Vlan的作用（Vlan工作于OSI參考模型的第二層）

Vlan（Virtual Local Area Network）虛擬局域網(wǎng)，將一個(gè)物理的LAN在邏輯上劃分為多個(gè)廣播域，在交換機(jī)上實(shí)現(xiàn)廣播域隔離（增強(qiáng)局域網(wǎng)的安全性、限制廣播風(fēng)暴、簡(jiǎn)化網(wǎng)絡(luò)管理）

Vlan實(shí)現(xiàn)廣播域隔離的原理——Vlan標(biāo)簽又稱為tag

Vlan通過(guò)將二層數(shù)據(jù)幀打上Vlan標(biāo)簽（打上Vlan標(biāo)簽也就是封裝Vlan），正常情況下，不同Vlan Tag的數(shù)據(jù)包是無(wú)法二層直接互訪的，以此來(lái)實(shí)現(xiàn)廣播域的隔離

可以理解為一個(gè)Vlan對(duì)應(yīng)一個(gè)廣播域，同一Vlan內(nèi)的主機(jī)可以二層直接通信，不同Vlan間的主機(jī)無(wú)法二層直接通信

Vlan生成方式

靜態(tài)Vlan ：交換機(jī)上的端口以手動(dòng)方式分配給Vlan（常用方式）

動(dòng)態(tài)Vlan ：配置VMPS服務(wù)器，可以根據(jù)連接到交換機(jī)端口的設(shè)備的源MAC地址，動(dòng)態(tài)將端口分配給Vlan（即將MAC地址與Vlan綁定）

語(yǔ)音Vlan ：將端口配置到語(yǔ)音模式，可以使端口支持連接到該端口的IP電話

Vlan的封裝模式

Vlan有兩種封裝模式，一種是ISL協(xié)議（思科私有的協(xié)議），一種是802.1Q（業(yè)界標(biāo)準(zhǔn)協(xié)議）

兩者能夠執(zhí)行相同的任務(wù)，只是兩者的幀格式不一樣

ISL協(xié)議

ISL 協(xié)議成為交換鏈路內(nèi)協(xié)議，是通過(guò)使用ISL協(xié)議頭和協(xié)議尾封裝整個(gè)第2層的以太幀實(shí)現(xiàn)Vlan封裝的；正因?yàn)榇耍琁SL 被認(rèn)為是一種能在交換機(jī)間傳送第2層任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議（即 不僅可以為以太網(wǎng)數(shù)據(jù)幀打Vlan標(biāo)簽，還可以對(duì)ATM等數(shù)據(jù)幀打Vlan標(biāo)簽）

CRC表示循環(huán)冗余校算法，F(xiàn)EC表示幀校驗(yàn)序列（存放通過(guò)CRC校驗(yàn)得到的值 32位，4字節(jié)）

DA：40位的目的地址，該地址是一個(gè)多播地址

為0x01-00-0C-00-00或0x03-00-0c-00-00（用于告訴對(duì)端此數(shù)據(jù)包采用ISL格式）

Type：幀類型，代表被封裝的幀的類型

User：用戶自定義的（默認(rèn)為0000）

對(duì)于以太網(wǎng)數(shù)據(jù)幀而言，低二位代表數(shù)據(jù)包的優(yōu)先級(jí)

SA：源地址

是ISL數(shù)據(jù)包的源地址，應(yīng)設(shè)置為傳輸幀的交換機(jī)端口的 MAC地址（接收設(shè)備可能忽略幀的SA字段）

LEN：長(zhǎng)度

存儲(chǔ)原始數(shù)據(jù)包的實(shí)際大小，不包括DA、TYPE、USER、SA、LEN、FCS字段，總共18字節(jié)

所以LEN字段的值+18字節(jié)就是數(shù)據(jù)包的總長(zhǎng)度

AAAA03（SNAP）：子網(wǎng)訪問(wèn)協(xié)議SNAP和邏輯鏈路控制LLC

AAAA03字段為一個(gè)24位的常量值0xAAAA03

HSA：源地址的高位，可以知道交換機(jī)設(shè)備制造商

24位值，表示SA字段的前3個(gè)地址，必須包含值0x00-00-0C（思科私有協(xié)議）

Vlan：目標(biāo)虛擬 LAN ID

數(shù)據(jù)包的Vlan，用于區(qū)分不同Vlan上的幀；是一個(gè)15位的值

BPDU：與STP聯(lián)動(dòng)

INDX：索引

顯示數(shù)據(jù)包送出交換機(jī)時(shí)的源端口索引，只用于診斷目的

接收時(shí)會(huì)忽略

RES：保留用于令牌環(huán)和FDDI

802.1Q協(xié)議

IEEE802.1Q協(xié)議規(guī)定，通過(guò)在以太網(wǎng)幀的源目的MAC字段之后、協(xié)議類型之前加入4字節(jié)的802.1Q Tag實(shí)現(xiàn)Vlan封裝的

由于以太網(wǎng)數(shù)據(jù)幀發(fā)生了變化，所以設(shè)備在進(jìn)行數(shù)據(jù)幀發(fā)送時(shí)會(huì)對(duì)發(fā)送的數(shù)據(jù)幀重新計(jì)算FCS

由于抓包軟件的問(wèn)題，封裝順序不明顯；實(shí)際的Tag封裝在源MAC和Type之間的

Type：標(biāo)識(shí)上層協(xié)議類型（0x0800標(biāo)識(shí)上層協(xié)議為IPv4）

PRI：表示數(shù)據(jù)幀的優(yōu)先級(jí)

DEI：標(biāo)識(shí)MAC地址的格式（0表示為規(guī)范格式）

VlD：Vlan標(biāo)識(shí)符（0表示沒(méi)有Vlan標(biāo)簽，但是設(shè)置了以太網(wǎng)幀的優(yōu)先級(jí)，一般在QOS中出現(xiàn)）

注意事項(xiàng)

一個(gè)端口可以屬于多個(gè)Vlan，但是只有一個(gè)PVID（PVID是華為的叫法，思科的叫法為本幀Vlan）

PVID：端口的Vlan ID號(hào)

二層接口類型

接口接收?qǐng)?bào)文的方向指的是報(bào)文從接口進(jìn)入交換機(jī)的方向

接口發(fā)送報(bào)文的方向指的是報(bào)文從交換機(jī)通過(guò)接口發(fā)送出去的方向

二層Vlan接口可以分為三種接口模式

Access接口：一般用于PC和交換機(jī)相連接口

Trunk接口：一般用于交換機(jī)之間互聯(lián)接口、交換機(jī)單臂路由場(chǎng)景下與路由器連接的端口

Hybrid接口：根據(jù)實(shí)際需求使用（一般不用此接口）

注意事項(xiàng)

PC和路由器的物理接口無(wú)法接收帶標(biāo)簽的數(shù)據(jù)包

Mac地址表也會(huì)有vlan信息（轉(zhuǎn)發(fā)時(shí)也要看目的MAC和vlan tag的信息）

路由器的虛擬接口（物理子接口）只接收帶對(duì)應(yīng)Vlan標(biāo)簽的數(shù)據(jù)包

Access接口

在配置時(shí)只能配置PVID（華為說(shuō)法，思科說(shuō)法為本幀Vlan）

特點(diǎn)：只可以發(fā)送一個(gè)UnTag的幀

接口接收幀時(shí)處理動(dòng)作

接口收到帶Tag幀，如果該Tag與PVID一致則允許其進(jìn)入交換機(jī)內(nèi)部；如果該Tag與PVID不一致則丟棄

接口收到帶UnTag幀；允許其進(jìn)入交換機(jī)內(nèi)部，并打上PVID

接口發(fā)送幀時(shí)處理動(dòng)作

如果要發(fā)送的此幀帶Tag，并且該Tag與PVID一致時(shí)，剝離掉此Tag，并允許此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去；如果該Tag與PVID不一致，則禁止此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

如果要發(fā)送的此幀為UnTag，無(wú)此情況（進(jìn)入到二層交換機(jī)的幀都帶tag，默認(rèn)tag1）

Trunk接口

在配置時(shí)可以配置接口所屬Vlan（允許通過(guò)的Vlan），也可以配置PVID

特點(diǎn)：****只允許所屬Vlan進(jìn)入交換機(jī)和發(fā)出交換機(jī)

允許多個(gè)帶Tag的幀從交換機(jī)發(fā)出，只允許一個(gè)Untag的幀從交換機(jī)發(fā)出

接口接收幀時(shí)處理動(dòng)作

接口收到帶Tag幀，如果此Tag在接口所屬Vlan中則允許其進(jìn)入交換機(jī)內(nèi)部；如果此Tag不在接口所屬Vlan中則丟棄（無(wú)論Tag是否與PVID相同，只要此Tag不在允許通過(guò)的Vlan中都丟棄）

接口收到帶UnTag幀，當(dāng)PVID在接口所屬Vlan中時(shí)，允許其進(jìn)入交換機(jī)內(nèi)部，并打上PVID；當(dāng)PVID不在接口所屬Vlan中時(shí)則丟棄

接口發(fā)送幀時(shí)處理動(dòng)作

要發(fā)送的此幀帶Tag，此Tag不在接口所屬Vlan中，則禁止此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

要發(fā)送的此幀帶Tag，此Tag在接口所屬Vlan中，并且該Tag與PVID一致，則剝離此Tag標(biāo)簽，并允許此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去；此Tag在接口所屬Vlan中，并且該Tag與PVID不一致，則允許此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

如果要發(fā)送的此幀為UnTag，無(wú)此情況（進(jìn)入到二層交換機(jī)的幀都帶tag，默認(rèn)tag1）

Hybrid接口

可以配置PVID，也可以配置接口所屬Vlan（包括Untag Vlan ID列表和Tag Vlan ID列表）

特點(diǎn)：只允許所屬Vlan進(jìn)入交換機(jī)和發(fā)出交換機(jī)

允許多個(gè)帶Tag的幀從交換機(jī)發(fā)出，允許多個(gè)Untag的幀從交換機(jī)發(fā)出

接口接收幀時(shí)處理動(dòng)作

同Trunk接口接收幀時(shí)的處理動(dòng)作，只不過(guò)接口所屬Vlan范圍擴(kuò)大了，只要在Untag Vlan ID列表或Tag Vlan ID列表中的任意一個(gè)都可以

接口收到帶Tag幀，如果此Tag在接口所屬Vlan中；則允許其進(jìn)入交換機(jī)內(nèi)部

接口收到帶Tag幀，如果此Tag不在接口所屬Vlan中；則丟棄（無(wú)論Tag是否與PVID相同，只要此Tag不在允許通過(guò)的Vlan中都丟棄）

接口收到帶UnTag幀，當(dāng)PVID在接口所屬Vlan中時(shí)，允許其進(jìn)入交換機(jī)內(nèi)部，并打上PVID；當(dāng)PVID不在接口所屬Vlan中時(shí)則丟棄

接口發(fā)送幀時(shí)處理動(dòng)作

要發(fā)送的此幀帶Tag，此Tag不在接口所屬Vlan中，則禁止此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

要發(fā)送的此幀帶Tag，此Tag在接口所屬Vlan中，如果是在Untag Vlan ID列表中時(shí)，則剝離此Tag標(biāo)簽，并允許此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

要發(fā)送的此幀帶Tag，此Tag在接口所屬Vlan中，如果是在Tag Vlan ID列表中，則允許此幀從交換機(jī)內(nèi)部通過(guò)此接口發(fā)送出去

如果要發(fā)送的此幀為UnTag，無(wú)此情況（進(jìn)入到二層交換機(jī)的幀都帶tag，默認(rèn)tag1）

不同Vlan之間的通信

一般來(lái)說(shuō)，不同的Vlan為不同的網(wǎng)段，如果為不同網(wǎng)段不同Vlan下的通信，實(shí)現(xiàn)方式有以下三種

1、在交換機(jī)上配置三層Vlan接口（也就是Vlanif接口--是一個(gè)虛擬接口，與Vlan對(duì)應(yīng)）

2、通過(guò)單臂路由實(shí)現(xiàn)，交換機(jī)只需要為二層交換機(jī)（通過(guò)在路由器上的某個(gè)物理接口創(chuàng)建多個(gè)虛擬的子接口，每個(gè)子接口都有對(duì)應(yīng)的Vlan編號(hào)，該接口只能接受對(duì)應(yīng)Vlan編號(hào)的數(shù)據(jù)）

3、為每一個(gè)Vlan使用一根網(wǎng)線來(lái)完成通信（不推薦）

如果不同的Vlan為相同網(wǎng)段，可以通過(guò)修改二層端口的接口類型來(lái)實(shí)現(xiàn)互通。

審核編輯：劉清