1.2、虚拟局域网（VLAN）应用

资源：
基于接口划分VLAN的ensp组网拓扑资源下载
基于MAC地址划分VLAN的ensp组网拓扑资源下载

1、vlan作用

逻辑上对局域网划分广播域，归属同一VLAN的PC可直接通信，归属不同VLAN的PC不能直接互通。

2、帧格式

以太网帧格式：

IEEE 802.1Q是VLAN的正式标准，对以太网帧格式进行了修改，加入了4字节的802.1Q标记（Tag）

• TPID：帧类型。0X8100表示为802.1Q帧，如果不支持该802.1Q的设备收到这样的帧，会将其丢弃。
• PRI：帧的优先级。取值0~7.
• CFI：表示MAC地址是否为经典格式。
• VID：VLAN ID，即VLAN编号。12位（bit），所以取值0~4095，其中0、4095为协议保留取值，所以VLAN ID有效值为1-4094。

3、基于接口类型划分VLAN

• Access：一般用于直连PC，仅能通过一个VLAN，当VLAN与缺省VLAN相同，发送至对端设备的以太网帧不带标记，即剥离VLAN标记。
• Trunk：允许多个VLAN通过，并携带VLAN标记。
• Hybrid：既可以允许多个VLAN通过，也可以剥离VLAN标记。
• QinQ：顾名思义，802.1Q-in-802.1Q。使用QinQ协议，可以给帧加上双重VLAN，所以支持4094*4094个VLAN。通常，外层VLAN用作公网标记，内层VLAN用作私网标记。

4、不同类型接口对帧的处理

• 缺省VLAN：又称PVID( Port Default VLANID)。默认为VLAN1，当Access口透传了某个VLAN（如VLAN10），则该接口缺省VLAN被修改为该VLAN（10）。

例：两台交换机，两台PC，交换机与PC直连接口为Access，透传VLAN10，交换机互联接口为Trunk，透传VLAN10，解析数据帧流向。

SW1配置：

• 1、创建vlan

vlan batch 10 20

• 2、端口配置

interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 20

SW2配置：

• 1、创建VLAN

vlan batch 10

• 2、端口配置

interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10

假设PC1已知PC2的IP及MAC，PC1发送数据给PC2，数据帧过程如下：

• 1）PC1发送的数据帧为普通以太网帧，此帧无VLAN标记。
• 2）SW1的Eth 0/0/1为Access口，因此给PC1发送来的数据帧添加VLAN标记，VID=10。
• 3）SW1查询自己的MAC地址表，根据目的MAC发现需要将数据帧从Eth 0/0/2口发送出去。 Eth
  0/0/2为Trunk口，默认PVID=1，由Eth 0/0/1发送过来的帧是携带VLAN 10的，因此数据帧携带VLAN != 缺省VLAN，且该VLAN在接口允许通过的VLAN列表，保持原有VLAN发送，于是在SW1和SW2之间的Trunk链路上出现了携带VLAN标记10的数据帧。
• 4）SW2的Eth 0/0/2接口收到该数据帧，且VLAN在接口允许通过的VLAN 列表，接收。
• 5）SW2查询自己的MAC地址表，根据目的MAC发现需要将数据帧从Eth 0/0/1口发送出去。
• 6）SW2的Eth 0/0/1为Access口，发现数据帧携带VLAN = 缺省VLAN，接收。然后剥离VLAN，发送给PC2。

注：本次组网为二层交换机组网，因此PC间互相通信需要保持VLAN一致

Ping测

PC1 Ping PC2，通；
PC1 Ping PC3 ，不通。

PC2 Ping PC3 ，不通。

资源：基于接口划分VLAN的ensp组网拓扑资源下载

5、基于MAC地址划分VLAN

例：公司A、B两部门，通过SW1接入公司网络，且接入的交换机端口不固定；
两台打印机Print1和Print2，通过SW2接入公司网络，且接入的交换机端口固定。
要求：通过设置VLAN，使Print1仅能被A部门访问，Print2仅能被B部门访问。

分析：

• 1）PC-A与Print1划为同VLAN，PC-B与Print2划为同VLAN；
• 2）PC-A与PC-B接入SW1的端口不固定，因此需要基于MAC地址划分VLAN

PC-A的MAC地址：00-00-00-00-00-A1
PC-B的MAC地址：00-00-00-00-00-B1
PC-C的MAC地址：00-00-00-00-00-C1

SW1配置：

由于PC-A及PC-B接入位置不固定，因此不做配置。

SW2配置：

• 1、创建VLAN

vlan batch 10 20

• 2、端口配置

interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

SW3配置：

• 1、创建VLAN

vlan batch 10 20

• 2、将MAC地址与VLAN对应绑定

vlan 10
 mac-vlan mac-address 0000-0000-00a1 priority 0
vlan 20
 mac-vlan mac-address 0000-0000-00b1 priority 0

• 3、端口配置

interface GigabitEthernet0/0/1
 port hybrid untagged vlan 10 20
 mac-vlan enable
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

gig 0/0/1

**mac-vlan enable：**

使能基于MAC地址划分VLAN功能。即：普通帧进入本接口后，会根据MAC-VLAN对应表，为该帧加上相应VLAN标记。
也就是说：
当源MAC为0000-0000-000A1的数据帧到达该接口后会为其添加VLAN10的标记；
同理，源MAC为0000-0000-000B1添加VLAN20标记；
而源MAC为0000-0000-000C1的则为其添加缺省VLAN的标记，即VLAN1。

**port hybrid untagged vlan 10 20：**

允许vlan 10 和 20的帧通过，并且将帧从该接口发出时，剥离VLAN标记。

Ping测

PC-A Ping Print1，通；
PC-A Ping Print2，不通；

PC-B Ping Print1，不通；
PC-B Ping Print2，通；

PC-C Ping Print1，不通；
PC-C Ping Print2，不通；

当PC-C的数据帧到达SW3的gig 0/0/1时，为其添加缺省VLAN的标记，即VLAN1，但是缺省VLAN不在gig 0/0/1允许通过的VLAN列表，所以该数据帧被丢弃。

资源：基于MAC地址划分VLAN的ensp组网拓扑资源下载