VLAN概念

VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)，由于交換機端口有兩種VLAN屬性，其一是VLANID，其二是VLANTAG，分別對應VLAN對數(shù)據(jù)包設置VLAN標簽和允許通過的VLANTAG（標簽）數(shù)據(jù)包，不同VLANID端口，可以通過相互允許VLANTAG，構(gòu)建VLAN。

一、VLAN基礎

同一個VLAN中的用戶間通信就和在一個局域網(wǎng)內(nèi)一樣，同一個VLAN中的廣播只有VLAN中的 成員才能聽到，而不會傳輸?shù)狡渌腣LAN中去，從而控制不必要的廣播風暴的產(chǎn)生。同時， 若沒有路由，不同VLAN之間不能相互通信，從而提高了不同工作組之間的信息安全性。網(wǎng)絡 管理員可以通過配置VLAN之間的路由來全面管理網(wǎng)絡內(nèi)部不同工作組之間的信息互訪。

1、技術(shù)特點

(1)端口的分隔。即便在同一個交換機上，處于不同VLAN的端口也是不能通信的。這樣一個物理的 交換機 可以當作多個邏輯的交換機使用。

(2)網(wǎng)絡的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改用戶所屬的網(wǎng)絡不必換端口和連線，只更改軟件配置就可以了。

2、TAG和UNTAG

基于端口的VLAN,這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。

IEEE于1999年發(fā)布了用以規(guī)范VLAN實現(xiàn)的IEEE Std 802.1Q標準。 IEEE 802.1Q協(xié)議標準為各種局域網(wǎng)網(wǎng)絡結(jié)構(gòu)定義了VLAN的Tag字段，不同網(wǎng)絡結(jié)構(gòu)中，連接 設備可以通過共同的數(shù)據(jù)特征進行VLAN識別。

對于常見的以太網(wǎng)網(wǎng)絡模型，其主要的報文封裝格式類型有兩種，分別為Ethernet II型和 802.2/802.3型。對于這兩種以太網(wǎng)報文的封裝格式，IEEE 802.1Q協(xié)議標準在數(shù)據(jù)幀首部的目 的MAC地址（DA）和源MAC地址（SA）后定義了VLAN Tag，用以標識VLAN的相關信息。

3、端口的鏈路類型

對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應端口上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。

以太網(wǎng)端口有 3種鏈路類型:access、trunk、General

Access類型端口只能屬于1個VLAN 般用于連接計算機端口；

Trunk類型端口可以允許多個VLAN通過,可以接收和發(fā)送多個VLAN 報文,一般用于交換機之間的連接；

General類型端口可以允許多個VLAN通過，可以接收和發(fā)送多個VLAN 報文，可以用于交換機的間連接也可以用于連接用戶計算機。

General端口和Trunk端口在接收數(shù)據(jù)時處理思路方法是一樣的，唯一區(qū)別的處在于發(fā)送數(shù)據(jù)時:General端口可以允許多個VLAN報文發(fā)送時不打標簽，而Trunk端口只允許缺省VLAN報文發(fā)送時不打標簽。

缺省VLAN( PVID）:

Access端口只屬于1個VLAN 所以它缺省VLAN就是它所在VLAN不用設置；

General端口和 Trunk端口屬于多個VLAN，所以需要設置缺省VLAN ID。缺省情況下 Hybrid端口和Trunk端口缺省VLAN為VLAN 1；

如果設置了端口缺省VLAN ID當端口接收到不帶VLAN Tag報文后則將報文轉(zhuǎn)發(fā)到屬于缺省VLAN的端口；當端口發(fā)送帶有VLAN Tag報文時，如果該報文 VLAN ID和端口缺省VLAN ID相同，則系統(tǒng)將去掉報文VLAN Tag，然后再發(fā)送該報文。

交換機接口出入數(shù)據(jù)處理過程:

Acess端口收報文:收到個報文判斷是否有VLAN信息:如果沒有則打上端口 PVID并進行交換、轉(zhuǎn)發(fā)，如果有則直接丟棄(缺省) Acess端口發(fā)報文:將報文VLAN信息剝離直接發(fā)送出去

trunk端口收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上端口 PVID 并進行交換轉(zhuǎn)發(fā)，如果有判斷VLAND ID是否在該trunk的允許范圍內(nèi)，如果在范圍內(nèi)則轉(zhuǎn)發(fā)，否則丟棄

trunk端口發(fā)報文:比較端口PVID和將要發(fā)送報文VLAN信息如果兩者相等則剝離VLAN信息再發(fā)送，如果不相等則直接發(fā)送

General端口收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上端口 PVID 并進行交換轉(zhuǎn)發(fā)。如果有則判斷該General端口是否允許該VLAN數(shù)據(jù)進入:如果可以則轉(zhuǎn)發(fā)，否則丟棄(此時端口上untag配置是不用考慮，untag配置只對發(fā)送報文時起作用)

General端口發(fā)報文:

1）判斷該VLAN在本端口屬性

2）如果是untag,則剝離VLAN信息再發(fā)送;如果是tag,則直接發(fā)送.

二、如何劃分VLAN

以TP-LINK SL3226為例，需求：學校宿舍無線網(wǎng)，某樓層有一臺二層網(wǎng)管接入交換機，帶了20臺面板AP.需要接入網(wǎng)絡，管理地址為192.168.200.110.管理VLAN為4000，端口VLAN為110，和核心交換機級聯(lián)VLAN為204.控制器控制VLAN為1000

簡介：TP-LINK SL3226為24口百兆交換機，兩個上聯(lián)口25.26為千兆口。

1、登陸交換機管理界面（配置電腦網(wǎng)線暫時插在24口上）

選擇VLAN

2、端口類型配置

選擇端口號1-24端口，選擇端口類型GENERAL,缺省VLAN為1，稍后再更改

同樣配置25，26上聯(lián)口，端口類型TRUNK