一、vlan概述
VLAN(virtual local area network)是一种通过逻辑方式划分网络的技术,允许将一个物理网络划分为多个独立的虚拟网络。每一个vlan是一个广播域,不同vlan之间的通信需要通过路由器或三层交换机
[!注意]
vlan是交换机独有的技术,PC端是不认识vlan的
1.VLAN的核心作用
- 划分广播域:减少广播流量对全网的影响。
- 提升安全性:隔离敏感数据,限制不同部门间的直接通信。
- 简化网络管理:减少网络设备的物理部署需求。
二、VLAN的类型
[!IMPORTANT]
VLAN的范围:
0-4095(一共4096个)
可用的有4094个
默认存在vlan1,且默认的所有接口属于vlan1,vlan1不需要创建也无法删除。
1.基于端口的VLAN
- 最常见的实现方式,通过交换机的端口划分vlan
- 例如,将交换机端口2划入vlan10,将端口4划入vlan20
2.基于MAC地址的VLAN
- 根据设备的mac地址动态分配vlan。
3.基于协议的vlan
- 根据网络层协议划分vlan
4.基于子网的VLAN
- 根据ip子网划分VLAN,需要三层交换机支持。
三、VLAN端口类型
1.access端口
接入端口,用于连接终端设备,仅属于一个vlan
特点:
- 接收数据时不检查vlan标签:
当接收的时无标签数据帧时,access端口会按照端口配置的默认vlan id(pvid)为其添加vlan标签。
当接收到带有vlan标签的数据帧时,access端口会检查标签中的vlan id选择转发还是丢弃。
-
发送数据时玻璃vlan标签
-
access端口只能传输一个vlan流量。
2.trunk端口
干道端口,用于交换机之间或交换机与路由器之间的互联,可以传输多个vlan流量。
特点:
- 发送数据时携带vlan标签
- 接受数据时根据标签判断所属vlan
- 需指定允许通过的vlan(allowed vlan)
3.hybrid(混杂接口,华为特有)
3.vlan标签
VLAN 标签是在以太网帧中添加的一个字段,用于标识该帧所属的 VLAN。它的主要作用是在支持 VLAN 的网络环境中,使交换机能够根据标签来区分不同 VLAN 的数据包,从而实现不同 VLAN 之间的隔离和通信控制。
802.1Q 标签:这是最常用的 VLAN 标签格式。它在以太网帧的源 MAC 地址和类型字段之间插入了一个 4 字节的标签字段
工作原理
- 当交换机收到一个带有 VLAN 标签的帧时,它会根据标签中的 VID 来查找自己的 VLAN 转发表。
- 如果在转发表中找到匹配的 VID,交换机就会根据转发表中的信息将帧转发到相应的端口或 VLAN 中。
- 如果交换机收到的帧没有 VLAN 标签,它会根据端口的默认 VLAN 设置来处理该帧,可能会为其添加默认的 VLAN 标签,或者将其转发到默认的 VLAN 中。
四、配置命令
配置VLAN分为三步:
-
创建vlan(默认只有vlan1)
-
选择接口类型 并将接口加入vlan
-
放通vlan
1.创建vlan
vlan 2 //创建vlan2
vlan 2 3 4 //一次创建vlan2 vlan3 vlan4 三个vlan
vlan batch 10 to 20 //创建vlan10到vlan20 共11个vlan
2.选择接口类型
port link-type access //设置接口为access接口
port link-type trunk //设置接口为trunk接口
port default vlan 2 //设置接口默认vlan为vlan2
3.放通vlan
trunk接口需要放入通vlan
port trunk allow-pass vlan 2 3 //允许vlan2,vlan3的帧通过
4.查看vlan
display vlan
display port vlan active
五、实验展示
实验需求:
现在有两个部门:财务部和开发部
要求财务部和开发部内的主机之间能相互ping通,不同部门之间不能ping通。
实验需求:
现在有两个部门:财务部和开发部
两个部门处于同一网段
要求财务部和开发部内的主机之间能相互ping通,不同部门之间不能ping通。
1.对研发部进行配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysna
[Huawei]sysname SW1 //改名为SW1
#sw1-pc1
[SW1]VLAN 2 //创建vlan2和vlan 3
[SW1-vlan2]VLAN 3
[SW1]INT GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access //接口类型设置为access
[SW1-GigabitEthernet0/0/2]port default vlan 2 //接口绑定vlan2
#sw1-pc2
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
#sw1-sw2
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk //交换机之间的链路接口配置为trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 //放通vlan2 和vlan3的帧通过
2.对财务部进行配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysna
[Huawei]sysname SW1 //改名为SW1
#sw1-pc1
[SW1]VLAN 2 //创建vlan2和vlan 3
[SW1-vlan2]VLAN 3
[SW1]INT GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access //接口类型设置为access
[SW1-GigabitEthernet0/0/2]port default vlan 2 //接口绑定vlan2
#sw1-pc2
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
#sw1-sw2
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk //交换机之间的链路接口配置为trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 //放通vlan2 和vlan3的帧通过
测试:pc1-pc4 的IP地址假设为192.168.1.2-192.168.1.5
从结果分析,研发部和财务部内部能相互ping通,而不同部门之间的pc不同ping通
六、单臂路由实验
原理:
利用路由器的一个物理接口,通过配置子接口,借助 802.1Q 协议对不同 VLAN 的数据帧进行封装和解封装,实现不同 VLAN 之间的路由转发。
交换机链接路由器的链路接口类型配置为trunk
交换机与主机之间的接口配置为access
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#sw-pc1
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
#sw-pc2
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
#sw-ar1
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
对路由器进行配置:
[Huawei]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 2 //配置802.1q封装,并制定vlan id
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable //开启arp广播
[Huawei]int g0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]ip ad192.168.2.1 24
[Huawei-GigabitEthernet0/0/0.3]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.3]arp broadcast enable
ping通测试
