VLAN原理与配置

AUTHOR ：闫小雨

DATE：2024-04-28

VLAN的三种端口类型

VLAN原理

什么是VLAN

为什么使用VLAN

VLAN的基本原理

VLAN标签

VLAN标签各字段含义如下：

VLAN的划分方式

VLAN的划分包括如下5种方法：

VLAN的接口链路类型

创建VLAN

推荐文档

拓展知识

VLAN的三种端口类型

Access	接入链路类型（一般使用：交换机与PC）
Trunk	干道链路类型（一般使用：交换机与交换机）
Hybrid	默认链路类型（既可以实现Access接口的功能，也可以实现Trunk接口的功能）

VLAN原理

什么是VLAN

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

为什么使用VLAN

以太网是一种基于CSMA(载波监听)/CD(冲突)的数据网络通信技术，其特征是共享通信介质。随着网络中计算机的数量越来越多,会导致安全隐患、面临冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等各种问题。

VLAN的基本原理

交换机内部处理的数据帧都带有VLAN标签。而交换机连接的部分设备（如用户主机、服务器）只会收发不带VLAN tag的传统以太网数据帧。因此，要与这些设备交互，就需要交换机的接口能够识别传统以太网数据帧，并在收发时给帧添加、剥除VLAN标签。添加什么VLAN标签，由接口上的缺省VLAN（Port Default VLAN ID，PVID）决定。

VLAN标签

Switch1与Switch 2同属一个企业，该企业统一规划了网络中的VLAN。其中VLAN10用于A部门，VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。

PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理，后者无法判断该数据所属的VLAN，也不知道应该将这个数据输出到本地哪个VLAN中。Switch1和Switch2之间的链路要承载多个VLAN的数据，需要一种基于VLAN的数据”标记”手段，以便对不同VLAN的数据帧进行区分

要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。

VLAN标签各字段含义如下：

TPID：表示数据帧类型，取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。
PRI：表示数据帧的优先级，用于QoS。
CFI：在以太网中，CFI的值为0。
VID：表示该数据帧所属VLAN的编号。VLAN ID取值范围是0～4095。

VLAN的划分方式

计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说，当计算机发出的Untagged帧一旦进入交换机后，交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。

VLAN的划分包括如下5种方法：

基于接口划分：根据交换机的接口来划分VLAN。
基于MAC地址划分：根据数据帧的源MAC地址来划分VLAN。
基于IP子网划分：根据数据帧中的源IP地址和子网掩码来划分VLAN。
基于协议划分：根据数据帧所属的协议（族）类型及封装格式来划分VLAN。
基于策略划分：根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等。

划分方式	原理	优缺点	适用场景
于接口	根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag。然后数据帧将在指定PVID中传输。	优点：定义成员简单。缺点：成员移动需重新配置VLAN。	适用于任何大小但位置比较固定的网络。
基于接口	根据数据帧的源MAC地址来划分VLAN。网络管理员预先配置MAC地址和VLAN ID映射关系表，当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。	优点：当用户的物理位置发生改变，不需要重新配置VLAN，提高了用户的安全性和接入的灵活性。缺点：需要预先定义网络中所有成员。	适用于位置经常移动但网卡不经常更换的小型网络，如移动PC。
基于接口	根据数据帧中的源IP地址和子网掩码来划分VLAN。网络管理员预先配置IP地址和VLAN ID映射关系表，当交换机收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。	优点：当用户的物理位置发生改变，不需要重新配置VLAN。可以减少网络通信量，可使广播域跨越多个交换机。缺点：网络中的用户分布需要有规律，且多个用户在同一个网段	适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如，一台PC配置多个IP地址分别访问不同网段的服务器，以及PC切换IP地址后要求VLAN自动切换等场景。
基于接口	根据数据帧所属的协议（族）类型及封装格式来划分VLAN。网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。	优点：将网络中提供的服务类型与VLAN相绑定，方便管理和维护。缺点：要对网络中所有的协议类型和VLAN ID的映射关系表进行初始配置。需要分析各种协议的格式并进行相应的转换，消耗交换机较多的资源，速度上稍具劣势。	适用于需要同时运行多协议的网络。
基于匹配策略	根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等。网络管理员预先配置策略，如果收到的是Untagged帧，且匹配配置的策略时，给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。	优点：安全性高，VLAN划分后，用户不能改变IP地址或MAC地址。网络管理人员可根据自己的管理模式或需求选择划分方式。缺点：针对每一条策略都需要手工配置。	适用于需求比较复杂的环境。

VLAN的接口链路类型

交换机内部处理的数据帧一律都带有VLAN标签，而现网中交换机连接的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的交换机上，且跨越交换机的VLAN可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。根据接口连接对象以及对收发数据帧处理的不同，华为定义了4种接口的链路类型：Access、Trunk、Hybrid和QinQ，以适应不同的连接和组网。其中Access接口、Trunk接口和Hybrid接口

Access接口
Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。交换机内部只处理Tagged帧，所以Access接口需要给收到的数据帧添加VLAN Tag，也就必须配置缺省VLAN。配置缺省VLAN后，该Access接口也就加入了该VLAN。当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。为了防止用户私自更改接口用途，接入其他交换设备，可以配置接口丢弃入方向带Tag的报文。
Trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。
Hybrid接口

Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

Access 只允许一个数据帧通过，通过不需要Tag标，通过时会加上Tag标。

Trunk 允许多个数据帧通过，通过需要Tag标，才会放行数据。

创建VLAN

操作笔记：

操作步骤：SW1→SW2→测试→设备内保存

SW1操作：

关闭通知

第一步：创建VLAN 10 20 30

[SW1]vlan batch 10 20 30

第二步：基于端口将PC加入对应的VLAN

interface Ethernet0/0/1 (进入端口)

port link-type access (设置端口链路类型为access)

port default vlan 10 (将端口加入VLAN10)

interface Ethernet0/0/2

port link-type access

port default vlan 20

第三步：交换机之间做TRUNK

interface Ethernet0/0/3 (进入端口)

port link-type trunk (设置端口链路类型为trunk)

port trunk allow-pass vlan 10 20 (此端口trunk干道允许VLAN 10 20通过)

SW2操作：

第一步：创建VLAN 10 20

[SW2]vlan batch 10 20

第二步：基于端口将PC加入对应的VLAN

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

第三步：交换机之间做TRUNK

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 10 20

测试与保存

PC1

PC2

PC3

PC4

测试操作：使用PC互 PING

同VLAN互通，不同VLAN不同视为成功

最后操作，保存实验：SW2同理

< SW1>save

拓展知识：

ECS----阿里云服务器

slb----网络均衡

实例----阿里云上的虚拟计算服务器

VPC（Virtual Private Cloud），即虚拟私有云，是公共云提供商将其公共云基础架构的特定部分隔离，以供私人使用的一种云计算服务。基于阿里云构建的一个隔离的网络环境，实现专有网络之间逻辑上的彻底隔离。

vCPU----虚拟中央处理单元（虚拟处理核）

云服务器vCPU和CPU是什么意思？CPU和vCPU有什么区别？

一台云服务器ECS实例的CPU选项由CPU物理核心数和每核线程数决定，CPU是中央处理器，一个CPU可以包含若干个物理核，通过超线程HT（Hyper-Threading）技术可以将一个物理核变成两个逻辑处理核。vCPU（virtual CPU）是ECS实例的虚拟处理核。