VLAN知识点及其深入专业：数通专业指导教师：姓名：1为何引入vlan？1.1vlan克服了传统局域网组网缺陷传统局域网组网图1.1.1传统局域网组网缺陷1.冲突域载波侦听多路访问/冲突检测CSMA/CD（Carrier Sense Multiple Access/Collision Detect）没有从根本上解决冲突问题。

2.广播域广播流量耗费大量带宽，占用电脑cpu资源（在以TCP/IP协议栈通信的网络中，ARP广播、DHCP等广播非常频繁）。

3.信息安全所有主机共享一条传输通道，无法控制网络中的信息安全。

1.1.2克服传统局域网组网缺陷的技术1.网桥Bridge2.二层局域网交换机（L2 Switch）二层局域网交换机是从网桥技术发展而来，二层局域网交换机技术克服了共享介质上的冲突域问题，将来自入端口的信息转发到出端口，将冲突域缩小到端口级。

二层交换机组网图3.路由器做ip 转发路由器是根据三层ip 地址来选择路由，因此可以有效的抑制广播报文的转发。

使用路由器的缺点为：路由器成本高，且基于软件转发导致转发效率低，接口少，不利于推广。

4.vlan 技术VLAN 技术的出现，划分了广播域，克服冲突域，解决网络安全问题。

2 vlan 典型应用示意图上图是一个典型的VLAN 应用场景。

3台交换机放置在不同的地点，比如写字楼的不同楼层。

每台交换机分别连接3台计算机，他们分别属于3个不同的VLAN，比如不同的企业客户。

在图中，一个虚线框内表示一个VLAN。

3vlan帧格式3.1以太网帧格式以太网两种帧（以太网ip数据报文封装格式）结构：1、Ethernet_Ⅱ（或称Ethernet DIX）:RFC894定义的以太帧（TCP/IP协议栈使用的帧结构）2、IEEE802.3：RFC1042定义的以太帧3.2IEEE802.1Q（Dot One Q）定义了基于端口（于物理层划分访问链路）和MAC地址（于二层划分访问链路）划分vlan的标准（vlan间是不可以直接通信的，需要通过路由器或者三层交换机进行“vlan间路由”）注：华为VRP（通用路由平台）实现了基于端口的vlan划分。

3.2.1以端口来划分vlan类似于把一台交换机分成了两台交换机使用。

缺点：基于端口划分的vlan 适用于网络拓扑比较固定、计算机数目不多的场合使用端口划分vlan（静态vlan）3.2.2基于网卡MAC地址基于网卡MAC地址划分VLAN属于动态vlan：缺点：需要登记所有计算机的MAC地址和网卡的绑定关系，若计算机交换了网卡，则需要重新设定。

3.2.3另外两个动态VLAN基于子网（于三层设定访问链路）和用户（于四层划分访问链路）划分的vlan：3.2.4基于子网划分的vlan子网划分的vlan3.2.5基于用户划分的vlan根据端口所连计算机登录用户设定，属于依据上层数据来划分VLAN，适用于构建灵活多变的网络。

3.2.6动态和静态VLAN总结：决定端口所属vlan时利用的信息在osi层面越高，就越适用于构建灵活多变的网络。

3.3vlan的帧格式vlan帧格式Type字段用于区分是否802.1Qtag帧，不支持该帧的设备帧将丢弃该帧；PRI 用于区分当交换机阻塞时，优先发送优先级高的帧；CFI在以太网中为0，表示为经典格式；VID为vlan id，为12位，可用vlan id为1-4094。

4VLAN内的链路类型4.1接入（访问）链路（Access Link）基于端口、MAC地址、子网（IP地址段）、用户信息划分vlan。

4.2干道（汇聚）链路（Trunk Link）交换机间只用一根网线，保证100Mbps以上，并且打上标签以区别不同vlan；交换机和路由器间也属于汇聚链路，用子接口区分不同vlan。

4.3链路类型示意图链路类型示意图5另外两种端口类型5.1Hybrid端口既可以连接交换机也可以连接用户侧的端口类型。

5.2Q-in-Q端口交换机之间的接口，能够用于处理带双层tag标记的vlan帧的端口类型。

NE80E/40E提供的QinQ端口，可以为数据帧打上两层tag，故此可以支持4094*4094个VLAN，满足城域网对VLAN数量的需求。

两层tag一个是私网，一个是公网tag，公网用于在ISP网络中传送用户报文，私网tag用于区分不同用户数据，用户报文传递方向为：CE（打上私网标签）-PE（打上公网标签）-PE（剥离私网标签）-CE（私网标签存在，用于区分用户）。

6VLAN间路由6.1同一vlan间的通信6.2不同vlan间通信路由器和交换机间只用一根网线，需要在交换机和路由上作支持子接口的汇聚链路在交换机的MAC地址表中具有分属于同一vlan的表项默认把交换机和路由器之间的汇聚链路看成是所有vlan的表项之一红色vlan通过交换机MAC 地址表项，查找到该路由器的MAC地址，把红色vlan帧传送到路由器上，路由器查找路由表，转发到相应的VLAN中的主机。

7 三层交换机7.1 为什么需要使用三层交换机？采用路由器作为vlan 间路由通信时出现的问题：1、路由器本身基于软件处理，而交换机使用特殊芯片，故此路由器本身成为转发速度的瓶颈；2、随着vlan 间通信的频繁，流量容易集中到交换机和路由器之间互联的汇聚链路部分，故此很容易成为速度的瓶颈。

7.2 三层交换机内部结构三层交换机内部结构为了解决上述问题，三层交换机应运而生。

三层交换机，本质上就是带有“路由功能的（二层）交换机”。

路由属于OSI 参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。

在一台三层交换机内，分别设置了交换机模块和路由器模块；而内置的路由模块与交换模块相同，使用ASIC硬件处理路由。

因此，与传统的路由器相比，可以实现高速路由。

并且，路由与交换模块是汇聚链接的，由于是内部连接，可以确保相当大的带宽。

7.3三层交换机进行VLAN内通信7.4三层交换机进行VLAN间路由8 加速vlan 间通信的手段8.1 流技术（Flow ）1、该技术类似建立端到端的水管（建立端到端的源IP 地址、源TCP/IP 端口和目标IP 地址、目标TCP/IP 端口号的连接关系）。

当建立好水管，就没有必要再重复建立，在第一次流量引入以后，端到端的传输已经建立，就可以不再需要路由器进行重复路由处理，从而提高了vlan 间路由的速度。

其中，交换机缓存用于保存端到端信息。

2、交换机缓存端到端信息：区别是在交换机里作了缓存，用于记录该流第一块数据流的端到端信息，用于指导后续数据流的转发，结果使得：接收方获得以线缆速度接收发送方传送来的数据流。

9构筑高效率高性价比的网络9.1传统的路由器既然三层交换机具有快速的路由转发机制而且价钱比传统路由器便宜得多，那么传统的路由器还有没有继续存在的意义呢？回答是肯定的！原因为：大多数三层交换并不具备传统路由器的功能。

传统路由器功能：1、安全功能：除了具备三层交换机基本的包过滤功能外，还能基于IPSec构建VPN，利用RADIUS进行用户认证数；2、用于WAN连接：大多数三层交换机不具备连接WAN的串行接口，而只具备LAN（以太网）接口；3、支持TCP/IP以外的网络架构：三交换机一般只支持TCP/IP协议构建的网络。

9.2构建高效率高性价比的网络9.3常见的组网方式物理vlan和逻辑vlan的转换10华为NE40E VLAN主要命令配置10.1配置基于二层端口的VLAN示例组网需求：某部门的局域网包含4台主机，这四台主机分属两个小组。

要求将这两个小组之间隔离，使组间不能互相通信。

组网图如下所示：配置思路采用如下的思路配置VLAN：将接口转换为二层接口。

创建VLAN。

将端口加入VLAN。

数据准备为完成此配置例，需准备如下的数据。

以太网端口GE1/0/1和GE1/0/2属于VLAN2以太网端口GE1/0/3和GE1/0/4属于VLAN3操作步骤配置交换机# 将接口切换成二层模式。

<HUAWEI> system-view[HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] undo shutdown [HUAWEI-GigabitEthernet1/0/1] portswitch [HUAWEI-GigabitEthernet1/0/1] quit [HUAWEI] interface gigabitethernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] undo shutdown [HUAWEI-GigabitEthernet1/0/2] portswitch [HUAWEI-GigabitEthernet1/0/2] quit [HUAWEI] interface gigabitethernet 1/0/3 [HUAWEI-GigabitEthernet1/0/3] undo shutdown [HUAWEI-GigabitEthernet1/0/3] portswitch[HUAWEI-GigabitEthernet1/0/3] quit[HUAWEI] interface gigabitethernet 1/0/4[HUAWEI-GigabitEthernet1/0/4] undo shutdown[HUAWEI-GigabitEthernet1/0/4] portswitch[HUAWEI-GigabitEthernet1/0/4] quit# 创建VLAN2。

<HUAWEI> system-view[HUAWEI] vlan 2# 向VLAN2中加入端口GE1/0/1和GE1/0/2。

[HUAWEI-vlan2] port gigabitethernet 1/0/1 to 1/0/2# 创建VLAN3。

[HUAWEI] vlan 3# 向VLAN3中加入端口GE1/0/3和GE1/0/4。

[HUAWEI-vlan3] port gigabitethernet 1/0/3 to 1/0/4验证配置结果从第1组内的任一台主机Ping第2组内的任一台主机，无法Ping通，证明两组间已实现隔离。

10.2配置vlan间通过vlanif接口通信示例组网需求创建两个VLAN：VLAN2和VLAN3。

VLAN2包含端口GE0/0/0和GE0/0/1，VLAN3包含端口GE0/0/2和GE0/0/3这些GE端口均是路由式接口。

组网图如下所示：实现：VLAN2与VLAN3之间能够通过VLANIF 接口互相通信。

配置思路：采用如下的思路配置基于端口的VLAN ： 1、将路由式接口配置为交换式接口。