VLAN原理概述

為何引入VLAN？
隨著網(wǎng)絡(luò)環(huán)境中，計算機等終端設(shè)備的數(shù)量越來越多，傳統(tǒng)的以太網(wǎng)正在面臨沖突嚴重、廣播泛濫以及安全性無法得到保障等各種問題。

VLAN的概述：
VLAN（Vitrual Local Area Network）即虛擬局域網(wǎng)，是將一個物理的局域網(wǎng)在邏輯上劃分多個廣播域的技術(shù)。通過在交換機上配置VLAN，可以實現(xiàn)在同一個VLAN內(nèi)的用戶可以進行二層互訪，而不同VLAN間的用戶被二層隔離。這樣既能夠隔離廣播域，也能夠提升網(wǎng)絡(luò)的安全性。

傳統(tǒng)以太網(wǎng)的弊端以及為何引入VLAN
早期的局域網(wǎng)LAN技術(shù)基于總線型結(jié)構(gòu)，存在以下問題:
1、多節(jié)點同時發(fā)送消息，產(chǎn)生沖突；
2、從任意節(jié)點發(fā)出的消息都會被發(fā)送至其他節(jié)點中去，形成廣播；
3、所有主機共享一條傳輸通道，無法控制網(wǎng)絡(luò)中的信息安全；
4、這種網(wǎng)絡(luò)既構(gòu)成了一個沖突域，也構(gòu)成了一個廣播域；
沖突域：網(wǎng)絡(luò)計算機數(shù)量越多，沖突月嚴重，網(wǎng)絡(luò)效率越低；
廣播域：當網(wǎng)絡(luò)中發(fā)送信息的計算機數(shù)量變多時，廣播流量將會耗費大量的帶寬。
因此，傳統(tǒng)局域網(wǎng)不僅面臨沖突域太大和廣播域太大兩大難題，而且無法保障傳輸信息的安全。
為了擴展傳統(tǒng)LAN，以接入更多計算機，同時避免沖突的惡化，出現(xiàn)了網(wǎng)橋和二層交換機，它們能有效隔離沖突域。網(wǎng)橋和交換機采用交換方式將來自入端口的信息轉(zhuǎn)發(fā)到出端口上，克服了共享網(wǎng)絡(luò)中的沖突問題。但是，采用交換機進行組網(wǎng)時，廣播域和信息安全問題依舊存在。
為限制廣播域的范圍，減少廣播流量，需要在沒有二層互訪需求的主機之間進行隔離。路由器是基于三層IP地址信息來選擇路由和轉(zhuǎn)發(fā)數(shù)據(jù)的，其連接兩個網(wǎng)段時可以有效抑制廣播報文的轉(zhuǎn)發(fā)，但成本較高。因此，人們設(shè)想在物理局域網(wǎng)上構(gòu)建多個邏輯局域網(wǎng)，即VLAN。

VLAN技術(shù)
VLAN技術(shù)可以將一個物理局域網(wǎng)在邏輯上劃分成多個廣播域，也就是多個VLAN。VLAN技術(shù)部署在數(shù)據(jù)鏈路層，用于隔離二層流量。同一個VLAN內(nèi)的主機共享同一個廣播域，它們之間可以直接進行二層通信。而VLAN間的主機屬于不同的廣播域，不能直接實現(xiàn)二層互通。這樣，廣播報文就被限制在各個相應(yīng)的VLAN內(nèi)，同時也提高了網(wǎng)絡(luò)安全性。

VLAN幀格式：
通過Tag標簽區(qū)分不同VLAN
在現(xiàn)有的交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：
沒有加上VLAN標記的標準以太網(wǎng)幀（untagged frame）；
有VLAN標記的以太網(wǎng)幀（tagged frame）

鏈路類型

VLAN鏈路分為兩種類型：
Access鏈路和Trunk鏈路
接入鏈路（Access Link）：連接用戶主機和交換機的鏈路；
干道鏈路（Trunk Link）：連接交換機和交換機的鏈路；干道鏈路上通過的幀一般為帶Tag的VLAN幀。

PVID

PVID即Port VLAN ID，代表端口的缺省VLAN。交換機從對端設(shè)備收到的幀有可能是Untagged的數(shù)據(jù)幀，但所有以太網(wǎng)幀在交換機中都是以Tagged的形式來被處理和轉(zhuǎn)發(fā)的，因此交換機必須給端口收到的Untagged數(shù)據(jù)幀添加上Tag。為了實現(xiàn)此目的，必須為交換機配置端口的缺省VLAN。當該端口收到Untagged數(shù)據(jù)幀時，交換機將給它加上該缺省VLAN的VLAN Tag。

VLAN端口類型
Access：
1、Access端口在收到數(shù)據(jù)后會添加VLAN Tag，VLAN ID和端口的PVID相同。
2、Access端口在轉(zhuǎn)發(fā)數(shù)據(jù)前會移除VLAN Tag。

Trunk：
1、當Trunk端口收到幀時，如果該幀不包含Tag，將添加上端口的PVID；如果該幀包含Tag，則不改變。
2、當Trunk端口發(fā)送幀時，該幀的VLAN ID在Trunk的允許發(fā)送列表中：若與端口的PVID相同時，則剝離Tag發(fā)送；若與端口的PVID不同時，則直接發(fā)送。
3、Trunk端口是交換機上用來和其他交換機連接的端口，它只能連接干道鏈路。Trunk端口允許多個VLAN的幀（帶Tag標記）通過。

Hybrid
1、Hybrid端口既可以連接主機，又可以連接交換機。
2、Hybrid端口可以以Tagged 或Untagged方式加入VLAN 。

VLAN劃分的方法
1、基于端口劃分（最為常見；不足之處：當主機位置移動，需要重新配置VLAN）
2、基于MAC地址劃分（即使主機移動位置也不需要重新配置VLAN）
3、基于IP地址劃分；
4、基于協(xié)議劃分（需要配置協(xié)議類型和VLAN ID之間的映射關(guān)系）；
5、基于策略劃分（手動配置）；

VLAN的配置命令
1、執(zhí)行vlan 10 命令創(chuàng)建vlan；
2、執(zhí)行vlan batch 2 to 3 命令連續(xù)創(chuàng)建多個vlan ；
3、執(zhí)行display vlan命令驗證配置結(jié)果；
4、執(zhí)行display vlan [ vlan*-id* [ verbose ] ]命令，可以查看指定VLAN的詳細信息，包括VLAN ID、類型、描述、VLAN的狀態(tài)、VLAN中的端口、以及VLAN中端口的模式等；
5、執(zhí)行display vlan vlan*-id* statistics命令，可以查看指定VLAN中的流量統(tǒng)計信息。；
6、執(zhí)行display vlan summary命令，可以查看系統(tǒng)中所有VLAN的匯總信息。；

配置Access端口
[SWA]interface GigabitEthernet 0/0/5
[SWA-GigabitEthernet0/0/5]port link-type access
[SWA-GigabitEthernet0/0/5]interface GigabitEthernet 0/0/7
[SWA-GigabitEthernet0/0/7]port link-type access

有兩種方法可以添加端口到vlan中去
方法一：進入VLAN視圖
[SWA]vlan 2
[SWA-vlan2]port GigabitEthernet 0/0/5

方法二：進入接口視圖
[SWA]interface GigabitEthernet0/0/5 
[SWA-GigabitEthernet0/0/5]port default vlan 2

配置Trunk端口
[SWA-GigabitEthernet0/0/1]port link-type trunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

配置Hybrid端口
[SWA-GigabitEthernet0/0/1]port link-type hybrid
[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100
[SWA-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 100
[SWA-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[SWA-GigabitEthernet0/0/3]port hybrid untagged vlan 3 100

配置Voice VLAN
[SWB]vlan 2
[SWB-vlan2]interface GigabitEthernet 0/0/1
[SWB-GigabitEthernet0/0/1]voice-vlan 2 enable
[SWB-GigabitEthernet0/0/1]voice-vlan mode auto
[SWB-GigabitEthernet0/0/1]quit
[SWB]voice-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000
[SWB]display voice-vlan status