VLAN特性

Vlan基本配置一、实验目的和要求掌握交换机和vlan的工作原理；学习配置交换机基本配置和命令；学习配置vlan命令和步骤；掌握vtp的概念和基本设置；在模拟环境下掌握对交换机的端口进行配置。

二、实验原理交换机: 工作在数据链路层，使用MAC地址，完成对帧的操作。

配置交换机的IP地主要是为了管理用，配置的交换机IP地址实际是VALN的IP。

VLAN作用：交换机通过VLAN设置，可以将一个局域网划分成多个逻辑网络，从而达到隔离广播域。

VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。

VLAN具备一个物理网段所具备的特性。

相同的VLAN内的主机可以互相直接访问，不同的VLAN间的主机互相访问必须经由路由设备进行转发。

广播数据包只可以再本VLAN内进行传播，不能传输到其他VLAN中。

一个VLAN一个广播域，不同VLAN的主机间访问，相当于网络间的访问，要通过路由实现。

VLAN中继协议，VTP，VLAN TRUNKING PROTOCOL，是CISCO专用协议，大多数交换机都支持该协议。

VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。

有了VTP，就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。

VTP域，也称为VLAN管理域，由一个以上共享VTP域名的相互接连的交换机组成。

交换机缺省VTP域名为空。

VTP信息只能在VTP域内保持。

一台交换机可属于并且只属于一个VTP域。

VTP模式有3种，分别是：>服务器模式（SERVER缺省）VTP服务器控制着它们所在域中VALN的生成和修改．所有的VTP信息都被通告在本域中的其他交换机，而且，所有这些VTP信息都是被其他交换机同步接收的。

>客户机模式（CLIENT）VTP客户机不允许管理员创建、修改或删除VLAN。

它们监听本域中其他交换机的VTP通告，并相应修改它们的VTP配置情况。

Vlan 种类总结一、Standard VLAN业务1、Standard VLAN通过把不同的端口划分到不同的VLAN，可以实现用户二层隔离；把不同的端口划分到在同一VLAN可以实现二层互通。

2、目前版本不支持Standard VLAN增加业务虚端口。

二、Smart VLAN 业务1、SmartVLAN通过添加多个下行端口以及一个或多个上行端口，由系统自动创建上行端口和下行端口内部映射关系，实现用户之间二层报文的隔离。

三、Mux VLAN 业务1、MUX VLAN只能添加一个业务端口但是可以添加多个上行端口，用于需要用VLAN来区分用户的场合四、Super VLAN 业务1、SuperVLan是一个虚拟的三层接口。

它可以添加多个SubVlan，并且这些SubVlan共享一个三层接口，从而达到节省IP网段的目的。

2、SubVlan是SuperVLAN的子VLAN。

SmartVLAN、MUXVLAN 或者标准VLAN都可以加入到SuperVLAN作为SubVLAN，但前提是该VLAN必须是已经创建好的VLAN。

五、QinQ VLAN业务1、QinQ VLAN特性主要是为了满足私网VLAN和业务能直接透明传输到对端。

2、MA5600接收到底层带私网VLAN（Customer VLAN ）的报文后，在该报文上再打上一层SP VLAN（Service Provider VLAN 服务提供商），这样MA5600只要创建一个QinQ VLAN，就可以把私网VLAN 直接透明传输到对端，大大节省了公网VLAN ID资源。

3、QinQ VLAN是VLAN的一种属性，只需要在创建VLAN后指明其属性为QinQ 即可。

六、VLAN Stacking业务1、VLAN Stacking特性通过给用户报文打上两层标签来实现报文选路和标识用户的功能。

2、MA5600接收到底层不带VLAN的报文后，在该报文上打上两层VLAN（SP VLAN＋Customer VLAN）后转发出去。

pvlan与vlan的区别虚拟局域网（ＶＬＡＮ）是驻地网必须具备的特性之一。

目前普遍应用的８０２．１ｑ，主要是针对企业应用设置的，起到网段隔离和多址联播的作用。

如果用在驻地网上，便可能破坏多址联播特性，引起网络运行效率的降低。

例如１０个用户同时点播一个视频节目，视频服务器要响应１０次请求，在网络骨干层要传输１０次，造成大量的带宽消耗。

如果用户数目多到一定程度，整个网络便有可能瘫痪。

思科的ＰＶＬＡＮ技术有效解决了这一问题，在一组端口发出请求时，骨干层只传输一次，再分到每个端口，因此大大提高了网络的运行效率。

IDC环境是一个典型的多客户的服务器群结构，每个托管客户从一个公共的数据中心中的一系列服务器上提供Web服务。

这样，属于不同客户的服务器之间的安全就显得至关重要。

一个保证托管客户之间安全的通用方法就是给每个客户分配一个VLAN和相关的IP子网。

通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。

这些局限主要有以下几方面：• VLAN的限制：LAN交换机固有的VLAN数目的限制• 复杂的STP：对于每个VLAN，一个相关的Spanning-tree的拓扑都需要管理• IP地址的紧缺：IP子网的划分势必造成一些地址的浪费• 路由的限制：如果使用HSRP，每个子网都需相应的缺省网关的配置在一个IDC中，流量的流向几乎都是在服务器与客户之间，而服务器间的横向的通信几乎没有。

Cisco在IP地址管理方案中引入了一种新的VLAN机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。

这一新的VLAN特性就是专用VLAN （private VLAN，pVLAN）。

这种特性是Cisco公司的专有技术，但特别适用于IDC。

专用VLAN是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。

VLAN 详解一、 Vlan 基础知识二、 Vlan 应用三、 Vlan 配置实例介绍定义VLAN （ Virtual Local Area Network ）即虚拟局域网，是将一个物理的 LAN 在逻辑上划分成多个广播域（多个 VLAN ）的通信技术。

VLAN 内的主机间可以直接通信，而 VLAN 间不能直接互通，从而将广播报文限制在一个 VLAN 内。

由于 VLAN间不能直接互访，因此提高了网络安全性。

目的早期的局域网 LAN 技术是基于总线型结构，它存在以下主要问题：∙若某时刻有多个节点同时试图发送消息，那么它们将产生冲突。

∙从任意节点发出的消息都会被发送到其他节点，形成广播。

∙所有主机共享一条传输通道，无法控制网络中的信息安全。

这种网络构成了一个冲突域，网络中计算机数量越多冲突越严重，网络效率越低。

同时，该网络也是一个广播域，当网络中发送信息的计算机数量越多时，广播流量将会耗费大量带宽。

因此，传统网络不仅面临冲突域和广播域两大难题，而且无法保障传输信息的安全。

为了扩展传统 LAN ，以接入更多计算机，同时避免冲突的恶化，出现了网桥和二层交换机，它们能有效隔离冲突域。

Bridge 和交换机采用交换方式将来自入端口的信息转发到出端口上，克服了共享介质上的访问冲突问题，从而将冲突域缩小到端口级。

采用交换机进行组网，通过二层快速交换解决了冲突域问题，但是广播域和信息安全问题依旧存在。

说明：本手册中将二层局域网交换机简称为交换机。

为减少广播，需要在没有互访需求的主机之间进行隔离。

路由器是基于三层 IP 地址信息来选择路由，其连接两个网段时可以有效抑制广播报文的转发，但成本较高。

因此人们设想在物理局域网上构建多个逻辑局域网，即 VLAN （ Virtual Local Area Network ）。

VLAN 将一个物理的 LAN 在逻辑上划分成多个广播域（多个 VLAN ）。

VLAN 内的主机间可以直接通信，而 VLAN 间不能直接互通。

VLAN的基本概念1.VLAN是以交换式网络为基础，把网络上用户的终端设备划分为若干个逻辑工作组，每个逻辑工作组就是一个VLAN。

2.VLAN技术提供了动态组织工作环境的功能，它简化了网络的物理结构，提高了网络的易管理性和安全性，提高了网络的性能。

VLAN的技术特性（1）VLAN工作在数据链路层。

（2）每个VLAN都是一个独立的逻辑网段，一个独立的广播域。

VLAN的广播信息仅发送给同一个VLAN的成员。

（3）每个VLAN又是一个独立的逻辑网络，它们都有唯一的子网号。

VLAN之间不能直接通信，必须通过第三层路由完成。

VLAN的标识1.VLAN通常用VLANID（VLAN号）和VLANname（VLAN名）标识。

2.VLANID用12位表示。

3.VLANname用32个字符表示。

VLANTrunk1.虚拟局域网中继（VLANTrunk）技术是交换机与交换机之间、交换机与路由器之间存在一条物理链路，而在这一条物理链路上要传输多个VLAN信息的一种技术。

2.VLANTrunk的标准机制是帧标签。

帧标签为每个帧指定一个惟一的VLANID作为识别码，表明该帧是属于哪个VLAN的。

3.在交换设备之间实现Trunk功能，必须遵守相同的VLAN协议。

目前在交换设备中常用的VLAN协议有①ISL，②IEEE802.10③IEEE802.1Q。

4.IEEE802.1Q应用最广泛。

划分VLAN的方法划分VLAN是通过使用软件在整个网络范围内定义VLAN成员实现的，目前常用的划分VLAN方法有如下三种：（1）基于端口划分VLAN基于端口划分VLAN，就是按交换机端口定义VLAN成员，每个交换机端口属于一个VLAN。

它由网络管理员静态指定VLAN到交换机的端口，这些连接端口会维护指定的VLAN设置，直到管理员重新改变它。

这种方法又称为静态VLAN，是一种最通用的划分VLAN方法。

（2）基于MAC地址基于MAC地址划分VLAN是按每个连接到交换机设备的MAC地址定义VLAN成员。

介绍介绍MUX VLA N特性的定义、目的、规格等信息。

定义MUX VLA N是一种包含上行端口和业务虚端口的VLA N。

一个MUX VLA N可包含多个上行端口，但只包含一个业务虚端口。

不同MUX VLA N间的业务流相互隔离。

目的MUX VLA N与接入用户存在一对一的映射关系，因此可根据VLA N区分不同的接入用户。

例如，当需要用VLA N区分用户时，可以使用MUX VLAN。

规格MA5680T最多支持4K个MUX VLAN。

约束∙如果VLA N已经创建VLAN三层接口，删除VLA N之前，先删除VLA N三层接口。

∙如果VLA N已经创建业务虚端口，删除VLA N之前，先删除VLA N业务虚端口。

原理描述介绍MUX VLA N特性的实现原理。

MUX VLA N与业务虚端口一一对应，即一个业务虚端口只对应一个MUX VLA N，因而可以利用MUX VLA N来区分接入用户介绍介绍QinQ VLA N特性的定义、目的、规格等信息。

定义QinQ（802.1Q in 802.1Q）是基于802.1 Q标准封装的隧道协议，在用户私有802.1Q的报文基础上，再封装一层802.1Q标签头，从而实现私网VLA N在公网透传，达到二层VPN的应用效果。

目的QinQ的核心思想是将用户私网VLA N Tag封装到公网VLA N Tag上，报文带着两层802.1Q格式的VLA N Tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN专线业务，在一定程度上拓展私网的地域广度。

此处的专线业务是指私网业务直接透传到网络对端，例如企业内部网等。

规格MA5680T最多支持4K个QinQ VLA N。

约束Super VLA N、Sub VLA N，已创建三层接口的VLA N及系统缺省VLA N都不能设其属性为QinQ 属性。

原理描述介绍QinQ VLA N特性的实现原理。

QinQ VLA N的业务处理过程如图1所示。

Vlan 种类总结一、Standard VLAN业务1、Standard VLAN通过把不同的端口划分到不同的VLAN，可以实现用户二层隔离；把不同的端口划分到在同一VLAN可以实现二层互通。

2、目前版本不支持Standard VLAN增加业务虚端口。

二、Smart VLAN 业务1、SmartVLAN通过添加多个下行端口以及一个或多个上行端口，由系统自动创建上行端口和下行端口内部映射关系，实现用户之间二层报文的隔离。

三、Mux VLAN 业务1、MUX VLAN只能添加一个业务端口但是可以添加多个上行端口，用于需要用VLAN来区分用户的场合四、Super VLAN 业务1、SuperVLan是一个虚拟的三层接口。

它可以添加多个SubVlan，并且这些SubVlan共享一个三层接口，从而达到节省IP网段的目的。

2、SubVlan是SuperVLAN的子VLAN。

SmartVLAN、MUXVLAN 或者标准VLAN都可以加入到SuperVLAN作为SubVLAN，但前提是该VLAN必须是已经创建好的VLAN。

五、QinQ VLAN业务1、QinQ VLAN特性主要是为了满足私网VLAN和业务能直接透明传输到对端。

2、MA5600接收到底层带私网VLAN（Customer VLAN ）的报文后，在该报文上再打上一层SP VLAN（Service Provider VLAN 服务提供商），这样MA5600只要创建一个QinQ VLAN，就可以把私网VLAN 直接透明传输到对端，大大节省了公网VLAN ID资源。

3、QinQ VLAN是VLAN的一种属性，只需要在创建VLAN后指明其属性为QinQ 即可。

六、VLAN Stacking业务1、VLAN Stacking特性通过给用户报文打上两层标签来实现报文选路和标识用户的功能。

2、MA5600接收到底层不带VLAN的报文后，在该报文上打上两层VLAN（SP VLAN＋Customer VLAN）后转发出去。

H3C S5500三层交换机划分Vlan与H3C路由组网基本属性：vlan特性：三层互通，两层隔离。

三层交换机不同vlan之间默认是互通的，两次交换机不同vlan是隔离的。

vlan IP：就是定义一个vlan下所有机器的网关地址，该vlan下的机器网关必须是这个IP。

接口：就是交换机后面可以插网线的端口，可以设置为Access、Trunk、Hybrid等.注意点：交换机与相关设备（路由、交换机）相连时，建议将接口设置为Trunk口，并且允许相关vlan 通过。

交换机下行连接电脑终端或服务器终端建议将接口设置为Access接口。

定义vlan时，尽量使用24的掩码（255.255.255.0）进行划分，如果存在包含关系vlan之间互连就会有问题，所以尽量不适用大网段。

设置DHCP自动划分IP示例：组网图：1）配置DHCP服务#启用DHCP服务。

<H3C> system-view[H3C] dhcp enable2）配置端口所属VLAN和对应VLAN接口的IP地址，IP地址即是对应VLAN的网关地址[H3C]vlan 5[H3C-vlan5]port GigabitEthernet 1/0/5[H3C-vlan5]quit[H3C]vlan 6[H3C-vlan6]port GigabitEthernet 1/0/6[H3C-vlan6]quit[H3C]vlan 7[H3C-vlan7]port GigabitEthernet 1/0/7[H3C-vlan7]quit[H3C]interface vlan 5[H3C-Vlan-interface5]ip address 192.168.5.254 255.255.255.0[H3C-Vlan-interface5]quit[H3C]interface vlan 6[H3C-Vlan-interface6]ip address 192.168.6.254 255.255.255.0[H3C-Vlan-interface6]quit[H3C]interface vlan 7[H3C-Vlan-interface7]ip address 192.168.7.254 255.255.255.0[H3C-Vlan-interface7]quit3）配置不参与自动分配的IP地址（DNS服务器等，此步为选配）[H3C] dhcp server forbidden-ip 192.168.5.100[H3C] dhcp server forbidden-ip 192.168.6.100[H3C] dhcp server forbidden-ip 192.168.7.1004）配置DHCP地址池5，用来为192.168.5.0/24网段内的客户端分配IP地址。

VLAN技术现状与开展任轩宁〔中国联通鄂尔多斯市分公司 017000〕摘要：目前，广域网和局域网技术得到广泛推广和应用。

尤其是局域网技术开展更快，从传统LAN到交换LAN，再开展到虚拟LAN即VLAN〔Virtual Local Area Networks〕。

VLAN技术较传统LAN技术前进了一大步，让我们在辽阔的信息领域中拥有属于自己的空间。

关键字：协议网络管理通信一、VLAN产生局域网〔LAN〕的开展是VLAN产生的根底，所以在介绍VLAN之前，我们先来理解一下局域网的有关知识。

局域网〔LAN〕通常是一个单独的播送域，主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。

处于同一个局域网之内的网络节点之间可以直接通信，而处于不同局域网段的设备之间的通信那么必须经过路由器才能通信。

图1所示即为使用路由器构建的典型的局域网环境。

交换机图1 传统局域网环境随着网络的不断扩展，接入设备逐渐增多，网络构造也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的播送域中，在不同的局域网之间提供网络互联。

但这样做存在三个缺陷：首先，随着网络中路由器数量的增多，网络时延逐渐加长，从而导致网络数据传输速度的下降。

这主要是因为数据在从一个局域网传递到另一个局域网时，必须经过路由器的路由操作: 路由器根据数据包中的相应信息确定数据包的目的地址，然后再选择适宜的途径转发出去。

其次，用户是按照它们的物理连接被自然地划分到不同的用户组〔播送域〕中。

这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进展的。

因此，尽管不同的工作组或部门对带宽的需求有很大的差异，但它们却被机械地划分到同一个播送域中争用一样的带宽。

最后，由于同一播送域的用户数量不断增多，局域网的用户会因为播送风暴导致的网络瘫痪而无法正常使用网络。

基于以上原因，最终产生VLAN ，接下来让我们理解一下VLAN 的技术原理。

二、VLAN概述VLAN(Virtual Local Area Network)即虚拟局域网，是为解决以太网的播送问题和平安性而提出的一种协议，工作在OSI参考模型的第2层和第3层。

VLAN和SVI的配置作者：风林来源：风林的家本部分包括以下内容：VLAN的配置SVI的配置VLAN的配置VLAN是一个2层接口组成的集合，它具有以下特性：1.每个VLAN可包含多个2层口，其中可以有Access接口，也可以有Trunk接口。

2.每个Access接口只能属于一个VLAN（默认是VLAN1），它只能转发属于同一个VLAN的帧。

3.Trunk接口可同时属于多个VLAN（默认是所有VLAN），它可以转发属于不同VLAN的帧。

4.每个VLAN用一个整数标识，称为VLAN ID，取值范围为1~1007（有些交换机的取值范围可以更大）。

5.初始时，交换机已经定义了一个ID为1的VLAN，所有物理接口默认属于这个VLAN。

属于同一个VLAN的接口可以相互通信，属于不同VLAN的接口间不能通配置举例：定义一个ID为20的VLAN，并把FastEthernet0/1和FastEthernet0/2指派给这个VLAN。

Switch>enableSwitch#configure terminalSwitch(config)#vlan 20Switch(config-vlan)#name VLAN20Switch(config-vlan)#exitSwitch(config)#interface f0/1Switch(config-if)#switchport access vlan 20Switch(config-if)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#endSwitch#SVI的配置如果给一个VLAN配置上IP地址，它就成为一个SVI接口，它具有以下特性：1.SVI接口由多个物理接口组成，但在逻辑上，可把它理解为一个3层口。

2.每个SVI接口可用于连接一个子网，SVI接口的IP地址就是该子网的网关。

vlan 用法什么是VLAN？VLAN，全称为Virtual Local Area Network，即虚拟局域网，它是一种将局域网分割成多个逻辑上的互不干扰的子网的技术。

通过VLAN，可以将不同的设备划分为不同的虚拟网段，实现更好的网络管理与安全控制。

VLAN的作用VLAN的主要作用就是实现网络资源的划分与管理。

通过VLAN，可以将一个大型局域网划分成多个小的子网，实现更灵活的网络资源管理。

VLAN可以使不同的用户或者设备处于不同的虚拟网段中，不同的虚拟网段之间的通信需要经过网络设备的路由转发，从而提高了网络的安全性。

同时，VLAN还可以优化网络性能，减少广播风暴的发生，提供更好的网络服务体验。

VLAN的基本特性1. 逻辑分割：VLAN可以将一个物理的局域网划分成多个逻辑上的子网，实现不同子网间的逻辑隔离。

2. 安全控制：通过VLAN，可以限制不同子网之间的通信，提高网络的安全性，并且可以对不同的子网设置不同的安全策略。

3. 灵活性：VLAN可以根据不同的需求，对网络资源进行划分和配置，实现更好的网络管理与资源分配。

4. 性能优化：通过VLAN，可以减少广播风暴的发生，优化网络性能，提供更好的网络服务品质。

5. 扩展性：VLAN可以根据需求的变化进行扩展和调整，支持网络的快速扩张和改造。

VLAN的工作原理VLAN的工作原理基于交换机设备。

交换机是VLAN的关键设备，它可以将不同的端口划分为不同的VLAN，实现不同子网之间的隔离与通信。

在交换机上，可以配置不同的VLAN ID，用于标识不同的VLAN。

当一个数据包从一个端口进入交换机时，交换机会根据数据包的源MAC 地址和VLAN ID，将数据包发送到相应的目标端口，实现VLAN之间的通信。

我们可以分为两种VLAN的实现方式：静态VLAN和动态VLAN。

静态VLAN的实现方式是通过人工配置交换机上的VLAN信息，手动将端口划分入相应的VLAN中。

这种方式比较简单易懂，但不够灵活，扩展性有限。

划vlan作用
VLAN（VirtualLocalAreaNetwork）是一种虚拟局域网，可以将一个物理局域网划分为多个逻辑网络。

VLAN的作用主要有以下几个方面。

1. 提高网络安全性
VLAN能将同一个物理网络划分为多个逻辑网络，不同的逻辑网络之间是独立的，彼此之间无法通信。

这种网络隔离的特性可以有效提高网络的安全性，避免敏感数据被泄露或攻击。

2. 简化网络管理
VLAN可以根据不同的业务或部门将设备分组，这样可以更方便地对网络进行管理。

管理员可以对不同的VLAN进行不同的配置，从而简化网络管理。

3. 减少广播风暴
在传统的局域网中，广播包会被发送到所有的设备上，容易导致网络拥塞。

VLAN的隔离特性可以降低广播包的范围，从而减少广播风暴的发生，提高网络性能。

4. 提高网络灵活性
VLAN可以根据需要进行调整和重新配置，可以更加灵活地适应不同的网络需求。

例如，如果需要将一个设备从一个VLAN划分到另一个VLAN，只需要进行简单的配置即可，而不需要重新布线。

总之，VLAN是一种非常有用的网络技术，可以提高网络安全性、简化网络管理、减少广播风暴以及提高网络灵活性。

在实际应用中，
需要根据具体的网络需求进行合理的配置和使用。