PVID、VID经典讲解

交换机常用功能举例（四）——管理型交换机IEEE 802.1Q VLAN设置应用实例一VLAN的概念VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN 头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是控制网络的广播风暴、确保网络安全、简化网络管理、减少了对路由器的需求、灵活的网络分组、减少网络解决方案费用、更合理的利用服务资源。

VLAN是局域交换网的灵魂。

VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。

是否具有VLAN功能是衡量局域网交换机的一项重要指标。

网络的虚拟化是未来网络发展的潮流。

二VLAN的划分方式VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。

802.1Q是VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。

不同厂家的交换机只要支持802.1Q VLAN就可以跨越交换机，可以统一划分管理。

三802.1q Tag VLAN的设置实例我司的大多数管理型交换机都支持基于端口的VLAN和基于802.1q协议的VLAN功能。

基于端口规则的VLAN这是最早的VLAN类型，也是最简单的VLAN，可以将局域网交换机其中的几个端口指定成一个VLAN。

以下主要介绍管理型交换机的IEEE 802.1Q VLAN设置，设置IEEE802.1Q VLAN大体分三步：1、选择VLAN的类型。

2、设置VLAN组的划分。

3、端口PVID值的设置。

下面用TL-SL3226P交换机举三个实例来说明802.1Q VLAN的划分方法。

VLAN、tag和untag深入问题untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid 类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。

另外需要注意的是：（1）Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan同时配置。

但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN，则不允许修改缺省VLAN ID，只有在解除映射后才能进行修改。

VLAN原理与配置主讲人：鲍婷婷目录•V L A N 的功能什么是V L A N12V L A N 的基本概念3V L A N 的应用4V L A N 的配置示例单播帧PC1PC2 SW1SW2SW3SW4SW5SW6SW7（注：假定此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。

）二层广播域(广播域)传统以太网的问题有效流量垃圾流量虚拟局域网（V L A N ,V i r t u a l L A N ）PC2SW1SW2SW3SW4SW5SW6SW7PC1VLAN 网络(多个广播域)广播帧目录•V L A N 的基本概念2V L A N 的基本原理什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式如何实现V L A NPC3VLAN20PC2PC1123Switch145543Switch221数据帧数据帧VLAN10VLAN20PC4VLAN10VLAN 标签（VLAN Tag)•交换机如何识别接收到的数据帧属于哪个VLAN ？收到了数据帧，它们属于哪个VLAN ？VLAN 标签•报文中添加标识VLAN 信息的字段使交换机能够分辨不同VLAN 的报文。

•VLAN 标签，又称VLAN Tag ，简称Tag 。

VLAN 10VLAN 2020SW1SW2V L A N 数据帧TPID (0x8100)PRICFIVLAN ID 16bit3bit 1bit12bit目的MAC 地址源MAC 地址类型DataFCS原始以太网数据帧（无标记帧，Untagged 帧）802.1QTag802.1Q 帧（标记帧，Tagged 帧）目的MAC 地址源MAC 地址类型Data FCSTag 在此处插入802.1Q Tag•TPID （标签协议标识符）•PRI （优先级）•CFI （标准格式指示符）•VLAN ID （VLAN 标识符）PC3VLAN20PC2PC1123Switch145543Switch221VLAN10VLAN20PC4VLAN10原始数据帧1原始数据帧2原始数据帧2原始数据帧1VLAN 的实现打了标记的数据帧打了标记的数据帧目录2V L A N 的基本原理•V L A N 的基本概念什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式VLAN 的划分方式SW1主机1主机2主机3主机410.0.1.1 MAC110.0.2.1MAC210.0.1.2MAC310.0.2.2MAC4VLAN划分方式VLAN10VLAN 20基于接口GE0/0/1，GE0/0/3GE0/0/2，GE0/0/4基于MAC地址MAC 1，MAC 3MAC 2，MAC 4基于IP子网划分10.0.1.*10.0.2.*基于协议划分IP IPv6基于策略10.0.1.* +GE0/0/1+ MAC 110.0.2.*+ GE0/0/2 +MAC 2•整个网络是如何划分VLAN的？基于接口的VLAN 划分路由器主机移动，需要重新配置VLANSW1SW2主机1主机2主机3主机4VLAN 10VLAN 20PVID 10PVID 10PVID 20PVID 20PVID 1PVID 110基于接口的VLAN 划分•原理▫根据交换机的接口来划分VLAN 。

二层网管交换机应用——802.1Q vlan跨交换机配置应用背景在企业中，经常有这样一种情况：同一个公司的同一个部门有多个不同的办公地点（比如在不同的楼层），但是这两个地点的同事的电脑又要求能够相互访问。

如果将这两个地点的主机接在同一个交换机下，布线将是一个麻烦的事情。

TPLINK解决方案为了解决这种问题，可以将不同地点的主机接在不同的交换机下，TP-LINK建议通过配置802.1Q VLAN来实现这两个地点的主机跨交换机互访。

拓扑结构用户需求1. 财务部门和销售部门之间相互隔离，不能相互通信。

2. 处于不同交换机下的相同部门的成员能相互通信。

网络规划1. VLAN的划分：◆将财务部门划分为VLAN 2，在Switch A和Switch B上端口成员包括1-8、26；◆将销售部门划分为VLAN 3，在Switch A和Switch B上端口成员包括9-16、26。

2. 根据VLAN划分需求，确定端口类型、PVID以及在各VLAN中端口的出口规则。

Switch A和Switch B上VLAN与各端口的包含关系如下表：2. 在“VLAN->802.1Q VLAN->VLAN配置”中新建VLAN 2、VLAN 3，并且在VLAN 2中勾选1-8、26号端口，在VLAN 3中勾选9-16、26号端口。

3. 在“VLAN->802.1Q VLAN->端口配置”配置端口PVID。

将端口1-8的PVID配置为2，端口9-16的PVID配置为3，端口26的PVID保持默认为1。

4. 按照上述步骤配置完Switch A后，同样的步骤配置好Switch B，配置完毕即可实现应用需求。

附注：端口链路类型介绍：ACCESS：该端口只能划分到一个VLAN中，端口的出口规则强制为不加Tag。

TRUNK：该端口可以划分到多个VLAN中，可以接收和发送多个VLAN的报文，端口的出口规则强制为加Tag。

GENERAL：该端口可以划分到多个VLAN中，可以接收和发送多个VLAN的报文，端口的出口规则可以根据端口连接设备的实际情况灵活配置为加Tag或不加Tag。

USB设备检测辅助运维工具应用蓝队工作典型经验类型：技术经验关键字：USB设备检测、收集、PID、阻断1.引言违规外联相当于在网络安全区域之间、内网与外网之间建立新的通道，使防火墙、安全隔离网关等防护设备组成的信息安全保障防线变成了马奇诺防线。

外部的黑客、病毒就能够绕过防火墙、网关等的防护屏障，侵入违规外联的计算机，非法窃取敏感数据，甚至利用该机作为跳板，进一步渗透内网的重要服务器，整个内部网络将面临被控制的重大风险。

通过日常运维发现，通过USB的方式违规连接外网的情况是最为可能发生的。

为了解决该问题，公司结合安徽省电力公司市县一体化监控系统，编写了一款信息网络设备辅助运维工具，该工具实现了实时发现电脑通过USB接入的设备信息，通过比对自定义合法的接入设备信息，一旦产生非法设备通过通过USB接入，工具会产生告警并与市县一体化监控系统联动阻止设备入网。

该工具的使用大大降低了违规外联的概率，提升了网络安全基线。

2.现象描述公司在日常运维中存在以下几方面问题，这些问题极有可能造成电脑有意或无意违规外联，也给公司信息网络安全造成了一定的安全隐患，具体问题描述如下：1、内网计算机与手机、平板等智能设备相连，用于充电或整理资料电脑使用人员，通过连接电脑USB接口给手机充电，连接平板等智能设备处理材料，由于这些智能设备自带联网功能，很容易造成违规外联。

2、随身WIFI通过USB上网随身WIFI可以随时、任意地安装在任何一个电脑上，开机即启动，安装成功后即可充当无线路由，并且可以分享给任何人。

3、外来U盘接入电脑如果U盘病毒传入电脑中后，它就会引起操作系统奔溃，电脑自检后自动重启，并且无法进入系统，有时插入病毒U盘就导致电脑突然死机等情况。

且病毒能够绕过防火墙、网关等的防护屏障，侵入违规外联的计算机，非法窃取敏感数据，甚至利用该机作为跳板，进一步渗透内网的重要服务器，整个内部网络将面临被控制的重大风险。

3.处理过程/主要做法3.1工具原理及功能描述该辅助运维工具的工作原理主要有三部分：一是通过PID、VID、CLASSGUID或者INTERFACEGUID查找设备；二是监控USB设备插拔；三是收集常用USB设备GUID并加入工具。

交换机配置说明1、把交换机的控制口和PC机的串口相连，通过超级终端进入交换机的配置界面，如下图：打开交换机电源，自检后出现下面的登陆画面，按二次回车键进入主菜单，2、按TAB键，光标移到Switch Settings，按回车。

3、切换到Switch Operation Mode，按回车。

4、用空格转换到下图的设置，在切换到APPL Y，按回车。

5、按Y键6、等待重起后进入主菜单。

7、按TAB键切换到VLANS，按回车。

8、按TAB键，光标移到Configure 802.1Q Port Settings，按回车。

9、用TAB键在项目之间切换，数字值直接用数字键输入，其他非数字值用空格切换，改完后切换到APPL Y，搂回车。

10、将1端口的PVID值改为10、2端口的PVID值改为20、3到6端口的PVID值改为30、7到8端口的PVID值改为40。

11、按ESC键回到上一级菜单，按TAB键切换到Edit 802.1Q VLANS，按回车。

12、依画面设置VLAN10、VLAN20、VLAN30、VLAN40。

13、按ESC键回到主菜单，切换到Layer 3 IP Networking，按回车。

14、切换到Setup IP Interface，按回车。

15、Action：用空格切换到下图所示Interface Name:直按输入字母或数字，为接口取名字IP Address :直接输入IP地址，192.168.0.254Subnet Mask：直接输入子网掩码，255.255.255.0VID；直接输入数字，10Active：用空格切换到“YES”设置后，切到APPL Y，按回车。

16、同上设置VLAN20、VLAN30、VLAN40的Interface Name。

17、按ESC回到主菜单，切换到Forwarding，按回车。

18、按TBA键。

切换到期Static/Default Routes，按回车。

VLAN学习理解一、VLAN概述虚拟局域网（Virtual Local Area Network，VLAN）：一种通过将局域网内的设备逻辑地而不是物理地划分成多个网段，从而实现虚拟工作组的技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

VLAN在交换机上的实现方法，可以大致划分为4类：1）基于端口划分的VLAN方法：IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

优点：简单。

缺点：用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

2）基于MAC地址划分VLAN方法：根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。

优点：当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因此也可以认为这种根据MAC地址的划分方法是基于用户的VLAN。

缺点：初始化时，所有的用户都必须进行配置，工作量大；导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了；笔记本电脑用户可能经常更换网卡，这样VLAN就必须不停的配置。