[软考网规考点笔记]-局域网之VLAN

目录

• 一、前言
• 二、VLAN的基本概念
• • 1.基本概念
  • 2.核心特征
• 三、VLAN的划分方法
• • 1.静态分配VLAN
  • • 基本概念
    • 配置示例（华为）
  • 2.动态分配VLAN
  • • 基本概念
    • 基于MAC地址划分：
    • 配置示例（华为）
    • 动态VLAN数据通信过程
• 四、VLAN的核心优势
• • [1. 控制网络流量](#1. 控制网络流量)
  • [2. 提高网络安全性](#2. 提高网络安全性)
  • [3. 灵活的网络管理](#3. 灵活的网络管理)
• [五、IEEE 802.1q 帧格式](#五、IEEE 802.1q 帧格式)
• • [1. 802.1q帧结构](#1. 802.1q帧结构)
  • [2. 标记控制信息（TCI）结构](#2. 标记控制信息（TCI）结构)
• 六、总结
• • 静态VLAN
  • 动态VLAN
  • 考试核心内容
• 七、历年真题

一、前言

虚拟局域网（VLAN）是现代交换网络中的核心技术，它打破了物理位置对网络逻辑划分的限制。本文基于IEEE 802.1q标准，系统梳理VLAN的基本概念、静态与动态划分方法、核心优势以及帧标记格式。

二、VLAN的基本概念

1.基本概念

• 虚拟局域网（Virtual Local AreaNetwork，VLAN）

  • 是根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。

2.核心特征

• 与物理局域网具有同样的属性
• 工作站可以不属于同一个物理网段
• 任何交换端口都可以分配给某个VLAN
• 属于同一个VLAN的所有端口构成一个广播域
• 每个VLAN都是一个逻辑网络，发往VLAN之外的分组必须通过路由器进行转发
• VLAN技术允许网络管理员在逻辑上将同一台交换机或跨多台交换机的端口划分到不同的网络中，而不受物理布线的限制。
  

三、VLAN的划分方法

• 在交换机上实现VLAN，可以采用静态或动态两种方法。

1.静态分配VLAN

基本概念

• 定义：为交换机的各个端口指定所属的VLAN。
• 工作原理：基于端口的划分方法，把每个端口固定地分配给不同的VLAN。任何连接到该端口的设备，都属于该端口所在的VLAN。
• 特点：
  • 配置简单直观
  • 端口与VLAN的绑定关系固定
  • 适用于网络结构相对稳定的环境
• 适用场景：企业办公网络、机房服务器接入等设备位置相对固定的环境。

配置示例（华为）

• 配置步骤：

  • 1、创建VLAN

    <Huawei>system-view 
    [Huawei]vlan 10
    [Huawei-vlan10]quit
    [Huawei]

  • 2、将端口分配给VLAN（Access模式）

    [Huawei]interface GigabitEthernet 0/0/2
    [Huawei-GigabitEthernet0/0/2]port link-type access 
    [Huawei-GigabitEthernet0/0/2]port default vlan 10
    [Huawei-GigabitEthernet0/0/2]quit
    [Huawei]

  • 3、批量配置端口（可选）

    [Huawei]port-group vlan10
    [Huawei-port-group-vlan10]group-member GigabitEthernet 0/0/3 to GigabitEthernet0/0/10
    [Huawei-port-group-vlan10]port link-type access 
    [Huawei-port-group-vlan10]port default vlan 10
    [Huawei-port-group-vlan10]quit
    [Huawei]

  • 4、跨交换机实现同一VLAN

    [Huawei]interface GigabitEthernet  0/0/1
    [Huawei-GigabitEthernet0/0/1]port link-type trunk 
    [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
    [Huawei-GigabitEthernet0/0/1]quit
    [Huawei]

  • 5、验证配置结果
    

  • VLAN通信过程：

    • 数据进入交换机access口时，打上端口相应的vlan标签；出access口时，去掉相应的vlan标签。
    • 如果数据想通过trunk口去往另一台交换机，先看trunk口是否允许它通过（port trunk allow-pass vlanall），如果允许，就带着原来的vlan标签经过两台设备的trunk口，到达另一台交换机。
    • 到另一台交换机后，带着原始接口vlan标签的数据，找到目的主机的出口（access）后，从这个出口出去时，就会去掉相应的vlan标签。
    • 属于默认VLAN 1中的设备，在收到数据或转发数据时，是不打标签的。

• 总结：

  • 核心步骤为：创建VLAN → 配置Access端口 → 将端口分配给VLAN。跨交换机时需要配置Trunk端口并允许相应VLAN通过。

2.动态分配VLAN

基本概念

• 定义：根据设备的多种属性动态划分VLAN。

• 划分依据：MAC地址、网络层协议、网络层地址、IP广播域、管理策略

基于MAC地址划分：

• 这是目前应用最多、一般交换机都支持的方法。无论一台设备连接到交换网络的什么地方，接入交换机根据设备的MAC地址就可以确定该设备的VLAN成员身份。
• 优点：
  • 用户可以轻松地在网络中改变接入位置，而仍能访问所属的VLAN
• 缺点：
  • 当用户数量很多时，对每个用户设备分配VLAN的工作量是很大的管理负担
• 适用场景：用户经常变换接入位置的环境（如会议室、公共区域）、移动办公场景。

配置示例（华为）

• 配置步骤：

  • 第1步：创建VLAN

       <Huawei>system-view 
       [Huawei]vlan 10
       [Huawei-vlan10]quit
       [Huawei]

  • 第2步：配置MAC-VLAN映射表

    <Huawei>system-view 
    [Huawei]vlan 10
    [Huawei-vlan10]mac-vlan mac-address 5489-9839-685B
    [Huawei-vlan10]quit
    
    [Huawei]vlan 20
    [Huawei-vlan20]mac-vlan mac-address 5489-9821-026F
    [Huawei-vlan20]quit
    [Huawei]

  • 第3步：在接口上开启MAC-VLAN功能

    [Huawei]interface GigabitEthernet 0/0/2
    [Huawei-GigabitEthernet0/0/2]port link-type hybrid 
    [Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20     发送属于VLAN 10或VLAN 20的数据帧时，把帧中的VLAN标签去掉	
    [Huawei-GigabitEthernet0/0/2]mac-vlan enable 
    [Huawei-GigabitEthernet0/0/2]

  • 第4步：验证配置

     [Huawei]display mac-vlan vlan 10    # 查看属于vlan 10 的MAC-VLAN表项

    

    [Huawei]display vlan 10    # 查看VLAN 10的详细信息

    

    [Huawei]display mac-address   # 查看交换机学习到的MAC地址表

    

动态VLAN数据通信过程

• 当数据进入交换机hybrid口时，交换机会查询MAC-VLAN映射表,如果查到表中记录的源设备的MAC地址所对应的VLAN，就会给数据打上相应的vlan标签；如果MAC-VLAN映射表中查询不到对应的地址，就按默认vlan 1的方式进行通信。

• 如果数据想通过trunk口去往另一台交换机，先看trunk口是否允许它通过（port trunk allow-pass vlanall），如果允许，就带着原来的vlan标签经过两台设备的trunk口，到达另一台交换机。

• 到另一台交换机后，交换机的目标端口有两种可能得情况：第一种是目标端口配置access模式，且vlan与原始数据中携带的vlan一致，那数据会直接交给这个端口，出端口时会去掉vlan标签；第二种情况是目标端口配置的是hybird模式，交换机会查询MAC-VLAN映射表，确认这个端口上连接的设备属于该VLAN，且端口配置了 untagged 模式， 就把数据取掉VLAN标签，从这个端口转发出去。

• 属于默认VLAN 1中的设备，在收到数据或转发数据时，是不打标签的。

四、VLAN的核心优势

• 把物理网络划分成VLAN，带来以下三大好处：

1. 控制网络流量

• VLAN将一个大的广播域分割成多个小的广播域。广播帧只在本VLAN内部传播，不会扩散到其他VLAN，减少广播流量对网络带宽的占用，提高网络整体性能

2. 提高网络安全性

• 不同VLAN之间的通信必须通过路由器（或三层交换机）进行转发，形成了逻辑隔离：可以基于VLAN设置访问控制策略，敏感数据所在的VLAN可与其他VLAN隔离，降低数据泄露风险

3. 灵活的网络管理

• VLAN打破了物理位置对网络划分的限制：
  • 同一部门的人员即使分散在不同楼层，也可以划分到同一个VLAN
  • 人员调动时，只需修改端口所属VLAN，无需重新布线

五、IEEE 802.1q 帧格式

• IEEE 802.1q 定义了VLAN帧标记的格式，在原来的以太帧中增加了4个字节的标记（Tag）字段。

1. 802.1q帧结构

• 目的地址（DA）：6字节
• 源地址（SA）：6字节
• 标记（Tag）：4字节
• 类型/长度：2字节
• 数据：≤1500字节
• 帧校验序列（FCS）：4字节

2. 标记控制信息（TCI）结构

• Tag字段中的标记控制信息（Tag Control Information，TCI）包含三个部分：
• TPID（Tag Protocol Identifier）：16位（2字节），固定值0x8100，用于标识该帧为802.1q VLAN帧。
• Priority（优先级）：3位，用于服务质量（QoS）优先级标识，取值范围0~7。
• CFI（Canonical Format Indicator）：1位，用于标识MAC地址格式（以太网或令牌环网）。
• VID（VLAN Identifier）：12位，用于标识VLAN编号，取值范围1~4094（0和4095保留）。
  

六、总结

静态VLAN

• 划分依据：交换机端口
• 配置复杂度：低
• 灵活性：较低（端口固定）
• 管理开销：低
• 适用场景：设备位置固定的环境

动态VLAN

• 划分依据：MAC地址、网络协议等
• 配置复杂度：较高
• 灵活性：高（设备可漫游）
• 管理开销：高（用户数量多时）
• 适用场景：用户频繁移动的环境

考试核心内容

• 理解广播域概念：VLAN的本质是分割广播域，这是理解VLAN价值的基础。
• 掌握802.1q帧格式：Tag字段中4个字节的划分（TPID 16位 + TCI 16位）是考试重点。
• 区分静态与动态划分：静态基于端口，动态基于MAC地址（最常见），两者适用场景不同。
• 记住VID范围：1~4094，共4094个可用VLAN。

七、历年真题

• 2014 年下半年 - 第 20 题

题目： 按照网络分层设计模型，通常把局域网设计为3层，即核心层、汇聚层和接入层，以下关于分层网络功能的描述中，不正确的是（ ）。

备选答案：

A.核心层设备负责数据包过滤、策略路由等功能

B.汇聚层完成路由汇总和协议转换功能

C.接入层应提供一部分管理功能，例如MAC地址认证、计费管理等

D.接入层要负责收集用户信息，例如用户IP地址、MAC地址、访问日志等

正确答案： A

解析： 本题考察局域网三层分层设计（核心层、汇聚层、接入层）中各层的功能划分。核心层主要负责高速数据转发，不应配置复杂的数据包过滤、策略路由等功能，这些功能通常由汇聚层或边界设备承担。

• 2018 年下半年 - 第 38 题

题目： 该实验室采购了一台具有VLAN功能的两层交换机，用于搭建实验室有线局域网，实现三个项目组的网络隔离。初期考虑到项目组位置固定且有一定的人员流动，搭建实验室局域网时宜采用的VLAN划分方法是（ ）。

备选答案：

A.基于端口

B.基于MAC地址

C.基于网络地址

D.基于IP组播

正确答案： A

解析： 本题考察静态VLAN划分方法（基于端口）。当项目组位置固定时，基于端口的VLAN划分最为简单直接，将每个端口固定分配给指定VLAN即可实现隔离，配置简单，管理开销小。

• 2018 年下半年 - 第 39 题

题目： 随着项目进展及人员流动加剧，项目组区域已经不再适合基于区域聚集原则进行划分，而且项目组长或负责人也需要能够同时加入到不同的VLAN中。此时宜采用的VLAN划分方法是（ ）。

备选答案：

A.基于端口

B.基于MAC地址

C.基于网络地址

D.基于IP组播

正确答案： B

解析： 本题考察动态VLAN划分方法（基于MAC地址）。当用户位置频繁变动且需要同时属于多个VLAN时，基于MAC地址的VLAN划分最为合适。无论用户接入哪个端口，交换机根据其MAC地址自动将其划分到所属VLAN，实现"随行网络"。

• 2018 年下半年 - 第 40 题

题目： 在项目后期阶段，三个项目组需要进行联合调试，因此需要实现三个VLAN间的互联互通。目前有两种方案：方案一采用独立路由器方式，方案二采用三层交换机方式。与方案一相比，下列叙述中不属于方案二优点的是（ ）。

备选答案：

A.VLAN间数据帧要被解封成IP包再进行传递

B.三层交换机具有路由功能，可以直接实现多个VLAN之间的通信

C.不需要对所有的VLAN数据包进行解封、重新封装操作

D.三层交换机实现VLAN间通信是局域网设计的常用方法

正确答案： A

解析： 本题考察VLAN间路由的实现方式对比。方案二（三层交换机）实现VLAN间通信时，数据包在硬件层面进行路由转发，效率高。选项A描述的是方案一（独立路由器）的特点，不属于三层交换机的优点。

• 2021 年下半年 - 第 38 题

题目： 某高校计划采用扁平化的网络结构。为了限制广播域、解决VLAN资源紧缺的问题，学校计划采用QinQ(802.1Q-in-802.1Q)技术对接入层网络进行端口隔离。以下关于QinQ技术的叙述中，错误的是（ ）。

备选答案：

A.一旦在端口启用了QinQ，单层VLAN的数据报文将没有办法通过

B.QinQ技术标准出自IEEE 802.1ad

C.QinQ技术扩展了VLAN数目，使VLAN的数目最多可达4094×4094个

D.QinQ技术分为基本QinQ和灵活QinQ两种

正确答案： A

解析： 本题考察QinQ（802.1Q-in-802.1Q）技术。QinQ在原有802.1Q标签基础上增加一层新的VLAN标签，单层VLAN的数据报文仍然可以通过（作为内层标签透传），选项A说法错误。QinQ标准出自IEEE 802.1ad，VLAN数量扩展至4094×4094个，分为基本QinQ和灵活QinQ两种。