HCIA-交换机VLAN

前言

随着网络中计算机的数量越来越多，传统的以太网络开始面临广播泛滥以及安全性无法保障等各种问题。

因此Vlan(Virtual Local Area Network 虚拟局域网)技术开始普及使用

Vlan是将一个物理的局域网在逻辑上划分成多个广播域的技术；通过在交换机上配置Vlan，可以实现在同一个Vlan内的用户可以进行二层互访，而不同Vlan间的用户被二层隔离；这样既能够隔离广播域，又能提升网络的安全性。

Vlan技术背景

由于交换机的所有接口都属于一个广播域，往往也是一个逻辑子网；在这种情况下 用户无法根据业务需要灵活的在交换机上进行广播域的隔离；而随着网络规模越来越大、数量越来越多，广播风暴将会给网络带来极大的影响

因此Vlan技术诞生了

如图所示：所有接口上连接的终端都在同一个局域网，也在同一个广播域

随着网络规模越来越大、数量越来越多，广播风暴将会给网络带来极大的影响

况且在这种情况下：同一个广播域中的任意一台终端被蠕虫感染，其余的终端也无一幸免。

因此引入了Vlan技术：

Vlan技术提供了一种灵活的解决方案：将接交换机的接口根据业务需求添加到不同的Vlan中，不同的Vlan都处于不同的广播域中，从而实现二层隔离

若不同Vlan之间要实现通讯，需要三层的设备或者在交换机中配置三层接口

Vlan技术可以灵活配置，例如：同一个交换机配置Vlan1、Vlan2；因此隔离广播域

也可以交换机A配置：Vlan1、Vlan2；交换机B配置：Vlan1、Vlan2；因此交换机A的Vlan1可以与交换机B的Vlan1互通；交换机A的Vlan2与交换机B的Vlan2互通

Vlan优点

• 有效控制广播域范围
• 增强局域网的安全性
• 灵活构建虚拟工作组
• 简化网络管理

 有了Vlan后，即使同一个部门不在同一个地理位置，也能使用Vlan技术进行通信

Vlan概述

• 将一个物理局域网在逻辑上划分成多个广播域
• 可以理解为：1个Vlan=1个广播域=1个子网
• 广播不会在Vlan之间转发，而是被限制在各自的Vlan中
• 不同Vlan间的设备默认无法通讯，需要三层设备才能实现互通

Vlan的范围是：0~4095 共4096个(0和4095为保留、1为默认)

Vlan标签

在配置好Vlan后，交换机需要通过特定的标签来判断流量属于Vlan几 例如：

A在Vlan10；B也在Vlan10

A向B发送报文时，交换机通过数据帧中的标签来判断A属于Vlan10，因此会从Vlan10接口出去传递给也在Vlan10的B

---------------------

携带标签(Tag)的帧，有一个专用的名字：IEEE 802.1q

IEEE 802.1q：简称dot1q 是Vlan的正式标准，对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入了4字节的802.1q Tag；每台支持802.1q协议的交换机发送的数据包都会包含Vlan ID 用以指明交换机属于哪个Vlan；因此在一个Vlan交换中，以太网帧有以下两种格式：

• 有标记帧(tagged frame)
  • 加入了4字节802.1q Tag的帧
• 无标记帧(untagged frame)
  • 原始的、未加入4字节802.1q Tag的帧

Vlan链路类型

• Access Link 接入接口
  • 用于主机和交换机的链路
  • 接入链路上传输的帧都是untagged帧
• Trunk Link 干道/中继链路
  • 用于交换机间的互连或交换机与路由器之间的链路
  • 干道链路上传输的帧几乎都是tagged帧；由此用于两端识别

接入主机的设备需要使用Access接口的原因是 主机是无法识别带Tag的帧，因此需要将带Tag的帧去除掉 而Access接口恰好满足这一要求

PVID

• PVID即Port Vlan id 它代表端口的缺省Vlan
• X7系列交换机每个接口PVID=1

我们可以通过PVID来识别出此接口属于Vlan几

想要查看接口PVID信息，可以输入这条命令

[]dislpay port vlan

Vlan端口类型

• Access 接入端口
  • 用于连接主机
  • 收到数据后会添加Vlan Tag，VlanID和端口的PVID相同
  • 转发数据前会移除Vlan tag

例如：主机A向主机C发送信息

主机A发送的信息是不带标签的，传到交换机时，交换机会发现此信息从PVID10接口进来，因此打上Tag10标签

然后在转发给主机C时，会将Tag10标签去除再发给主机C

• Trunk 干道端口
  • 用于连交换机或路由器
  • 路由器或交换机收到该帧时
    • 如果该帧不含Tag 那么以PVID为准打上相应标签
    • 如果该帧包含Tag 则不会改变帧 
  • 发送帧时，该帧的Vlan id在Trunk的允许发送列表中时
    • 若端口的PVID相同，则去除Tag之后发送
    • 若与端口的PVID不同时，则直接发送

例如：

在收到帧的情况下：假设交换机A将信息转发给交换机B

若交换机A传输给交换机B的信息中不带标签，那么交换机B会察觉此信息属于PVID1接口发过来的，因此交换机B会打上Tag1标签

若交换机A将带有Tag的信息转发给交换机B时，交换机B收到后不会改变Tag

由于在配置Trunk时，需要配置允许列表(不在允许列表中的vlan id不允许互相传输)

因此在收到允许列表传过来的帧情况下：假设交换机A将信息转发给交换机B

比如：交换机A发现允许列表中有PVID10 且接口也是PVID10那么交换机会将Tag去除再发给交换机B(因为就算去除Tag 交换机B也能知道信息是从PVID10接口过来的)

比如：交换机A发现允许列表中有PVID10 但接口是PVID20 那么交换机A直接转发给交换机B，这样交换机B才能得知交换机A发过来的帧是属于PVID20

• Hybrid 混杂接口
  • 属于华为的专有接口模式
  • 既可以连接主机又可以连接其他交换机
  • 既可以连接接入链路又可以连接干道链路
  • 允许多个Vlan的帧通过，并可以在出接口方向将某些Vlan帧的Tag去除(由命令决定)

Vlan转发流程

Vlan规划

Vlan规划有这几种：

• 基于端口
• 基于Mac地址
• 基于IP子网划分
• 基于协议划分
• 基于策略

其中：对于Vlan的规划方式，基于端口是最为常见的

Vlan配置

以下为Vlan的基本配置

<>system-view
[]vlan 10    #创建一个Vlan 编号为10
[]vlan batch 10 to 20    #创建多个Vlan 编号为:10~20
[]dislpay vlan　　#查看Vlan信息
[g0/0/1]port link-type access　　#配置接口为access接口
[g0/0/1]port link-type trunk　　#配置接口为trunk接口
[g0/0/1]port link-type hybrid　　#配置接口为hybrid接口
[g0/0/1]port default vlan 2　　#更改接口的vlan为2(当你的接口是access时)
[]display port vlan　　#查看接口的类型

如果你的接口是trunk 需要进行允许vlan列表配置

[g0/0/1]port trunk allow-pass vlan 10　　#设置接口trunk允许Vlan10通过

如果你的接口是hybrid 可以根据需求进行以下配置

[g0/0/1]port hybrid untagged vlan 10　　#设置接口，如果收到vlan10的信息，则将标签剥离
[g0/0/1]port hybrid tagged vlan 10　　#设置接口，如果收到vlan10的信息，将打上标签
[g0/0/1]port hybrid pvid 3　　#设置hybrid接口的PVID为3