以太网VLAN原理及配置

VLAN工作原理（VLAN通信原理）详解VLAN工作原理即VLAN通信原理1、vlan基本通信原理为了提高处理效率，交换机内部的数据帧一律都带有VLAN Tag，以统一方式处理。

当一个数据帧进入交换机接口时，如果没有带VLAN Tag，且该接口上配置了PVID（Port Default VLAN ID），那么，该数据帧就会被标记上接口的PVID。

如果数据帧已经带有VLAN Tag，那么，即使接口已经配置了PVID，交换机不会再给数据帧标记VLAN Tag。

由于接口类型不同，交换机对数据帧的处理过程也不同。

下面根据不同的接口类型分别介绍。

由于设备所有的接口都默认加入VLAN1，因此当网络中存在VLAN1的未知单播、组播或者广播报文时，可能会引起广播风暴。

对于不需要加入VLAN1的接口及时退出VLAN1，避免环路。

2、VLAN内跨越交换机通信原理有时属于同一个VLAN的用户主机被连接在不同的交换机上。

当VLAN跨越交换机时，就需要交换机间的接口能够同时识别和发送跨越交换机的VLAN报文。

这时，需要用到Trunk Link技术。

Trunk Link有两个作用：1、中继作用：把VLAN报文透传到互联的交换机。

2、干线作用：一条Trunk Link上可以传输多个VLAN的报文。

图1 Trunk Link通信方式示意图例如在上图1所示的网络中，为了让DeviceA和DeviceB之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯，需要配置连接接口同时加入两个VLAN。

即应配置DeviceA的以太网接口Port2和DeviceB的以太网接口Port1同时加入VLAN2和VLAN3。

当用户主机Host A发送数据给用户主机Host B时，数据帧的发送过程如下：数据帧首先到达DeviceA的接口Port4。

接口Port4给数据帧加上Tag，Tag的VID字段填入该接口所属的VLAN的编号2。

DeviceA查询自己的MAC地址表中是否存在目的地址为DeviceB的MAC地址的转发表项。

VLAN 工作原理(VLAN 通信原理)详解VLAN 工作原理即VLAN 通信原理1、vlan 基本通信原理为了提高处理效率，交换机内部的数据帧一律都带有 VLAN Tag，以统一方式处理。

当一个数据帧进入交换机接口时，如果没有带 VLAN Tag，且该接口上配置了 PVID(Port Default VLAN ID)，那末，该数据帧就会被标记上接口的 PVID。

如果数据帧已经带有VLAN Tag，那末，即使接口已经配置了 PVID，交换机不会再给数据帧标记 VLAN Tag。

由于接口类型不同，交换机对数据帧的处理过程也不同。

下面根据不同的接口类型分别介绍。

各类型接口对数据帧的处理方式接口类型对接收不带 Tag 的报文对接收带 Tag 的报文处发送帧处理过程处理理Access 接接收该报文，并打上当 VLAN ID 与缺省 VLAN 先剥离帧的 PVID口缺省的 VLAN ID。

ID 相同时，接收该报文； Tag，然后再发送。

当 VLAN ID 与缺省 VLANID 不同时，丢弃该报文。

Trunk 接口打上缺省的 VLANID，当缺省 VLAN ID 在允许通过的 VLAN ID 列表里时，接收该报文；当 VLAN ID 在接口允许当 VLAN ID 与缺省通过的 VLAN ID 列表里时， VLAN ID 相同，且是该接接收该报文；口允许通过的 VLAN ID当 VLAN ID 不在接口允时，去掉 Tag，发送该报当缺省VLAN ID 不在许通过的 VLAN ID 列表里允许通过的 VLAN ID 列时，丢弃该报文。

表里时，丢弃该报文。

文；当 VLAN ID 与缺省VLAN ID 不同，且是该接口允许通过的 VLAN ID 时，保持原有 Tag，发送该报文。

Hybrid 接打上缺省的 VLAN 当 VLAN ID 在接口允许当VLAN ID 是该接口口 ID，当缺省 VLAN ID 在通过的 VLAN ID 列表里时，允许通过的 VLAN ID 时，允许通过的 VLAN ID 列接收该报文。

vlan的工作原理
VLAN（Virtual Local Area Network，虚拟局域网）是将一个物理局域网划分为多个逻辑上的局域网的技术。

其工作原理如下：
1. 以太网帧：VLAN基于以太网帧来实现逻辑分割。

以太网帧是实现数据传输的基本单元，由目的MAC地址、源MAC地址、VLAN标签等字段组成。

2. VLAN标签：VLAN标签用于识别帧属于哪个VLAN。

VLAN标签通常插入在以太网帧的头部，这个操作称为“打标签”（tagging）。

3. 端口绑定：每个交换机端口都可以配置为一个或多个VLAN。

配置端口的VLAN意味着该端口会过滤掉不属于该VLAN的帧。

一个端口只能隶属于一个VLAN，但一个VLAN可以包含多个端口。

4. VLAN间通信：默认情况下，不同的VLAN之间是相互隔离的，即VLAN内的主机可以互相通信，但不同VLAN内的主机不能直接通信。

要实现不同VLAN间的通信，需要通过一些设备（如交换机、路由器）来进行数据转发。

5. 交换机处理：当交换机收到一帧时，会根据帧头中的VLAN标签来判断该帧属于哪个VLAN。

如果交换机配置了该VLAN，那么它会将帧转发到该VLAN所对应的端口上；如果交换机未配置该VLAN，那么它会将帧丢弃。

总结来说，VLAN通过将一个物理局域网划分为多个逻辑上的局域网，实现了不同VLAN之间的隔离和控制。

它提供了更灵活、更安全的网络管理方式，使网络更易于扩展和维护。

实验三交换机的VLAN配置一、实验目的1. 理解理解Trunk链路的作用和VLAN的工作原理2. 掌握交换机上创建VLAN、接口分配3．掌握利用三层交换机实现VLAN间的路由的方法。

二、实验环境本实验在实验室环境下进行操作，需要的设备有：配置网卡的PC机若干台，双绞线若干条，CONSOLE线缆若干条，思科交换机cisco 2960两台。

三、实验内容1. 单一交换机的VLAN配置；2. 跨交换机VLAN配置，设置Trunk端口；3. 测试VLAN分配结果；4．在三层交换机上实现VLAN的路由；5．测试VLAN间的连通性四、实验原理1．什么是VLANVLAN是建立在局域网交换机上的，以软件方式实现逻辑工作组的划分与管理，逻辑工作组的站点不受物理位置的限制，当一个站点从一个逻辑工作组移到另一个逻辑工作组时，只需要通过软件设定，而不需要改变它在网络中的物理位置；当一个站点从一个物理位置移动到另一个物理位置时，只要将该计算机连入另一台交换机，通过软件设定后该计算机可成为原工作组的一员。

相同VLAN内的主机可以相互直接通信，不同VLAN中的主机之间不能直接通信，需要借助于路由器或具有路由功能的第三层交换机进行转发。

广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。

2．交换机的端口以太网交换机的每个端口都可以分配给一个VLAN，分配给同一个VLAN的端口共享广播域，即一个站点发送广播信息，同一VLAN中的所有站点都可以接收到。

交换机一般都有三种类型的端口：TRUNK口、ACCESS口、CONSOLE口。

CONSOLE端口：它是专门用于对交换机进行配置和管理的。

通过Console端口连接并配置交换机，是配置和管理交换机必须经过的步骤。

ACCESS口（默认）：ACCESS端口只能通过缺省VLAN ID的报文。

TRUNK 口：为了让连接在不同交换机但属于同一VLAN 的计算机之间能够相互通信，必须把两个交换机相级联的那两个端口配置成TRUNK 口工作模式。

VLAN技术详解1 前⾔VLAN技术的出现不仅仅给我们在⽹络设计和规划上提供了更多的选择，也更为安全和⽅便的管理⽹络，同时由VLAN技术引出的各种相关应⽤也是层出不穷。

可以说VLAN技术是以太⽹技术的⼀个⾰命性的变⾰，同时也是以太⽹中最为基础和关键的技术。

本⽂主要针对VLAN技术产⽣的背景、VLAN技术的原理、VLAN的相关应⽤等⼏个部分来逐⼀进⾏介绍。

2 为什么需要VLAN?为什么需要VLAN技术，它的优点在哪⾥呢？在TCP／IP协议规范中，没有VLAN的定义。

当第⼆层⽹络交换机发展到⼀定程度的时候，传统的路由器由于在性能上的不⾜，它作为⽹络节点的统治地位受到了很⼤的挑战。

既然传统路由器是⽹络的瓶颈，⽽交换机⼜有如此优越的性能，为什么不⽤交换机取代传统路由器，来构造⽹络呢？我们都知道，位于协议第2层的交换机虽然能隔离冲突域，提⾼每⼀个端⼝的性能，但并不能隔离⼴播域，不能进⾏⼦⽹划分，不能层次化规划⽹络，更⽆法形成⽹络的管理策略，因为这些功能全都属于⽹络的第三层———⽹络层。

因此，如果只⽤交换机来构造⼀个⼤型计算机⽹络，将会形成⼀个巨⼤的⼴播域，结果是，⽹络的性能反⽽降低以⾄⽆法⼯作，⽹络的管理束⼿⽆策，这样的⽹络是不可想象的。

按照TCP／IP的原理，⼀般来说，⼴播域越⼩越好，⼀般不应超过200个站点。

那么，如何在⼀个交换⽹络中划分⼴播域呢？交换机的设计者们借鉴了路由结构中⼦⽹的思路，得出了虚⽹的概念，即通过对⽹络中的IP地址或MAC地址或交换端⼝进⾏划分，使之分属于不同的部分，每⼀个部分形成⼀个虚拟的局域⽹络，共享⼀个单独的⼴播域。

这样就可以把⼀个⼤型交换⽹络划分为许多个独⽴的⼴播域，即VLAN。

VLAN（Virtual LAN）中⽂叫做虚拟局域⽹，它的作⽤就是将物理上互连的⽹络在逻辑上划分为多个互不相⼲的⽹络，这些⽹络之间是⽆法通讯的，就好像互相之间没有连接⼀样，因此⼴播也就隔离开了。

VLAN的实现原理⾮常简单，通过交换机的控制，某⼀VLAN成员发出的数据包交换机只发给同⼀VLAN的其它成员，⽽不会发给该VLAN成员以外的计算机。

VLAN的作⽤以及配置⽬录⼀、为什么需要VLAN1、什么是 VLAN(Virtual LAN)，翻译成中⽂是“虚拟局域⽹”。

LAN可以是由少数⼏台家⽤计算机构成的⽹络，也可以是数以百计的计算机构成的企业⽹络。

VLAN所指的LAN特指使⽤路由器分割的⽹络——也就是⼴播域。

简单来说，同⼀个VLAN中的⽤户间通信就和在⼀个局域⽹内⼀样，同⼀个VLAN中的⼴播只有VLAN中的成员才能听到，⽽不会传输到其他的VLAN中去，从⽽控制不必要的⼴播风暴的产⽣。

同时，若没有路由，不同VLAN之间不能相互通信，从⽽提⾼了不同⼯作组之间的信息安全性。

⽹络管理员可以通过配置VLAN之间的路由来全⾯管理⽹络内部不同⼯作组之间的信息互访。

2、未分割VLAN时将会发⽣什么? 那么，为什么需要分割VLAN(⼴播域)呢?那是因为，如果仅有⼀个⼴播域，有可能会影响到⽹络整体的传输性能。

具体原因，请参看附图加深理解。

图中，是⼀个由5台⼆层交换机(交换机1～5)连接了⼤量客户机构成的⽹络。

假设这时，计算机A需要与计算机B通信。

在基于以太⽹的通信中，必须在数据帧中指定⽬标MAC地址才能正常通信，因此计算机A必须先⼴播“ARP请求(ARP Request)信息”，来尝试获取计算机B的MAC 地址。

交换机1收到⼴播帧(ARP请求)后，会将它转发给除接收端⼝外的其他所有端⼝，也就是泛滥了。

接着，交换机2收到⼴播帧后也会泛滥。

交换机3、4、5也还会泛滥。

最终ARP请求会被转发到同⼀⽹络中的所有客户机上，这也就是⽹络风暴。

我们分析下，这个计算A的ARP请求原本是为了获得计算机B的MAC地址⽽发出的。

也就是说：只要计算机B能收到就万事⼤吉了。

可是事实上，数据帧却传遍整个⽹络，导致所有的计算机都收到了它。

如此⼀来，⼀⽅⾯⼴播信息消耗了⽹络整体的带宽，另⼀⽅⾯，收到⼴播信息的计算机还要消耗⼀部分CPU时间来对它进⾏处理。

造成了⽹络带宽和CPU运算能⼒的⼤量⽆谓消耗，可能会造成⽹络瘫痪。

实验、VLan 的配置一.实验原理 1.1 VLAN 的作用虚拟局域网VLAN 逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上的网络划分成多个小的逻辑网络。

这些小的逻辑网络形成各自的广播域，也就是VLAN 。

如下图所示。

几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN ，形成各自的广播域，广播报文不能跨越这些广播域传送。

广播域市场部工程部财务部21.2 VLAN 的帧格式标准规定，在原有的标准以太网帧格式中，增加一个特殊的标志域----Tag 域，用于标识数据帧所属的VLAN ID ，其帧格式如下图所示。

1.3 VLAN 端口从交换机处理VLAN 数据帧的不同，我们可以将交换机的端口分为两类：一类是只能传送标准以太网帧的端口，被称为Access 端口；另一类是既可以传送有VLAN 标签的数据帧，也可以传送标准以太网帧的端口，称为Trunk 端口。

带有IEEE802.1Q 标记的以太网Access端口一般是指那些连接不支持VLAN技术的终端设备的端口，这些端口收到的数据帧都不包含VLAN标签，发送帧中也必须不包含VLAN标签。

Trunk端口一般是指那些连接支持VLAN技术的网络设备的端口。

这些端口接收到的数据帧一般都包含VLAN标签，而向外发送数据帧时也常常需要添加VLAN标签。

1.4 VLAN的配置配置VLAN大致分为一下几个方面：（1）创建/删除VLAN（2）向当前VLAN中添加/删除端口（3）将当前端口添加/删除到指定VLAN（4）指定端口类型（5）指定/删除端口的缺省VLAN IDaccess的缺省VLAN ID就是它所属的VLAN ID，缺省情况下Trunk端口的VLAN ID是VLAN1。

注意：在修改Trunk端口的缺省VLAN ID时，要保证Trunk链路两端的缺省VLAN ID一致，否则，同一VLAN用户不能正常通信。

（6）指定/删除Trunk端口可以通过的VLAN数据帧二. 实验内容：VLAN基本配置三. 实验目的：掌握VLAN基本配置命令和配置注意事项四. 实验环境：2台交换机，6台PC，实验组网如图所示。