10 VLAN原理与配置

一、VLAN介绍

我们上篇文章说了广播域，就是同一广播域中的所有主机都会收到广播报文，为了防止某台主机发送一个广播帧被泛洪，甚至传递到整个广播域，影响到主机网络性能以及网络安全相关的问题。我们接下来会引用我们这篇要说的技术虚拟局域网（VLAN）.

虚拟局域网VLAN可以隔离广播域，特点：

1.不受地域限制
2.同一VLAN内的设备才能直接进行二层通信

我们通过在每个接口划分相应的vlan，相同vlan下可以进行通信，反之，不可以。

我们平常工作用到最多的是基于接口的划分，也有其他的vlan划分方式，像基于MAC地址、基于ip子网划分、基于协议划分、基于策略，可以自行了解一下，不太常用。

二、以太网二层接口类型

access接口

交换机上常用来连接用户PC、服务器·等终端设备。access接口所连接的这些设备的网卡往往只收发无标志帧。access接口只能加一个vlan。

当交换机access接口接收到Untagged帧：

当接口划分的是什么vlan，就给数据包打上什么vlan标签

当交换机access接口接收到Tagged帧：

当该帧的VLAN ID与该接口的PVID相同时，接收该帧。

当该帧的VLAN ID与该接口的PVID不同时，丢弃该帧。

当交换机access接口发送该帧时：

帧的VLAN ID与接口PVID相同时，先剥离该帧的Tag，然后再将其从该其从接口发出。

帧的VLAN ID与接口PVID不同时，禁止将该帧从该接口发出。

trunk接口

teunk接口允许多个vlan的数据帧通过，这些数据帧通过802.1Q（Tag）实现区分。trunk接口常用于交换机之间的互连，也用来连接路由器、防火墙等设备的子接口。

当交换机trunk接口接收到Untagged帧：

该帧打上PVID，当PVID在该接口允许通过的VLAN列表里时接收该帧；当PVID不允许通过的VLAN列表里时，丢弃该帧。

当交换机trunk接口接收到Tagged帧：

当该帧的VLAN ID在该接口允许通过的VLAN列表里时，接收该帧，否则丢弃该帧。

当交换机trunk接口发送该帧时：

当该帧的VLAN ID与接口PVID相同：

当该帧的VLAN ID在该接口允许的VLAN列表中，则将该帧的Tag剥除，然后将其从该接口发送出去；如果VLAN ID不在该接口允许的VLAN列表中，则禁止将该帧从接口发出。

当该帧的VLAN ID与接口PVID不同：

当该帧的VLAN ID在该接口允许的VLAN列表中，则保留该帧的Tag，然后将其从该接口发送出去；如果VLAN ID不在该接口允许的VLAN列表中，则禁止将该帧从接口发出。

Hybrid接口

Hybrid接口与trunk接口类似，也允许多个vlan的数据帧通过，这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个vlan的数据帧是否携带Tag。

当交换机Hybrid接口接收到Untagged帧：

该帧打上PVID，当PVID在该接口允许通过的VLAN列表里时接收该帧；当PVID不允许通过的VLAN列表里时，丢弃该帧。

当交换机Hybrid接口接收到Tagged帧：

当该帧的VLAN ID在该接口允许通过的VLAN列表里时，接收该帧，否则丢弃该帧。

当交换机Hybrid接口发送该帧时：

如果帧的VLAN ID在该接口中允许通过，看管理员通过命令设置发送该帧时是否携带Tag，如果允许则保留该帧的Tag，从该接口发送出去，否则就剥除该帧的Tag，从该接口发送出去。

总结

三、VLAN配置

配置VLAN（进入视图下）
vlan 10       #创建单个VLAN
vlan batch 10 to 20 #批量创建VLAN


access接口配置
port link-type access #配置接口类型
port default vlan 10  #配置接口缺省VLAN
注：配置VLAN编号，整数形式，取值范围是1~4094。


trunk接口配置
port link-type trunk #配置接口类型
port trunk allow-pass vlan all/10 to 20 #配置允许通过的VLAN


Hybrid接口配置
port link-type hybrid #配置接口类型
port hybrid pvid vlan xx #配置接口VLAN
port hybrid untagged vlan xx#配置允许通过接口以untagged方式的VLAN
port hybrid tagged vlan xx #配置允许通过接口以tagged方式的VLAN

四、VLAN间通信

vlan技术的配置会实现用户之间的隔离，隔离广播域，一定程度上提升了网络性能，相同vlan之间可以进行通信，不同vlan之间不能通信，现实工作中常常需要两个部门之间进行通信，这就需要我们借助三层设备进行两个部门之间的通信和互访。注：常见的三层设备有防火墙、三层交换机和路由器等。

接下来我们说一下常见的三层交换配置方法：

单臂路由

基于路由器以太网接口所创建的逻辑接口，将其一个逻辑接口创建多个子接口，实现使用一个物理接口为多个vlan提供三层转发服务。

以上图为例：

R1:
int g0/0/1.10
dot1q termination vid 10
ip add 192.168.10.254 24
arp broadcast enable 
int g0/0/1.20
dot1q termination vid 20
ip add 192.168.20.254 24
arp broadcast enable 


SW1：
vlan batch 10 20 30 
int g0/0/1
port link-type access
port default vlan 10 
int g0/0/2
port link-type access
port default vlan 20
int g0/0/3
port link-type trunk 
port trunk allow-pass vlan all


打开PC1的命令行输入 ping 192.168.20.2，发现网络测试通了

三层交换机

具有二层交换机的功能，也支持三层接口的路由转发功能，它是一种三层的逻辑接口，提供三层转发服务。

以上图为例：

LSW3：
vlan batch 10 20 
int vlanif 10
ip add 1.1.1.254 24
int vlanif 20
ip add 2.2.2.254 24
int Enthernet 0/0/1
port link-type trunk 
port trunk allow-pass vlan all


SW2：
vlan batch 10 20 30 
int g0/0/1
port link-type access
port default vlan 10 
int g0/0/2
port link-type access
port default vlan 20
int g0/0/3
port link-type trunk 
port trunk allow-pass vlan all


打开PC3的命令行输入 ping 2.2.2.1，发现网络测试通了