VLAN:Virtual Local Area Network,即”虚拟局域网”;vlan主要是为了解决随着网络中终端的数量越来越多,面临的冲突、广播、以及安全性问题越来越多。通过vlan将一个物理局域网在逻辑上划分成不同的广播域,从而实现同一个vlan内主机可以互相通信,不同vlan的主机在二层上是相互隔离的,这样就达到了隔离广播域,将广播的风险控制在个别vlan里不会对全网造成影响,进而提升了网络的安全性。同样例如ARP、DHCP等广播类的请求效也被限定在vlan内,进而提升了网络性能。
一、VLAN实现机制
在一台没有配置VLAN的二层交换机上,根据广播的转发规则,任何广播帧都会转发到除了接收端口以外的所有其他端口。如下图,A发送广播信息后,会被交换机转发给2、3、4端口。
如果将端口1、2划到一个vlan,3、4划分到另一个vlan,这时候A发出的广播帧只会在端口2进行转发,C发出的广播帧只会在端口4进行转发,不同vlan的端口不会收到跨vlan的广播帧,两个vlan之间形成隔离域。在实际配置使用中就是通过vlan ID来区分不同的vlan;
二、端口类型
基于端口划分VLAN是最简单有效的一种方式,在端口转发报文时,根据对vlan tag的处理,将端口划分为三种类型:Access、Trunk和Hybrid。下面介绍下不同端口对报文处理的区别
1、ACCESS端口:
端口只发送一个vlan的报文,发出去的报文会去掉vlan tag标签,一般用于和不需要tag的终端连接。
2、Trunk端口:
可以发送多个vlan的报文,发送的缺省vlan的报文不带tag,其他的vlan的报文都会带相应的tag。通常在网络设备之间互联使用。
3、Hybrid端口:
跟Trunk一样,也可以发送多个vlan的报文,区别是可以配置某些vlan的报文带tag,某些vlan的报文不带tag,有这种需求的场景可以使用Hybrid端口。
一般Access和Trunk就满足大多数场景使用了。
三、实验举例
SW1和SW2之间使用Trunk链路互联,PC1和PC3在同一个vlan可以互相通信,PC2和PC4在同一个vlan可以互相通信,不同vlan之间的设备二层隔离,不能互相通信;
1、在SW1上配置VLAN10和VLAN20,并将PC1和PC2的端口分别加入vlan10和vlan20
system-view
System View: return to User View with Ctrl+Z.
[H3C]vlan 10 20
[H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port access vlan 10
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port access vlan 20
2、SW1上将互联端口配置为Trunk端口,并放行vlan10和vlan20;
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20
[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1
3、同上在SW2上配置vlan10和vlan20,并将PC3和PC4的端口分别加入vlan10和vlan20;
system-view
System View: return to User View with Ctrl+Z.
[H3C]vlan 10 20
[H3C]int g 1/0/2
[H3C-GigabitEthernet1/0/2]port access vlan 10
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port access vlan 20
4、SW2上将互联端口配置为Trunk端口,并放行vlan10和vlan20;
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20
[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1
5、配置PC1和PC3,分别将网卡IP配置为10.1.1.1和10.1.1.2,将PC2和PC4网卡分别配置为20.1.1.1和20.1.1.2;
PC1
PC2
PC3
PC4
6、结果测试
PC1 ping PC2,不可达;
PC1 ping PC3,可达;
PC2 ping PC3,不可达;
PC2 ping PC4,可达;
6、查看配置
分别查看vlan10和vlan20配置信息;
[H3C]display vlan 10
[H3C]display vlan 20
查看mac信息SW1可以看到4个Mac地址分别是sw1上两个PC(一个vlan10下的,一个vlan20下的)的以及两个从1口学过来的,是对端交换机下的两个PC的Mac;
支付宝扫一扫
微信扫一扫
.png)
.png)
