交换机基础（二）：VLAN 基础知识

一、VLAN 基础知识

        虚拟局域网 (Virtual Local Area Network,VLAN) 是一种将局域网设 备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。 这一技术主要应用于3层交换机和路由器中，但主流应用还是在3层交换机中。

        VLAN 是基于物理网络上构建的逻辑子网，所以构建VLAN 需要使用支持VLAN 技术的交换机。当网络之间的不同VLAN 进行通信时，就需要路由设备的支持。这时就需要增加路由器、3层交换机之类的路由设备。

一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中，这样有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

二、VLAN 划分方法 

        VLAN 的划分方式有多种，但并非所有交换机都支持，而且只能选择一种应用。

(1)根据端口划分。

这种划分方式是依据交换机端口来划分VLAN 的，是最常用的VLAN 划分方式，属于静态划分。

(2)根据MAC 地址划分。

这种划分方法是根据每个主机的MAC 地址来划分的，即对每个MAC 地址的主机都配置其属于哪个组，属于动态划分VLAN。

 (3)根据网络层上层协议划分。

这种划分方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，属于动态划分VLAN。

(4)根据IP组播划分VLAN。

IP组播实际上也是一种VLAN 的定义，即认为一个组播组就是一个VLAN。 该方式属于动态划分VLAN。

(5)基于策略的VLAN。

根据管理员事先制定的VLAN 规则，自动将加入网络中的设备划分到正确的VLAN。 该方式属于动态划分VLAN。

 三、VLAN  创建

        创建VLAN 可以分为批量创建和单独创建两种形式。 一般情况下，新出厂的交换机默认的VLAN 是VLAN1。 我们可以在交换机上使用命令display vlan 查看VLAN 的情况。

[gkys]disp vlan

(1)批量创建多个连续的VLAN  

<gkys>  system-view

[gkys] vlan batch x to y

        其中的X和Y用来表示不同的VLAN 编号； to用于创建连续的VLAN,省略to 则只创建列表中指定号码的VLAN。

批量创建VLAN11到VLAN20的步骤：

<gkys>  system-view

[gkys] vlan batch 11 to 20

(2)单独创建VLAN 

<gkys> system-view

[gkys] vlan x

        其中的X用来表示VLAN 编号。如果VLAN 已经创建，则直接进入VLAN 视图，否则创建该VLAN。

单独创建VLAN30 的步骤：

<gkys> system-view

[gkys] vlan 30               //创建或者进入VLAN30

如果设备上创建了多个VLAN, 为了便于管理，可以为VLAN 配置   名称。配置VLAN 名称后，即可直接通过VLAN 名称进入VLAN 视图。

配置VLAN10 的名称为huawei 的命令：

<gkys>  system-view

[gkys] vlan  10

[gkys-vlan10]  name  huawei

[gkys-vlan10]   quit

配置VLAN名称后，可直接通过VLAN名称进入VLAN视图：

[gkys]  vlan  vlan-name  huawei

[gkys-vlan10]   quit

四、 将端口指定到VLAN

        华为设备中划分VLAN 的方式有基于接口、基于MAC 地址、基于IP子网、基于协议、基于策略 (MAC 地址、IP 地址、接口)。其中基于接口划分VLAN 是最简单、最常见的划分方式，也是考试中考得最多的一种形式。基于接口划分VLAN 指的是根据交换机的接口来划分VLAN。  需要网络管理员预先为交换机的每个接口配置不同的PVID, 当一个数据帧进入交换机时，如果没有带VLAN 标签，该数据帧就会被打上接口指定PVID 的Tag, 然后数据帧将在指定PVID 中传输。

        当在交换机上创建了VLAN 后，接下来就需要将相应的端口指定至该VLAN,  可以是单一端口指定VLAN 或者成批端口指定VLAN。

 (1)单一端口指定VLAN 的配置步骤

system-view                 //进入系统视图

vlan vlan-id                  //创建VLAN 并进入VLAN 视图。如果VLAN 已经创建，则直接进入VLAN 视图

quit                               //返回系统视图

interface interface-type interface-number        //进入需要加入VLAN 的以太网接口视图

port link-type access  //配置接口类型为Access

port default vlan vlan-id           //配置接口的缺省VLAN 并将接口加入到指定VLAN

VLAN 配置的步骤在考试中常考，需要重点掌握。 

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]vlan  10

[Huawei-vlan10]quit

[Huawei]interface  GigabitEthernet  0/0/1

[Huawei-GigabitEthernet0/0/1]  port  link-type  access

[Huawei-GigabitEthernet0/0/1]port  default  vlan  10

 (2)成批端口指定VLAN

        如需要对一批接口执行相同的VLAN 配置，则可以在VLAN 视图下执行命令port interface-type {interface-number1[ to interface-number2]}批量配置。将接口gi0/0/1-gi0/0/10全部加

入VLAN 2的命令：

[gkys] vlan 2                  //进入VLAN 2视图

[gkys-vlan2]port GigabitEthernet 0/0/1 to 0/0/10   //将1～10号接口全部设置为VLAN 2

也可以使用以下方式：

system-view                 //进入系统视图

vlan vlan-id                     //创建VLAN 并进入VLAN 视图。如果VLAN 已经创建，则直接进入VLAN 视图

quit                                  //返回系统视图

port-group group-member //进入接口组视图。

group-member interface-type interface-number to interface-type interface-number//把需要的接口加入组

port link-type access  //配置接口类型为Access。 此时系统会对每个接口进行一次设置

port  default  vlan  vlan-id //配置接口的缺省VLAN 并将接口加入到指定VLAN, 系统也会自

动对每个接口执行一次命令 

如要将接口GigabitEthernet0/0/1到GigabitEthernet0/0/10的这  10个接口统一配置成Access模式，默认的VLAN 是VLAN10 的命令：

<Huawei>system-view

Enter system view, return user view with Ctrl+Z.

[Huawei]vlan 10

[Huawei-vlan10]quit

[Huawei]Port-group 1

[Huawei-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10        //把1到10端口加入分组

[Huawei-port-group-1]port link-type access //下面10行是这条命令执行之后，系统自动分步执行的结果

[Huawei-GigabitEthernet0/0/1]port link-type access

[ ……

[Huawei-GigabitEthernet0/0/10]port link-type access

[Huawei-port-group-1]port default vlan 10 //设置接口的默认PVID, 系统自动执行以下10条命令，并在屏幕上输出

[Huawei-GigabitEthernet0/0/1]port default vlan 10

[ ……

[Huawei-GigabitEthernet0/0/10]port default vlan 10

[Huawei-port-group-1]quit

五、Vlan配置注意事项： 

        华为交换设备的重要概念就是默认VLAN。 通常Access 端口只属于1个VLAN,  所以它的默认VLAN 就是其所在的VLAN,  无须设置。而Hybrid 端口和Trunk 端口可以属于多个VLAN,  因此需要设置默认VLAN  ID。默认情况下， Hybrid 端口和Trunk 端口的默认VLAN为VLAN 1。

        当端口接收到不带VLAN  Tag的报文后，则将报文转发到属于默认VLAN 的端口(如果设置了端口的默认VLAN   ID)。 当端口发送带有VLAN  Tag的报文时，如果该报文的VLAN ID与端口默认的VLAN ID相同，则系统将去掉报文的VLAN  Tag, 然后发送该报文。 

在配置VLAN 时要注意：

(1)默认情况下，所有端口都属于VLAN  1,一个Access端口只能属于一个VLAN。

(2)如果端口是Access端口，则在将端口加入到另外一个VLAN的同时，系统自动把该端口从原来的VLAN 中删除掉。

(3)除了VLAN 1外，如果VLAN XX不存在，在系统视图下输入VLAN XX,则创建VLAN XX并进入VLAN 视图；如果VLAN XX已经存在，则进入VLAN 视图。

六、VLAN 封装协议 

        IEEE 802.1Q协议在原来的以太帧中增加了4个字节的标记 (Tag)字段，如图所示。增加了4个字节后，交换机默认最大MTU 应由1500个字节改为至少1504个字节。

802.1Q封装格式

TPID: 值为0x8100(hex),    标记IEEE 802.1Q帧， hex 表示十六进制。

TCI: 标签控制信息字段，包括用户优先级 (User Priority)、 规范格式指示器 (Canonical Format Indicator) 和VLAN ID。User Priority: 定义用户优先级，3位，有8个优先级别。

 CFI: 以太网交换机中，规范格式指示器总被设置为0。设置为1时，表 示该帧格式并非合法格式，这类帧不被转发。

VID:VLAN  ID标识VLAN,  长度为12位，所以取值范围为[0,212-1],即 [0,4095]。  VLAN  ID在标准IEEE 802.1Q中常常用到。在VID可能的取  值范围[0,4095]中， VID=0 用于识别帧优先级，4095(转换为十六进制 为FFF) 作为预留值，所以VLAN 号的最大可能值为4094,最多可以配  置4094个不同VLAN,  其编号范围是[1,4094]。