VLAN基礎(chǔ)及VLAN劃分的詳細(xì)步驟

360doc.cn 發(fā)布時(shí)間：2021-05-11 09:28:52 作者：無(wú)悔大哥chen

今天我們來(lái)介紹關(guān)于vlan的基礎(chǔ)知識(shí)，主要從vlan的技術(shù)特點(diǎn)，端口類型，以及vlan劃分的過(guò)程，通過(guò)一個(gè)實(shí)例來(lái)進(jìn)行詳細(xì)分析，適合新手學(xué)習(xí)，需要的朋友可以參考下

VLAN概念

VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)，由于交換機(jī)端口有兩種VLAN屬性，其一是VLANID，其二是VLANTAG，分別對(duì)應(yīng)VLAN對(duì)數(shù)據(jù)包設(shè)置VLAN標(biāo)簽和允許通過(guò)的VLANTAG（標(biāo)簽）數(shù)據(jù)包，不同VLANID端口，可以通過(guò)相互允許VLANTAG，構(gòu)建VLAN。

一、VLAN基礎(chǔ)

同一個(gè)VLAN中的用戶間通信就和在一個(gè)局域網(wǎng)內(nèi)一樣，同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌腣LAN中去，從而控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有路由，不同VLAN之間不能相互通信，從而提高了不同工作組之間的信息安全性。網(wǎng)絡(luò) 管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理網(wǎng)絡(luò)內(nèi)部不同工作組之間的信息互訪。

1、技術(shù)特點(diǎn)

(1)端口的分隔。即便在同一個(gè)交換機(jī)上，處于不同VLAN的端口也是不能通信的。這樣一個(gè)物理的交換機(jī) 可以當(dāng)作多個(gè)邏輯的交換機(jī)使用。

(2)網(wǎng)絡(luò)的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改用戶所屬的網(wǎng)絡(luò)不必?fù)Q端口和連線，只更改軟件配置就可以了。

2、TAG和UNTAG

基于端口的VLAN,這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。

IEEE于1999年發(fā)布了用以規(guī)范VLAN實(shí)現(xiàn)的IEEE Std 802.1Q標(biāo)準(zhǔn)。 IEEE 802.1Q協(xié)議標(biāo)準(zhǔn)為各種局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)定義了VLAN的Tag字段，不同網(wǎng)絡(luò)結(jié)構(gòu)中，連接設(shè)備可以通過(guò)共同的數(shù)據(jù)特征進(jìn)行VLAN識(shí)別。

對(duì)于常見(jiàn)的以太網(wǎng)網(wǎng)絡(luò)模型，其主要的報(bào)文封裝格式類型有兩種，分別為Ethernet II型和 802.2/802.3型。對(duì)于這兩種以太網(wǎng)報(bào)文的封裝格式，IEEE 802.1Q協(xié)議標(biāo)準(zhǔn)在數(shù)據(jù)幀首部的目的MAC地址（DA）和源MAC地址（SA）后定義了VLAN Tag，用以標(biāo)識(shí)VLAN的相關(guān)信息。

3、端口的鏈路類型

對(duì)于不同部門(mén)需要互訪時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過(guò)濾。對(duì)某站點(diǎn)的訪問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。

以太網(wǎng)端口有 3種鏈路類型:access、trunk、General

Access類型端口只能屬于1個(gè)VLAN 般用于連接計(jì)算機(jī)端口；

Trunk類型端口可以允許多個(gè)VLAN通過(guò),可以接收和發(fā)送多個(gè)VLAN 報(bào)文,一般用于交換機(jī)之間的連接；

General類型端口可以允許多個(gè)VLAN通過(guò)，可以接收和發(fā)送多個(gè)VLAN 報(bào)文，可以用于交換機(jī)的間連接也可以用于連接用戶計(jì)算機(jī)。

General端口和Trunk端口在接收數(shù)據(jù)時(shí)處理思路方法是一樣的，唯一區(qū)別的處在于發(fā)送數(shù)據(jù)時(shí):General端口可以允許多個(gè)VLAN報(bào)文發(fā)送時(shí)不打標(biāo)簽，而Trunk端口只允許缺省VLAN報(bào)文發(fā)送時(shí)不打標(biāo)簽。

缺省VLAN( PVID）:

Access端口只屬于1個(gè)VLAN 所以它缺省VLAN就是它所在VLAN不用設(shè)置；

General端口和 Trunk端口屬于多個(gè)VLAN，所以需要設(shè)置缺省VLAN ID。缺省情況下 Hybrid端口和Trunk端口缺省VLAN為VLAN 1；

如果設(shè)置了端口缺省VLAN ID當(dāng)端口接收到不帶VLAN Tag報(bào)文后則將報(bào)文轉(zhuǎn)發(fā)到屬于缺省VLAN的端口；當(dāng)端口發(fā)送帶有VLAN Tag報(bào)文時(shí)，如果該報(bào)文 VLAN ID和端口缺省VLAN ID相同，則系統(tǒng)將去掉報(bào)文VLAN Tag，然后再發(fā)送該報(bào)文。

交換機(jī)接口出入數(shù)據(jù)處理過(guò)程:

Acess端口收?qǐng)?bào)文:收到個(gè)報(bào)文判斷是否有VLAN信息:如果沒(méi)有則打上端口 PVID并進(jìn)行交換、轉(zhuǎn)發(fā)，如果有則直接丟棄(缺省) Acess端口發(fā)報(bào)文:將報(bào)文VLAN信息剝離直接發(fā)送出去

trunk端口收?qǐng)?bào)文:收到一個(gè)報(bào)文，判斷是否有VLAN信息:如果沒(méi)有則打上端口 PVID 并進(jìn)行交換轉(zhuǎn)發(fā)，如果有判斷VLAND ID是否在該trunk的允許范圍內(nèi)，如果在范圍內(nèi)則轉(zhuǎn)發(fā)，否則丟棄

trunk端口發(fā)報(bào)文:比較端口PVID和將要發(fā)送報(bào)文VLAN信息如果兩者相等則剝離VLAN信息再發(fā)送，如果不相等則直接發(fā)送

General端口收?qǐng)?bào)文:收到一個(gè)報(bào)文，判斷是否有VLAN信息:如果沒(méi)有則打上端口 PVID 并進(jìn)行交換轉(zhuǎn)發(fā)。如果有則判斷該General端口是否允許該VLAN數(shù)據(jù)進(jìn)入:如果可以則轉(zhuǎn)發(fā)，否則丟棄(此時(shí)端口上untag配置是不用考慮，untag配置只對(duì)發(fā)送報(bào)文時(shí)起作用)

General端口發(fā)報(bào)文:

1）判斷該VLAN在本端口屬性

2）如果是untag,則剝離VLAN信息再發(fā)送;如果是tag,則直接發(fā)送.

二、如何劃分VLAN

以TP-LINK SL3226為例，需求：學(xué)校宿舍無(wú)線網(wǎng)，某樓層有一臺(tái)二層網(wǎng)管接入交換機(jī)，帶了20臺(tái)面板AP.需要接入網(wǎng)絡(luò)，管理地址為192.168.200.110.管理VLAN為4000，端口VLAN為110，和核心交換機(jī)級(jí)聯(lián)VLAN為204.控制器控制VLAN為1000

簡(jiǎn)介：TP-LINK SL3226為24口百兆交換機(jī)，兩個(gè)上聯(lián)口25.26為千兆口。

1、登陸交換機(jī)管理界面（配置電腦網(wǎng)線暫時(shí)插在24口上）