VLAN(Virtual Local Area Network,虛擬局域網)
是一種通過邏輯方式(非物理連接)將網絡設備劃分為多個獨立廣播域的技術。它允許管理員在同一個物理網絡中創建多個隔離的虛擬網絡,從而提升網絡的安全性、靈活性和管理效率。
VLAN 原理
- VLAN 技術通過給數據幀插入 VLAN 標簽(又叫 VLAN TAG )的方式,讓交換機能夠分辨出各個數據幀所屬的 VLAN 。
VLAN字段
VLAN 標簽是用來區分數據幀所屬 VLAN 的,是 4 個字節長度的字段,插入到以太網幀頭部上。VLAN 標簽會插入到源 MAC地址后面, IEEE 802.1Q標準有這個格式定義和字段構成說明。
- TPID (標簽協議標識符):
值為 0x8100 ,用來表示這個數據幀攜帶了 802.1Q 標簽。不支持 802.1Q 標準的設備收到這類數據幀,會把它丟棄。
- TCI (標簽控制信息):
又分為三個子字段
優先級( Priority):長度為 3 比特,取值范圍 0 ~ 7 ,用來表示數據幀的優先級。取值越大,優先級越高。當交換機發送擁塞是,優先轉發優先級高的數據幀。
CFI/DEI(1 位) (規范格式指示器):長度為 1 比特,取值非 0 即 1 ,在以太網中,通常取值為0。
VLAN ID ( VLAN 標識符):長度為 12 比特,用來表示 VLAN 標簽的數值。取值范圍是 1 ~ 4094 。
VLAN的核心概念與作用
- 廣播域隔離
傳統局域網(LAN)中,所有設備默認處于同一個廣播域,廣播流量會泛洪到所有設備。
VLAN可以將廣播域劃分為多個邏輯部分,不同VLAN之間的設備無法直接通信(除非通過路由器或三層交換機),從而減少不必要的廣播流量。 - 基于邏輯劃分
VLAN的劃分不依賴物理位置,而是基于交換機端口、MAC地址、IP子網或協議等邏輯標識。
例如:同一臺交換機上的不同端口可以屬于不同的VLAN。 - 跨物理設備的靈活性
即使設備連接到不同的物理交換機,只要屬于同一VLAN,它們就能像在同一個局域網中通信(通過Trunk鏈路實現)。
vlan接口類型
- Access接口
用于連接終端設備(PC、服務器),僅屬于一個 VLAN - Trunk接口
用于交換機互聯,允許多個 VLAN 通過(需手動指定允許的 VLAN) - Hybrid接口
混合模式,可靈活選擇是否攜帶 VLAN 標簽,可以同時處理 tagged 和 untagged 流量,適用于復雜場景
概念明確
- Access(接入)接口
如果交換機接口收到無標記幀,由交換機根據這個接口所在 VLAN 為數據幀打上 VLAN 標簽;同時接口發送數據幀時,也不攜帶 VLAN 標簽。應該把這類接口配置為Access(接入)接口, Access 接口連接的鏈路稱為Access 鏈路。 - Trunk(干道)接口
如果交換機接口收到多個 VLAN 的流量,也就是收到了標記幀;同時為了讓對端設備能夠區分不同 VLAN 的流量,通過接口發出的流量會打上 VLAN 標簽。應該把這類接口配置為 Trunk(干道)接口,相應的鏈路稱為 Trunk鏈路。
劃分 VLAN
- 基于端口劃分 VLAN
- 基于 MAC 地址劃分 VLAN
- 基于 IP 地址劃分VLAN
- 基于協議劃分 VLAN
- 基于策略劃分 VLAN
劃分 VLAN 后,交換機如何處理廣播報文
- PVID(Port VLAN ID)
是交換機端口的默認 VLAN 標識符,用于處理未打標簽(Untagged)的幀當端口收到一個不帶 VLAN 標簽的數據幀時,交換機會自動給它打上該端口的 PVID,決定它屬于哪個 VLAN
跨交換機 VLAN 原理
- 終端設備不會生成帶 VLAN 標簽的數據幀,它們發出的數據幀叫做無標記幀(Untagged )。它們連接的交換機會給無標記幀打上 VLAN標簽。交換機通過每個端口的 PVID ,判斷從這個接口收到的無標記幀屬于哪個 VLAN ,并在轉發時,插入相應的 VLAN標簽,從而將無標記幀變為標記幀( Tagged )。
當兩臺交換機通過端口連接時,收到的數據幀是標記幀還是無標記幀?交換機端口會如何處理呢
以vlan11數據鏈路為例,下面是處理的數據流程
- 主機PC6以主機PC11的MAC地址作為目的MAC地址封裝了一個數據幀,從網卡發送出去。
- 交換機PC6在Access接口收到數據幀。查詢MAC地址表,發現數據幀的目的地址是與交換機B相連的Trunk接口。于是交換機給數據幀打上Access接口的PVID配置,即給數據幀打上VLAN 10的標簽,并從Trunk接口轉發給交換機B。
- 交換機B在trunk接口收到數據幀。查看MAC地址表,發現是VLAN 11的數據幀,目的地址設備是連接在VLAN 11的一個Access接口上。于是去掉數據幀的VLAN標簽,并從這個Access接口轉發給主機PC11。
eNSP 實操 Access 接口和 Trunk 接口的配置(單vlan)
實驗拓撲
基本配置框架
- 將 SW 1(即交換機 1)和 SW 2(即交換機 2)相連的接口配置為Trunk 接口,允許傳輸VLAN 5的數據
- 將PC與SW相連接口配置為 Access 接口,接口的 PVID 配置為 VLAN 5
SW1的配置如下
- vlan 5 # 創建 VLAN 5
- interface GigabitEthernet 0/0/1
- port link-type access
- port default vlan 5
- quit
- interface GigabitEthernet 0/0/2
- port link-type trunk
- port trunk allow-pass vlan 5
SW2的配置如下
- vlan 5
- interface GigabitEthernet 0/0/2
- port link-type access
- port default vlan 5
- quit
- interface GigabitEthernet 0/0/1
- port link-type trunk
- port trunk allow-pass vlan 5
PC1的配置
PC2的配置
連通性檢測
已通!
抓包Trunk口驗證vlan是否打上標簽
eNSP 實操 Access 接口和 Trunk 接口的配置(多vlan)
sw1的配置
- vlan 10
- interface Ethernet 0/0/1
- port link-type access
- port default vlan 10
- quit
- interface GigabitEthernet 0/0/2
- port trunk allow-pass vlan 5 10
sw2的配置 - vlan 10
- interface GigabitEthernet 0/0/1
- port trunk allow-pass vlan 5 10
- quit
- interface Ethernet 0/0/1
- port link-type access
- port default vlan 10
PC配置:
連通性檢測:
- 同vlan連通性檢測(PC3 ping PC4)
- 不同vlan連通性檢測(PC3 ping PC2)
eNSP 實操 Access 接口和 Trunk 接口的配置,多vlan跨網段通信
在上一個實驗基礎上,進行vlan10的主機設備ip更改,在 SW2(三層交換機)上配置 VLANIF,達到三層交換實現跨網段互通
在SW2上進行配置
- interface Vlanif 5
- ip address 192.168.5.3 24
- quit
- interface Vlanif 10
- ip address 192.168.6.1 24
PC配置:
連通性檢測
實現跨網段通信
)
)
