1. VLAN標(biāo)簽

一般不同VLAN之間是無法通信的，如果想要通信需要借助三層設(shè)備實現(xiàn)，當(dāng)然，VLAN標(biāo)簽技術(shù)也能實現(xiàn)不同VLAN之間的通信。

VLAN標(biāo)簽技術(shù)通過對數(shù)據(jù)流量進(jìn)行打標(biāo)簽來區(qū)分不同VLAN的流量，IEEE 802.1Q協(xié)議規(guī)定以太網(wǎng)數(shù)據(jù)幀中加入4個字節(jié)的VLAN標(biāo)簽（又稱VLAN Tag，簡稱Tag），用以標(biāo)識VLAN信息。通過Tag字段中的標(biāo)識來區(qū)分不同VLAN的流量，也就是說，在一個VLAN的交換網(wǎng)絡(luò)中以太網(wǎng)數(shù)據(jù)幀的形式一般會有以下兩種形式：

有標(biāo)記幀（Tagged Frame）

無標(biāo)記幀（Untagged Frame）

在常見的計算機(jī)設(shè)備，網(wǎng)絡(luò)設(shè)備中：

PC主機(jī)、服務(wù)器、Hub、傻瓜交換機(jī)只能收發(fā)Untagged幀

交換機(jī)、路由器、 AC既能收發(fā)Tagged幀也能收發(fā)Untagged幀

語音終端、AP等設(shè)備可以同時收發(fā)一個Tagged幀和一個Untagged幀

2. 鏈路類型

VLAN網(wǎng)絡(luò)的鏈路分別為接入鏈路和干道鏈路：

接入鏈路（Access Link）：通常是連接用戶主機(jī)和交換機(jī)之間的鏈路，接入鏈路上傳輸?shù)氖遣粠?biāo)簽的VLAN數(shù)據(jù)幀，也就是Untagged幀。

干道鏈路（Trunk Link）：連接交換機(jī)與交換機(jī)之間的鏈路，在干道鏈路上傳輸?shù)囊话愣际菐?biāo)簽的VLAN幀，即Tagged幀。

3. 什么是PVID

PVID英文為Port VLAN ID，代表端口的默認(rèn)VLAN，為什么需要PVID？

接入鏈路一般都是處理不帶標(biāo)簽的Untagged數(shù)據(jù)幀，而干道鏈路都是處理帶標(biāo)簽的tagged數(shù)據(jù)幀，通過在交換機(jī)的端口配置默認(rèn)的VLAN，當(dāng)交換機(jī)的端口收到不帶標(biāo)簽的Untagged數(shù)據(jù)幀時，交換機(jī)將給會加上默認(rèn)VLAN的PVID（即VLAN標(biāo)簽）。

4. 端口類型

學(xué)過思科的同學(xué)知道，思科交換機(jī)的端口只有Access和Trunk兩種類型，華為設(shè)備除了這兩種端口類型外，還有一種Hybrid端口類型。

4.1 Acccess端口

Access端口是接入鏈路上的端口類型，即交換機(jī)連接主機(jī)的端口，該端口只處理唯一默認(rèn)的VLAN數(shù)據(jù)流量（一般是不帶標(biāo)簽）。

Access端口處理數(shù)據(jù)過程如上圖所示，當(dāng)端口收到不帶標(biāo)簽的VLAN幀時則會強制加上PVID。如果是帶標(biāo)簽的數(shù)據(jù)幀則判斷VLAN ID（這里的VLAN ID其實就是PVID）和默認(rèn)的VLAN ID是否相同，如果不相同則丟棄報文，如果相同則接收報文，等待下一步處理。

Access端口在發(fā)送報文時會先剝離VLAN幀的標(biāo)簽，然后再發(fā)送。

4.2 Trunk端口

Trunk端口是Trunk鏈路上的端口，是交換機(jī)與交換機(jī)之間連接的端口，也可以連接路由器，AP等設(shè)備，這意味著Trunk端口可以處理帶標(biāo)簽和不帶標(biāo)簽的數(shù)據(jù)幀。

Trunk端口收到不帶標(biāo)簽的數(shù)據(jù)幀時，會添加該端口的PVID并檢查PVID是否在允許通過的VLAN ID列表中，如果在的話則會接收報文，反之則會丟棄報文。如果接收到的是帶標(biāo)簽的數(shù)據(jù)幀時，會檢查標(biāo)簽中的VLAN ID是否在允許通過的VLAN ID列表中，如果在就接收報文，如果不在就丟棄報文。

Trunk端口在發(fā)送數(shù)據(jù)幀時，會先檢查數(shù)據(jù)幀的VLAN ID是否與端口的PVID是否相同，并且是該端口允許通過的VLAN ID時則去掉標(biāo)簽；如果數(shù)據(jù)幀的VLAN ID與端口的PVID不相同，但是該端口允許通過的VLAN ID的話，則保持原有的標(biāo)簽不變，然后發(fā)送報文。

舉個栗子：

SWA和SWB兩臺交換機(jī)之間的鏈路是Trunk鏈路，并且該鏈路的PVID是1（即默認(rèn)VLAN 1），并且允許所有的VLAN通過。

當(dāng)主機(jī)A發(fā)送數(shù)據(jù)幀時，由于SWA交換機(jī)的Trunk端口給數(shù)據(jù)幀加了PVID1的“標(biāo)簽”，SWA交換機(jī)在處理主機(jī)A的數(shù)據(jù)幀時，檢查PVID和該端口的PVID是相同的，就會剝離標(biāo)簽然后轉(zhuǎn)發(fā)到Trunk鏈路上。

主機(jī)B發(fā)送數(shù)據(jù)時，SWA交換機(jī)的Trunk端口給數(shù)據(jù)幀加上了VPID20的“標(biāo)簽”，SWA交換機(jī)在處理主機(jī)B的數(shù)據(jù)幀時，檢查PVID和該端口的PVID不相同，并且數(shù)據(jù)幀的VLAN ID是端口允許通過的VLAN ID，則會原封不動的轉(zhuǎn)發(fā)到Trunk鏈路上。

4.3 Hybrid端口

Hybrid端口既可以連接接入鏈路又可以連接干道鏈路，還可以在出端口方向?qū)⒛承￢LAN幀的標(biāo)簽剝離，一般華為設(shè)備的端口默認(rèn)就是Hybrid類型。

Hybrid端口在接收報文時同Trunk端口的過程是相同的，但是Hybrid端口在發(fā)送報文的過程時，如果數(shù)據(jù)幀的VLAN ID是該端口允許通過的VLAN ID時則發(fā)送該報文，還能通過配置命令決定發(fā)送報文時是否攜帶標(biāo)簽：

port hybrid tagged vlan vlan-id ：表示當(dāng)前端口發(fā)送該vlan-id的數(shù)據(jù)幀時直接發(fā)送報文，不剝離VLAN標(biāo)簽，該命令通常配置在交換機(jī)連接交換機(jī)的端口上。

port hybrid untagged vlan vlan-id ：表示當(dāng)前端口發(fā)送該vlan-id的數(shù)據(jù)幀時會將VLAN標(biāo)簽先剝離掉再轉(zhuǎn)發(fā)出去，該命令一般配置在交換機(jī)連接主機(jī)上的端口。

我們再來看個栗子：

主機(jī)A和主機(jī)B都能訪問服務(wù)器，但是它們之間不能互相訪問。此時交換機(jī)連接主機(jī)和服務(wù)器的端口，以及交換機(jī)互連的端口都配置為Hybrid類型。交換機(jī)連接主機(jī)A的端口的PVID是2，連接主機(jī)B的端口的PVID是3，連接服務(wù)器的端口的PVID是100。

在SWA和SWB交換機(jī)之間連接的接口上配置port hybrid tagged vlan 2 3 100命令后，這條鏈路上傳輸?shù)木投际菐?biāo)簽的數(shù)據(jù)幀了。

在SWB和服務(wù)器連接的接口上配置port hybrid untagged vlan 2 3命令后，這條鏈路上發(fā)送的數(shù)據(jù)就會剝離VLAN標(biāo)簽再轉(zhuǎn)發(fā)給服務(wù)器。

5. VLAN的劃分

VLAN的劃分有以下幾種方法：

基于端口的劃分

基于MAC地址的劃分

基于IP子網(wǎng)劃分

基于協(xié)議劃分

基于策略劃分

在以上幾種VLAN劃分的方法中，基于策略劃分VLAN最為復(fù)雜，基于端口劃分VLAN在工作中最為常用。其主要是根據(jù)交換機(jī)的端口來劃分，為每個端口配置不同的PVID，將不同的端口劃分到VLAN中，默認(rèn)情況下交換機(jī)的所有端口都劃分在VLAN 1中。

6. VLAN常用命令

vlan10//創(chuàng)建單個VLAN
vlanbatch10to20//創(chuàng)建多個VLAN
portlink-typeaccess/trunk/hybird//配置接口類型
portdefaultvlan10//配置Access關(guān)聯(lián)VLAN/PVID
porttrunkallow-passvlan10//配置Trunk允許VLAN
porttrunkpvidvlan10//配置Trunk的PVID
porthybirdtagged/untaggedvlan10//配置Hybird標(biāo)記VLAN
porthybridpvidvlan10//配置Hybird的PVID
displayvlan//驗證VLAN
displayportvlan//驗證VLAN

審核編輯：劉清