1、问题描述 

冲突域问题：所有用户在一个区域中，同一时间只能由一台主机发送信息；任意主机之间都能相互访问，无法控制信息安全。 

解决：使用交换机。

广播域问题：任意设备都能接受到所有报文，降低网络效率和安全性。 

解决：使用交换机的基础上，使用VLAN技术。

2、虚拟局域网（Virtual Local Area Network） 

VLAN把一个物理上的LAN在逻辑上划分成多个广播域。同一个VLAN内的主机可以相互通信，不同VLAN内的主机不能相互通信。这样，广播豹纹就被限制在了一个VLAN内，提高了网络的安全性。

3、接口类型 

1）Access 

access接口是交换机上用来连接用户主机的借口。 

一个VLAN下可以有多个access接口，连接多台主机。

tag：接受主机发来的数据帧时，该数据帧没有VLAN标签，给其加上与PVID（Port Vlan ID）一致的VLAN标签。
untag：发送一个数据帧给主机时，此时每一个数据帧都是有VLAN标签的，检查该帧的VLAN标签是否与PVID一致，若一致，去掉该VLAN标签后，去掉VLAN标签后，发送该帧给主机；若不一致，则丢弃该帧。
2）Trunk 

trunk接口是用来连接多个VLAN的接口，可属于多个VLAN，用与VLAN间通信。

tag：接受数据帧时，若该帧不包含802.1Q的VLAN标签，则打上该trunk端口的PVID；若包含，则不改变。
untag：发送数据帧时，若该帧的VLAN标签与端口的PVID不一致，则检查策略，是否允许该VLAN通过，允许则直接透传，不允许则丢弃；若该帧的VLAN标签与PVID一致，则去除VLAN标签后，转发。
3）Hybrid接口 

 综合里Access和Trunk接口的功能。

4、VLAN间路由 

1）单臂路由 

2）三层交换机

VLAN简介
定义：
VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。
目的：
以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。
作用：

限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN的基本概念
VLAN标签：
要使设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。
VLAN帧格式：

图：VLAN数据帧格式
字段解释：




字段
长度
含义
取值




TPID
2Byte
Tag Protocol Identifier（标签协议标识符），表示数据帧类型。
表示帧类型，取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。    各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时， 为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。


PRI
3bit
Priority，表示数据帧的802.1Q优先级。
取值范围为0～7，值越大优先级越高。当网络阻塞时，设备优先发送优先级高的数据帧。


CFI
1bit
Canonical Format Indicator（标准格式指示位），表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网。
CFI取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装。在以太网中，CFI的值为0。


VID
12bit
VLAN ID，表示该数据帧所属VLAN的编号。
VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。



设备利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内。

常用设备收发数据帧的VLAN标签情况：
在一个VLAN交换网络中，以太网帧主要有以下两种格式：

有标记帧（Tagged帧）：加入了4字节VLAN标签的帧。
无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧。

常用设备中：

用户主机、服务器、Hub只能收发Untagged帧。
交换机、路由器和AC既能收发Tagged帧，也能收发Untagged帧。
语音终端、AP等设备可以同时收发一个Tagged帧和一个Untagged帧。

为了提高处理效率，设备内部处理的数据帧一律都是Tagged帧。
链路类型和接口类型：
设备内部处理的数据帧一律都带有VLAN标签，而现网中的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的设备上，且跨越设备的VLAN可能不止一个，如果需要用户间的互通，就需要设备间的接口能够同时识别和发送多个VLAN的数据帧。
为了适应不同的连接和组网，设备定义了Access接口、Trunk接口和Hybrid接口3种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型。
链路类型：
根据链路中需要承载的VLAN数目的不同，以太网链路分为：


接入链路
接入链路只可以承载1个VLAN的数据帧，用于连接设备和用户终端（如用户主机、服务器等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。


干道链路
干道链路可以承载多个不同VLAN的数据帧，用于设备间互连。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。


接口类型：
根据接口连接对象以及对收发数据帧处理的不同，以太网接口分为：


Access接口
Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。它只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。


Trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。


Hybrid接口
Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。
Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如一个接口连接不同VLAN网段的场景中，因为一个接口需要给多个Untagged报文添加Tag，所以必须使用Hybrid接口。


缺省VLAN：
缺省VLAN又称PVID（Port Default VLAN ID）。前面提到，设备处理的数据帧都带Tag，当设备收到Untagged帧时，就需要给该帧添加Tag，添加什么Tag，就由接口上的缺省VLAN决定。
接口收发数据帧时，对Tag的添加或剥除过程。

对于Access接口，缺省VLAN就是它允许通过的VLAN，修改缺省VLAN即可更改接口允许通过的VLAN。
对于Trunk接口和Hybrid接口，一个接口可以允许多个VLAN通过，但是只能有一个缺省VLAN。接口的缺省VLAN和允许通过的VLAN需要分别配置，互不影响。

同类型接口添加或剥除VLAN标签的比较：




接口类型
对接收不带Tag的报文处理
对接收带Tag的报文处理
发送帧处理过程




Access接口
接收该报文，并打上缺省的VLAN ID。
当VLAN ID与缺省VLAN ID相同时，接收该报文。当VLAN ID与缺省VLAN ID不同时，丢弃该报文。
先剥离帧的PVID Tag，然后再发送。


Trunk接口
打上缺省的VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。打上缺省的VLAN ID，当缺省VLAN ID不在允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID与缺省VLAN ID相同，且是该接口允许通过的VLAN ID时，去掉Tag，发送该报文。当VLAN ID与缺省VLAN ID不同，且是该接口允许通过的VLAN ID时，保持原有Tag，发送该报文。


Hybrid接口
打上缺省的VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。打上缺省的VLAN ID，当缺省VLAN ID不在允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID是该接口允许通过的VLAN ID时，发送该报文。可以通过命令设置发送时是否携带Tag。




当接收到不带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会给数据帧打上VLAN标签，但Trunk接口、Hybrid接口会根据数据帧的VID是否为其允许通过的VLAN来判断是否接收，而Access接口则无条件接收。


当接收到带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会根据数据帧的VID是否为其允许通过的VLAN（Access接口允许通过的VLAN就是缺省VLAN）来判断是否接收。


当发送数据帧时：

Access接口直接剥离数据帧中的VLAN标签。
Trunk接口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。
Hybrid接口会根据接口上的配置判断是否剥离数据帧中的VLAN标签。

因此，Access接口发出的数据帧肯定不带Tag，Trunk接口发出的数据帧只有一个VLAN的数据帧不带Tag，其他都带VLAN标签，Hybrid接口发出的数据帧可根据需要设置某些VLAN的数据帧带Tag，某些VLAN的数据帧不带Tag。


VLAN通信
VLAN内互访：
同一VLAN内用户互访（简称VLAN内互访）会经过如下三个环节。


用户主机的报文转发
源主机在发起通信之前，会将自己的IP与目的主机的IP进行比较，如果两者位于同一网段，会获取目的主机的MAC地址，并将其作为目的MAC地址封装进报文；如果两者位于不同网段，源主机会将报文递交给网关，获取网关的MAC地址，并将其作为目的MAC地址封装进报文。


设备内部的以太网交换
设备

如果目的MAC地址+VID匹配自己的MAC表且三层转发标志置位，则进行三层交换，会根据报文的目的IP地址查找三层转发表项，如果没有找到会将报文上送CPU，由CPU查找路由表实现三层转发。
如果目的MAC地址+VID匹配自己的MAC表但三层转发标志未置位，则进行二层交换，会直接将报文根据MAC表的出接口发出去。
如果目的MAC地址+VID没有匹配自己的MAC表，则进行二层交换，此时会向所有允许VID通过的接口广播该报文，以获取目的主机的MAC地址。



设备之间交互时，VLAN标签的添加和剥离
设备内部的以太网交换都是带Tag的，为了与不同设备进行成功交互，设备需要根据接口的设置添加或剥除Tag。不同接口VLAN标签添加和剥离情况不同。


从以太网交换原理可以看出，划分VLAN后，广播报文只在同一VLAN内二层转发，因此同一VLAN内的用户可以直接二层互访。根据属于同一VLAN的主机是否连接在不同的设备，VLAN内互访有两种场景：同设备VLAN内互访和跨设备VLAN内互访。
同设备VLAN内互访：
如下图所示，用户主机Host_1和Host_2连接在同台设备上，属于同一VLAN2，且位于相同网段，连接接口均设置为Access接口。

（假设Router上还未建立任何转发表项）。



Host_1判断目的IP地址跟自己的IP地址在同一网段，于是发送ARP广播请求报文获取目的主机Host_2的MAC地址，报文目的MAC填写全F，目的IP为Host_2的IP地址10.1.1.3。
报文到达Router的接口IF_1，发现是Untagged帧，给报文添加VID=2的Tag（Tag的VID=接口的PVID），然后根据报文的源MAC地址、VID和报文入接口（1-1-1， 2， IF_1）生成MAC表。
根据报文目的MAC地址+VID查找Router的MAC表，没有找到，于是在所有允许VLAN2通过的接口（本例中接口为IF_2）广播该报文。
Router的接口IF_2在发出ARP请求报文前，根据接口配置，剥离VID=2的Tag。
Host_2收到该ARP请求报文，将Host_1的MAC地址和IP地址对应关系记录ARP表。然后比较目的IP与自己的IP，发现跟自己的相同，就发送ARP响应报文，报文中封装自己的MAC地址2-2-2，目的IP为Host_1的IP地址10.1.1.2。
Router的接口IF_2收到ARP响应报文后，同样给报文添加VID=2的Tag。
Router根据报文的源MAC地址、VID和报文入接口（2-2-2， 2， IF_2）生成MAC表，然后根据报文的目的MAC地址+VID（1-1-1， 2）查找MAC地址表，由于前面已记录，查找成功，向出接口IF_1转发该ARP响应报文。
Router向出接口IF_1转发前，同样根据接口配置剥离VID=2的Tag。
Host_1收到Host_2的ARP响应报文，将Host_2的MAC地址和IP地址对应关系记录ARP表。

后续Host_1与Host_2的互访，由于彼此已学习到对方的MAC地址，报文中的目的MAC地址直接填写对方的MAC地址。
此组网场景下，当同一VLAN的用户处于不同网段时，主机将在报文中封装网关的MAC地址，可借助VLANIF技术（需配置主从IP地址）实现互访。
跨设备VLAN内互访：
如下图，用户主机Host_1和Host_2连接在不同的设备上，属于同一个VLAN2，且位于相同网段。为了识别和发送跨越设备的数据帧，设备间通过干道链路连接。


当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router_1和Router_2上还未建立任何转发表项）。

经过与同设备VLAN内互访的步骤1～2一样的过程后，报文被广播到Router_1的IF_2接口。
Router_1的IF_2接口在发出ARP请求报文前，因为接口的PVID=1（缺省值），与报文的VID不相等，直接透传该报文到Router_2的IF_2接口，不剥除报文的Tag。
Router_2的IF_2接口收到该报文后，判断报文的Tag中的VID=2是接口允许通过的VLAN，接收该报文。
经过与同设备VLAN内互访的步骤3～6一样的过程后，Router_2将向其出接口IF_2转发Host_2的ARP响应报文，转发前，因为接口IF_2为Trunk接口且PVID=1（缺省值），与报文的VID不相等，直接透传报文到Router_1的IF_2接口。
Router_1的IF_2接口收到Host_2的ARP响应报文后，判断报文的Tag中的VID=2是接口允许通过的VLAN，接收该报文。后续处理同同设备VLAN内互访的步骤7～9一样。

可见，干道链路除可传输多个VLAN的数据帧外，还起到透传VLAN的作用，即干道链路上，数据帧只会转发，不会发生Tag的添加或剥离。
VLAN间互访：
划分VLAN后，由于广播报文只在同VLAN内转发，所以不同VLAN的用户间不能二层互访，这样能起到隔离广播的作用。但实际应用中，不同VLAN的用户又常有互访的需求，此时就需要实现不同VLAN的用户互访，简称VLAN间互访。
同VLAN间互访一样，VLAN间互访也会经过用户主机的报文转发、设备内部的以太网交换、设备之间交互时VLAN标签的添加和剥离三个环节。同样，根据以太网交换原理，广播报文只在同一VLAN内转发，不同VLAN内的用户则不能直接二层互访，需要借助三层路由技术或VLAN转换技术才能实现互访。
VLAN间互访技术：
华为提供了多种技术实现VLAN间互访，常用的两种技术为VLANIF接口和Dot1q终结子接口。


VLANIF接口
VLANIF接口是一种三层的逻辑接口。在VLANIF接口上配置IP地址后，设备会在MAC地址表中添加VLANIF接口的MAC地址+VID表项，并且为表项的三层转发标志位置位。当报文的目的MAC地址匹配该表项后，会进行三层转发，进而实现VLAN间的三层互通。
VLANIF配置简单，是实现VLAN间互访最常用的一种技术。但每个VLAN需要配置一个VLANIF，并在接口上指定一个IP子网网段，比较浪费IP地址。


Dot1q终结子接口
子接口也是一种三层的逻辑接口。跟VLANIF接口一样，在子接口上配置Dot1q终结功能和IP地址后，设备也会添加相应的MAC表项并置位三层转发标志位，进而实现VLAN间的三层互通。
Dot1q终结子接口适用于通过一个三层以太网接口下接多个VLAN网络的环境。由于不同VLAN的数据流会争用同一个以太网主接口的带宽，网络繁忙时，会导致通信瓶颈。


通过VLANIF接口实现VLAN间互访，必须要求VLAN间的用户都只能处于不同的网段（因为相同网段，主机会封装目的主机的MAC地址，设备判断进行二层交换，二层交换只在同VLAN内，广播报文无法到达不同的VLAN，获取不到目的主机的MAC地址，也就无法实现互通）。现网中，也存在不同VLAN相同网段的组网需求，此时可通过VLAN聚合实现。
VLAN聚合（又称Super VLAN）通过引入Super-VLAN和Sub-VLAN，将一个Super-VLAN和多个Sub-VLAN关联，多个Sub-VLAN共享Super-VLAN的IP地址作为其网关IP，实现与外部网络的三层互通；并通过在Sub-VLAN间启用Proxy ARP，实现Sub-VLAN间的三层互通，进而即节约IP地址资源，又实现VLAN间的三层互通。
VLAN聚合通常用于多个VLAN共用一个网关的组网场景。
同设备VLAN间互访：
如下图：互访的源主机Host_1和目的主机Host_2连接在同一台设备Router上，分别属于VLAN2和VLAN3，并位于不同的网段。在Router上分别创建VLANIF2和VLANIF3并配置其IP地址，然后将用户主机的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。

当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router上还未建立任何转发表项）。

Host_1判断目的IP地址跟自己的IP地址不在同一网段，因此，它发出请求网关MAC地址的ARP请求报文，目的IP为网关IP 10.1.1.1，目的MAC为全F。
报文到达Router的接口IF_1，Router给报文添加VID=2的Tag（Tag的VID=接口的PVID），然后将报文的源MAC地址+VID与接口的对应关系（1-1-1， 2， IF_1）添加进MAC表。
Router检查报文是ARP请求报文，且目的IP是自己VLANIF2接口的IP地址，给Host_1应答，并将VLANIF2接口的MAC地址3-3-3封装在应答报文中，应答报文从IF_1发出前，剥掉VID=2的Tag。同时，Router会将Host_1的IP地址与MAC地址的对应关系记录到ARP表。
Host_1收到Router的应答报文，将Router的VLANIF2接口的IP地址与MAC地址对应关系记录到自己的ARP表中，并向Router发送目的MAC为3-3-3、目的IP为Host_2的IP地址 10.2.2.2的报文。
报文到达Router的接口IF_1，同样给报文添加VID=2的Tag。
Router根据报文的源MAC地址+VID与接口的对应关系更新MAC表，并比较报文的目的MAC地址与VLANIF2的MAC地址，发现两者相等，进行三层转发，根据目的IP查找三层转发表，没有找到匹配项，上送CPU查找路由表。
CPU根据报文的目的IP去找路由表，发现匹配了一个直连网段（VLANIF3对应的网段），于是继续查找ARP表，没有找到，Router会在目的网段对应的VLAN3的所有接口发送ARP请求报文，目的IP是10.2.2.2。从接口IF_2发出前，根据接口配置，剥掉VID=2的Tag。
Host_2收到ARP请求报文，发现请求IP是自己的IP地址，就发送ARP应答报文，将自己的MAC地址包含在其中。同时，将VLANIF3的MAC地址与IP地址的对应关系记录到自己的ARP表中。
Router的接口IF_2收到Host_2的ARP应答报文后，给报文添加VID=3的Tag，并将Host_2的MAC和IP的对应关系记录到自己的ARP表中。然后，将Host_1的报文转发给Host_2，发送前，同样剥离报文中的Tag。同时，将Host_2的IP、MAC、VID及出接口的对应关系记录到三层转发表中。

至此，Host_1完成对Host_2的单向访问。Host_2访问Host_1的过程与此类似。这样，后续Host_1与Host_2之间的往返报文，都先发送给网关Router，由Router查三层转发表进行三层转发。
跨设备VLAN间互访：
由于VLANIF接口的IP地址只能在设备上生成直连路由，当不同VLAN的用户跨多台设备互访时，除配置VLANIF接口的IP地址外，还需要配置静态路由或运行动态路由协议。
如下图所示，互访的源主机Host_1和目的主机Host_2连接在不同的设备Router_1和Router_2上，分别属于VLAN2和VLAN3，并位于不同的网段。在Router_1上分别创建VLANIF2和VLANIF4，配置其IP地址为10.1.1.1和10.1.4.1；在Router_2上分别创建VLANIF3和VLANIF4，配置其IP地址为10.1.2.1和10.1.4.2，并在Router_1和Router_2上分别配置静态路由。Router_1上静态路由的目的网段是10.1.2.0/24，下一跳是10.1.4.2；Router_2上静态路由的目的网段是10.1.1.0/24，下一跳是10.1.4.1。

当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router_1和Router_2上还未建立任何转发表项）。

与同设备VLAN间互访的步骤1～6一样，经过“Host_1比较目的IP地址—>Host_1查ARP表—>Host_1获取网关MAC地址—>Host_1将发给Host_2的报文送到Router_1—>Router_1查MAC表—>Router_1查三层转发表”的过程，Router_1上送CPU查找路由表。
Router_1的CPU根据报文的目的IP 10.1.2.2去找路由表，发现匹配了一个路由网段10.1.2.0/24（VLANIF3对应的网段），下一跳IP地址为10.1.4.2，于是继续查找ARP表，没有找到，Router_1会在下一跳IP地址对应的VLAN4的所有接口发送ARP请求报文，目的IP是10.1.4.2。报文从Router_1的接口IF_2发出前，根据接口配置，直接透传该报文到Router_2的IF_2接口，不剥除报文的Tag。
ARP请求报文到达Router_2后，发现目的IP为VLANIF4接口的IP地址，给Router_1回应，填写VLANIF4接口的MAC地址。
Router_2的ARP响应报文从其IF_2接口直接透传到Router_1，Router_1接收后，记录VLANIF4的MAC地址与IP地址的对应关系到ARP表项。
Router_1将Host_1的报文转发给Router_2，报文的目的MAC修改为Router_2的VLANIF4接口的MAC地址，源MAC地址修改自己的VLANIF4接口的MAC地址，并将刚用到的转发信息记录在三层转发表中（10.1.2.0/24，下一跳IP的MAC地址， 出口VLAN， 出接口）。同样，报文是直接透传到Router_2的IF_2接口。
Router_2收到Router_1转发的Host_1的报文后，与同设备VLAN间互访的步骤6～9一样，经过“查MAC表—>查三层转发表—>送CPU—>匹配直连路由—>查ARP表并获取Host_2的MAC地址—>将Host_1的报文转发给Host_2”的过程，同时将Host_2的IP地址、MAC地址、出口VLAN、出接口记录到三层转发表项。

VLAN Damping：
VLAN抑制
如果指定VLAN已经创建对应的VLANIF接口，当VLAN中所有接口状态变为Down而引起VLAN状态变为Down时，VLAN会向VLANIF接口上报接口Down状态，从而引起VLANIF接口状态变化。
为避免由于VLANIF接口状态变化引起的网络震荡，可以在VLANIF接口上启动VLAN Damping功能，抑制VLANIF接口状态变为Down的时间。
当使能VLAN Damping功能，VLAN中最后一个处于Up状态的接口变为Down后，会抑制一定时间（抑制时间可配置）再上报给VLANIF接口。如果在抑制时间内VLAN中有接口Up，则VLANIF接口状态保持Up状态不变。即VLAN Damping功能可以适当延迟VLAN向VLANIF接口上报接口Down状态的时间，从而抑制不必要的路由震荡。
VLAN内二层隔离：
为了实现用户之间的二层隔离，可以将不同的用户加入不同的VLAN。但若企业规模很大，拥有大量的用户，那么就要为不能互相访问的用户都分配VLAN，这不但需要耗费大量的VLAN，还增加了网络管理者配置和维护的工作量。
为此，华为提供了一些VLAN内二层隔离技术，如端口隔离、MUX VLAN和基于MQC的VLAN内二层隔离等。
端口隔离：
端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间的二层隔离，不同隔离组的端口之间或者不属于任何隔离组的端口与其他端口之间都能进行正常的数据转发。同时，用户还可以通过配置实现端口的单向隔离，为用户提供更安全、更灵活的组网方案。
MUX VLAN：
MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通信，也可实现VLAN内的用户相互隔离。
比如，企业有如下需求：

要求企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。
要求企业员工和企业客户都可以访问企业的服务器。

此种场景，通过部署MUX-VLAN就可以实现。
基于流策略的VLAN内二层隔离：
流策略是将流分类和流行为关联后形成的完整的QoS策略。基于流策略的VLAN内二层隔离指用户可以根据匹配规则对报文进行流分类，然后通过流策略将流分类与permit/deny动作相关联，使符合流分类的报文被允许或被禁止通过，从而实现灵活的VLAN内单向或双向隔离。
VLAN间三层隔离：
VLAN间实现三层互通后，两VLAN内的所有用户之间都可以互相访问，但某些场景中，需要禁止部分用户之间的互访或者只允许用户单向访问，比如用户主机和服务器之间一般是单向访问、企业的访客一般只允许上网和访问部分服务器等。此时，就需要配置VLAN间互访控制。
VLAN间互访控制一般通过流策略实现。用户可根据实际需求定义匹配规则对报文进行流分类，然后通过流策略将流分类与permit/deny动作相关联，使符合流分类的报文被允许或禁止通过，从而实现灵活的VLAN间互访控制。
管理VLAN：
当用户通过远端网管集中管理设备时，需要在设备上通过VLANIF接口配置IP地址作为设备管理IP，通过管理IP来STelnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN，也可以访问该设备，增加了设备的不安全因素。
这种情况下可以配置VLAN为管理VLAN（与管理VLAN对应，没有指定为管理VLAN的VLAN称为业务VLAN），不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户，限制这两种类型接口加入管理VLAN后，与该接口相连的用户就无法访问该设备，从而增加了设备的安全性。


参考文档：华为HedEx文档

VLAN(Virtual LAN)虚拟局域网技术



通过VLAN这一技术可以将一个物理局域网划分为多个虚拟的逻辑局域网，每一个虚拟局域网之间是隔离的，并且每一个虚拟局域网是一个单独的广播域。



·VLAN可以隔离2层的广播域。



·A VLAN ＝（一个） 广播域　＝　（一个）逻辑子网

  

·使用VLAN好处：

　1.有效的带宽利用

　2.提高了安全性

　3.隔离故障域i 



VLAN有两种类型：

1、端到端的VLAN：

  可以扩展到整个网络的VLAN



2、本地VLAN:

  局限于特定域的VLAN，只在本接入层交换机或小范围的分布层之间起作用。

　在单个配线架之内的单台接入交换机上配置最少数目的VLAN，而不是在单台交换机上配置多个部门的VLAN。



VLAN的成员模式：分两种



·静态VLAN（也叫基于端口的VLAN）：

　手工配置交换机端口，将其分配进特定的VLAN。

　只要接到这个端口的设备就属于此VLAN。

Sw1#show cdp neighbors detail



·动态VLAN：

  需要先在网络中部署一台VMPS服务器。，在服务器上要先保存每一个MAC地址和VLAN的映射。

  交换机事先并没有将接口固定的分配进某个VLAN，而是在接口有电脑接入时，再根据收到的MAC地址向VMPS服务器查询，然后根据已经输入到VMPS（VLAN Management Policy Server)中的源MAC地址来分配VLAN。来决定应该将接口分配进哪一个VLAN。

Sw1(config)#vmps server 192.168.1.1

 

·VLAN的范围：

　根据平台和软件版本不同，Cisco交换机最多支持4096个VLAN。

  VLAN号共有4096个，0-4095



　0,4095：这两个号保留，仅限系统使用。用户不能查看。

　1：CISCO默认VLAN，不能删除。

　2－1001：用于以太网的VLAN，用户可根据这一段号码自己创建VLAN

　1002－1005：用于FDDI和令牌环的默认VLAN，不能删除。

　1006－4094：仅用于以太网的VLAN.  扩展的VLAN，只有3550以上的交换机才能配，且必须将VTP模式设为透明模式。





＜创建VLAN＞



VLAN的配置分为全局配置模式和数据库配置模式（只能支持1-1005个VLAN）



一、Sw1(config)#vlan 2

　　Sw1(config-vlan)#name WOLF



Sw1#show vlan 

Sw1#show vlan brief 



二、Sw3#vlan database (此命令在老版本中使用，新版本可直接写vlan)此命令在特权模式下用

Sw3(vlan)#vlan 3 name CCIE

Sw3(vlan)#exit

　　创建完VLAN后，一定要写exit，否则不生效。



＜同一交换机VLAN内通信＞



1）在Sw1上将R1＆R2连到Sw的端口都划入VLAN 2

　Sw1(config)#int f0/6

　Sw1(config-if)#switchport mode access     （指定为接入端口）

　Sw1(config-if)#switchport access vlan 2   （将接口划入VLAN2）

(假如没有创建vlan直接打此命令会自动创建此vlan)

　

　Sw1(config-if)#switchport host  将端口配置为主机设备所使用，配置后默认对端口启用portfast和禁用ehterchannel特性



  Sw1#show interfaces f0/6 switchport   查看接口的的模式，封装等信息，常用命令。



·将多个不连续端口同时加入同一个VLAN：

　Sw1(config)#interface range fastEthernet 0/1 , fastEthernet 0/5



·将多个连续端口同时加入同一个VLAN：

　Sw1(config)#interface range fastEthernet 0/1 - 15

  Sw1(config)#interface range fastethernet 0/1 - 15,fastethernet 0/17 - 22



注意：一旦删除了VLAN，需要手动将端口移动到别的VLAN，否则这些接入端口将进入“非活跃”状态。使用show vlan brie  查看的时候将看不到。



-----------------------------------------------------------------------------------------

＜VLAN　Trunk＞



·Trunk：在单条物理链路上承载多个VLAN的流量。

  一般用在交换机与交换机之间。



·Trunk运用的2种协议：

　802.1Q：基本标准的IEEE协议，属业界标准。

　ISL（Inter-Switch Link）：Cisco专有的Trunk封装方式。



·ISL（Inter-Switch Link）：

　26（报头）＋4（CRC)＝30Bytes     （CRC：Cyclic Redundancy Check）

　Vlan ID 一共有15个bit，但只用到10个bit，2^10=1024字节

  所以，ISL最多只能支持1024个VLAN

　Sw2940/2950接口不支持ISL封装，仅支持802.1Q

  在SW3550中，接口强行起Trunk模式，必须先指定一种封装模式



　MTU：1548 bytes

　如果设备接收到没有被封装的帧，那么ISL将丢弃这些帧，而且所有帧都要封装



 

·802.1Q：

 

Dest Src 
Len/Etype Data
FCS  

  

Dest Src 
Tag  



在SM和Type字段之间插入4个字节的Tag字段，并将原有的FCS重写。

　（FCS：Frame Check Sequence)

　MTU：1522 bytes



  使用12个bit来表示VLAN-ID，所以最多可支持4096个VLAN



·对比ISL，802.1Q有如下好处：

　1.具有更低的开销，因此转发效率略高，（4/30 bytes)

　2.业界标准，有更广泛的支持。

　3.支持Qos的802.1p字段。（就是Tag中的3bit的PRI位）

　

　如果不支持802.1Q的设备接收到此帧，该设备将忽略帧中的Tag，当作标准的以太网帧转发。





·Native VLANs

 在802.1Q中允许设定一个Native VLANs，这个VLAN中的流量不用打tag，本技术是dot1q中才有的。



　802.1Q把Untag的帧定义为Native VLAN。（默认是VLAN1）一个小的优化方法，指定的VLAN数据在传输过程中不用打上TAG来标识，系统默认就知道。每台交换机必须指定一样的，只能有一个VLAN成为Native Vlan。

　Sw1(config-if)#switchport trunk native vlan 2   



　Sw1#show int f0/6 switchport 

　

·802.1Q-in-Q：(802.1Q Tunneling)

　802.1Q支持隧道特性，允许服务提供商在其VLAN内部传输用户VLAN，保留单独客户的VLAN分配，而无需要求它们的VLAN分配是唯一的。



服务提供商配置：ou

Sw1(confit-if)#switchport access vlan 30          划入SP的VLAN

Sw1(confit-if)#switchport mode dotlq-tunnel       Q-in-Q



客户端配置：

Sw3(config-if)#switchport mode trunk 

Sw3(config-if)#switchport trunk encapsulation [dot1q | isl]

Sw3(config-if)#switchport trunk allowed vlan 1-100,111

　（在此Trunk口上只允许VLAN1-100,111的流量通过）





DTP（Dynamic Trunking Protocol）cisco专有

·在交换链路上发送此种报文，来协商双方是否能形成Trunk。

·接口的五种模式：

Access,trunk,desirable,auto,(nonegotiate)



　　　　　　　　Send　　Receive　（DTP：Dynamic Trunk Protol）

access　　　　　－　　　　－　（此接口接设备）

trunk(on)　　　 √        √　（本端无条件Trunk.不管对端是否起trunk）

desirable　　　 √　　　　√　（收发DTP，愿意成为Trunk,)默认就是这种类型 

auto　　　　　　×　　　　√　（平时仅收DTP，愿意成为Trunk)



nonegotiate     ×     ×（禁止DTP信息）通常和trunk联用，即起trunk，又不用发DTP帧



Sw1(config-if)#switchport mode access 

Sw1(config-if)#switchport mode dynamic desirable（默认模式）

Sw1(config-if)#switchport mode dynamic auto 

Sw1(config-if)#switchport mode trunk 

Sw1(config-if)#switchport nonegotiate 

（nonegotiate只能和trunk联用）



Sw1(config-if)#switchport trunk encapsulation dotlq 指定封装格式



Sw1#show interface trunk  查看trunk端口信息，验证是否已经起了trunk



Sw1#Show interface f0/24 switchport  查看端口的配置



注意：3550默认是dynamic desirable、3560默认是dynamic auto。



-----------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------

VTP（VLAN Trunk Protocol)CISCO私有的协议

·作用：用来在交换区域内同步VLAN的信息



·VTP是一种2层消息协议，通过管理VTP域内的VLAN增/删/改，保持VLAN配置的一致性。

　交换机只能在802.1Q/ISL Trunk中传送VTP信息。



·要实现VTP，首先要配置一个VTP域，每台交换机都可以配置一个VTP域名，一个VTP域就是由一组VTP域名相同的交换机组成，一台交换机只能加入一个VTP域。



·VTP的三种模式：

　　　　　　　        Server　Client　Transparent（透明模式）

对VLAN做增/删/改         √　　　×　　　　√（仅在本地有效）

转发VTP(vlan)信息　　　　√　　　√　　　　√

同步vlan信息　　　　　   √　　　√　　　　×

保存进NVRAM　          　√　　　×　　　　√



·VTP一个重要元素：Configuration Revision（配置修订版本号）

　每当修改VLAN信息一次，版本号就加1，版本低的SW跟版本高的SW学习VLAN信息。



·VTP信息每5分钟通告一次， 或触发更新(VLAN配置改变时通告)。



·VTP帧发向组播MAC地址，0100.0ccc.cccc



·VTP有四种消息类型：1、汇总通告  2、子网通告  3、通告请求  4、VTP加入消息



·VTP的同步是由低版本号的交换机跟着高版本号的交换机做同步,server和client谁跟谁学不是看模式，而是看配置版本号。



·CISCO的交换机默认都是Server模式，而且没有域名，一旦一台SW配置了域名，其他SW都会学习过去。



·影响VTP的因素:1.trunk  必须在trunk上传输

   2.domain 域名(须取相同名称)

   3.password 密码必须相同





注意：交换机与交换机之间用协商模式起Trunk的时候，如果两端VTP信息不匹配，也起不了Trunk，切记这一点。

所以，起TRUNK有三点关联：

      1、封装类型

      2、接口模式

      3、两端VTP信息是否匹配





配置举例：

Sw1(config)#vtp domain WOLF

Sw1(config)#vtp mode [Server|Client|Transparent]



Sw3#vlan database 

Sw3(vlan)#vtp domain WOLF

Sw3(vlan)#vtp [Server|Client|Transparent]



Sw1#show vtp status （查看VTP信息）

Sw1#show vtp counters



＜VTP　Pruning＞



·VTP修剪能够确定Trunk何时正在扩散不必要的流量。并将其VLAN修剪掉。



Sw1(config)#vtp pruning 

在Server端配置，其他SW会学习到。



·VTP版本：（V1/V2/V3)

　默认是V1。Cisco 建议一个域中版本一致。



Sw1(config)#vtp version 2



Sw3#vlan database

Sw3(vlan)#vtp v2-mode 



·VTP认证：



Sw2(config)#vtp password aaa



Sw3#vlan database

Sw3(vlan)#vtp password aaa



如何检查密码相同/不同：

　1.Sw2#show vtp password 





 SWITCH常用配置命令

Sw1#show cdp neighbors detail  查看邻居设备

Show mac-address-table      查看MAC地址

Show mac-address-table aging-time  看MAC地址老化时间

Sw1(config)#mac-address-table aging-time 150  vlan 10修改老化时间



创建VLAN

Sw1(config)#vlan 10

Sw1(config)#name sales

在2900等旧机型上要用数据库模式来创建：

Sw1#vlan database

Sw1#vlan 10 name sales

Sw1#exit     这里一定要用exit，否则无法退出、

Show vlan   查看VLAN

Show vlan brief   查看VLAN摘要信息

Show interface summary  本命令可看到交换机上的所有端口，以及哪些接口上连有设备

Show interface status  本命令可看到活动接口的双工模式，trunk,以及接口属于哪个VLAN



将端口划进VLAN

Int f0/12

Switchport mode access     指定为access（接入口）模式

Switchport access valn 10  划分入VLAN

Intferface range f0/5,f0/7,f0/12   同时划分多个端口

Intferface range fastethernet 0/5 - 8,fastethernet 0/12 - 18

本台交换机起Trunk

Int f0/24

Switchport mode trunk    强制起Trunk

                Access   强制为接入口

                Dynamic desirable 协商（默认）

                Dynamic auto  被动接受

Switchport trunk encapsulation isl(dot1q|negotiate)封装模式，如果使用negotiate参数表示协商

Sw1(config-if)#switchport nonegotiate 本接口不发送协商信息，通常和trunk模式联用

Switchport trunk native vlan 10   设置一个不用打TAG的VLAN，大家都知道，在每台交换机上都要一致，默认是VLAN1。

Switchport trunk allowed vlan 10    允许trunk口通过哪些VLAN

Switchport trunk allowed all       允许所有VLAN通过

Show interface trunk

Show int f0/24 switchport



配置VTP域

Sw1(config)#vtp domain china

Sw1(config)#vtp mode server|client|transparent

在旧机型上的配置方法：

Sw1#vlan database

Sw1#vtp domain china

Sw1#vtp server|client|transparent

Show vtp status  查看VTP的各种配置信息

在VTP中还可设置密码



在三层交换机中完成VLAN间的通信

Sw1(config)#ip routing     起用路由

Sw1(config)#router rip     开启路由进程，也可用静态路由

Sw1(config-router)#network 100.1.1.0   将VLAN网段宣告

Sw1(config)#interface vlan 100

Sw1(config-if)#ip address 100.1.1.1    指定VLAN的IP地址，也是VLAN网段的网关

Sw1(config-if)#no shutdown



在交换机中建立VLAN后，会在FLASH中生成一个VLAN文件，可用下列命令查看、删除。

Show flash

Delete vlan.dat

Delete config.text  删除配置文件