VLAN基本知识

VLAN基础知识介绍VLAN（虚拟局域网）是一种在物理上互相连接的设备，可以根据逻辑上的属性划分成多个虚拟网络的技术。

VLAN可以提高网络的性能、可管理性和安全性，同时可以降低网络成本。

在企业网络中，VLAN常常被用来按照不同部门或功能来分割网络，同时可以有效地控制流量的传输和访问权限。

VLAN的基本概念1.VLAN标识符:VLAN标识符是一个用于区分不同VLAN的整数值，通常在1到4096之间。

不同VLAN使用不同的标识符来标识其所属的VLAN。

2.VLAN成员:VLAN成员是指被分配到一些VLAN中的设备或端口。

一个设备或端口可以是一个或多个VLAN的成员。

3.VLAN接口:VLAN接口是物理设备上的一个逻辑接口，用来连接不同的VLAN之间的通信。

通常交换机上的端口可以配置为不同的VLAN接口。

4.VLAN域:VLAN域是指一个包含一组VLAN的范围或区域。

不同VLAN可以属于同一个VLAN域，也可以不属于同一个VLAN域。

5.VLAN数据包:VLAN数据包是在网络中传输的数据包，其中包含了VLAN标识符信息，用来标识数据包所属的VLAN。

VLAN的类型1.静态VLAN:静态VLAN是一种基于端口或MAC地址分配的VLAN，管理员需要手动配置每个端口或设备所属的VLAN。

静态VLAN的管理较为复杂，但相对来说也更加安全和可靠。

2.动态VLAN:动态VLAN是一种根据具体情况自动划分的VLAN，通过协议或者特定策略实现VLAN的动态划分。

动态VLAN相对于静态VLAN来说更加适应网络变化和扩展。

3. 动态VLAN的实现方式包括VLAN Trunking、VLAN Tagging和VLAN Membership Policy Server（VMPS）等。

VLAN的优点1.增强网络安全性:通过VLAN可以将不同的部门或功能分隔开来，避免不同部门之间的通信，有效提高网络的安全性。

2.简化网络管理:VLAN可以将网络管理划分为多个逻辑区域，简化网络配置和维护，减少网络故障排查的难度。

untag就是普通的Ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址后，加上了4bytes的vlan信息，也就是vlan tag头，一般来说这样的报文普通PC机的网卡是不能识别的；以太网端口的三种链路类型：Access、Hybrid和Trunk：Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接端口；Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN 的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

在这里大家要理解端口的缺省VLAN这个概念Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

缺省情况下，Hybrid端口和Trunk端口的缺省VLAN 为VLAN 1；如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN tag，然后再发送该报文。

交换机接口出入数据处理过程：∙Access端口收报文：收到电脑或者其他设备的一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发；如果有则直接丢弃（缺省）；重要∙Access端口发报文：将报文的VLAN信息剥离，直接发送出去；∙Trunk端口收报文收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发；如果有则判断该Trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃；∙Trunk端口发报文：比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送；∙Hybrid端口收报文：收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发；如果有则判断该Hybrid 端口是否允许该VLAN的数据进入，如果可以则转发，否则丢弃（此时端口上的untag配置是不用考虑的，untag配置只是对发送报文时起作用）。

•VLAN 技术背景：VLAN•••••••有效控制广播域范围•增强局域网的安全性•灵活构建虚拟工作组•简化网络管理•VLAN 优点：•将一个物理局域网在逻辑上划分成多个广播域•1 VLAN=1 广播域=1 子网•广播不会在VLAN 之间转发，而是被限制在各自的VLAN 中•不同VLAN 间的设备默认无法通讯，需要第三层设备才能实现互通•VLAN 概述：Virtual LAN ，虚拟局域网VLAN 范围：0~4095共4096个（0和4095为保留、1为默认）VLAN标签介绍：•IEEE 802.1q ：dot1q ，是VLAN 的正式标准，对Ethernet 帧格式进行了修改，在源 MAC 地址字段和协议类型字段之间加入4字节的 802.1q Tag•每台支持 802.1q 协议的交换机发送的数据包都会包含 VLAN ID，以指明交换机属于哪一个 VLAN。

因此，在一个 VLAN 交换网络中，以太网帧有以下两种形式： 有标记帧（tagged frame）加入了 4 字节 802.1q Tag 的帧 无标记帧（untagged frame）原始的、未加入 4字节 802.1q Tag 的帧 •Access Link接入链路用于连接主机和交换机的链路。

接入链路上传输的帧都是untagged帧。

Trunk Link干道/中继链路用于交换机间的互连或交换机与路由器之间的链路。

干道链路上传输的帧几乎都是t agged帧用于两端识别。

•VLAN链路类型：•即Port VLAN ID ，代表端口的缺省VLAN•X7系列交换机每个接口PVID=1••PVID：Access 接入端口用于连接主机收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。

转发数据前会移除VLAN Tag。

VLAN 端口类型：Trunk 干道端口用于连接交换机或路由器如果该帧不包含Tag，将打上端口的PVID；•如果该帧包含Tag，则不改变。

VLAN基础知识虚拟局域网（Virtual Local Area Network，简称VLAN）是一种将物理局域网划分为逻辑上相互隔离的虚拟网络的技术。

通过VLAN的划分，可以实现网络的灵活管理和安全隔离。

本文将介绍VLAN的基础知识，包括VLAN的概念、VLAN的优点以及VLAN的实现方法。

1. VLAN的概念VLAN是一种逻辑上的划分，它可以将一个物理局域网划分为多个虚拟的局域网。

在一个VLAN中的计算机之间可以自由地通信，而不需要受到其他VLAN的影响。

VLAN通过将不同的端口划分到不同的VLAN中来实现逻辑上的隔离。

2. VLAN的优点VLAN的划分可以带来多个优点：2.1 提高网络性能：将局域网划分为多个VLAN可以减少广播和碰撞域，提高网络性能和带宽的利用率。

2.2 提高网络安全性：VLAN可以实现不同VLAN之间的隔离，防止未经授权的访问和潜在的网络安全风险。

2.3 简化网络管理：VLAN的划分可以简化网络管理，管理员可以根据业务需求对VLAN进行灵活地配置和管理。

3. VLAN的实现方法VLAN的实现可以采用不同的方法，包括端口划分和标签划分。

3.1 端口划分（Port-Based VLAN）端口划分是将物理端口划分到不同的VLAN中。

通过在交换机上对端口进行配置，可以将不同端口划分到不同的VLAN中，实现不同VLAN之间的隔离。

端口划分是最简单、最常用的VLAN划分方法。

3.2 标签划分（Tag-Based VLAN）标签划分是通过在数据包中添加802.1Q VLAN标签来实现VLAN 的划分。

在这种方法中，交换机会为数据包添加一个VLAN标签，标记数据包所属的VLAN。

通过VLAN标签，交换机可以实现对数据包的转发和隔离。

4. VLAN的配置配置VLAN需要进行以下步骤：4.1 创建VLAN：在交换机上创建VLAN，并为每个VLAN分配一个唯一的VLAN ID。

4.2 配置端口：将不同的端口划分到不同的VLAN中。

VLAN知识1 VLAN简介 (2)1.1 VLAN概述 (2)1.2 VLAN原理 (3)1.3 VLAN划分 (4)2 基于端口的VLAN简介 (4)2.1 端口的链路类型 (5)2.2 缺省VLAN (5)1VLAN简介VLAN，即Virtual Local Area Network(虚拟局域网)，遵循IEEE802.1Q标准，它在原来的以太网源MAC字段的后面加入了4个字节的VLAN Tag。

1.1VLAN概述以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。

通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。

在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，如图1-1所示。

图1-1 VLAN示意图VLAN的划分不受物理位置的限制：不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。

VLAN的优点如下：●限制广播域。

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

●增强局域网的安全性。

VLAN间的二层报文是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需通过路由器或三层交换机等三层设备。

●灵活构建虚拟工作组。

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

vlan的基础知识VLAN（Virtual Local Area Network，虚拟局域网）是一种将局域网划分为逻辑上独立的多个虚拟网络的技术。

以下是VLAN的基础知识：1. VLAN的定义：VLAN是一种逻辑上的划分，将大型局域网分成多个较小、安全性更好的虚拟子网。

在同一个物理网络中，可以有多个不同的VLAN，每个VLAN都可以拥有不同的网络设置和安全策略。

2. VLAN的工作原理：VLAN通过在网络交换机上进行配置和管理来实现逻辑上的划分。

交换机可以将不同的端口分配给不同的VLAN，从而使得数据只能在同一个VLAN内进行通信。

不同的VLAN之间的通信可以通过交换机上的路由功能来实现。

3. VLAN的优势：- 安全性：VLAN可以将敏感数据和设备与普通数据和设备隔离，提高网络的安全性。

- 灵活性：VLAN可以根据需求对网络进行灵活划分和重新配置，不需要改变物理网络结构。

- 性能：VLAN可以根据网络的负载情况将流量进行优化，提高网络性能。

- 管理：VLAN可以简化网络管理，提高管理员的操作效率。

4. VLAN的类型：- 标记VLAN（Tagged VLAN）：也称为Trunk VLAN，用于连接交换机之间的端口，可同时传输多个VLAN的数据，需要在数据包中添加VLAN标签。

- 未标记VLAN（Untagged VLAN）：也称为Access VLAN，用于连接终端设备的端口，数据包不携带VLAN标签。

5. VLAN的划分方法：- 基于端口的VLAN划分：根据端口将设备分配到不同的VLAN。

- 基于MAC地址的VLAN划分：根据设备的MAC地址将设备分配到不同的VLAN。

- 基于协议的VLAN划分：根据数据包的协议类型将数据包分配到不同的VLAN。

- 基于子网的VLAN划分：根据IP地址的子网划分将设备分配到不同的VLAN。

这些是VLAN的基本概念和知识，了解这些将有助于理解和配置VLAN网络。

ISL格式DA（destination address），40bit的目的地址。

这是一个多播地址，设置为01000C0000或者03000C0000。

这个接收者会自动加入这个组，用于识别这个是ISL的数据；Type，4bit用于描述以太网帧的封装类型，ethernet 0000，token ring 0001，fddi 0010，atm 0011；User，4bit 用于描述扩展的type字段，或者用来定义ethernet的优先级。

SA（source address），48 bit的源mac地址用于在交换机间传输；LEN（length），16 bit的帧长度标识符包含到CRC；AAAA03，标准的LLC头部；HSA（high bits of source address），单独定义OUI；VID，15 bit VID，低10 bit用于vlan号，支持1024个VLAN；BPDU，标识这个帧是不是BPDU。

他也可以表示帧内容是否是CDP或者VTP。

INDX（index），仅仅做诊断用途。

RES，保留给token ring和FDDI；Encapsulated Ethernet frameISL trailer。

包含4byte的FCS；DOT1Q的特性支持以太和token ring支持4096个VLAN支持CST，MSTP，RSTP支持native VLAN支持COS带动ip电话的发展Dot1q的字段中，Ethertype，使用0X8100表示这个DOT1Q的帧；PRO，3bit，携带帧的优先级信息；令牌环封装标签；置1则为token ring；VID。

支持正常和扩展的VLAN range；Native VLAN的作用一个端口不是trunk状态下所属的VLAN收到未打标的帧所属的VLAN推荐native vlan配置为一个没有用过的VLAN，处于安全考虑；VTP，一些属于一个逻辑组并且共享一致的VLAN信息的一些交换机组成VTP的域；VTP域有以下一些特性一个交换机只能属于一个VTP的域；VTP最小可以做到一个交换机一个域VTP只和属于相同域的交换机交换VLAN信息；默认情况下，cisco交换机是没有配置VTP域信息的，直到他从trunk收到了一个VTP信息的通告，或者配置一个VTP的域；关于VTP的版本现在，cisco的交换机可以运行vtp版本1，2，3；V2是最常用的。

v l a n基本配置实验1 vlan的基本配置步骤1：创建vlan与命名song#configure terminal！进入全局配置模式song(config)#vlan 2! 输入一个vlan id，如果输入的是一个新的vlan id，则交换机会创建一个vlan，如果输入的是已经存在的vlan id，则修改相应的vlan。

在此是创建一个vlan号为2的。

并进入vlan 2修改song(config-vlan)#name test2！设置vlan 2的名字为test2song(config-vlan)#end！退回到特权模式song#show vlan id 2！查看vlan 2的信息VLAN Name Status Ports---- -------------------------------- --------- -------------------------------2 test2 activesong#write！保存当前所有设置Building configuration...[OK]步骤2：把vlan的名字改回缺省名字song# configure terminalsong(config)#vlan 2song(config-vlan)#no name！将vlan 2的名字改为缺省名字song(config-vlan)#endsong#show vlan id 2VLAN Name Status Ports---- -------------------------------- --------- -------------------------------2 VLAN0002 active步骤3：向VLAN分配Access口song# configure terminalsong(config)# interface fastEthernet 0/3！输入想要加入vlan的interface idsong(config-if)# switchport mode access!定义该接口的VLAN成员类型song(config-if)#switchport access vlan 3！将这个端口分配到vlan 3中%Warning : Access VLAN does not exist. Creating vlan 3song(config-if)#endsong# show interfaces fastEthernet 0/3 switchportInterface Switchport Mode Access Native Protected VLAN lists ---------- ---------- --------- ------- -------- --------- ---------------------Fa0/3 Enabled Access 3 1 Disabled All！检查接口的完整信息song# write步骤4：删除一个VLANsong# configure terminalsong(config)# no vlan 2！输入一个vlan id，删除它song(config)# endsong# show vlanVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1 ,Fa0/2 ,Fa0/3 ,Fa0/4Fa0/5 ,Fa0/6 ,Fa0/7 ,Fa0/8Fa0/9 ,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/23,Fa0/24！检查一下是否删除vlan 2song#write步骤5：配置VLAN Trunkssong# configure terminalsong(config)# interface fastEthernet 0/4！输入你所要设置成trunk的接口song(config-if)#switchport mode trunk！定义该接口为二层trunk口song(config-if)#switchport trunk native vlan 3！为这个接口指定一个vlan号song(config-if)#endsong#show interfaces fastEthernet 0/4 switchportInterface Switchport Mode Access Native Protected VLAN lists---------- ---------- --------- ------- -------- --------- ---------------------Fa0/4 Enabled Trunk 1 3 Disabled All！检查接口完整信息song#show interfaces fastEthernet 0/4 trunkInterface Mode Native VLAN VLAN lists-------------------- ------ ----------- --------------------Fa0/4 On 3 All！显示这个接口的trunk设置song#write步骤6：定义Trunk口的许可VLAN列表注：一个trunk口缺省可以传输本交换机支持的所有vlan（1-4094）的流量。

vlan指的是什么？让你看⼀遍就理解VLAN划分原理vlan的应⽤在⽹络项⽬中是⾮常⼴泛的，基本上⼤部分的项⽬都需要划分vlan，前⼏天我们讲到vlan的配置，有朋友就提到有没有更基础⼀些的内容，今天我们就从基础的vlan的知识开始，了解vlan的划分原理。

⼀、为什么需要VLAN1、什么是VLAN?VLAN(Virtual LAN)，翻译成中⽂是“虚拟局域⽹”。

LAN可以是由少数⼏台家⽤计算机构成的⽹络，也可以是数以百计的计算机构成的企业⽹络。

VLAN所指的LAN特指使⽤路由器分割的⽹络——也就是⼴播域。

简单来说，同⼀个VLAN中的⽤户间通信就和在⼀个局域⽹内⼀样，同⼀个VLAN中的⼴播只有VLAN中的成员才能听到，⽽不会传输到其他的VLAN中去，从⽽控制不必要的⼴播风暴的产⽣。

同时，若没有路由，不同VLAN之间不能相互通信，从⽽提⾼了不同⼯作组之间的信息安全性。

⽹络管理员可以通过配置VLAN之间的路由来全⾯管理⽹络内部不同⼯作组之间的信息互访。

2、未分割VLAN时将会发⽣什么?那么，为什么需要分割VLAN(⼴播域)呢?那是因为，如果仅有⼀个⼴播域，有可能会影响到⽹络整体的传输性能。

具体原因，请参看附图加深理解。

图中，是⼀个由5台⼆层交换机(交换机1～5)连接了⼤量客户机构成的⽹络。

假设这时，计算机A需要与计算机B通信。

在基于以太⽹的通信中，必须在数据帧中指定⽬标MAC地址才能正常通信，因此计算机A必须先⼴播“ARP请求(ARP Request)信息”，来尝试获取计算机B的MAC地址。

交换机1收到⼴播帧(ARP请求)后，会将它转发给除接收端⼝外的其他所有端⼝，也就是泛滥了。

接着，交换机2收到⼴播帧后也会泛滥。

交换机3、4、5也还会泛滥。

最终ARP请求会被转发到同⼀⽹络中的所有客户机上，这也就是⽹络风暴。

我们分析下，这个计算A的ARP请求原本是为了获得计算机B的MAC地址⽽发出的。

也就是说：只要计算机B能收到就万事⼤吉了。