VLAN（虚拟局域网）技术详解

VLAN（虚拟局域网）技术详解

引用

CSDN

1.

https://blog.csdn.net/2301_81548590/article/details/147029462

VLAN（虚拟局域网）概述

VLAN（Virtual Local Area Network）是一种通过逻辑方式划分网络的技术，允许将一个物理网络划分为多个独立的虚拟网络。每一个VLAN是一个广播域，不同VLAN之间的通信需要通过路由器或三层交换机。

VLAN的核心作用

• 划分广播域：减少广播流量对全网的影响。
• 提升安全性：隔离敏感数据，限制不同部门间的直接通信。
• 简化网络管理：减少网络设备的物理部署需求。

VLAN的类型

VLAN的范围是0-4095（共4096个），其中可用的有4094个。默认存在VLAN1，且默认的所有接口属于VLAN1，VLAN1不需要创建也无法删除。

1. 基于端口的VLAN：最常见的实现方式，通过交换机的端口划分VLAN。例如，将交换机端口2划入VLAN10，将端口4划入VLAN20。
2. 基于MAC地址的VLAN：根据设备的MAC地址动态分配VLAN。
3. 基于协议的VLAN：根据网络层协议划分VLAN。
4. 基于子网的VLAN：根据IP子网划分VLAN，需要三层交换机支持。

VLAN端口类型

Access端口

接入端口，用于连接终端设备，仅属于一个VLAN。

特点：

• 接收数据时不检查VLAN标签：当接收的是无标签数据帧时，Access端口会按照端口配置的默认VLAN ID（PVID）为其添加VLAN标签。当接收到带有VLAN标签的数据帧时，Access端口会检查标签中的VLAN ID选择转发还是丢弃。
• 发送数据时剥离VLAN标签
• Access端口只能传输一个VLAN流量。

Trunk端口

干道端口，用于交换机之间或交换机与路由器之间的互联，可以传输多个VLAN流量。

特点：

• 发送数据时携带VLAN标签
• 接受数据时根据标签判断所属VLAN
• 需指定允许通过的VLAN（Allowed VLAN）

Hybrid端口（混杂接口，华为特有）

VLAN标签

VLAN标签是在以太网帧中添加的一个字段，用于标识该帧所属的VLAN。它的主要作用是在支持VLAN的网络环境中，使交换机能够根据标签来区分不同VLAN的数据包，从而实现不同VLAN之间的隔离和通信控制。

802.1Q标签：这是最常用的VLAN标签格式。它在以太网帧的源MAC地址和类型字段之间插入了一个4字节的标签字段。

工作原理

• 当交换机收到一个带有VLAN标签的帧时，它会根据标签中的VID来查找自己的VLAN转发表。
• 如果在转发表中找到匹配的VID，交换机就会根据转发表中的信息将帧转发到相应的端口或VLAN中。
• 如果交换机收到的帧没有VLAN标签，它会根据端口的默认VLAN设置来处理该帧，可能会为其添加默认的VLAN标签，或者将其转发到默认的VLAN中。

配置命令

配置VLAN分为三步：

1. 创建VLAN（默认只有VLAN1）
2. 选择接口类型并将接口加入VLAN
3. 放通VLAN

创建VLAN

vlan 2  //创建VLAN2
vlan 2 3 4  //一次创建VLAN2、VLAN3、VLAN4三个VLAN
vlan batch 10 to 20 //创建VLAN10到VLAN20共11个VLAN

选择接口类型

port link-type access //设置接口为Access接口
port link-type trunk  //设置接口为Trunk接口
port default vlan 2  //设置接口默认VLAN为VLAN2

放通VLAN

Trunk接口需要放入通VLAN

port trunk allow-pass vlan 2 3  //允许VLAN2、VLAN3的帧通过

查看VLAN

display vlan
display port vlan active

实验展示

实验需求：现在有两个部门：财务部和开发部，要求财务部和开发部内的主机之间能相互ping通，不同部门之间不能ping通。

对研发部进行配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
![](https://wy-static.wenxiaobai.com/chat-rag-image/4696053681428168215)
[Huawei]sysna
[Huawei]sysname SW1    //改名为SW1
#sw1-pc1
[SW1]VLAN 2    //创建VLAN2和VLAN3
[SW1-vlan2]VLAN 3
[SW1]INT GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type  access    //接口类型设置为Access
[SW1-GigabitEthernet0/0/2]port default vlan 2    //接口绑定VLAN2
#sw1-pc2
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type  access
[SW1-GigabitEthernet0/0/3]port default  vlan 2
#sw1-sw2
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk  //交换机之间的链路接口配置为Trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass  vlan 2    //放通VLAN2和VLAN3的帧通过

对财务部进行配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysna
[Huawei]sysname SW1    //改名为SW1
#sw1-pc1
[SW1]VLAN 2    //创建VLAN2和VLAN3
[SW1-vlan2]VLAN 3
[SW1]INT GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type  access    //接口类型设置为Access
[SW1-GigabitEthernet0/0/2]port default vlan 2    //接口绑定VLAN2
#sw1-pc2
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type  access
[SW1-GigabitEthernet0/0/3]port default  vlan 2
#sw1-sw2
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk  //交换机之间的链路接口配置为Trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass  vlan 2    //放通VLAN2和VLAN3的帧通过

测试：PC1-PC4的IP地址假设为192.168.1.2-192.168.1.5

从结果分析，研发部和财务部内部能相互ping通，而不同部门之间的PC不能ping通。

单臂路由实验

原理：利用路由器的一个物理接口，通过配置子接口，借助802.1Q协议对不同VLAN的数据帧进行封装和解封装，实现不同VLAN之间的路由转发。

交换机链接路由器的链路接口类型配置为Trunk
交换机与主机之间的接口配置为Access

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#sw-pc1
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
#sw-pc2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
#sw-ar1
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type  trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass  vlan 2 3

对路由器进行配置：

[Huawei]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination  vid 2    //配置802.1q封装，并制定VLAN ID
[Huawei-GigabitEthernet0/0/0.2]arp broadcast  enable    //开启ARP广播
[Huawei]int g0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]ip ad192.168.2.1 24
[Huawei-GigabitEthernet0/0/0.3]dot1q  termination  vid  3
[Huawei-GigabitEthernet0/0/0.3]arp broadcast  enable

ping通测试