VLAN配置实例详解

图文笔记二十]VLAN配置实例详解

这篇文章介绍一下VLAN相关技术，通过几个实例来演示VLAN干线、VLAN的封装和工作方式、VLAN配置、VLAN间路由等。（本文中的大部分实验均可在”Cisco Packet Tracer 5.3″中完成）

文章目录

▪[*1*].VLAN介绍

▪[*2*].VLAN干线

▪什么是VLAN干线

▪干线协议介绍

▪交换机间VLAN通信过程

▪DTP协议

▪[*3*].VLAN配置实例

▪创建VLAN

▪把端口加入VLAN

▪配置主干端口(Trunk)

▪本地VLAN

▪语音VLAN

▪VLAN维护操作

▪在GNS3上模拟配置VLAN

▪[*4*].VLAN间路由

▪基于路由器物理接口的VLAN间路由

▪基于路由器子接口的VLAN间路由（单臂路由）

▪交换机上的端口类型

▪基于三层交换机的VLAN间路由

▪路由器和三层交换机在实现VLAN间路由上的区别

[*1*].VLAN介绍

VLAN（Virtual Local Area Network，虚拟局域网）,通过在支持VLAN的交换机上添加VLAN，并且动态的调整每个端口所属VLAN（默认端口都属于VLAN1），实现一台物理交换机上可以有多个LAN，每个LAN称作VLAN，VLAN之间的广播互不可达，VLAN间互不影响。每个VLAN 是一个独立的广播域，如果不同VLAN中的结点想要互相访问，需要通过一台三层或三层以上设备才能实现（比如路由器、三层交换机、防火墙等）。这样就增加了安全性，可以在三层设备上配置访问列表来达到流量控制的目的。

[*2*].VLAN干线

* 什么是VLAN干线

干线(Trunk)就是在两台交换机之间可以传输多个VLAN的信息的那条线缆，干线又称主干。下图是没有使用干线的情况，在SW1和SW2上划分了两个VLAN（VLAN1、VLAN2），PC1和PC2属于VLAN2，PC3和PC4属于VLAN3，在没有使用主干线路的时候，需要在SW1和SW2之间使用两条线缆，将一条线缆的两个端口划分到VLAN2，另一条线缆的两个端口划分到VLAN3，这样PC1和PC2才能正常通信，PC3和PC4也能正常通信。在没有使用间路由的情况下，VLAN2中的PC1和PC2无法和VLAN3中的PC3和PC4通信。

下图是使用了主干线路的情况,只需要在SW1和SW2之间使用一条线缆，并且设置这条线缆为主干，这样这条主干线缆就能同时传输多个VLAN的数据了。PC1和PC2能正常通信，PC3和PC4也能正常通信。在没有使用间路由的情况下，VLAN2中的PC1和PC2无法和VLAN3中的PC3和PC4通信。

最后需要注意的是，现在只有100Mb/s以上（包括100Mb/s）的线路才支持Trunk。

* 干线协议介绍

对于VLAN交换机来说，干线就是交换机之间的连线，它在两个或两个以上的VLAN之间传输业务流。每个交换机必须确定它所收到的数据帧属于哪个VLAN。

在传统的交换机中，当一个帧进入交换机时，交换机只检查目的MAC，然后根据自己的MAC 表进行转发或者泛洪。在VLAN中除了需要知道目的MAC做转发决定外，还要考虑帧的源地址，因为帧的源地址通常会影响它所属VLAN，并可能影响它被转发出去的端口。追踪一个帧的源地址有两种常用的方式:

▪帧标记（又称显式标记）: 根据数据进入交换机的端口属于哪个VLAN来标记一个帧。

当一个帧进入交换机的时候，根据那个端口所属VLAN，为帧添加一个包含VLAN标识的域（VLAN着色），这种方式的缺点就是大多数不支持VLAN的设备会将这种更改后的帧当成无效帧丢弃。但现在这种技术已经形成了一个IEEE802.1Q的标准，这个标准解决了不同厂商进行帧标记时候的兼容性问题。

▪帧过滤（又称隐式标记）: 这种方法为每个VLAN保持一张MAC地址表，确定目标后就做出转发决定。这种方式的好处就是不更改原来的帧格式，帧通过不同的网络设备都不会出现问题。这种方式的缺点就是每个VLAN交换机都要保存一张MAC地址表，这张表还要包含每个MAC所属VLAN的信息，并且能根据源地址的VLAN以及MAC进行过滤转发。

现阶段最常使用的干线协议是802.1Q和ISL（在不同厂商设备混用的情况下一定要使用802.1Q）:

1,802.1Q

802.1Q是IEEE提出的一个通用标准，也是现在大部分厂商的默认干线传输协议，通过在原来的以太网帧头部添加一个4字节的802.1Q头部，然后重新计算FCS（帧效验序列）来实

现，如下图:

本文中的配置均以802.1Q为例。

2,ISL(Interior Switching Link,交换机间链路)

ISL是思科私有的干线传输协议，这里不做过多介绍。

* 交换机间VLAN通信过程

这一部分结合“* 什么是VLAN干线”中的第二张图片，讲解一下802.1Q干线协议的工作流程:

图中PC1和PC2属于VLAN2，PC3和PC4属于VLAN3，SW1和SW2通过干线相连，干线运行的是802.1Q协议。

1,假设PC1发送消息给PC2，刚开始PC1不知道PC2的MAC地址，所以它首先发送ARP查询包，查询PC2的MAC地址，ARP查询包以广播形式发送。

2，交换机SW1收到PC1发送过来的ARP查询广播包，SW1知道数据是从fa0/0接收到的，fa0/0被划分到VLAN2中，是一个接入端口，SW1知道这是一个来自VLAN2的广播包，SW1在MAC地址表中加入PC1的MAC和VLAN号以及对应的端口号，非VLAN交换机和VLAN 交换机都会根据数据的源地址进行学习，只不过VLAN交换机除了记录源MAC地址，还需要记录源MAC所对应的VLAN号。

3，SW1在收到的数据帧中加入VLAN2的标识（VLAN交换机从Access（接入）端口收到数据时需要插入VLAN标识），接着SW1将这个VLAN2的广播包从除接收端口以外的所有属于VLAN2的接口以及主干发送出去，在从所有属于VLAN2的接入接口发送出去前需要去掉VLAN标识（VLAN交换机从Access将数据发出时要去掉VLAN标识，否则其他计算机不能识别这个加了标识的帧），从主干发送出去的帧不需要去掉VLAN标识（后面介绍到的本地VLAN 除外）。也就是说如果此时SW1上还有一个非主干端口也被分配到VLAN2中，这个广播从这接入端口送出前要去掉VLAN标识，而从SW1的fa0/2发往SW2的数据帧不需要去掉VLAN 标识（本地VLAN除外）。

4，PC3接收不到PC1发出的ARP广播请求，因为连接PC3的端口被划分到VLAN3中了，不属于VLAN2，一个VLAN是一个广播域。

5，当SW2从自己的fa0/2接口（主干接口）接收到一个数据帧时，SW2查看数据帧中的VLAN标识，并在本地MAC地址表中添加了帧中源MAC地址、VLAN号以及对应的端口号