4.VLAN 技术：二层网络的优化之道

一、网络发展的困境与挑战

（一）早期网络的冲突域问题

在网络发展的早期阶段，设备的数据传输共享同一物理介质 ，就如同多辆车需要共用一条单车道上通行。当多个设备同时尝试传输数据时，数据信号就会彼此竞争、干扰，频繁引发冲突，这就是所谓的冲突域。例如，在一个小型办公室网络中，多台计算机通过集线器连接在一起，当它们同时发送数据时，就像多辆车在单车道上抢行，必然会导致数据传输的冲突。这种冲突严重降低了数据传输效率，极大地制约了网络性能，使得网络响应变得迟缓，用户体验不佳。

（二）广播域带来的隐患

随着网络规模的持续扩张以及需求的不断增长，网络逐渐发展为多车道模式，交换机的出现为设备提供了多个独立的数据传输通道，形成多个冲突域，在一定程度上缓解了冲突问题。然而，此时所有设备依然处于同一个广播域。这就仿佛身处一个未进行人车分流的大型区域，车辆与行人混行，既不安全又影响通行效率。在网络中，大量的广播消息在这个广播域内肆意扩散，所有设备无论是否需要，都会接收这些广播。过多的广播消息不仅大量消耗网络带宽资源，造成网络拥塞，还带来数据安全隐患，敏感广播数据可能被任何设备接收。例如，在一个企业网络中，某个部门的广播消息可能会被其他部门的设备接收到，这可能导致信息泄露，同时也会占用其他设备的网络资源，影响正常业务的开展。

二、VLAN 技术的原理与优势

（一）VLAN 技术的核心原理

为有效解决上述问题，VLAN（Virtual Local Area Network，虚拟局域网）技术应运而生，它如同对网络空间进行了一次精妙的 "人车分流" 规划。VLAN 技术通过在二层网络中划分多个虚拟局域网，将一个大的广播域分割成多个较小的独立广播域，每个 VLAN 就是一个相对独立的小区域（广播域）。不同 VLAN 之间的数据传输相互隔离，就像机动车道、非机动车道和人行道上的交通流互不干扰（例如可将机动车道视为一个 VLAN，非机动车道视为一个 VLAN，人行道视为一个 VLAN）。

（二）VLAN 技术的优势体现

提升网络性能：在企业网络中，财务部门、研发部门等可分别划分到不同的 VLAN。财务部门在其专属 VLAN 内传输数据，广播消息不会扩散到研发部门所在的 VLAN，反之亦然。这样一来，每个 VLAN 内的广播流量被限制在本区域内，大大减少了广播流量对网络带宽的占用，从而提升了网络整体性能。例如，研发部门进行大数据传输时，不会受到财务部门广播消息的干扰，数据传输更加顺畅。
增强数据安全性：不同 VLAN 之间的数据相互隔离，使得不同部门的数据得到有效保护。未经授权，一个 VLAN 内的设备无法访问其他 VLAN 的数据，降低了数据泄露的风险。例如，财务部门的敏感财务数据不会被其他部门的设备获取，保障了数据的安全性。

三、VLAN 技术实现细节

（一）VLAN 标签

VLAN 技术实现这一优化的关键在于交换机对数据接收与转发的控制。它在接收数据后在待转发的以太网帧中添加 VLAN 标签。VLAN 标签插入在以太网帧的源 MAC 地址和类型 / 长度字段之间，长度为 4 字节。

其中 2 字节为标签协议标识（TPID，通常值为 0x8100，表示这是一个 802.1Q VLAN 标签），
另外 2 字节是标签控制信息（TCI）。

TCI 包含 VLAN 标识符（VID，取值范围 0 - 4095），占用 12 比特，2 的 12 次方 = 4096。三个特殊 vlan：vlan 0 设置优先级但无 VID；vlan 1 缺省 VID；vlan 4095 预留。
优先级（Priority）长度为 3 比特，表示帧的优先级，取值范围为 0～7，值越大优先级越高。用于当阻塞时，优先发送优先级高的数据包。如果设置用户优先级，但是没有 VLANID，则 VLANID 必须设置为 0x000。
规范格式指示（CFI，Canonical Format Indicator)，长度为 1 比特，表示 MAC 地址是否是经典格式。0 表示是标准格式，1 表示为非标准格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI 的值为 0。

（二）VLAN 的转发控制机制

交换机端口对该帧和标签的处理方式，包括添加标签、移除标签、转发帧、丢弃帧。

添加标签（Tagging）。当交换机的某个端口接收到一个未带 VLAN 标签的帧时，根据该端口的 VLAN 配置，为这个帧添加相应的 VLAN 标签。
移除标签（Untagging）。当交换机从某个端口发送帧时，根据端口的配置，移除帧所携带的 VLAN 标签，将其转换为普通的以太网帧发送出去。
转发帧（Forwarding）。交换机接收到一个带有 VLAN 标签的帧后，首先检查该帧携带的 VLAN 标签是否在该端口允许通过的 VLAN 列表内。如果在允许列表内，并且交换机通过查询二层转发表，确定了目的 MAC 地址对应的转发端口，那么交换机就会将这个帧转发到相应的端口。
丢弃帧（Dropping）。如果交换机接收到的帧携带的 VLAN 标签不在该端口允许通过的 VLAN 列表内，或者交换机无法通过查询二层转发表找到目的 MAC 地址对应的转发端口，交换机就会丢弃这个帧。例如，交换机 SWA 的某个端口被配置为仅允许 VLAN1 通过，而接收到一个带有 VLAN5 标签的帧，此时交换机就会丢弃该帧，防止不属于该 VLAN 的数据进入该端口所连接的网络区域。

①.添加标签：电脑A的需要访问电脑C，广播获取电脑C的MAC，数据包从交换机的端口1进入到交换机，交换机自动打上 vlan 3的标签。

②③.转发帧：SW A 通过标签识别到是vlan 3 查看端口2允许vlan3通过，转发到SW B的端口1，SW 1查看端口1的允许列表，允许进入vlan 3 进入交换机并查看目的MAC是广播，则从所有vlan3的端口转发。

④.移除标签：SW B 查看端口3 属于vlan 3，移除vlan 3标签将数据帧转发出端口，PC C收到数据帧。

⑤.广播隔离：SWB的端口2不属于vlan 3，不会手动该广播包。

⑥⑦.丢弃帧：假设SW A的该端口允许vlan 3，SW C的该端口拒绝 vlan 3，那么SW A会通过该端口转发到SW C，而 SW C会丢弃该数据帧。

（三）VLAN 的划分方式

基于端口划分 ：是最简洁、最广泛使用的划分方式。网络管理员按交换机的物理端口进行分配，将特定端口划分到相应 VLAN，如把端口 1 - 10 划分到 VLAN10，端口 11 - 20 划分到 VLAN20 。此方式配置简单直观，适用于网络拓扑稳定、设备位置固定的场景，像办公室按楼层或部门划分 VLAN。在这种划分方式下，连接到特定端口的设备就属于相应的 VLAN，无需考虑设备的其他特性。例如，在一个办公室中，将连接到一楼交换机端口 1 - 5 的设备划分到 VLAN10，用于办公区域的网络；将连接到二楼交换机端口 1 - 5 的设备划分到 VLAN20，用于会议室区域的网络。
基于 MAC 划分：一般与认证相关，保证每个设备在不同的接入位置有相同网络访问权限。依据设备的 MAC 地址来确定其所属 VLAN。交换机通过学习网络中设备的 MAC 地址，并将其与特定的 VLAN 进行绑定。即便设备移动位置，由于 MAC 地址不变，它仍归属原 VLAN。该方式适用于设备移动性高的场景，但初始配置工作量大，需预先知晓所有设备 MAC 地址并手动绑定。例如，企业中有一些经常需要在不同办公区域移动使用的笔记本电脑，通过基于 MAC 地址划分 VLAN，无论这些笔记本电脑连接到哪个交换机端口，都能自动归属到相应的 VLAN，保证其网络访问权限和配置的一致性。
基于 IP 子网划分：按照设备的 IP 子网进行划分，将属于同一个 IP 子网的设备划分到同一个 VLAN。这种方式便于基于网络层地址进行管理，适合对网络安全和管理要求较高的场景。例如，企业不同部门使用不同 IP 子网时，可据此划分 VLAN。比如，财务部门使用 192.168.1.0/24 的 IP 子网，将所有使用该子网 IP 地址的设备划分到财务 VLAN；研发部门使用 192.168.2.0/24 的 IP 子网，将相应设备划分到研发 VLAN。这样，通过 IP 子网的划分，不仅可以实现不同部门网络的隔离，还便于进行基于 IP 地址的访问控制和网络管理。
基于协议划分：根据网络层协议类型（如 IP、IPX 等）划分 VLAN，如将使用 IPv4 协议的设备划分到一个 VLAN，使用 IPv6 协议的设备划分到另一个 VLAN 。这种方式适用于网络中有多种网络层协议共存的复杂场景，对网络层协议有较好的识别和管理能力。例如，在一个同时支持 IPv4 和 IPv6 的园区网络中，将使用 IPv4 协议的办公设备划分到一个 VLAN，将使用 IPv6 协议的物联网设备划分到另一个 VLAN，便于针对不同协议的设备进行分别管理和优化网络配置。
基于策略划分：结合端口、MAC 地址、IP 地址、应用程序等多种因素制定灵活策略划分 VLAN。例如规定来自特定 IP 地址段且连接在某些端口上、运行特定应用程序的设备属于一个 VLAN 。这是最灵活但配置和管理难度最大的方式，适用于对网络安全性和管理精细化要求极高的企业网络。比如，企业规定来自 192.168.1.0/24 网段且连接到交换机特定端口、运行财务软件的设备属于财务 VLAN，这样可以更精确地控制网络访问和数据安全。

（四）VLAN 的接口类型

Access 接口 ：常用于连接终端设备，如计算机、IP 电话等。它只允许一个 VLAN 的帧通过，接收不带标签的帧时会添加所属 VLAN 标签，发送帧时则移除 VLAN 标签，以普通以太网帧形式发送给终端设备。例如，一台计算机连接到交换机的 Access 接口，该接口被配置为属于 VLAN10。当计算机发送数据帧时，数据帧没有 VLAN 标签，Access 接口会为其添加 VLAN10 的标签后再转发；当交换机接收到发往该计算机的带有 VLAN10 标签的数据帧时，Access 接口会移除标签，将普通以太网帧发送给计算机。
Trunk 接口：主要用于交换机之间或交换机与路由器之间的连接，允许多个 VLAN 的帧通过，并保留帧的 VLAN 标签，可使多个 VLAN 数据通过一条物理链路传输，提高链路利用率。需配置允许通过的 VLAN 列表，只有列表中的 VLAN 帧才能通过该接口。例如，两台交换机之间通过 Trunk 接口连接，Trunk 接口配置允许 VLAN10、VLAN20 和 VLAN30 通过。当一台交换机要向另一台交换机发送属于 VLAN10 的数据帧时，该数据帧带着 VLAN10 的标签通过 Trunk 接口传输，另一台交换机接收到后，根据标签信息将数据帧转发到相应的 VLAN 端口。
Hybrid 接口：兼具 Access 和 Trunk 接口特点，功能更灵活，既能连接终端设备，也能连接其他交换机或路由器。它可允许多个 VLAN 的帧通过，并可根据配置决定是否为某些 VLAN 的帧移除标签，适用于园区网等复杂网络场景，满足不同部门既有隔离又有互通需求。例如，在园区网中，部分设备可能需要同时属于多个 VLAN 以实现特定的业务需求。Hybrid 接口可以配置为对于某些 VLAN 的帧在发送时移除标签，而对于其他 VLAN 的帧保留标签，从而实现不同 VLAN 之间的灵活互通和隔离。

#华为配置命令参考：

1. access vlan

interface GigabitEthernet0/0/1
port link-type access # 接口类型access
port default vlan 10 # 默认vlan为10，即该端口下终端发送到交换机的数据都将添加vlan10的标签

2.trunk vlan

port link-type trunk # 接口类型trunk
port trunk allow-pass vlan 10 20 # 允许带VLAN标签10 和 20 的数据帧通过

3. hybrid vlan

port link-type hybrid # 接口类型hybrid
port hybrid tagged vlan 10 20 # 允许带VLAN标签 10 和20的数据帧通过
port hybrid untagged vlan 30 # 带 VLAN 30 标签的数据帧移除标签，相当于access vlan 30

VLAN 技术通过对广播域的合理划分、数据转发的精确控制、多样化的划分方式、不同的接口类型以及对 VLAN 包的处理，全面优化了二层网络，实现了网络资源的高效利用，提升了网络性能、安全性与管理的灵活性，成为现代二层网络的核心技术。