HCIP---VLAN

文章目录

目录

目录

文章目录

前言

一.VLAN概述

作用： 

 二.VLAN基础认识

 VLAN ID:     

 VLAN端口类别

总结

---

前言

VLAN技术是现代企业网络和数据中心网络的核心技术之一。本文将重点针对VLAN技术进行详解。

---

一.VLAN概述

   VLAN（Virtual Local Area Network，虚拟局域网）是一种基于交换机和网络设备的划分技术，可以将不同区域的计算机、服务器和网络设备分成逻辑上的“虚拟”子网，使得不同的虚拟子网在物理上可以处于同一局域网中，但彼此之间相互隔离，从而增强网络的安全性、可管理性和灵活性。   

    VLAN技术可以通过交换机的端口配置、MAC地址、IP地址、协议类型等多种方式进行划分，从而为网络管理员提供更加细致和灵活的网络管理方式。

作用： 

• 隔离广播域，让每个节点（比如电脑、手机）不需要收到太多无关的广播包，从而减少计算性能和网络带宽的无谓消耗。从而保证局域网的性能。
• 隔离常见病毒与攻击，这样即使某个主机感染了arp攻击病毒、dhcp攻击病毒等常见局域网病毒，影响的范围也只限于本vlan，不会影响到其他vlan，可以将故障限制在比较小的范围。一来造成的影响小，二来排查故障也更加容易。

 二.VLAN基础认识

 ​​​

 VLAN ID:     

#查看vlan信息
[Huawei]display vlan 

 

•  VID--VLAN ID

 IEEE组织将VLAN技术颁布在 802.1Q标准中，该标准中中定义了VID由12位二进制数构成。

 其中0和4095不可用于VID ,因此VID的取值范围为：1-4094，设备默认存在 VLAN 1 。

VLAN 执行表格 

• 查看 VLAN 执行表格 

[LSW1]display port vlan active

 

 VLAN端口类别

•  交换机的转发原理：

    当数据通过交换机的接口进入交换机时，交换机首先查看数据包中的源MAC地址和接口的映射关系 ，同时，记录接口对应的VID。若目标MAC地址在地址表中映射的VID 和源MAC 映射的VID 相同，则进行单播转发，否则，交换机将通过VID 和源MAC地址映射的VID相同的接口泛洪。 

•  一层VLAN (物理VLAN):给对应的接口和VLAN ID 作映射 
• 二层VLAN：将MAC地址和VLAN ID 作映射
• 三层VLAN;基于数据帧中的类型字段和VID 作映射(例：IPv4属于VID2 IPv6属于VID3)

如上图，LSW 2 为了区分 LSW 1 发送的数据包并将数据包发送到对应的vlan 中(例如：将LSW1 vlan1中的数据传送到 LSW2 中的vlan1)，需要将数据帧打上标签Tag。

•  未打标签的数据帧为以太网二进制帧（untagged帧）

•  在以太网二进制帧的源MAC和Type之间打上Tag标签的帧为802.1Q帧（Tag帧）

 Tag帧用于交换机之间区分数据来源，而交换机与电脑之间数据帧格式为以太网二进制帧帧格式无需使用Tag帧来区分数据，根据此特点，将交换机的接口分为以下几种类型：

•  PVID

接口的VID,反应的接口所属的VLAN ID，PVID默认为1

华为·体系下，所有进入交换机的数据帧必须是tagged帧，因此数据帧在进入交换机之前必须打上进入接口的PVID标签。 

•  VLAN List

当数据通过该端口进入/出去访问其它VLAN 时，如果该端口的VLAN List 的值中有对应VLAN的VID，则允许访问。

• Access接口

 交换机和电脑之间的链路称为Access链路，Access链路对应的交换机接口为Access接口。

特点：

     只允许发送和接收未打标记的数据帧，Access端口只属于一个Vlan，且仅向Vlan的Vid = 端口PVid的VLAN 转发数据帧，故Vlan内所有端口都处于untagged状态。Access端口在从主机接收帧时，给帧加上Tag标签；在向主机发送帧时，将帧中的Tag标签剥掉。 

     Access接口可以修改PVID,可以修改执行列表中的 VLAN List  ，无法修改封装类型

• Trunk接口

交换机和交换机之间的链路称为Trunk链路，Trunk链路对应的交换机接口为Trunk接口。 

特点：

    Trunk端口允许多个Vlan的带标签帧通过，在收发帧时保留Tag标签。在它所属的这些Vlan中，对于Vid = 端口PVid的Vlan，它处于Untagged port状态，此时Trunk接口PVID相同的VLAN发出流量时不将剥离标签转发；对于Vid ≠ 端口PVid的Vlan，它处于Tagged port状态。

 Access接口可以修改PVID,可以修改执行列表中的 VLAN List  ，Trunk端口对应的执行列表中VLAN List可以存在多个VLAN，但无法修改封装类型 。

• Hybrid接口

    交换机上既可连接用户主机又可连接其他交换机的端口，它既可连接接入链路又可连接汇聚链路。Hybrid 端口允许多个Vlan的帧通过，并可在出端口方向将某些Vlan帧的Tag标签剥掉。

  Hybrid 接口可以修改PVID,可以修改执行列表中的 VLAN List  ，Trunk端口对应的执行列表中VLAN List可以存在多个VLAN，可以修改封装类型 。

案例分析： 

判断PC7是否可以正常访问PC8

 

 分析：

   当PC7访问0C8时，数据来到LSW 4 的0/0/2 接口时，access类型的端口会给主机发送过来的数据包打上标签Tag 2，当数据包进入交换机来到LSW4 的0/0/1 接口时，Trunk类型的端口会检查Tag标签值是否和PVID相等，图中Tag=PVID，则玻璃标签。

   当数据包来到LSW5 的0/0/1接口时，Trunk类型的端口会打上标签Tag=3，数据包进入交换机LSW 5来到接口 0/0/2 时，首先查看VLAN List允许通过的VLAN，接着access类型的端口会将Tag值和PVID比较，相等则剥离标签转发，上图相同，则PC7的数据包可以发送给PC8。

配置命令：

 

•  关闭配置命令的提示信息

[LSW1]undo info-center enable

•  创建VLAN：

[LSW1]vlan 2
#批量创建VLAN 1-vlan 5
[LSW1]vlan bantch 1 to 5
#单独创建vlan 1 3 5
[LSW1]vlan batch 1 3 5
#批量删除
[LSW1]undo vlan bantch 1 to 5

•  将接口划入VLAN

[LSW1]interface Gigabitethernet 0/0/1

#选择链路类型
[LSW1-GigabitEthernet0/0/1]port link-type access

#上一步已已将0/0/1接口对应的链路设定为access链路
#将0/0/1接口对应的链路划入指定VLAN，指定该链路允许通过的VLAN数据
#原因：access链路仅向指定的VLAN发送数据
[LSW1-GigabitEthernet0/0/1]port default vlan 2

#为了提高效率批量配置，可以创建一个临时接口组，将接口划入到接口组中
[LSW1]port-group group-member GIgabitEthernet 0/0/1 GIgabitEthernet 0/0/2
#进入接口组视图进行批量创建，将0/0/1 和 0/0/2 接口同时划入vlan 2
[LSW1-port-group]port link-type access
[LSW1-port-group]port default vlan 2

•  设置trunk链路允许访问的VLAN

[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2

• 设置VLAN间路由 

 使用VLAN实现二层隔离，使用路由器实现三层通信。

#创建虚拟接口
[LSW1]interface Ethernet 0/0/0.1
#设置子接口能够识别标签
[LSW1-Ethernet/0/0/0.1]dot1q termination vid 2
#子接口并非真实接口无法回复ARP应答包，需要开启ARP广播
[LSW1-Ethernet/0/0/0.1]arp broadcast enable

•  拓展配置

#修改PVID
[LSW1-GigabitEthernet0/0/2]port hybrid pvid vlan 2
#设置接口转发数据到指定VLAN时不带标签且修改VLAN List允许指定VLAN的流量通过
[LSW1-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 4

 三.三层交换机

VLANIF接口(交换机虚拟接口)

作用：

  VLANIF接口是一种逻辑接口，用于连接VLAN和物理接口。在华为交换机上，VLANIF接口是通过VLANIF概念来实现的，一般用于VLAN间的通信或者子网间的路由，也可以用于配置VLANIF IP地址和VLANIF的QoS策略。VLANIF接口是通过vlanif命令来创建和配置的，也可以通过web界面或其他管理工具进行配置。在使用VLANIF接口时，需要注意的是，要在物理接口上启用相应的VLAN，并在VLANIF接口上配置IP地址和子网掩码。

   VLANIF接口是虚拟局域网（VLAN）接口，它主要用于实现VLAN的隔离和交换，可以将不同的VLAN划分成不同的广播域，通过路由器连接实现互联通信。VLANIF接口可以配置IP地址、子网掩码等网络参数，使得连接在不同VLAN中的主机可以互相通信。同时，它也可以配置各种网络服务，如DHCP、NAT等，为不同VLAN中的主机提供相应的网络服务。因此，VLANIF接口在实现企业网络分层和隔离、提高网络安全性、优化网络性能等方面具有重要作用。

•  创建VLANIF

每个VLAN都可以创建一个VLANIF接口 

[LSW1]interface vlanif 2

---

总结