目录 一.什么是VLAN 和VLAN的作用 二.VLAN链路和VLAN接口 三.VLAN的划分 四.VLAN间路由 五.扩展VLAN

一.什么是VLAN 和VLAN的作用   VLAN（Virtual Local Area Network）即虚拟局域网 是将一个物理的局域网在逻辑上划分成多个广播域的技术。 通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

VLAN最主要的作用： 1.限制广播域：实现相同的vlan在同一广播域 2.提高网络安全性：实现不同vlan内的报文在数据传输时是相互隔离的，不同的vlan在二层不能相互影响 3.提高了网络灵活性：用VLAN可以划分不同的用户使用不同的网段，网络构建和维护更方便灵活，便于流量管理

二.VLAN链路和VLAN接口

1.VLAN链路分为两种类型：Access链路和Trunk链路。  

（1）接入链路（Access Link）：连接用户主机和交换机的链路称为接入链路。 （2）干道链路（Trunk Link）：连接交换机和交换机的链路称为干道链路。

补充:PVID表示端口在缺省情况下所属的VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。 缺省情况下，X7系列交换机每个端口的PVID是1。

2.VLAN的三种接口类型：

（1）Access接口： access接口一般用于接入用户主机、服务器等用户终端设备（云平台服务器、虚拟化接入要起trunk）的下联接口，主要是不能识别tag的终端设备。

（2）Trunk接口： trunk接口一般用于连接交换机、路由器、ap等可识别tag的设备，主要作用于级联端口，可以传递不同vlan信息，可属于多个vlan。 Trunk的转发原理： 当Trunk端口收到帧时，如果该帧不包含Tag，将打上端口的PVID（vlan1）；如果该帧包含Tag（vlan20），则不改变。 当Trunk端口发送帧时，该帧的VLAN ID在Trunk的允许发送列表中：若与端口的PVID相同时，则剥离Tag发送（vlan1，本征vlan）；若与端口的PVID不同时，则直接发送（vlan 20，已打tag）。 华为trunk转发原理： 发送  ：先查看是否允许这个vlan是否通过 allow pass （没有允许丢弃）  查看（通过的vlan）是否pvid相同 （不一样携带10转发  一样剥离转发） 接收  ：  没有tag，打上pvid转发  携带（10）标签 查看pvid是否一致 （一样剥离 不一样带标签转发）

（3）Hybrid接口： hybrid接口是混合端口，可以连接用户主机等不识别tag的设备，也可以用于级联等识别tag的设备。（注意：cisco设备不支持此接口） /如果使用hybrid接口，建议所有的接口配置全部用hybrid。即使用access trunk接口，则不使用hybrid/ 入方向：收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入，如果可以则转发，否则丢弃。port hybrid pvid vlan 10 //为进来的数据包打上vlan10标签           出方向：判断该VLAN在本端口的属性，如果是untag则剥离VLAN信息，再发送，如果是tag则比较端口的PVID和将要发送报文的VLAN信息。如果两者相等则剥离VLAN信息，再发送，否则报文将携带原有的VLAN标记进行转发。  port hybrid untagged vlan 10 40 //将接口以untagged方式加入vlan10和vlan40，允许vlan10和vlan40成员脱标签       ---------------就是一个控制作用 tag 就是允许的trunk通过 ----区别：tag放行进入端口的带有该tag的数据包，untag去除掉流出端口的该tag的标签。（方向也是不一样，tag类似trunk、untag类似access但又不同）

三.VLAN的划分

划分包括如下5种方法： 1.基于端口划分：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机的端口处于VLAN1中。此方法配置简单，但是当主机移动位置时，需要重新配置VLAN。 2.基于MAC地址划分：根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。 3.基于IP子网划分：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签。 4.基于协议划分：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。 5.基于策略划分：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都是需要手工配置的。 port-group group-member e0/0/10 to Ethernet 0/0/11--等同于思科的int range 命令，实际上现在5700以上的交换机也支持interface range

四.VLAN间路由

由于在二层vlan间通信被隔离，不同间vlan终端无法直接通信，我们就可以借助三层设备实现在vlan间的通信 1.借助路由器的vlan通信-单臂路由 2.借助三层交换机的vlan通信-在三层交换机直接起vlanif

五.扩展VLAN

1.MUX VLAN（同CISCO-PVLAN技术） 作用是提供了一种在vlan的端口间进行二层流量隔离的机制 MUX VLAN 分为主VLAN 和从VLAN，从VLAN 又分为互通型从VLAN 和隔离型从VLAN。（只能在交换机内部使用） 主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间可以互相通信，隔离型从VLAN内的端口之间不能互相通信，不同从VLAN之间不能互相通信。

 2.QinQ （同CISCO- tunneling技术） 基于802.1 Q封装的隧道协议 报文封装双层VLAN Tag 纯二层运营商（做好之后相当于一个二层互联 但不可以直接做别的二层协议 如果需要运营商做【cdp vtp stp】 需要做透传才可以做）

QinQ优点 （1）解决日益紧缺的公网VLAN ID资源问题 （2）用户可以规划自己的私网VLAN ID （3）提供一种较为简单的二层VPN解决方案 （4）使用户网络具有较高的独立性 根据QinQ的具体实现方式，通常分为如下几类： （1）基于端口的QinQ （2）基于端口的基本QinQ （3）灵活QinQ VLAN Stacking 基于流的灵活QinQ 基于ACL的灵活QinQ

3.Super VLAN 又称VLAN聚合，其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。 Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。 当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址， 通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通 。这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。 Super VLAN只建立三层接口，不包含物理端口，可以看到成是一个逻辑的三层接口，若干sub-VLAN的集合。

4.VLAN-mapping 也叫做VLAN Translation或VLAN映射，它通过替换数据帧中的内外层VLAN Tag来实现用户VLAN与运营商VLAN的相互映射，使用户业务按照运营商的网络规划进行传输。 要想借助VLAN Mapping实现两个VLAN内设备互相通信，这两个VLAN内设备的IP地址还必须处于同一网段。 如果两个VLAN内设备的IP地址不在同一网段，那么设备间的互通需要依赖三层路由实现，这样就失去了VLAN Mapping的意义。