HCIA-08.VLAN 原理与配置-1/2（重点）

原创已于 2025-02-07 16:02:53 修改 · 869 阅读 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

清风吹雨泡泡

关注

标签

#网络

分类计算机网络

于 2025-01-28 11:49:48 首次发布

网络通信专栏收录该内容

10 篇文章

订阅专栏

低功耗蓝牙项目，需要一块懂省电的板

思澈 SF32LB52 芯片，BLE 协议栈深度优化，上手即开发

点击查看

引言

以太网是一种基于CSMA/CD的数据网络通信技术，其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。

在这种情况下出现了VLAN (Virtual Local Area Network)虚拟局域网技术解决以上问题。

学习目标

了解VLAN技术的产生背景

识别数据所属的VLAN

掌握不同的VLAN划分方式

描述网络中VLAN数据的通信过程

掌握VLAN的基本配置

1、什么是VLAN

1.1、传统以太网的问题

一个二层广播域如果存在大量终端设备，在进行数据访问时，因为交换机的处理动作（泛洪）会导致大量的数据（未知单播帧、组播帧、广播帧）转发。

为了减少无用数据的转发，使用VLAN隔离广播域（将一整个广播域分片化），减少泛洪数据影响的范围。

1.1.1、广播域

如图：是一个典型的交换网络，网络中只有终端计算机和交换机。在这样的网络中，如果某一台计算机发送了一个广播帧，由于交换机对广播帧执行泛洪操作，结果所有其他的计算机都会收到这个广播帧。（比如上图与SW5和SW7交换机连接的PC都会收到这个广播帧）

把广播帧所能到达的整个访问范围称为二层广播域，简称广播域 (Broadcast Domain)。显然，一个交换网络其实就是一个广播域。

1.1.2、网络安全问题和垃圾流量问题

如图：如果PC1向PC2发送了一个单播帧。此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。那么，SW1和SW3将对该单播帧执行点对点的转发操作，SW7将对该单播帧执行丢弃操作，SW2和SW5将对该单播帧执行泛洪操作。最后的结果是，PC2虽然收到了该单播帧，但网络中的很多其他非目的主机，同样收到了不该接收的数据帧。

显然，广播域越大，网络安全问题和垃圾流量问题就越严重。

1.2、虚拟局域网 (VLAN, Virtual LAN)

1.2.1、作用

虚拟局域网VLAN可以隔离广播域。

为了解决广播域带来的问题，人们引入了VLAN (Virtual Local Area Network)，即虚拟局域网技术：通过在交换机上部署VLAN，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络的安全性，同时减少垃圾流量，节约网络资源。

1.2.2、特点

不受地域限制，即不受设备的连接限制。

同一VLAN内的设备才能直接进行二层通信：一个VLAN就是一个广播域，所以在同一个VLAN内部，计算机可以直接进行二层通信；而不同VLAN内的计算机，无法直接进行二层通信，只能进行三层通信来传递信息，即广播报文被限制在一个VLAN内。

1.2.3、好处

灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。

2、VLAN的基本原理

在以太网数据帧中插入VLAN的标签字段，通过标签字段来区分不同的VLAN（广播域）。

该字段的数值如果相同则人为在同一个广播域内。

2.1、如何实现Vlan

Switch1与Switch2同属一个企业，该企业统一规划了网络中的VLAN。其中VLAN10用于A部门，VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。

PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理，后者无法判断该数据所属的VLAN，也不知道应该将这个数据输出到本地哪个VLAN中。

2.2、VLAN标签（VLAN Tag）

交换机如何识别接收到的数据帧属于哪个VLAN？

要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。

IEEE 802.1Q协议规定，在以太网数据帧中加入4个字节的VLAN标签，又称VLAN Tag，简称Tag。

如图所示，SW1识别出某个帧是属于哪个VLAN后，会在这个帧的特定位置上添加一个标签。这个标签明确地标明了这个帧是属于哪个VLAN的。其他交换机（如SW2）收到这个带标签的数据帧后，就能轻而易举地直接根据标签信息识别出这个帧属于哪个VLAN。

IEEE 802.1Q定义了这种带标签的数据帧的格式。满足这种格式的数据帧称为IEEE 802.1Q数据帧，也称VLAN数据帧。

2.3、VLAN数据帧

原始以太网数据帧 + （插入）802.1Q tag字段 = 802.1Q数据帧。如下图：

2.3.1、VLAN数据帧的主要字段 - 802.1Q tag字段

1、TPID（Tag Protocol Identifier，标签协议标识符）：2字节（16 bit），标识数据帧的类型，值为0x8100时表示802.1Q帧。

1.1、取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

1.2、各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时，为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。

2、PRI（Priority，优先级）：3 bit，标识帧的优先级，主要用于QoS。

2.1、取值范围为0～7，值越大优先级越高。当网络阻塞时，交换机优先发送优先级高的数据帧。

3、CFI（Canonical Format Indicator，标准格式指示符）：1 bit，表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网。

3.1、CFI取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装。

3.2、在以太网环境中，该字段的值为0。

4、VLAN ID（VLAN标识符）：标识该帧所属的VLAN。

4.1、长度12bit，范围是0~4095。由于0和4095为协议保留取值，在实际配置中，只能配1~4094。

4.2、0号VLAN：可以让数据帧具备优先级字段，实现数据的优先转发。

4.3、4095号VLAN：保留，用于开发使用等。

4.4、交换机利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内。

2.3.2、如何识别带VLAN标签的数据帧

数据帧的Length/Type = 0x8100。

2.3.3、以太网帧的主要形式

在一个VLAN中，以太网帧主要有以下两种形式：

有标记帧（Tagged帧）：IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag）的数据帧。

无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的数据帧。

2.3.4、计算机可以识别Tagged数据帧吗？

计算机无法识别Tagged数据帧，因此计算机处理和发出的都是Untagged数据帧；为了提高处理效率，交换机内部处理的数据帧一律都是Tagged帧。例外：目前出现了部分可以识别Tagged数据帧的服务器。

2.4、VLAN的实现

2.4.1、VLAN的实现概述

Switch1和Switch2之间的链路要承载多个VLAN的数据，需要一种基于VLAN的数据“标记”手段，以便对不同VLAN的数据帧进行区分。

IEEE 802.1Q标准（也被称为Dot1Q）定义了该“标记”方法。该标准对传统的以太网数据帧进行修改，在帧头中插入802.1Q Tag，而在该Tag中，便可以写入VLAN信息。

2.4.2、VLAN的配置：

1、使用display vlan查看交换机的vlan工作状态。

2、华为设备默认设备出厂会存在VLAN 1（系统VLAN ID），该VLAN不能修改，不能删除。

3、默认情况下，所有的接口都属于VLAN 1。

使用vlan 10创建后，验证所有接口都属于VLAN 1。

vlan 20 30 40 同时创建多个vlan。

vlan 50 to 100 同时创建从50开始到100的几十个vlan。

2.5、VLAN的划分方式

2.5.1、整个网络是如何划分VLAN的？

简单概述如下：

VLAN划分方式	VLAN 10	VLAN 20
基于接口	GE0/0/1，GE0/0/3	GE0/0/2，GE0/0/4
基于MAC地址	MAC 1，MAC 3	MAC 2，MAC 4
基于IP子网划分	10.0.1.*	10.0.2.*
基于协议划分	IP	IPv6
基于策略	10.0.1.* + GE0/0/1+ MAC 1	10.0.2.* + GE0/0/2 + MAC 2