一、VLAN的特点
1、一个VLAN就是一个广播域,所以在同一个VLAN内部,计算机可以直接进行二层通信;而不同VLAN内的计算机,无法直接进行二层通信,只能进行三层通信来传递信息,即广播报文被限制在一个VLAN内。
2、VLAN的划分不受地域的限制。
二、VLAN好处
1、灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一个工作组的用户不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
2、限制广播域:广播域被限制在一个VLAN内节省了带宽,提高了网络的处理能力。
3、增强局域网的安全性:不同VLAN内部的报文在传输时是相互隔离的,即一个VLAN内部的用户不能和其他VLAN内的用户直接通信。
4、提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
三、VLAN的划分方式
VLAN的划分包括如下5种:
1、基于接口划分:根据交换机的接口来划分。
网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果灭有带VLAN标签,该帧就会被打上接口指定PVID的标签,然后数据帧将在指定VLAN中传输。
缺省VLAN、PVID
Port VLAN ID,是接口上的缺省VLAN,取值范围1--4096。
特点:这种划分原则简单而直观,实现容易,时目前实际的网络应用中最为广泛的的划分VLAN的方式。当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属可能会发生变化。
2、基于MAC地址划分
根据数据帧的源MAC地址来划分VLAN。
网络管理员先配置MAC地址和VLAN ID映射关系,当交换机收到的Untagged帧时,就会依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
映射表--记录了MAC地址和VLAN ID的关联情况。
特点:这种划分实现稍微复杂,但灵活性得到了提高;当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归不会发送变化(因为计算机的MAC地址没有变);但这种类型的VLAN划分安全性不是很高,因为恶意计算机很容易伪造MAC地址。
3、基于IP地址划分
根据数据帧中的源IP地址和子网掩码来划分VLAN。
网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就会依据该表的数据帧添加指定VLAN标签,然后数据帧将在指定的VLAN中传输。
4、基于协议划分
根据数据帧所属协议(簇)类型及封装格式来进行划分VLAN。
网络管理员预先配置以太网帧中的协议域和VLAN ID的映射表,如果收到的是Untagged帧,就依据该表给数据帧添加VLAN标签,然后将数据将在指定的VLAN中传输。
5、基于策略划分
根据配置的策略划分VLAN,能够实现多种组合的划分方式,包括接口、MAC、IP地址等。
网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定的交换标签,然后数据帧将在指定VLAN传输。
四、Hybrid接口
Hybrid接口与Trunk接口类似,也允许多个VLAN的数据帧通过,这些带数据帧通过802.1Q tag实现区分。用户可以灵活指定Hybrid接口在发送某些(或者某个)VLAN的数据帧时是否携带Tag。
五、配置
1、配置接口类型
php
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type hybrid 2、配置Hybrid接口加入指定VLAN
php
#配置这VLAN 10帧以Untagged方式通过--不打标签
[LSW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
#配置这些VLAN 20帧以tagged方式通过--打标签
[LSW1-GigabitEthernet0/0/1]port hybrid tagged vlan 203、配置Hybrid接口的缺省VLAN--可选
php
#配置Hybrid类型接口缺省的缺省VLAN
[LSW1-GigabitEthernet0/0/1]port hybrid pvid vlan 5