VLAN标签处理过程

VLAN的工作原理VLAN（Virtual Local Area Network）是一种虚拟局域网技术，它能够将一个物理局域网划分为多个逻辑上的虚拟局域网，实现网络资源的隔离和管理。

VLAN的工作原理基于802.1Q协议，通过在数据帧的头部添加VLAN标签来标识不同的虚拟局域网。

VLAN的工作原理可以分为三个主要步骤：VLAN划分、VLAN标记和VLAN通信。

1. VLAN划分：在一个物理局域网中，可以根据不同的需求将网络设备划分为多个逻辑上的VLAN。

这种划分可以基于端口、MAC地址、IP地址等标识符。

例如，可以将某些端口划分为一个VLAN，将此外一些端口划分为另一个VLAN。

这样，不同的VLAN之间的设备将无法直接通信，实现了网络资源的隔离。

2. VLAN标记：在数据帧的头部添加VLAN标签是实现VLAN的关键步骤。

VLAN标签是一个包含VLAN ID的12位字段，用于标识数据帧所属的VLAN。

当一个数据帧从一个VLAN划分的端口进入交换机时，交换机会在数据帧的头部添加VLAN标签。

这样，交换机就知道该数据帧属于哪个VLAN，并相应地进行处理。

3. VLAN通信：VLAN通信是指不同VLAN之间的设备如何进行通信。

在同一个VLAN内的设备可以直接进行通信，而不同VLAN之间的设备则需要通过路由器或者三层交换机进行通信。

当一个数据帧从一个VLAN划分的端口进入交换机时，交换机会根据VLAN标签将数据帧转发到相应的VLAN。

如果数据帧需要跨越不同的VLAN，交换机会将数据帧发送到路由器或者三层交换机，由其进行跨VLAN通信。

总结：VLAN的工作原理是通过划分、标记和通信来实现虚拟局域网的功能。

通过VLAN的划分，可以将一个物理局域网划分为多个逻辑上的虚拟局域网，实现网络资源的隔离和管理。

通过VLAN标记，交换机可以识别数据帧所属的VLAN，并相应地进行处理。

通过VLAN通信，不同VLAN之间的设备可以通过路由器或者三层交换机进行通信。

第9章虚拟局域网VLAN（Virtual Local Area Network）主要内容：1 VLAN概述2 VLAN作用3 VLAN在交换机上的实现方法★4 交换机配置界面★5 配置实例1 VLAN概述VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

LAN所指的LAN特指使用路由器分割的网络——也就是广播域。

广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。

严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2 VLAN作用VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。

VLAN技术优势：1. 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。

VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN 后，这部分管理费用大大降低。

1 QinQ&SVLAN 简介1.1 QinQ & SVLAN 简介QinQ 是对基于IEEE 802.1Q 封装的隧道协议的形象称呼，又称VLAN 堆叠。

QinQ 技术是在原有VLAN 标签（内层标签）之外再增加一个VLAN 标签（外层标签），外层标签可以将内层标签屏蔽起来。

SPVLAN ：Service Provider VLAN ；CVLAN ：Customer VLAN 用户网络2CVLAN 1~100服务提供商网络Switch APE PE Switch B SPVLAN 10Uplink portSPVLAN 10Uplink portSPVLAN 10Customer portSPVLAN 10Customer port用户网络一般通过Trunk VLAN 方式接入PE ，服务提供商网络内部的Uplink 端口通过Trunk VLAN 方式对称连接。

当报文从用户网络1到达交换机A 的customer 端口时，无论报文是tagged 还是untagged 的，交换机A 都强行插入外层标签，插入的标签为接口的native vlan （VLAN ID 为10）。

在服务提供商网络内部，报文沿着VLAN 10的端口传播，直至到达交换机B 。

交换机B 发现与用户网络2相连的端口为customer 端口，于是按照传统的802.1Q 协议剥离外层标签，恢复成用户的原始报文，发送到用户网络2。

这样，用户网络1和2之间的数据可以通过服务提供商网络进行透明传输，用户网络可以自由规划自己的私网VLAN ID ，而不会导致和服务提供商网络中的VLAN ID 冲突。

传统的QINQ 部署中（实际上目前的城域网也较多的使用高端交换机部署普通QinQ ），数据包只能在下行口打上该端口的native vlan 进行双标签转发。

但实际应用中，一个端口有打不同外层标签甚至透传VLAN的需求，因此“灵活的QinQ——SVLAN（Selective VLAN）”应运而生。

实验、VLan 的配置一.实验原理 1.1 VLAN 的作用虚拟局域网VLAN 逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上的网络划分成多个小的逻辑网络。

这些小的逻辑网络形成各自的广播域，也就是VLAN 。

如下图所示。

几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN ，形成各自的广播域，广播报文不能跨越这些广播域传送。

广播域市场部工程部财务部21.2 VLAN 的帧格式标准规定，在原有的标准以太网帧格式中，增加一个特殊的标志域----Tag 域，用于标识数据帧所属的VLAN ID ，其帧格式如下图所示。

1.3 VLAN 端口从交换机处理VLAN 数据帧的不同，我们可以将交换机的端口分为两类：一类是只能传送标准以太网帧的端口，被称为Access 端口；另一类是既可以传送有VLAN 标签的数据帧，也可以传送标准以太网帧的端口，称为Trunk 端口。

带有IEEE802.1Q 标记的以太网Access端口一般是指那些连接不支持VLAN技术的终端设备的端口，这些端口收到的数据帧都不包含VLAN标签，发送帧中也必须不包含VLAN标签。

Trunk端口一般是指那些连接支持VLAN技术的网络设备的端口。

这些端口接收到的数据帧一般都包含VLAN标签，而向外发送数据帧时也常常需要添加VLAN标签。

1.4 VLAN的配置配置VLAN大致分为一下几个方面：（1）创建/删除VLAN（2）向当前VLAN中添加/删除端口（3）将当前端口添加/删除到指定VLAN（4）指定端口类型（5）指定/删除端口的缺省VLAN IDaccess的缺省VLAN ID就是它所属的VLAN ID，缺省情况下Trunk端口的VLAN ID是VLAN1。

注意：在修改Trunk端口的缺省VLAN ID时，要保证Trunk链路两端的缺省VLAN ID一致，否则，同一VLAN用户不能正常通信。

（6）指定/删除Trunk端口可以通过的VLAN数据帧二. 实验内容：VLAN基本配置三. 实验目的：掌握VLAN基本配置命令和配置注意事项四. 实验环境：2台交换机，6台PC，实验组网如图所示。

简述报文转发、vlan标记添加与删除和vlan间路由的过程。

报文转发是网络数据流量在不同网络设备之间传递的过程。

当数据包到达交换机时，该交换机需要根据对应的目的地址将数据包转发到正确的端口以进行后续传输。

在转发过程中，交换机需要执行一些额外操作，例如添加VLAN标记、删除VLAN标记和VLAN间路由等。

首先是VLAN标记添加和删除的过程。

VLAN是一种将网络划分为多个虚拟局域网的技术，它可以提高网络性能和安全性。

当数据包从一个端口进入交换机时，交换机需要将该数据包标记为相应的VLAN标记。

交换机会检查其端口对应的VLAN ID，并将其作为标记添加到数据包头中，以确定数据包属于哪个虚拟网络。

VLAN标记可以被其他交换机、路由器或防火墙等设备识别，使得数据包可以沿着正确的路径传输，而不污染其他网络通信。

当数据包从一个交换机传输到另一个交换机时，交换机需要根据VLAN标记重新判断它要转发到哪个端口。

如果数据包进入到另一个VLAN，则这个VLAN标记就会被删除。

其次是VLAN间路由的过程。

在一个VLAN中，通常每个设备都能够直接通信，但是不同VLAN之间的通信则需要通过路由器进行。

VLAN间路由器接收到数据包时会检查源MAC地址和目的MAC地址，以及VLAN标记，决定将数据包发送到哪个子网或设备。

如果路由器接收到的数据包跨越不同的VLAN，它就会删除VLAN ID标签，并将数据包发送到目标VLAN的交换机。

交换机会检查数据包的VLAN ID，并将数据包发送到正确的端口，以便将其从该VLAN中的其他设备转发出去。

总之，报文的转发、VLAN标记的添加和删除以及VLAN间路由是计算机网络中非常基础和重要的技术，它们可以帮助网络管理员更好地管理网络和提升网络安全，同时也能够提高网络传输的效率。

因此，在网络设计和维护过程中，对这些技术的了解和掌握尤为重要。

参考资料：1. 架构师之路——三层交换机与 Vlan（包括Vlan的引入，Vlan的划分，Vlan的通信，Vlan的配置，Vlan的路由）2. 你所不知道的VLAN技术实现原理3. 什么是VLAN，VLAN的类型和VLAN的实现方法4. VLAN和路由学习笔记。

关于vlan标签总结
报文入方向：
在入方向上，交换机的根本任务是决定该报文是否允许进入该端口，根据入报文的tag/untag的属性以及端口属性，细分为如下情况：
1 报文为untag:允许报文进入该端口，并打上PVID的vlan tag,与端口属性无关。

2 报文为tag:在这种情况下，需要交换机来判断是否允许该报文进入端口：
（1）Access端口：PVID和报文中的vlan tag标明的vlan一致，接受并处理报文。

否则丢弃；
（2）Trunk/Hybrid端口：如果端口允许tag中标明的vlan通过，则接收并处理报文，否则丢弃报文出方向：
在出方向上，交换机已经完成对报文的转发，其根本任务就是在转发出端口时，是否携带tag转发出去，根据出端口属性，细分如下情况：
（1）Access端口：将标签剥掉，不带tag转发。

（2）Trunk端口：报文所在vlan和PVID相同，则报文不带tag;否则带tag
（3）Hybrid端口：报文所在VLAN配置为tag,则报文带tag,否则不带tag。

实验四VLAN的基础配置实验报告一、实验原理一、VLAN（Virtual LAN）概述:VLAN可以是由少数几台家用计算机构成的网络, 也可以是数以百计的计算机构成的企业网络。

VLAN把一个物理上的LAN划分成多个逻辑上的LAN, 每个VLAN是一个广播域。

VLAN的组网如下图所示：同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互, 而处在不同VLAN内的主机之间如果需要通信, 则必须通过路由器或三层交换机等网络层设备才能够实现。

二、VLAN原理1.VLAN Tag为使交换机能够分辨不同VLAN 的报文, 需要在报文中添加标识VLAN 的字段。

由于交换机工作在OSI 模型的数据链路层（三层交换机不在本章节讨论范围内）, 只能对报文的数据链路层封装进行识别。

因此, 识别字段需要添加到数据链路层封装中。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。

如下图所示:其中DA 表示目的MAC 地址, SA 表示源MAC 地址, Type 表示报上层协议的类型字段。

IEEE 802.1Q 协议规定, 在目的MAC 地址和源MAC 地址之后封装4 个字节的VLAN Tag, 用以标识VLAN 的相关信息。

VLAN Tag的组成字段如下图所示:1)VLAN Tag包含四个字段, 分别是TPID（Tag Protocol Identifier, 标签协议标识符）、Priority、CFI（Canonical Format Indicator, 标准格式指示位）和VLAN ID。

2) TPID: 用来标识本数据帧是带有VLAN Tag 的数据帧。

该字段长度为16bit, 在H3C 系列以太网交换机上缺省取值为协议规定的0x8100。

Priority: 用来表示802.1P 的优先级。

该字段长度为3bit, 相关介绍和应用请参见本手册“QoS-QoS Profile”部分的介绍。

Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID 上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；********************************************************************* ***************************Access、Hybrid和Trunk三种模式的理解Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan 信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。