VLAN模式定义和测试 -贾建刚

交换机上配置静态VLAN1、创建VLAN（1）在全局模式下创建VLAN：switch>enable 进入特权模式switch#configure terminal 进入全局模式switch(config)#vlan vlan-ID创建VLAN号switch(config)#name vlan-name配置VLAN名称switch(config)#mtu mtu-size改变MTU大小（可选命令）switch(config)#end 退出switch(config)#show vlan ｛name vlan-name|ID vlan-id｝验证查看vlanswitch(config)#copy running-config startup-config 保存配置（2）在VLAN数据库中创建VLAN（VLAN数据库模式目前已经过时IOS版本不在支持，推荐使用全局模式配置定义VLAN）switch#vlan datebase 进入VLAN配置状态switch(vlan)#vlan vlan-id name vlan-name创建VLAN号及VLAN名称switch(vlan)#vlan vlan-id mtu mtu-size 修改MTU大小switch(vlan)#exit 更新VLAN数据并退出switch(config)#show vlan ｛name vlan-name|ID vlan-id｝验证查看vlanswitch(config)#copy running-config startup config 保存配置（3）在VLAN中添加、删除端口switch#configure terminal 进入配置状态switch(config)# interface interface-id 进入要分配的端口switch(config)#switchport mode access 定义二层端口switch(config)#switchport access vlan vlan-id把端口划分给某个VLANswitch(config)#end 退出switch#show running-config interface interface-ID验证端口号的VLAN号switch#show interfaces interface-id switchport 验证端口的管理模式和VLAN情况switch#copy running-config startup-config 保存配置使用default interface interface-id命令可以还原接口的默认配置状态（4）验证VLAN的配置switch#show vlan brief 查看VLAN信息的命令switch#show vlan vlan-id查看指定的某一个VLAN信息（5）删除VLAN用no vlan vlan-id命令Switch#configure terminalSwitch(config)#no vlan vlan-id++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 2、Turnk的模式和协商接口的配置模式1、switchport mode access将接口设定为永久的非中继模式，并协商将链路转换为非中继链路，即使邻接端口是中继端口，此接口也会成为非中继接口2、switchport mode dynamic desirable 使得接口主动尝试将链路转换为中继链路。

华为：Acces‎s、Hybri‎d和Tru‎n k三种模‎式的理解预‎备知识：Tag，untag‎以及交换机‎的各种端口‎模式是网络‎工程技术人‎员调试交换‎机时接触最‎多的概念了‎，然而笔者发‎现在实际工‎作中技术人‎员往往对这‎些概念似懂‎非懂，笔者根据自‎己的理解再‎结合一个案‎例，试图向大家‎阐明这些概‎念untag‎就是普通的‎e ther‎n et报文‎，普通PC机‎的网卡是可‎以识别这样‎的报文进行‎通讯；tag报文‎结构的变化‎是在源m a‎c地址和目‎的mac地‎址之后，加上了4b‎y tes的‎v lan信‎息，也就是vl‎a n tag头；一般来说这‎样的报文普‎通PC机的‎网卡是不能‎识别的带802.1Q的帧是‎在标准以太‎网帧上插入‎了4个字节‎的标识。

其中包含：2个字节的‎协议标识符‎（TPID)，当前置0x‎8100的‎固定值，表明该帧带‎有802.1Q的标记‎信息。

2个字节的‎标记控制信‎息（TCI），包含了三个‎域。

Prior‎i ty域，占3bit‎s，表示报文的‎优先级，取值0到7‎，7为最高优‎先级，0为最低优‎先级。

该域被80‎2.1p采用。

规范格式指‎示符（CFI)域，占1bit‎，0表示规范‎格式，应用于以太‎网；1表示非规‎范格式，应用于To‎k en Ring。

VLAN ID域，占12bi‎t，用于标示V‎L AN的归‎属。

以太网端口‎的三种链路‎类型：Acces‎s、Hybri‎d和Tru‎n k：Acces‎s类型的端‎口只能属于‎1个VLA‎N，一般用于连‎接计算机的‎端口；Trunk‎类型的端口‎可以允许多‎个VLAN‎通过，可以接收和‎发送多个V‎L AN的报‎文，一般用于交‎换机之间连‎接的端口；Hybri‎d类型的端‎口可以允许‎多个VLA‎N通过，可以接收和‎发送多个V‎L AN的报‎文，可以用于交‎换机之间连‎接，也可以用于‎连接用户的‎计算机。

A c c e s s、H y b r i d和T r u n k三种模式的理解Tag,untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了,然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂,笔者根据自己的理解再结合一个案例,试图向大家阐明这些概念untag就是普通的Ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlantag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识;其中包含：2个字节的协议标识符TPID,当前置0x8100的固定值,表明该帧带有802.1Q的标记信息;2个字节的标记控制信息TCI,包含了三个域;Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先级;该域被802.1p采用;规范格式指示符CFI域,占1bit,0表示规范格式,应用于以太网；1表示非规范格式,应用于TokenRing;VLANID域,占12bit,用于标示VLAN的归属;以太网端口有三种链路类型：Access、Hybrid和Trunk;Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口；Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口；Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机;Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签;在这里先要向大家阐明端口的缺省VLAN这个概念Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置；Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLANID;缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN1如果设置了端口的缺省VLANID,当端口接收到不带VLANTag的报文后,则将报文转发到属于缺省VLAN的端口；当端口发送带有VLANTag的报文时,如果该报文的VLANID与端口缺省的VLANID相同,则系统将去掉报文的VLANTag,然后再发送该报文;注：对于华为交换机缺省VLAN被称为“PvidVlan”,对于思科交换机缺省VLAN被称为“NativeVlan”交换机接口出入数据处理过程如下：Access端口收报文:收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃缺省Access端口发报文：将报文的VLAN信息剥离,直接发送出去trunk端口收报文：收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发,否则丢弃trunk端口发报文：比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送hybrid端口收报文：收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发,否则丢弃此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用hybrid端口发报文：1、判断该VLAN在本端口的属性dispinterface即可看到该端口对哪些VLAN是untag,哪些VLAN是tag2、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送以下案例可以帮助大家深入理解华为交换机的hybrid端口模式Switch-Ethernet0/1inte0/1Switch-Ethernet0/1portlink-typehybridSwitch-Ethernet0/1porthybridpvidvlan10Switch-Ethernet0/1porthybridvlan1020untaggedSwitch-Ethernet0/1inte0/2Switch-Ethernet0/2portlink-typehybridSwitch-Ethernet0/2porthybridpvidvlan20Switch-Ethernet0/2porthybridvlan1020untagged此时intere0/1和intere0/2下的所接的PC是可以互通的,但互通时数据所走的往返vlan 是不同的;以下以intere0/1下的所接的pc1访问intere0/2下的所接的pc2为例进行说明pc1所发出的数据,由inter0/1所在的pvidvlan10封装vlan10的标记后送入交换机,交换机发现intere0/2允许vlan10的数据通过,于是数据被转发到intere0/2上,由于intere0/2上vlan10是untagged的,于是交换机此时去除数据包上vlan10的标记,以普通包的形式发给pc2,此时pc1->p2走的是vlan10再来分析pc2给pc1回包的过程,pc2所发出的数据,由inter0/2所在的pvidvlan20封装vlan20的标记后送入交换机,交换机发现intere0/1允许vlan20的数据通过,于是数据被转发到intere0/1上,由于intere0/1上vlan20是untagged的,于是交换机此时去除数据包上vlan20的标记,以普通包的形式发给pc1,此时pc2->pc1走的是vlan20＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝综上所述,以下列举Switch收发Switch对标记的处理remarkAccess接收Tagged=PVID不接收注：部分高端产品可能接收;Access接收Tagged=/PVID不接收注：部分高端产品可能接收;Access接收Untagged接收增加tag＝PVID从PCAccess发送Tagged=PVID转发删除tagAccess发送Tagged=/PVID不转发不处理Access发送Untagged无此情况无此情况无此情况Trunk接收Tagged=PVID接收不修改tagTrunk接收Tagged=/PVID接收不修改tagTrunk接收Untagged接收增加tag＝PVIDTrunk发送Tagged=PVIDIfPassingthen转发删除tagTrunk发送Tagged=/PVIDIfPassingthen转发不修改tagTrunk发送Untagged无此情况无此情况无此情况注Hybrid接收Tagged=PVID接收不修改tag对端是trunkHybrid接收Tagged=/PVID接收不修改tag对端是trunkHybrid接收Untagged接收增加tag＝PVID类TrunkHybrid发送Tagged=PVIDTag和untag中列出的vlan可以passing看Tag项和untag项Hybrid发送Tagged=/PVIDTag和untag中列出的vlan可以passing看Tag项和untag项Hybrid发送Untagged无此情况无此情况无此情况注另外需要注意的是：1Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan 同时配置;但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,则不允许修改缺省VLANID,只有在解除映射后才能进行修改;2本Hybrid端口或Trunk端口的缺省VLANID和相连的对端交换机的Hybrid端口或Trunk 端口的缺省VLANID必须一致,否则报文将不能正确传输;。

VLAN基础知识虚拟局域网（Virtual Local Area Network，简称VLAN）是一种将物理局域网划分为逻辑上相互隔离的虚拟网络的技术。

通过VLAN的划分，可以实现网络的灵活管理和安全隔离。

本文将介绍VLAN的基础知识，包括VLAN的概念、VLAN的优点以及VLAN的实现方法。

1. VLAN的概念VLAN是一种逻辑上的划分，它可以将一个物理局域网划分为多个虚拟的局域网。

在一个VLAN中的计算机之间可以自由地通信，而不需要受到其他VLAN的影响。

VLAN通过将不同的端口划分到不同的VLAN中来实现逻辑上的隔离。

2. VLAN的优点VLAN的划分可以带来多个优点：2.1 提高网络性能：将局域网划分为多个VLAN可以减少广播和碰撞域，提高网络性能和带宽的利用率。

2.2 提高网络安全性：VLAN可以实现不同VLAN之间的隔离，防止未经授权的访问和潜在的网络安全风险。

2.3 简化网络管理：VLAN的划分可以简化网络管理，管理员可以根据业务需求对VLAN进行灵活地配置和管理。

3. VLAN的实现方法VLAN的实现可以采用不同的方法，包括端口划分和标签划分。

3.1 端口划分（Port-Based VLAN）端口划分是将物理端口划分到不同的VLAN中。

通过在交换机上对端口进行配置，可以将不同端口划分到不同的VLAN中，实现不同VLAN之间的隔离。

端口划分是最简单、最常用的VLAN划分方法。

3.2 标签划分（Tag-Based VLAN）标签划分是通过在数据包中添加802.1Q VLAN标签来实现VLAN 的划分。

在这种方法中，交换机会为数据包添加一个VLAN标签，标记数据包所属的VLAN。

通过VLAN标签，交换机可以实现对数据包的转发和隔离。

4. VLAN的配置配置VLAN需要进行以下步骤：4.1 创建VLAN：在交换机上创建VLAN，并为每个VLAN分配一个唯一的VLAN ID。

4.2 配置端口：将不同的端口划分到不同的VLAN中。

VLAN技术1.VLAN的定义VLAN（Virtual Local Area Network，VLAN）即虚拟局域网，是一种近年来在计算机通信领域内逐渐发展起来的一种网络技术。

VLAN是将局域网内的设备逻辑地而不是物理地划分成网段，从而实现虚拟工作组的一种技术。

它在广播抑制、动态组网等方面具有其他网络无法比拟的优越性，因此得到了长足的发展。

2.VLAN的实现原理与主要特征2.1 VLAN的实现原理是VLAN的实现原理是：当VLAN交换机从工作站接收到数据后，将对数据的部分内容进行检查，并与一个VLAN配置数据库（该数据库含有静态配置的或者动态学习而得到的MAC地址等信息）中的内容进行比较，然后确定数据去向。

如果数据要发往一个VLAN设备（VLAN-aware），则给这个数据加上一个标记（Tag）或者VLAN标识，根据VLAN标识和目的地址，VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地；如果数据发往非VLAN设备（VLAN-unaware），则VLAN交换机发送不带VLAN标识的数据。

2.2 VLAN的主要功能2.2.1 广播抑制功能为了防止大量用户发送消息时形成广播风暴，避免造成整个网络性能下降甚至瘫痪，虚拟网技术将广播域按需要分成更小的、各自独立的VLAN。

这样能够使网络中广播包在消耗带宽中所占的比例大大降低，从而使网络性能得到显著提高。

2.2.2 动态网络功能在虚拟环境下，某一个VLAN成员与该VLAN仅仅是逻辑上的关系，而与地理位置无关。

因此，可以很方便地加入或撤除VLAN，克服了使用传统路由器隔离广播信息的方法所带来的问题。

2.2.3 网络安全功能根据安全需要，虚拟技术可以将不同层次的用户群划分为不同的VLAN，对不同用户之间的通信进行限制。

虚拟网之间的通信是通过路由技术实现的。

它能够使双方不知道彼此具体的MAC地址，从而消除通信双方直接连接的可能性，使网络安全性得到很大提高，还可以通过路由技术的包过滤等功能来进一步提高网络安全性2.3 VLAN的主要特征（1）所有成员组成一个VLAN。

什么是VLAN如何划分VLANVLAN（Virtual Local Area Network）是一种用于逻辑上划分网络设备的概念，通过将一个局域网划分为多个虚拟网络，可以将不同的设备划分到不同的逻辑网络中，实现安全隔离和更加灵活的网络管理。

VLAN的划分是基于不同的条件进行的，常见的划分方法包括端口基础的划分、MAC地址基础的划分、IP地址基础的划分和协议基础的划分。

下面将详细介绍这些划分方法。

1.端口基础的划分：在端口基础的划分中，VLAN是根据交换机的端口进行划分的。

每个端口可以属于一个固定的VLAN，所有连接到该端口的设备都属于同一个VLAN。

这种划分方法简单易用，但是不够灵活。

2.MAC地址基础的划分：在MAC地址基础的划分中，VLAN是根据设备的MAC地址进行划分的。

可以配置一个MAC地址范围来确定属于同一个VLAN的设备。

这种划分方法可以使设备在不同的端口上进行移动而不需要重新配置VLAN。

3.IP地址基础的划分：在IP地址基础的划分中，VLAN是根据设备的IP地址进行划分的。

每个IP地址范围可以确定一个VLAN。

这种划分方法适用于需要将设备按照IP地址进行管理和控制的网络。

4.协议基础的划分：在协议基础的划分中，VLAN是根据设备使用的协议进行划分的。

可以配置一个或多个协议来确定一个VLAN。

这种划分方法适用于需要根据具体的协议类型来进行网络管理和控制的场景。

除了上述的划分方法，还有一些其他的划分方式，如基于用户组的划分、基于应用程序的划分等。

不同的划分方法可以根据实际需求进行组合使用，以满足网络管理的各种要求。

划分VLAN可以带来许多优势，包括：1.安全隔离：通过将不同设备划分到不同的VLAN中，可以实现设备之间的安全隔离，减少潜在的安全风险。

2.灵活性：VLAN划分可以根据实际需要进行调整，可以随时增减VLAN的数量，更好地适应网络变化。

3.简化管理：通过划分VLAN，可以将网络设备按照逻辑进行组织，简化了网络管理和故障排除的工作。

实验报告课程名称：计算机网络基础实验项目：虚拟局域网VLAN专业班级：信息系统与信息管理602班姓名： ****** 学号： *****指导教师：***老师成绩：日期：第一部分：交换机端口隔离.【实验名称】交换机端口隔离.【实验目的】理解Port Vlan的配置，了解VLAN的原理，熟练掌握交换机端口隔离划分虚拟局【背景描述】假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机的fa0/5口;住户PC2连接在交换机的fa0/15口，住户pc3连接在fa0/1口.现要实现各家各户的端口隔离. 【实现功能】通过PORT VLAN实现本交换机端口隔离. （通过虚拟局域网技术可以隔离网络风暴，提高网络的性能，降低无用的网络开销。

并能提高网络的安全性,保密性。

）【实现拓扑】【实验设备】S2126G 1台、PC机6台、直连线6条【实验步骤】步骤1.搭建一个小型局域网的拓扑，使得一台可网管的交换机，通过普通快速以太网端口f0/1、f0/2、f0/10与多台PC，使用直连线相连接。

并给三台PC机配置IP，要求所有IP属于同一个网段。

保证三台PC两两之间互相能够ping通。

截图于此switchA#configure terminal !进入交换机全局配置模式switchA(config)#vlan 2 ！创建VLAN2switchA(config-vlan)#name wxk01 ！将其命名为wxk01switchA(config-vlan)#exit!退出VLAN 01switchA(config)#vlan 3 ！创建VLAN 02switchA(config-vlan)#name wxk02 ！将其命名为wxk02switchA(config-if)#exit验证测试使用命令show vlan和show running-config查看与刚才有何不同。

switchA#show vlan步骤2.将接口分配到VLAN.switchA(config)#interface fa0/1 ！进入fa0/1的接口配置模式。