VLAN详解-优快云博客

从客户数据帧流向网络设备，客户机发出没有标签的数据帧，从access接口进入交换网络，在access接口（正常情况）收到白帧，根据接口PVID，打标签，标签帧流入交换网络，根据交换机的工作原理进行转发，学习源MAC，根据MAC表转发。MAC表中最后一列的内容是接口的PVID当找到对应接口要将数据帧转发出时，对比帧中VLAN ID和接口PVID，只有相同时，才有可能发出。

假设根据MAC表确定了出接口，并且PVID和VLAN ID相同，在出接口上，拆除帧的VLAN标签，还原白帧发出。其余PVID和帧中VLAN ID不同的接口，不会发出这个帧，在access接口（一般客户机不会发生）如果在access接口收到的帧，是带标签的。要对比帧中的VLAN ID和本接口的PVID，如果相同，收入这个标签帧。如果不同，不会收入。

由于VLAN是可以跨越交换机物理边界的，延伸到任意其他交换机。

交换机之间，必须要有一种专用的“内部通道”，用于相互转发各VLAN的标签帧。使用trunk接口。当trunk接口收到数据帧，正常情况下，应该是其他交换机发来的，带有标签的数据帧，如果帧中的VLAN ID本接口配置的允许VLAN列表内，正常收入，不更改标签。某些情况下，交换机trunk接口会收到白帧，根据接口PVID打标签。并且查看本接口的允许VLAN列表，如果允许，收入，带着本接口PVID的标签，当trunk接口要发出数据帧，对比帧中的VLAN ID和本接口的PVID

。如果相同，拆除标签，发出白帧，如果不同（通常情况），看本接口的允许VLAN列表，如果允许，带着原标签，发出、

关于VLAN的配置

VLAN 号

创建VLAN 创建你所需要的VLAN号

在接口视图，指定类型，修改PVID

port link-type 类型

access接口

port default vlan 号

trunk接口

port trunk pvid vlan 号

hybrid接口

port hybrid pvid vlan 号

指定允许的VLAN clear configuration interface GigabitEthernet 0/0/x 三种切口切换前要清除原有配置

access接口，只允许PVID的VLAN……

trunk接口，port trunk allow-pass vlan all，可以指定一个VLAN列表

hybrid接口（指定的就算允许，要区分是否带标签发出）

port hybrid tagged vlan 号

port hybrid untagged vlan 号剥掉

可以指定VLAN列表，关于在不同类型接口，并且非默认VLAN情况下，切换模式

需要先还原为hybrid接口VLAN 1

VLAN间通信

要使用路由设备，为了避免二层通信里的问题，必须把二层通信彻底隔离，隔离开的二层网络，就是不同的局域网，使用不同的IP网段，必须要有路由器连接，对于每个局域网，都要消耗一个路由接口提供网关。

三层交换机，启用三层交换的功能，让交换机启用内置的路由引擎，三层交换机相当于内部底层有二层交换机连接客户，使用内部接口连接到高层的路由引擎，内部的效率会很高。

配置使用

为每个VLAN，各自启用一个对应的Vlanif接口，逻辑接口，在内部，三层接口，任意启用Vlanif并配置IP地址，三层交换机就会生成路由表。undo ip add 删除配置的ip。每个VLAN都相当于三层交换机的直连网段，不需要额外配置路由，使用直连路由。

单臂路由

单臂路由接口设子接口之前不能设ip 设了ip代表用物理接口设不了逻辑子接口

原理上讲，必须每个路由接口负责一个LAN，但是路由器没有那么多接口，如果要在逻辑上重新分接口，把路由器的物理接口，重新划分成独立的“子接口”。每个子接口，IP地址/网段独立，要配置为使用802.1q封装，并指定一个VLAN ID（vid），开启ARP广播功能。对于所连接的二层交换机连接路由器的接口，需要配置为trunk

[Huawei]int g0/0/1.1

[Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 10

[Huawei-GigabitEthernet0/0/1.1]ip add 10.10.0.1 24

[Huawei-GigabitEthernet0/0/1.1]arp broadcast enable

[Huawei-GigabitEthernet0/0/1.1]int g0/0/1.2

[Huawei-GigabitEthernet0/0/1.2]dot1q termination vid 20

[Huawei-GigabitEthernet0/0/1.2]ip add 10.20.0.1 24

[Huawei-GigabitEthernet0/0/1.2]arp broadcast enable

VLAN类型

1. 基于端口的VLAN(Port-based VLAN)

其划分原则：将VLAN的编号（VLANID）配置影射到交换机的物理端口上，从某物理端口进入交换机的、由终端计算机发送的Untagged帧都被划分到该端口的VLANID所表明的那个VLAN。这种划分原则简单而直观，实现也很容易，并且也比较安全可靠。注意，对于这种类型的VLAN，当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属可能会发生改变。基于端口的VLAN通常也称为物理层VLAN，或一层VLAN。

2. 基于MAC地址的VLAN(MAC-based VLAN)

其划分原则：交换机内部建立并维护了一个MAC地址与VLANID的对应表，当交换机接收到计算机发送的Untagged 帧时，交换机将分析帧中的源MAC地址，然后查询MAC地址与VLANID的对应表，并根据对应关系把这个帧划分到相应的VLAN中。这种划分原则实现起来稍显复杂，但灵活性得到了提高。例如，当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属并不会发生改变（因为计算机的MAC地址不会发生变化)。但需要指出的是，这种类型的VLAN的安全性不是很高，因为一些恶意的计算机是很容易伪造自己的MAC地址的。基于MAC地址的VLAN通常也称为二层VLAN。

3. 基于协议的VLAN(Protocol-based VLAN)

其划分原则：交换机根据计算机发送的 Untagged 帧中的帧类型字段的值来决定帧的VLAN归属。例如，可以将类型值为Ox0800的帧划分到一个VLAN，将类型值为0x86dd的帧划分到另一个VLAN；这实际上是将载荷数据为IPv4 Packet的帧和载荷数据为IPv6Packet的帧分别划分到了不同的VIAN。基于协议的VLAN通常也称为三层VLAN。以上介绍了3种不同类型的VLAN。