2025年HC110110022 VLAN原理和配置

大家好，我是讯享网，很高兴认识大家。

0x00 汇总

0x01 VLAN技术

随着网络中计算机的数量越来越多，传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。、

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。
在这里插入图片描述
讯享网
VLAN可以隔离广播域，VLAN在做IP地址设计时也应该分配一个独立的子网。

VLAN可以跨越一个交换机，跨越一个机架，跨越一个机房，甚至跨越城市！是一个逻辑存在的LAN！！！

VLAN划分方法

在这里插入图片描述
VLAN范围为0-4095，能使用的范围是0-4094。

生活当中最常用的划分方法是基于接口。

0x02 端口类型-access

在这里插入图片描述
PVID表示端口~~在缺省情况下~~所属的VLAN。

Access端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。
Access端口在转发数据前会移除VLAN Tag。

由于此操作在交换机内部执行，所以看不到对应的添加和拆除Tag的操作，理解即可。
在这里插入图片描述

配置

1.创建VLAN。

[LSW1]vlan 10 [LSW1-vlan10]qu

讯享网

2.检查VLAN
在这里插入图片描述
3.还可以一次性创建多个VLAN。

讯享网[LSW1]vlan batch 3 to 5 7 9

上面的例子代表可以同时创建VLAN3、4、5、7、9一共5个VLAN

4.配置接口

[LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access //调整接口模式为access [LSW1-GigabitEthernet0/0/1]port default vlan 10 //将vlan10配置为PVID

5.检查配置
在这里插入图片描述

0x03 端口类型-Trunk

在这里插入图片描述
当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；如果该帧包含Tag，则不改变。

当Trunk端口发送帧时，该帧的VLAN ID在Trunk的允许发送列表中：若与端口的PVID相同时，则剥离Tag发送；若与端口的PVID不同时，则直接发送。

注意：trunk是有让所有的VLAN通过的能力，但是有多少个VLAN真的能够通过，那就得看你的配置来决定了！

总结如下：如果你的接口只有一个VLAN的流量通过，那么可以使用trunk也可以使用access，通常使用access。如果你的接口有多个VLAN的流量通过，那么就只能使用trunk则不能使用access。

配置

讯享网[LSW1]int g0/0/3 [LSW1-GigabitEthernet0/0/3]port link-type trunk

检查结果
在这里插入图片描述
从上面可以看到已经成为trunk接口了，pvdi是VLAN1，这里要注意，当pvid的VLAN流量通过trunk时，trunk接口是不会给pvid的vlan流量打上tag的。也可以看trunk vlan list里面有1，说明此时只允许vlan1通过，使用下列命令添加允许的VLAN通过。

[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all

检查结果
在这里插入图片描述
这里是允许所有的VLAN通过，大家也可以自行配置。

带有tag的vlan流量

在这里插入图片描述
VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明。

TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。
Priority：3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧。
CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。
VLAN Identifier：VLAN ID，12比特，在X7系列交换机中，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。

0x04 端口类型-Hybrid

在这里插入图片描述
Access端口发往其他设备的报文，都是Untagged数据帧，而Trunk端口仅在一种特定情况下才能发出untagged数据帧，其它情况发出的都是Tagged数据帧。

Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。

华为设备默认的端口类型是Hybrid。

其实也就是用于一些在同一个网段，又希望做到隔离的时候可以使用，比使用vlan间通信技术更加方便更加简洁。

配置

在这里插入图片描述
需求：
四台设备都在同一个网段，但是希望所有的PC都可以和SERVER1通信，但是PC1和PC2及PC3之间不可通信。这里使用hybrid接口完成。
LSW1配置

讯享网[LSW1]vlan batch 10 20 30 //创建VLAN [LSW1]interface g0/0/1 [LSW1-GigabitEthernet0/0/1]port hybrid pvid vlan 10 //接收数据时打上标记vlan10 [LSW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 30 //只拆除vlan10,30标记的流量 [LSW1-GigabitEthernet0/0/1]int g0/0/2 //g0/0/2和g0/0/4接口配置相同 [LSW1-GigabitEthernet0/0/2]port hybrid pvid vlan 20 [LSW1-GigabitEthernet0/0/2]port hybrid untagged vlan 20 30 [LSW1-GigabitEthernet0/0/2]int g0/0/3 //配置交换机互联接口，类似原来的trunk接口的功能。 [LSW1-GigabitEthernet0/0/3]port hybrid tagged vlan 10 20 30 //允许vlan10,20,30通过

LSW2配置

[LSW2]vlan batch 10 20 30 [LSW2]int g0/0/3 [LSW2-GigabitEthernet0/0/3]port hybrid tagged vlan 30 [LSW2]int g0/0/1 [LSW2-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20 30

LSW1检查
在这里插入图片描述
LSW2检查

PC1测试

PC2测试