一、虚拟局域网VLAN（Virtual Local Area Network）

1、广播/广播域

2、广播的危害：

3、如何控制广播？？

4、VLAN概述与优势

5、一个VLAN = 一个广播域 = 一个网段， VLAN是二层技术

一、虚拟局域网VLAN（Virtual Local Area Network）

回顾：

ARP协议只能在同一网段工作（为什么？因为路由器不转发arp报文）
为什么ARP报文只能在内网工作，出不去（因为你要想出本网段一定要经过路由器，路由器转发数据的依据是路由表，而路由表检查你要去哪里？arp并不能告诉自己要去哪里，只有IP报文才能告诉路由器我要群里，所以ARP报文永远出不了局域网，所以arp攻击只能攻击内网）

1、广播/广播域

广播：将广播地址作为目的地址的数据帧
广播域：网络中能接收到同一个广播所有节点的集合（就是广播的范围）
广播域越小越好

2、广播的危害：

增加网络/终端（PC）的负担，传播病毒，安全性

3、如何控制广播？？

控制广播=隔离广播域
路由器隔离广播（物理隔离广播）

路由器隔离广播缺点：成本高、不灵活

采用新的技术VLAN来控制广播
VLAN技术是在交换机（要买管理型交换机）上实现的，且是通过逻辑隔离划分的广播域（VLAN是技术，不需要添加新设备）

比喻：相当于带了一个隔音效果很好的耳麦，虽然在一个屋子里，但是只有频段一样的人才能互相通信
大家逻辑的隔离了，物理上都没有离开这个房间，摘掉耳麦还在一个局域网。既然是逻辑上的隔离就可以任意的去改变
只要把频段改一下就行。

VLAN里面也有VLAN ID（相当于上面那个例子中耳麦的频段）
VLAN技术就是可以把一个物理局域网逻辑的隔离成几个虚拟的局域网
不同的VLAN ID之间是不能通信的，创建VLAN ID的目的就是创建“频段”

VLAN是干什么的？控制广播，逻辑隔离广播域。

vlan是一个二层技术，不需要ip地址的介入，是端口和vlan的关系

4、VLAN概述与优势

5、一个VLAN = 一个广播域 = 一个网段， VLAN是二层技术

6、VLAN的类型：

①静态VLAN（百分之八九十的公司在使用静态VLAN,还有百分之十在使用动态）
*手工配置
*基于端口划分的vlan

②动态VLAN

*手工配置
*基于MAC地址划分的VLAN//参用802.1x端口认证，基于账号来划分VLAN

7、静态VLAN命令：

1）创建VLAN：

conf t
vlan ID,ID,ID-ID 【每一个ID代表一个虚拟局域网，逗号代表不连续创建，横杆代表连续创建】vlan后面的ID没有顺序之分
[name 自定义名称] ---》[ ]代表可选，name是给人看的
exit

2）查看VLAN表：

show vlan brief

3）将不同的端口加入到不同的VLAN：

int f0/x（接口配置模式）
switchport access vlan ID（将该交换机端口加入到某个VLAN）
exit

验证一下：do show vlan brief

在PC1上ping PC2，发现虽然在同一个网段，但是不能通信

没配置vlan时，默认在vlan1里面

交换机收到一个帧之后第一步先看vlan表

每台交换机上都要手工配置vlan

F0/10和F0/9没有划分vlan

PC1和PC4即便在同一个VLAN也不能通信（根本原因就是出现了跨交换机的情况）

怎么解决？

方法1、在交换机之间连一根线，将这根线连接的接口各自放到vlan10，再在交换机之间连一根线，将这根线连接的接口各自放到vlan20（麻烦）

方法2、连接交换机的两个接口设置为不属于任何vlan（不属于vlan1、10、20），变成公共端口（专业术语叫中继端口，英文：trunk[其他不属于trunk端口的就叫接入端口]），这时候就允许所有vlan从我这过
现在右边的那台交换机通过公共链路收到两个帧，怎么判断这个数据帧是哪个虚拟世界的？
交换机在帧上做一个“标签”来区分不同的vlan，这个标签叫vlan标签（看下图），交换机加的“标签”，另外一台交换机将“标签”取下【必须配上trunk之后才认识这种标签】

考题：我们在两台交换机上配置了trunk之后就实现了不同vlan之间的通信，对吗？
trunk只是解决了跨交换机时相同vlan之间通信的问题