VLAN基础、接口类型和实验

VLAN的诞生：

最开始网络中只有集线器，没有交换机。但是集线器不分割冲突域，为了减少冲突域，将集线器进行改进为了网桥，网桥是通过CPU进行转发数据的，转发效率不高，并且接口很少。

随着设备的迭代，首先增加了接口的数量，保证在更大的网络环境中可以使用，然后将由CPU转发改变成了通过硬件转发，加快了转发的速率，这样就是最开始的交换机的样式了，就是所有接口都属于一个广播域。但是这样也出现了问题，所有接口都在一个广播域，也就是接入同一个交换机的设备都在一个网段里面，如果有一个广播报文，所有接口就会转发，并且当时链路带宽并不大，这样就会让正常转发的单播报文很难正常转发；同时需要进行分离（比如公司的不同部门）能够直接互访，导致了极大的安全性问题。

为了解决这个问题，设计人员开始思考。VLAN技术的诞生在最开始就是将不同的VLAN绑定在接口上，不同的VLAN代表不同的广播域，这样就可以解决前面的这个问题了：将不同的用户接入不同的接口，进入不同的vlan，也就是在不同的广播域中，让用户接入更加的灵活，且能够做到隔离。

创建一个VLAN其实就是将交换机划分为逻辑上的多个交换机，默认使用的是VLAN 1，我们每创建一个VLAN，就相当于在交换机上又虚拟出了一个交换机。这个交换机上最开始没有接口，如果我们在实际的交换机上将接口允许本vlan的流量通信，那么就相当于在这个VLAN上添加了对应的接口。并且多个交换机上可以设置同一个VLAN，不同交换机的同一个VLAN间可以二层通信，只要中间的链路允许即可。

最开始时，每条链路只允许一个VLAN通信，也就是access链路，但是随着交换机之间需要通信的VLAN的数量不断增加，又出现了问题，如果对每个VLAN都用一条链路，不仅浪费资源而且接口可能不够。这样就诞生了trunk链路，这个链路允许多个VLAN进行通信。这样的话，组网就更加的灵活了，例如同一个部门的人员可以在不同的交换机上接入同一个VLAN进行通信。

根据以上的总结出VLAN特点：

限制广播域：广播域被限制在一个VLAN内，从而节省了带宽、提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能与其它VLAN内的用户直接通信。
提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN帧格式：

IEEE 802.1Q是虚拟桥接局域网的正式标准，对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。802.1q Tag各字段含义：

TPID：长度为2字节，表示帧类型。取值为0x8100时表示802.1q Tag帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。
PRI：Priority，长度为3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。一般情况下，当交换机部署QoS时，优先发送优先级高的数据帧。
CFI：Canonical Format Indicator，长度为1比特，表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。
VID：VLAN ID，长度为12比特，表示该帧所属的VLAN。

每台支持802.1Q协议的交换机都可以发送包含VLAN ID的数据包，以指明自己属于哪一个VLAN。因此，在一个VLAN交换网络中，以太网帧有以下两种形式：

有标记帧（tagged frame）：加入了4字节802.1Q Tag的帧。
无标记帧（untagged frame）：原始的、未加入4字节802.1Q Tag的帧。

三类接口：

Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路。有如下特点：
1.仅仅允许唯一的VLAN ID通过本端口，这个VLAN ID与端口的PVID（Port Default VLAN ID，端口缺省的VLAN ID）相同。
2.接收到不带Tag的报文，则为报文打上接口缺省VLAN标签并接收。
3.接收到带Tag的报文，判断此tag代表是否和接口PVID相同，如果相同便接收，否则丢弃。
4.Access端口发往对端设备的以太网帧永远是不带标签的帧。

Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。有如下特点：
1.Trunk端口允许多个VLAN的帧（带Tag标记）通过。
2.接收到不带Tag的报文，则为报文打上接口缺省VLAN标签（该vlan被接口允许则接收，否则丢弃）。
3.接收到带Tag的报文，判断此标签代表的vlan是否允许通过，否则丢弃。
4.如果从Trunk端口发送的帧带Tag，且Tag与端口缺省的VLAN ID相同，则交换机会剥掉该帧中的Tag标记。仅在这种情况下，Trunk端口发送的帧不带Tag。
5.如果从Trunk端口发送的帧带Tag，但是与端口缺省的VLAN ID不同，则交换机对该帧不做任何动作，直接发送带Tag的帧。

Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口，有如下特点：
1.Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。
2.接收到不带Tag的报文，则为报文打上接口缺省VLAN标签（该vlan属于untagged或者tag列表则接收，否则丢弃）。
3.接收到带Tag的报文，判断此标签是否属于untagged或者tag列表，如果在则接收，否则丢弃。
4.如果从Hybrid端口发送的帧带Tag，且Tag与端口的untagged列表匹配，则交换机会剥掉该帧中的Tag标记。
5.如果从Hybrid端口发送的帧带Tag，但Tag与端口的tag列表匹配，则交换机对该帧不做任何动作，直接发送带Tag的帧。

个人理解： 如果通过MAC地址表转化到了出接口，这个出接口一定是允许次VLAN通过的，区别是是否去掉对应的Tag；原因是因为进入了此VLAN的报文会按照此VLAN的MAC地址表转发，而只有加入（允许）此VLAN的接口才会出在在本VLAN的MAC地址表中，所以报文到达出接口一定能够将其转发，而不会和入接口时出现可能丢弃的情况。

总结：

注意点：
1.access配置了pvid，那么access允许通过的vlan列表就只允许其pvid表示的vlan通过了，默认为1。而trunk口和hybrid口，默认的pvid是1，并且默认允许vlan1通的，但是你修改了pvid的话，默认是不会像access口一样允许其pvid的接口通过的，我们需要专门配置允许其通过（对应trunk链路来说就是允许其vlan通过，对应hybrid接口来说，就是配置接口发出相应vlan的帧的时候到底不去掉tag或者是去掉tag）。
2.另外，是trunk接口，允许所有vlan通过其实只会允许2-4094通过，因为1是默认的，如果不允许所有vlan通过，在命令里其实变成了不允许vlan1通过（vlan 1不能删除）。

实验：使用hybird接口完成同网段不同VLAN互访

实验拓扑：

具体配置：

PC1的IP地址：

PC2的IP地址：

Sw1的配置：
vlan batch 10 20
interface Ethernet0/0/1
port hybrid pvid vlan 10 //接口属于vlan10
port hybrid untagged vlan 10 20 //将vlan10和20的数据帧的tag剥离发出
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094

Sw2的配置：
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
port hybrid pvid vlan 20
port hybrid untagged vlan 10 20

现象：现在使用PC1pingPC2，成功

具体过程分析：

1.PC1首先发送arp报文到sw1，进入接口时打上vlan10的tag，因为是广播报文，从trunk接口泛洪（trunk接口允许vlan 10通过）pvid为1，不剥离标签；
2.然后sw2的trunk接口接收，进行泛洪操作到E0/0/2口，接口配置了剥离vlan10的标签，就会将标签剥离以后发生给PC2；
3.PC2进行回复时，同样的过程，只不过回复的是单播帧，但是也会进行泛洪，原因是因为查对应vlan的mac地址表进行转发，但是vlan20中没有对应的MAC地址（因为arp请求报文过来时交换机已经在学习的MAC地址在vlan10中）。所以依然从trunk口泛洪出去，到达sw1；
4.sw1接收了带有tag20的arp回复包，依然查看MAC地址表，最后选择泛洪。这样就通过了交换机实现了不同vlan，相同网段的通信；

注意：如果在不同的网段，是无法实现的，因为请求的是就是网关的MAC地址，必须使用三层的转发才行。

参考：华为培训资料