

VLAN的配置命令 1、执行vlan 10 命令创建vlan； 2、执行vlan batch 2 to 3 命令连续创建多个vlan ； 3、执行display vlan命令验证配置结果； 4、执行display vlan [ vlan*-id* [ verbose ] ]命令，可以查看指定VLAN的详细信息，包括VLAN ID、类型、描述、VLAN的状态、VLAN中的端口、以及VLAN中端口的模式等； 5、执行display vlan vlan*-id* statistics命令，可以查看指定VLAN中的流量统计信息。； 6、执行display vlan summary命令，可以查看系统中所有VLAN的汇总信息。；

配置Access端口 [SWA]interface GigabitEthernet 0/0/5 [SWA-GigabitEthernet0/0/5]port link-type access [SWA-GigabitEthernet0/0/5]interface GigabitEthernet 0/0/7 [SWA-GigabitEthernet0/0/7]port link-type access

有两种方法可以添加端口到vlan中去
方法一：进入VLAN视图
[SWA]vlan 2
[SWA-vlan2]port GigabitEthernet 0/0/5

方法二：进入接口视图
[SWA]interface GigabitEthernet0/0/5 
[SWA-GigabitEthernet0/0/5]port default vlan 2

配置Trunk端口 [SWA-GigabitEthernet0/0/1]port link-type trunk [SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

配置Hybrid端口 [SWA-GigabitEthernet0/0/1]port link-type hybrid [SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100 [SWA-GigabitEthernet0/0/2]port hybrid pvid vlan 2 [SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 100 [SWA-GigabitEthernet0/0/3]port hybrid pvid vlan 3 [SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 3 100

配置Voice VLAN [SWB]vlan 2 [SWB-vlan2]interface GigabitEthernet 0/0/1 [SWB-GigabitEthernet0/0/1]voice-vlan 2 enable [SWB-GigabitEthernet0/0/1]voice-vlan mode auto [SWB-GigabitEthernet0/0/1]quit [SWB]voice-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 [SWB]display voice-vlan status