VLAN超详细讲解

一：一些模型

二：mac地址的认识

1.单播mac地址:用于唯一标识一台设备的某个接口，第一个字节的最低比特位为02.

组播mac地址：标识了一组设备，这种mac地址的第一个字节的最低比特位为1

3.广播mac地址的所有比特位全为1

注意：只有单播mac地址才能够被分配给以一个一台接口，组播或广播mac地址是不能被分配给任何一个以太网接口的，换句话说，这两种类型的mac地址不能作为数据帧的源mac地址，而只能作为目的mac地址

三：以太网数据帧

四： VLAN的接口和链路类型和转发原理以及优点

1.链路类型：

①：接入链路：access连理

②：干道链路：trunk链路

2.接口类型：

①： Access接口

Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同

VLAN成员时使用。它只能收发 Untagged帧且只能为 Untagged帧添加唯一VLAN的Tag。

②：trunk接口

Trunk接口一般用于连接交换机、路由器、AP以及可同时收发 Tagged帧和 Untagged帧的语音终端

它可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。

③：Hybrid接口

Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等)和网络设备(如Hub,

傻瓜交换机),也可以用于连接交换机、路由器以及可同时收发 Tagged帧和 Untagged帧的语音终端、AP

④：QinQ接口

QinQ(802.1Q-in-802.1Q)接口是使用QinQ协议的接口,一般用于私网与公网之间的连接。它可以给帧加上双层Tag,即在原来Tag的基础上,给帧加上一个新的Tag,从而可以支持多达4094×4094个VLAN满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag,用来标识公网的VLAN;内层Tag通常被称作私网Tag,用来标识私网的VLAN。

3.转发原理

扫描二维码关注公众号，回复： 12978927 查看本文章

4.优点：

VLAN技术是二层交换领域中非常重要也是非常基础的技术，它能给网络带来诸多利好，例如:

1. ·隔绝广播:当交换机部署VLAN后，广播数据的泛洪被限制在 VLAN内。利用VLAN技术可以将网络从原来的一个大的广播域切割成多个较小的广播域，从而减少了泛洪带来的带宽资源及设备性能的损耗。

2. ·提高网络组建的灵活度:VLAN技术使得网络设计和部署更加灵活。同一个工作组的用户不再需要局限在同一个地理位置。

3. ·提高网络的可管理性:通过将不同的业务规划到不同的VLAN，并且分配不同的IP网段，从而将每个业务划分成独立的单元，极大地方便了网络管理和维护。

4. ·提高网络的安全性:利用VLAN技术可以将不同的业务进行二层隔离。由于不同VLAN之间相互隔离，因此当一个VLAN发生故障，例如某个VLAN内发生ARP欺骗行为，不会影响到其他 VLAN。

5.交换机与路由器相连的情况

如果此时路由器没有子接口，那么我们将该路由器与该交换机的链路设置为access，但是如果路由器配置了子接口，那么此时我们就要配置为trunk或者Hybrid链路，两者的区别就是子接口需要处理带tag的帧

6.VLAN的种类

转存失败重新上传取消

7.一些基本配置

1.配置VlAN内与VLAN间Proxy ARP

①.VLAN内：

当VLAN内配置了端口隔离时，属于相同VLAN的用户间无法实现互通。在关联了VLAN的接口上使能VLAN内Proxy ARP功能，可以实现用户间三层互通。

//配置命令行c interface vlanif 10 //进入接口视图 arp-proxy inner-sub-vlan-procy enable //使能VLAN内Proxy ARP

 

②.VLAN间：

当属于同一网段但属于不同VLAN的用户间要实现三层互通时，可以在关联了VLAN的接口上使能VLAN间Proxy ARP功能。例如在Super-VLAN对应的VLANIF接口上使能VLAN间Proxy ARP功能，实现Sub-VLAN间用户互通。

//配置命令行c interface vlanif 10 //进入接口视图 arp-proxy inter-sub-vlan-procy enable //使能VLAN内Proxy ARP

2.配置基于ip地址划分的vlan

 

在 Switch 上配置 VLAN100与 IP 地址 192.168.1.2 关联，优先级为 2。

[Quidway] vlan 100

[Quidway-vlan100] ip-subnet-vlan 100 ip 192.168.1.2 24 priority 2

//执行该命令，用于将192.168.1.2 24这个ip网段与vlan 100 进行关联，使得该网段发出的报文能够在vlan100内传输

[Quidway-vlan100] quit

[Quidway-GigabitEtherner0/0/0] ip-subnet-vlan enable

//该命令用于激活基于ip地址划分vlan的功能，该命令只能用于Hybrid类型的接口上应用

 

3.一定要注意在交换机上创建对应的vlan，如果不创建对应的vlan，就会导致携带有该vlan id的帧在交换机上不能进行转发

 

8.MUX VLAN

1.背景：

MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。

例如，在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。

为了实现所有用户都可访问企业服务器，可通过配置VLAN间通信实现。如果企业规模很大，拥有大量的用户，那么就要为不能互相访问的用户都分配VLAN，这不但需要耗费大量的VLAN ID，还增加了网络管理者的工作量同时也增加了维护量。

通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流，而企业客户之间是隔离的。

2.基本概念：

MUX VLAN分为主VLAN和从VLAN，从VLAN又分为隔离型从VLAN和互通型从VLAN

①：主vlan

主VLAN（Principal VLAN）：Principal port可以和MUX VLAN内的所有接口进行通信。

②：从vlan

1）隔离型从VLAN（Separate VLAN）：Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个隔离型从VLAN必须绑定一个主VLAN。

2）互通型从VLAN（Group VLAN）：Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。

每个互通型从VLAN必须绑定一个主VLAN。

3.配置：

①：注意事项：

• 如果指定VLAN已经用于主VLAN或从VLAN，那么该VLAN不能再用于创建VLANIF接口，或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

• 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。

• 不能在同一接口上配置MUX VLAN和接口安全功能。

• 不能在同一接口上配置MUX VLAN和MAC认证功能。

• 不能在同一接口上配置MUX VLAN和802.1x认证功能。

• 当同时配置DHCP Snooping和MUX VLAN时，如果DHCP Server在MUX VLAN的从VLAN侧，而DHCP Client在主VLAN侧，则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。

• 接口使能MUX VLAN功能后，该接口不可再配置VLAN Mapping、VLAN Stacking。

②：配置命令

<SW>dis current-configuration

#

sysname SW

#

vlan batch 10 20 30

#

vlan 10

mux-vlan //配置vlan10位 MUX valn

subordinate separate 30 //配置隔离型从VLAN

subordinate group 20 //配置互通型从VLAN

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 20

port mux-vlan enable //使能接口的MUX VLAN功能。

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

port mux-vlan enable

#

③：注意事项

注意：ensp模拟器上暂时不支持port mux-vlan enable vlan 3，该命令。当mux vlan跨设备是，需要在交换机互联接口trunk上配置，port mux-vlan enable vlan 3 。开启trunk上的mux vlan。一般部署在汇聚层。

上面的实验中，不能配置这条命令。所以跨设备的隔离vlan也是可以通信的。例如PC3和PC7可以通信。

9.VLAN聚合

1.概述：

VLAN聚合（VLAN Aggregation，也称Super VLAN）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关。

通过引入Super-VLAN和Sub-VLAN的概念，使每个Sub-VLAN对应一个广播域，并让多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP子网，所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。

这样，多个Sub-VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，从而即保证了各个Sub-VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。

2.原理：

VLAN聚合通过定义Super-VLAN和Sub-VLAN，使Sub-VLAN只包含物理接口，负责保留各自独立的广播域；Super-VLAN不包含物理接口，只用来建立三层VLANIF接口。然后再通过建立Super-VLAN和Sub-VLAN间的映射关系，把三层VLANIF接口和物理接口两部分有机的结合起来，实现所有Sub-VLAN共用一个网关与外部网络通信，并用ARP Proxy实现Sub-VLAN间的三层通信，从而在实现普通VLAN的隔离广播域的同时，达到节省IP地址的目的。

• Sub-VLAN：只包含物理接口，不能建立三层VLANIF接口，用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。

• Super-VLAN：只建立三层VLANIF接口，不包含物理接口，与子网网关对应。与普通VLAN不同的是，它的VLANIF接口的Up不依赖于自身物理接口的Up，而是只要它所含Sub-VLAN中存在Up的物理接口就Up。

一个Super-VLAN可以包含一个或多个Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN，它的IP地址都在Super-VLAN对应的子网网段内。

3.sun-vlan之间的通信

VLAN聚合在实现不同VLAN共用同一子网网段地址的同时，也给Sub-VLAN间的三层转发带来了问题。普通VLAN中，不同VLAN内的主机可以通过各自不同的网关进行三层互通。但是Super-VLAN中，所有Sub-VLAN内的主机使用的是同一个网段的地址，共用同一个网关地址，主机只会做二层转发，而不会送网关进行三层转发。即实际上，不同Sub-VLAN的主机在二层是相互隔离的，这就造成了Sub-VLAN间无法通信的问题。

解决这一问题的方法就是使用Proxy ARP。

4.配置：

①：注意事项：

• VLAN1不能配置为Super-VLAN。

• 配置某VLAN为Super-VLAN后，该VLAN类型改变为super，不允许任何物理接口加入该VLAN。

• 流策略只有在Super-vlan的所有Sub-vlan下配置才能生效，在Super-vlan下配置不生效。

• 配置某个VLAN为子接口的终结VLAN后，该VLAN不能再配置为Super-VLAN或Sub-VLAN。

• Super-VLAN对应的VLANIF接口配置IP地址后Proxy ARP才能生效。

②：命令：

[SW]dis current-configuration

#

sysname SW

#

vlan batch 10 20 100

//批量创建VLAN

#

vlan 100

aggregate-vlan//创建聚合VLAN

access-vlan 10 20//将valn10 20 添加进聚合和VLAN

#

interface Vlanif100

ip address 10.0.100.254 255.255.255.0

arp-proxy inter-sub-vlan-proxy enable

//开启VLAN间ARP代理，实现VLAN间通信

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#