03 利用VLAN划分网络

03利用VLAN划分网络学习VLAN应用的基本知识01VLAN定义

基本概念虚拟局域网（VirtualLocalAreaNetwork）简称为VLAN。

技术原理通过交换机功能将局域网从逻辑上划分为一个个网段，实现虚拟工作组的交换技术。广播域问题

01交换机局限交换机解决冲突提高效率，但对广播信息传输无限制，整个网络属同一广播域。

02广播危害广播帧占用带宽致网速和效率下降，增加主机负荷，病毒可通过广播扩散导致网络阻塞瘫痪。广播域隔离方案

路由器隔离理论上通过路由器以太网端口结合IP地址分段实现广播域分割隔离。

路由器不足路由器以太网端口数量少（一般不超过4个），价格高，分割广播域成本较高。

交换机隔离局域网中常用交换机实现广播域分割，交换机需支持VLAN交换技术。VLAN特点

特点概述虚拟局域网主要有以下几个特点。控制广播域的范围控制广播域通过VLAN划分，限制广播帧传播，实现广播域隔离，不同VLAN间主机无法直接通信。简化网络管理和提高组网的灵活性

网络管理简化VLAN逻辑分组，跨交换机统一管理，提升网络应用与管理灵活性。

组网灵活性提高用户可分布多交换机与不同位置，形成同一VLAN，增强组网弹性。增加网络的安全性

增加网络安全性通过VLAN隔离，财务部门独立，控制访问范围，提高安全性。

VLAN间通信默认隔离，需通过访问控制列表管理跨VLAN通信，增强保密性。单台交换机VLAN配置02虚拟局域网的划分方式：静态VLAN

静态VLAN定义静态VLAN也称基于端口的VLAN，按交换机端口分组定义VLAN，同VLAN端口可来自一台或多台交换机，可跨多台交换机设置。静态VLAN特性静态VLAN是常用端口划分方式，所有可管理交换机可用，需逐个添加端口，管理应用不灵活，适合拓扑结构不常变化的网络。虚拟局域网的划分方式：动态VLAN

动态VLAN概述动态VLAN是根据端口所连计算机动态设置端口所属VLAN的方法，划分方式包括基于MAC地址、子网和协议的VLAN。

基于MAC地址的VLAN这种方式是根据端口所连计算机的网卡MAC地址来决定该端口所属的VLAN。

基于子网的VLAN这种方式是根据端口所连计算机的IP地址来决定端口所属的VLAN。

基于协议的VLAN基于协议的VLAN根据帧类型字段值决定帧所属VLAN，目前最常用静态VLAN，本书后续介绍的均为静态VLAN。VLAN端口类型

VLAN端口类型主要分Access、Trunk和Hybrid，前两者最常用，由PVID决定缺省VLAN，用于Untagged帧的Tag添加。

PVID作用PVID即PortVLANID，标识端口缺省VLAN，用于处理和转发Untagged数据帧，确保正确添加VLANTag。VLAN端口类型：Access端口Access端口接收规则收到untagged帧，强制加端口PVID；收到tagged帧，VLANID与PVID相同则接收，不同则丢弃。Access端口发送规则Access端口发送规则：VLANID与PVID相同则发送，否则丢弃；发送前剥离Tag，发往对端的帧不带标签。VLAN端口类型：Trunk端口

Trunk端口接收数据帧规则接收不带Tag帧：添加PVID，若PVID在允许VLAN列表则接收，否则丢弃。接收带Tag帧：检查VLANID是否在允许列表，在则接收，否则丢弃。

Trunk端口发送数据帧规则VLANID与PVID相同且允许通过时，去Tag发送；不同且允许通过时，保Tag发送。VLAN端口类型：Hybrid端口Access与Trunk端口数据帧类型Access端口发往其他设备的报文为Untagged数据帧；Trunk端口仅特定情况发Untagged数据帧，其他情况发Tagged数据帧。Hybrid端口功能及默认类型Hybrid端口可连用户主机和其他交换机，允许不同VLAN帧通过，出端口可剥某些VLAN帧Tag，华为设备默认端口类型为Hybrid。Hybrid端口收发数据帧规则接收不带Tag帧：添加PVID，若PVID在允许VLAN列表则接收，否则丢弃。接收带Tag帧：检查VLANID是否在允许列表，是则接收，否则丢弃。Hybrid端口发送数据帧规则Hybrid端口发送数据帧时，先检查是否允许该VLAN数据帧通过，允许则可配置发送时是否携带Tag。多台交换机的VLAN配置03跨交换机的VLAN成员通信方法

跨交换机VLAN通信需配置Trunk链路或使用VLAN间路由，确保同一VLAN内成员跨设备通信无障碍。VLAN分布如计算机系教师办公室，分布于教学楼与实验楼，需跨多台交换机构建统一VLAN。跨交换机的VLAN成员通信方法

跨交换机VLAN通信每台交换机为每个VLAN提供一个端口用于不同VLAN内主机通信，VLAN数量对应所需占用端口数量。跨交换机的VLAN成员通信方法：跨交换机的VLAN通信方法2VLAN通信挑战每增加一个VLAN需在交换机间添加链路，额外占用交换机端口，浪费资源，扩展性和管理效率差。802.1Q协议引入IEEE1999年颁布802.1Q协议，定义跨交换机VLAN通信方式，用主干链路汇集链路解决端口占用问题。端口类型与作用IEEE802.1Q定义Access和Trunk端口；Access接终端，属一个VLAN；Trunk接交换机，属多VLAN，传所有VLAN数据实现跨交换机同VLAN通信。VLAN识别信息封装IEEE802.1Q对数据帧附加VLAN识别信息，位于发送源MAC地址和类型字段之间，含2字节TPID和2字节TCI共4字节。利用Hybrid端口提高使用灵活性

Hybrid端口应用演示中所有端口设为Hybrid类型，解决PVID设定，VLAN数据转发给终端，交换机间允许VLAN数据通过。

提高灵活性方法通过Hybrid端口，灵活调整端口缺省VLAN，控制不同VLAN数据帧转发，增强网络管理与隔离能力。利用单臂路由实现VLAN间的通信04任务5利用单臂路由实现VLAN间的通信

VLAN通信问题需OSI三层功能，不同VLAN间通信受限，IP地址分属不同网段。

解决方案引入路由器或三层交换机，实现VLAN间通信，重点讲解单臂路由技术。单臂路由基本知识

单臂路由定义通过配置子接口实现不同VLAN间通信，子接口基于物理接口，不存在真实物理子接口。

单臂路由配置在物理端口创建子接口，每个对应VLAN，配置独立IP、子网掩码，封装802.1Q协议，启用ARP广播。单臂路由的实施学习情境项目中教学办公区、实验区域等网络划分VLAN隔离部门，小张向王师傅请教后，决定学习单臂路由配置方法，并在模拟器上搭建网络拓扑进行配置练习和验证以实现部门间相互访问需求。单臂路由的实施：操作过程

搭建网络拓扑网络拓扑如图3-13所示，路由器选用AR2220，请读者根据拓扑图在模拟器上搭建网络拓扑。

配置计算机的IP地址根据拓扑图配置计算机的IP参数，操作过程这里不再演示。单臂路由的实施：操作过程交换机的配置

配置VLAN在交换机上批量创建VLAN10和VLAN20，分别将Ethernet0/0/1和Ethernet0/0/2端口设为access模式并分配给VLAN10和VLAN20。

配置Trunk端口将连接路由器的GigabitEthernet0/0/1端口配置为Trunk模式，并允许所有VLAN通过，完成多交换机互联的Trunk端口设置。单臂路由的实施：操作过程路由器的配置

单臂路由配置配置子接口IP与802.1Q封装，启用ARP广播，实现VLAN间通信。

测试计算机通信PC1成功ping通Server1，确认VLAN10与VLAN20间通信正常。

查看路由表显示包含子接口的路由条目，验证路由配置正确性，确保数据包正确转发。利用三层交换机实现VLAN间的通信05利用三层交换机实现VLAN间通信的特点

VLAN通信方式不同VLAN通信可用单臂路由或三层交换机实现，三层交换机按VLAN标号区分数据包，更符合需求且能提高传输效率。

三层交换机配置三层交换机通过配置VLANIF接口实现VLAN间通信，多VLAN需各配VLANIF接口及IP，用户缺省网关为VLANIF接口IP。任务的实施学习情境小张了解三层交换机实现VLAN间通信特点后，发现其比单臂路由更有优势且配置简单，于是在模拟器上搭建网络拓扑进行配置练习和验证。任务的实施：操作过程搭建网络拓扑三层交换机使用的是S5700系列，请读者根据拓扑图（见图3-14）在模拟器上搭建网络拓扑。配置计算机的IP地址根据拓扑图配置计算机的IP地址，配置完成后需要测试，操作过程这里不再演示。任务的实施：操作过程配置二层交换机

创建VLAN使用vlanbatch命令创建VLAN10和20，实现网络分段管理。配置交换机端口设置S2的Eth0/0/1为access模式，加入VLAN10；Gig0/0/1为trunk模式，允许所有VLAN通过。S3的Eth0/0/1为access模式，加入VLAN20；Gig0/0/2为trunk模式，允许所有VLAN通过。任务的实施：操作过程配置三层交换机

创建VLAN使用vlanbatch1020创建VLAN10和20。

配置交换机