VLAN 基础

笔记 · 2023-07-25 · 519 人浏览
VLAN 基础

  VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文就被限制在一个VLAN内。

  如图1所示,两台交换机放置在不同的地点,比如写字楼的不同楼层,每台交换机分别连接两台属于不同企业用户的计算机,此时就可以将两台计算机划分到不同的VLAN,实现对不同企业用户的隔离。

图1:VLAN示意图

VLAN

VLAN Tag 和 VLAN ID

  要使交换机能够分辨不同VLAN的报文,如图2所示,需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用以标识VLAN信息。
图2:VLAN数据帧格式

VLANID

IEEE 802.1Q封装的VLAN数据帧格式

  数据帧中的VID字段标识了该数据帧所属的VLAN,数据帧只能在其所属VLAN内进行传输。VID字段代表VLAN ID,VLAN ID取值范围是0~4095。由于0和4095为协议保留取值,所以VLAN ID的有效取值范围是1~4094。

  交换机内部处理的数据帧都带有VLAN标签。而交换机连接的部分设备(如用户主机、服务器)只会收发不带VLAN tag的传统以太网数据帧。因此,要与这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除VLAN标签。添加什么VLAN标签,由接口上的缺省VLAN(Port Default VLAN ID,PVID)决定。

VLAN的接口类型

这里不涉及QinQ(Dot1q-tunnel接口)。

  1. Access接口:一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧,且只能为Untagged帧添加唯一的VLAN Tag。

  2. Trunk接口:一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。

  3. Hybrid接口:既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等)和网络设备(如Hub、傻瓜交换机),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag(即不剥除Tag)、某些VLAN的帧不带Tag(即剥除Tag)。

  VLAN的划分方法有多种,根据不同的场景,可以采用基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。

VLAN划分

VLAN的使用场景

  VLAN的常见使用场景包括:VLAN间用户的二层隔离,VLAN间用户的三层互访。具体可参考华为官网文档中心的园区交换机配置指南中以太网交换的VLAN引用场景

VLAN 示例

下列实验中,命令已简写且PC相关地址默认已提前配置完成,详细示例点击这里

练习 1:同一台交换机上相同VLAN间通信

VLAN-1

  我们填好PC地址后,可以直接启动设备然后使用PC1来直接ping通PC2。
2023-07-25T07:29:14.png

  现在将连接PC1和PC3的接口划分到VLAN 10,把连接PC2的接口划分到VLAN 20,使PC1和PC2、PC2和PC3不能直接进行通信,PC1和PC3可以直接互相通信。

<Huawei>sy
[Huawei]sy SW1
[SW1]vlan ba 10 20
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p l a
[SW1-GigabitEthernet0/0/1]p d v 10
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]p l a
[SW1-GigabitEthernet0/0/2]p d v 20
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]p l a
[SW1-GigabitEthernet0/0/3]p d v 10

验证配置结果:
2023-07-25T07:46:34.png

练习 2:不同台交换机上相同VLAN间通信

要求:PC4和PC6在VLAN 10 下相互通信,PC5和PC7在VLAN 20 下相互通信。

2023-07-25T08:10:07.png
  需要将交换机之间通过Trunk链路类型连接,交换机和用户终端之间通过Access链路类型连接,并加入对应VLAN。

<Huawei>sy
[Huawei]sy SW1
[SW1]vlan ba 10 20
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p l a
[SW1-GigabitEthernet0/0/1]p d v 10
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]p l a
[SW1-GigabitEthernet0/0/2]p d v 20
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]p l t
[SW1-GigabitEthernet0/0/3]p t a v 10 20
[SW1-GigabitEthernet0/0/3]q

查看所有端口的vlan信息

[SW]display  port vlan

2023-07-25T08:25:15.png
另一台交换机的配置与该交换机类似,不再赘述。随后便可验证配置结果:
2023-07-25T08:33:29.png

练习 3:不同交换机上不同VLAN间通信

要求:VLAN 10、20可以和VLAN 100通信,VLAN 10 和 VLAN 20 不能通信。

2023-07-25T08:49:05.png
  这里我们采用华为特殊的二层接口模式hybrid(默认),针对不同vlan间通信。
SW1:

<Huawei>sy
[Huawei]sy SW1
[SW1]vlan ba 10 20 100
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p h p v 10
[SW1-GigabitEthernet0/0/1]p h u v 10 100
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]p h p v 20
[SW1-GigabitEthernet0/0/2]p h u v 20 100
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]p h t v 10 20 100

SW2配置文件:

#
sysname SW2
#
vlan batch 10 20 100
#
interface GigabitEthernet0/0/1
 port hybrid pvid vlan 100
 port hybrid untagged vlan 10 20 100
#
interface GigabitEthernet0/0/2
 port hybrid tagged vlan 10 20 100
#

这里以VLAN10下验证配置结果:
2023-07-25T09:38:03.png

练习 4:单臂路由

需要注意在路由子接口上开启子接口的ARP广播功能。

单臂路由

  PC11归属于VLAN 10,PC12归属于VLAN 20;路由器AR1创建两个终结子接口G0/0/0.1-2分别对应VLAN 10/20。

SW:

<Huawei>sy
[Huawei]sy SW1
[SW1]vlan ba 10 20
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]p l a
[SW1-GigabitEthernet0/0/1]p d v 10
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]p l a 
[SW1-GigabitEthernet0/0/2]p d v 20
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]p l t
[SW1-GigabitEthernet0/0/3]p t a v

R1:

<Huawei>sy
[Huawei]sy R1
[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/0.1]arp broadcast enable
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable

检查R1端口信息,可以看到我们配置的两个子接口:
2023-07-25T10:00:57.png
验证配置结果:
2023-07-25T10:01:53.png

练习 5:使用VLANIF实现不同VLAN间的互通

VLANIF接口是一种三层的逻辑接口,能实现不同VLAN间,不同网段的用户进行三层互通。

三层互通

  每个VLAN对应一个VLANIF接口,在为VLANIF接口配置IP地址后,该接口即可作为本VLAN内用户的缺省网关,对需要跨网段的报文进行基于IP地址的三层转发。

<Huawei>sy
[Huawei]sy SW
[SW]vlan ba 10 20
[SW]int g0/0/1
[SW-GigabitEthernet0/0/1]p l a
[SW-GigabitEthernet0/0/1]p d v 10
[SW-GigabitEthernet0/0/1]int g0/0/2
[SW-GigabitEthernet0/0/2]p l a 
[SW-GigabitEthernet0/0/2]p d v 20
[SW-GigabitEthernet0/0/2]int v 10
[SW-Vlanif10]ip add 192.168.10.1 24
[SW-Vlanif10]int v 20
[SW-Vlanif20]ip add 192.168.20.1 24

以上配置完成后,查看当前配置的VLANIF接口信息(也可查看路由表):
2023-07-25T10:19:18.png

此时便可验证配置结果:
2023-07-25T10:20:01.png

参考文献

  1. NetEngine AR 产品文档:VLAN配置
  2. IP知识百科:VLAN
  3. 华为官网:园区交换机(S2720, S5700, S6700 V200R019C10 配置指南 - 以太网交换)
数通
  1. xxcheng 2023-07-25
    回复

    点赞,支持

2023 - 2025 Justin知识库. All Rights Reserved.
Theme Jasmine by Kent Liao

本网站由 又拍云 提供CDN加速/云存储服务

鄂ICP备2023005457号    鄂公网安备 42011302000815号

欢迎来自 * · * 的用户