1、问题描述 
 冲突域问题：所有用户在一个区域中，同一时间只能由一台主机发送信息；任意主机之间都能相互访问，无法控制信息安全。 
 解决：使用交换机。
 
广播域问题：任意设备都能接受到所有报文，降低网络效率和安全性。 
 解决：使用交换机的基础上，使用VLAN技术。
 
2、虚拟局域网（Virtual Local Area Network） 
 VLAN把一个物理上的LAN在逻辑上划分成多个广播域。同一个VLAN内的主机可以相互通信，不同VLAN内的主机不能相互通信。这样，广播豹纹就被限制在了一个VLAN内，提高了网络的安全性。
 
3、接口类型 
 1）Access 
 access接口是交换机上用来连接用户主机的借口。 
 一个VLAN下可以有多个access接口，连接多台主机。
 
tag：接受主机发来的数据帧时，该数据帧没有VLAN标签，给其加上与PVID（Port Vlan ID）一致的VLAN标签。
untag：发送一个数据帧给主机时，此时每一个数据帧都是有VLAN标签的，检查该帧的VLAN标签是否与PVID一致，若一致，去掉该VLAN标签后，去掉VLAN标签后，发送该帧给主机；若不一致，则丢弃该帧。
 
2）Trunk 
 trunk接口是用来连接多个VLAN的接口，可属于多个VLAN，用与VLAN间通信。
 
tag：接受数据帧时，若该帧不包含802.1Q的VLAN标签，则打上该trunk端口的PVID；若包含，则不改变。
untag：发送数据帧时，若该帧的VLAN标签与端口的PVID不一致，则检查策略，是否允许该VLAN通过，允许则直接透传，不允许则丢弃；若该帧的VLAN标签与PVID一致，则去除VLAN标签后，转发。
 
3）Hybrid接口 
 综合里Access和Trunk接口的功能。
 
4、VLAN间路由 
 1）单臂路由 
 2）三层交换机

VLAN简介
 
定义：
 
VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。
 
目的：
 
以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。
 
在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。
 
作用：
 
限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。
 
VLAN的基本概念
 
VLAN标签：
 
要使设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。
 
VLAN帧格式：
 
 

 图：VLAN数据帧格式
  
 

字段解释：
 
字段
长度
含义
取值
TPID
2Byte
Tag Protocol Identifier（标签协议标识符），表示数据帧类型。
表示帧类型，取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。 各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时， 为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。
PRI
3bit
Priority，表示数据帧的802.1Q优先级。
取值范围为0～7，值越大优先级越高。当网络阻塞时，设备优先发送优先级高的数据帧。
CFI
1bit
Canonical Format Indicator（标准格式指示位），表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网。
CFI取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装。在以太网中，CFI的值为0。
VID
12bit
VLAN ID，表示该数据帧所属VLAN的编号。
VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。
 
 
设备利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内。
 
 
常用设备收发数据帧的VLAN标签情况：
 
在一个VLAN交换网络中，以太网帧主要有以下两种格式：
 
有标记帧（Tagged帧）：加入了4字节VLAN标签的帧。
无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧。
 
常用设备中：
 
用户主机、服务器、Hub只能收发Untagged帧。
交换机、路由器和AC既能收发Tagged帧，也能收发Untagged帧。
语音终端、AP等设备可以同时收发一个Tagged帧和一个Untagged帧。
 
为了提高处理效率，设备内部处理的数据帧一律都是Tagged帧。
 
链路类型和接口类型：
 
设备内部处理的数据帧一律都带有VLAN标签，而现网中的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的设备上，且跨越设备的VLAN可能不止一个，如果需要用户间的互通，就需要设备间的接口能够同时识别和发送多个VLAN的数据帧。
 
为了适应不同的连接和组网，设备定义了Access接口、Trunk接口和Hybrid接口3种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型。
 
链路类型：
 
根据链路中需要承载的VLAN数目的不同，以太网链路分为：
 
 
接入链路
 
接入链路只可以承载1个VLAN的数据帧，用于连接设备和用户终端（如用户主机、服务器等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。
 
 
干道链路
 
干道链路可以承载多个不同VLAN的数据帧，用于设备间互连。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。
 
 
接口类型：
 
根据接口连接对象以及对收发数据帧处理的不同，以太网接口分为：
 
 
Access接口
 
Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。它只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。
 
 
Trunk接口
 
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。
 
 
Hybrid接口
 
Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。
 
Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如一个接口连接不同VLAN网段的场景中，因为一个接口需要给多个Untagged报文添加Tag，所以必须使用Hybrid接口。
 
 
缺省VLAN：
 
缺省VLAN又称PVID（Port Default VLAN ID）。前面提到，设备处理的数据帧都带Tag，当设备收到Untagged帧时，就需要给该帧添加Tag，添加什么Tag，就由接口上的缺省VLAN决定。
 
接口收发数据帧时，对Tag的添加或剥除过程。
 
对于Access接口，缺省VLAN就是它允许通过的VLAN，修改缺省VLAN即可更改接口允许通过的VLAN。
对于Trunk接口和Hybrid接口，一个接口可以允许多个VLAN通过，但是只能有一个缺省VLAN。接口的缺省VLAN和允许通过的VLAN需要分别配置，互不影响。
 
同类型接口添加或剥除VLAN标签的比较：
 
接口类型
对接收不带Tag的报文处理
对接收带Tag的报文处理
发送帧处理过程
Access接口
接收该报文，并打上缺省的VLAN ID。
当VLAN ID与缺省VLAN ID相同时，接收该报文。当VLAN ID与缺省VLAN ID不同时，丢弃该报文。
先剥离帧的PVID Tag，然后再发送。
Trunk接口
打上缺省的VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。打上缺省的VLAN ID，当缺省VLAN ID不在允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID与缺省VLAN ID相同，且是该接口允许通过的VLAN ID时，去掉Tag，发送该报文。当VLAN ID与缺省VLAN ID不同，且是该接口允许通过的VLAN ID时，保持原有Tag，发送该报文。
Hybrid接口
打上缺省的VLAN ID，当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。打上缺省的VLAN ID，当缺省VLAN ID不在允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表里时，丢弃该报文。
当VLAN ID是该接口允许通过的VLAN ID时，发送该报文。可以通过命令设置发送时是否携带Tag。
 
当接收到不带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会给数据帧打上VLAN标签，但Trunk接口、Hybrid接口会根据数据帧的VID是否为其允许通过的VLAN来判断是否接收，而Access接口则无条件接收。
 
 
当接收到带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会根据数据帧的VID是否为其允许通过的VLAN（Access接口允许通过的VLAN就是缺省VLAN）来判断是否接收。
 
 
当发送数据帧时：
 
  
Access接口直接剥离数据帧中的VLAN标签。
Trunk接口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。
Hybrid接口会根据接口上的配置判断是否剥离数据帧中的VLAN标签。
 
因此，Access接口发出的数据帧肯定不带Tag，Trunk接口发出的数据帧只有一个VLAN的数据帧不带Tag，其他都带VLAN标签，Hybrid接口发出的数据帧可根据需要设置某些VLAN的数据帧带Tag，某些VLAN的数据帧不带Tag。
 
 
VLAN通信
 
VLAN内互访：
 
同一VLAN内用户互访（简称VLAN内互访）会经过如下三个环节。
 
 
用户主机的报文转发
 
源主机在发起通信之前，会将自己的IP与目的主机的IP进行比较，如果两者位于同一网段，会获取目的主机的MAC地址，并将其作为目的MAC地址封装进报文；如果两者位于不同网段，源主机会将报文递交给网关，获取网关的MAC地址，并将其作为目的MAC地址封装进报文。
 
 
设备内部的以太网交换
 
设备
 
  
如果目的MAC地址+VID匹配自己的MAC表且三层转发标志置位，则进行三层交换，会根据报文的目的IP地址查找三层转发表项，如果没有找到会将报文上送CPU，由CPU查找路由表实现三层转发。
如果目的MAC地址+VID匹配自己的MAC表但三层转发标志未置位，则进行二层交换，会直接将报文根据MAC表的出接口发出去。
如果目的MAC地址+VID没有匹配自己的MAC表，则进行二层交换，此时会向所有允许VID通过的接口广播该报文，以获取目的主机的MAC地址。
 
 
设备之间交互时，VLAN标签的添加和剥离
 
设备内部的以太网交换都是带Tag的，为了与不同设备进行成功交互，设备需要根据接口的设置添加或剥除Tag。不同接口VLAN标签添加和剥离情况不同。
 
 
从以太网交换原理可以看出，划分VLAN后，广播报文只在同一VLAN内二层转发，因此同一VLAN内的用户可以直接二层互访。根据属于同一VLAN的主机是否连接在不同的设备，VLAN内互访有两种场景：同设备VLAN内互访和跨设备VLAN内互访。
 
同设备VLAN内互访：
 
如下图所示，用户主机Host_1和Host_2连接在同台设备上，属于同一VLAN2，且位于相同网段，连接接口均设置为Access接口。
 （假设Router上还未建立任何转发表项）。
 
 
Host_1判断目的IP地址跟自己的IP地址在同一网段，于是发送ARP广播请求报文获取目的主机Host_2的MAC地址，报文目的MAC填写全F，目的IP为Host_2的IP地址10.1.1.3。
报文到达Router的接口IF_1，发现是Untagged帧，给报文添加VID=2的Tag（Tag的VID=接口的PVID），然后根据报文的源MAC地址、VID和报文入接口（1-1-1， 2， IF_1）生成MAC表。
根据报文目的MAC地址+VID查找Router的MAC表，没有找到，于是在所有允许VLAN2通过的接口（本例中接口为IF_2）广播该报文。
Router的接口IF_2在发出ARP请求报文前，根据接口配置，剥离VID=2的Tag。
Host_2收到该ARP请求报文，将Host_1的MAC地址和IP地址对应关系记录ARP表。然后比较目的IP与自己的IP，发现跟自己的相同，就发送ARP响应报文，报文中封装自己的MAC地址2-2-2，目的IP为Host_1的IP地址10.1.1.2。
Router的接口IF_2收到ARP响应报文后，同样给报文添加VID=2的Tag。
Router根据报文的源MAC地址、VID和报文入接口（2-2-2， 2， IF_2）生成MAC表，然后根据报文的目的MAC地址+VID（1-1-1， 2）查找MAC地址表，由于前面已记录，查找成功，向出接口IF_1转发该ARP响应报文。
Router向出接口IF_1转发前，同样根据接口配置剥离VID=2的Tag。
Host_1收到Host_2的ARP响应报文，将Host_2的MAC地址和IP地址对应关系记录ARP表。
 
后续Host_1与Host_2的互访，由于彼此已学习到对方的MAC地址，报文中的目的MAC地址直接填写对方的MAC地址。
 
此组网场景下，当同一VLAN的用户处于不同网段时，主机将在报文中封装网关的MAC地址，可借助VLANIF技术（需配置主从IP地址）实现互访。
 
跨设备VLAN内互访：
 
如下图，用户主机Host_1和Host_2连接在不同的设备上，属于同一个VLAN2，且位于相同网段。为了识别和发送跨越设备的数据帧，设备间通过干道链路连接。
 

 当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router_1和Router_2上还未建立任何转发表项）。
 
经过与同设备VLAN内互访的步骤1～2一样的过程后，报文被广播到Router_1的IF_2接口。
Router_1的IF_2接口在发出ARP请求报文前，因为接口的PVID=1（缺省值），与报文的VID不相等，直接透传该报文到Router_2的IF_2接口，不剥除报文的Tag。
Router_2的IF_2接口收到该报文后，判断报文的Tag中的VID=2是接口允许通过的VLAN，接收该报文。
经过与同设备VLAN内互访的步骤3～6一样的过程后，Router_2将向其出接口IF_2转发Host_2的ARP响应报文，转发前，因为接口IF_2为Trunk接口且PVID=1（缺省值），与报文的VID不相等，直接透传报文到Router_1的IF_2接口。
Router_1的IF_2接口收到Host_2的ARP响应报文后，判断报文的Tag中的VID=2是接口允许通过的VLAN，接收该报文。后续处理同同设备VLAN内互访的步骤7～9一样。
 
可见，干道链路除可传输多个VLAN的数据帧外，还起到透传VLAN的作用，即干道链路上，数据帧只会转发，不会发生Tag的添加或剥离。
 
VLAN间互访：
 
划分VLAN后，由于广播报文只在同VLAN内转发，所以不同VLAN的用户间不能二层互访，这样能起到隔离广播的作用。但实际应用中，不同VLAN的用户又常有互访的需求，此时就需要实现不同VLAN的用户互访，简称VLAN间互访。
 
同VLAN间互访一样，VLAN间互访也会经过用户主机的报文转发、设备内部的以太网交换、设备之间交互时VLAN标签的添加和剥离三个环节。同样，根据以太网交换原理，广播报文只在同一VLAN内转发，不同VLAN内的用户则不能直接二层互访，需要借助三层路由技术或VLAN转换技术才能实现互访。
 
VLAN间互访技术：
 
华为提供了多种技术实现VLAN间互访，常用的两种技术为VLANIF接口和Dot1q终结子接口。
 
 
VLANIF接口
 
VLANIF接口是一种三层的逻辑接口。在VLANIF接口上配置IP地址后，设备会在MAC地址表中添加VLANIF接口的MAC地址+VID表项，并且为表项的三层转发标志位置位。当报文的目的MAC地址匹配该表项后，会进行三层转发，进而实现VLAN间的三层互通。
 
VLANIF配置简单，是实现VLAN间互访最常用的一种技术。但每个VLAN需要配置一个VLANIF，并在接口上指定一个IP子网网段，比较浪费IP地址。
 
 
Dot1q终结子接口
 
子接口也是一种三层的逻辑接口。跟VLANIF接口一样，在子接口上配置Dot1q终结功能和IP地址后，设备也会添加相应的MAC表项并置位三层转发标志位，进而实现VLAN间的三层互通。
 
Dot1q终结子接口适用于通过一个三层以太网接口下接多个VLAN网络的环境。由于不同VLAN的数据流会争用同一个以太网主接口的带宽，网络繁忙时，会导致通信瓶颈。
 
 
通过VLANIF接口实现VLAN间互访，必须要求VLAN间的用户都只能处于不同的网段（因为相同网段，主机会封装目的主机的MAC地址，设备判断进行二层交换，二层交换只在同VLAN内，广播报文无法到达不同的VLAN，获取不到目的主机的MAC地址，也就无法实现互通）。现网中，也存在不同VLAN相同网段的组网需求，此时可通过VLAN聚合实现。
 
VLAN聚合（又称Super VLAN）通过引入Super-VLAN和Sub-VLAN，将一个Super-VLAN和多个Sub-VLAN关联，多个Sub-VLAN共享Super-VLAN的IP地址作为其网关IP，实现与外部网络的三层互通；并通过在Sub-VLAN间启用Proxy ARP，实现Sub-VLAN间的三层互通，进而即节约IP地址资源，又实现VLAN间的三层互通。
 
VLAN聚合通常用于多个VLAN共用一个网关的组网场景。
 
同设备VLAN间互访：
 
如下图：互访的源主机Host_1和目的主机Host_2连接在同一台设备Router上，分别属于VLAN2和VLAN3，并位于不同的网段。在Router上分别创建VLANIF2和VLANIF3并配置其IP地址，然后将用户主机的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。
 
 
当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router上还未建立任何转发表项）。
 
Host_1判断目的IP地址跟自己的IP地址不在同一网段，因此，它发出请求网关MAC地址的ARP请求报文，目的IP为网关IP 10.1.1.1，目的MAC为全F。
报文到达Router的接口IF_1，Router给报文添加VID=2的Tag（Tag的VID=接口的PVID），然后将报文的源MAC地址+VID与接口的对应关系（1-1-1， 2， IF_1）添加进MAC表。
Router检查报文是ARP请求报文，且目的IP是自己VLANIF2接口的IP地址，给Host_1应答，并将VLANIF2接口的MAC地址3-3-3封装在应答报文中，应答报文从IF_1发出前，剥掉VID=2的Tag。同时，Router会将Host_1的IP地址与MAC地址的对应关系记录到ARP表。
Host_1收到Router的应答报文，将Router的VLANIF2接口的IP地址与MAC地址对应关系记录到自己的ARP表中，并向Router发送目的MAC为3-3-3、目的IP为Host_2的IP地址 10.2.2.2的报文。
报文到达Router的接口IF_1，同样给报文添加VID=2的Tag。
Router根据报文的源MAC地址+VID与接口的对应关系更新MAC表，并比较报文的目的MAC地址与VLANIF2的MAC地址，发现两者相等，进行三层转发，根据目的IP查找三层转发表，没有找到匹配项，上送CPU查找路由表。
CPU根据报文的目的IP去找路由表，发现匹配了一个直连网段（VLANIF3对应的网段），于是继续查找ARP表，没有找到，Router会在目的网段对应的VLAN3的所有接口发送ARP请求报文，目的IP是10.2.2.2。从接口IF_2发出前，根据接口配置，剥掉VID=2的Tag。
Host_2收到ARP请求报文，发现请求IP是自己的IP地址，就发送ARP应答报文，将自己的MAC地址包含在其中。同时，将VLANIF3的MAC地址与IP地址的对应关系记录到自己的ARP表中。
Router的接口IF_2收到Host_2的ARP应答报文后，给报文添加VID=3的Tag，并将Host_2的MAC和IP的对应关系记录到自己的ARP表中。然后，将Host_1的报文转发给Host_2，发送前，同样剥离报文中的Tag。同时，将Host_2的IP、MAC、VID及出接口的对应关系记录到三层转发表中。
 
至此，Host_1完成对Host_2的单向访问。Host_2访问Host_1的过程与此类似。这样，后续Host_1与Host_2之间的往返报文，都先发送给网关Router，由Router查三层转发表进行三层转发。
 
跨设备VLAN间互访：
 
由于VLANIF接口的IP地址只能在设备上生成直连路由，当不同VLAN的用户跨多台设备互访时，除配置VLANIF接口的IP地址外，还需要配置静态路由或运行动态路由协议。
 
如下图所示，互访的源主机Host_1和目的主机Host_2连接在不同的设备Router_1和Router_2上，分别属于VLAN2和VLAN3，并位于不同的网段。在Router_1上分别创建VLANIF2和VLANIF4，配置其IP地址为10.1.1.1和10.1.4.1；在Router_2上分别创建VLANIF3和VLANIF4，配置其IP地址为10.1.2.1和10.1.4.2，并在Router_1和Router_2上分别配置静态路由。Router_1上静态路由的目的网段是10.1.2.0/24，下一跳是10.1.4.2；Router_2上静态路由的目的网段是10.1.1.0/24，下一跳是10.1.4.1。
 
 
当用户主机Host_1发送报文给用户主机Host_2时，报文的发送过程如下（假设Router_1和Router_2上还未建立任何转发表项）。
 
与同设备VLAN间互访的步骤1～6一样，经过“Host_1比较目的IP地址—>Host_1查ARP表—>Host_1获取网关MAC地址—>Host_1将发给Host_2的报文送到Router_1—>Router_1查MAC表—>Router_1查三层转发表”的过程，Router_1上送CPU查找路由表。
Router_1的CPU根据报文的目的IP 10.1.2.2去找路由表，发现匹配了一个路由网段10.1.2.0/24（VLANIF3对应的网段），下一跳IP地址为10.1.4.2，于是继续查找ARP表，没有找到，Router_1会在下一跳IP地址对应的VLAN4的所有接口发送ARP请求报文，目的IP是10.1.4.2。报文从Router_1的接口IF_2发出前，根据接口配置，直接透传该报文到Router_2的IF_2接口，不剥除报文的Tag。
ARP请求报文到达Router_2后，发现目的IP为VLANIF4接口的IP地址，给Router_1回应，填写VLANIF4接口的MAC地址。
Router_2的ARP响应报文从其IF_2接口直接透传到Router_1，Router_1接收后，记录VLANIF4的MAC地址与IP地址的对应关系到ARP表项。
Router_1将Host_1的报文转发给Router_2，报文的目的MAC修改为Router_2的VLANIF4接口的MAC地址，源MAC地址修改自己的VLANIF4接口的MAC地址，并将刚用到的转发信息记录在三层转发表中（10.1.2.0/24，下一跳IP的MAC地址， 出口VLAN， 出接口）。同样，报文是直接透传到Router_2的IF_2接口。
Router_2收到Router_1转发的Host_1的报文后，与同设备VLAN间互访的步骤6～9一样，经过“查MAC表—>查三层转发表—>送CPU—>匹配直连路由—>查ARP表并获取Host_2的MAC地址—>将Host_1的报文转发给Host_2”的过程，同时将Host_2的IP地址、MAC地址、出口VLAN、出接口记录到三层转发表项。
 
VLAN Damping：
 
VLAN抑制
 
如果指定VLAN已经创建对应的VLANIF接口，当VLAN中所有接口状态变为Down而引起VLAN状态变为Down时，VLAN会向VLANIF接口上报接口Down状态，从而引起VLANIF接口状态变化。
 
为避免由于VLANIF接口状态变化引起的网络震荡，可以在VLANIF接口上启动VLAN Damping功能，抑制VLANIF接口状态变为Down的时间。
 
当使能VLAN Damping功能，VLAN中最后一个处于Up状态的接口变为Down后，会抑制一定时间（抑制时间可配置）再上报给VLANIF接口。如果在抑制时间内VLAN中有接口Up，则VLANIF接口状态保持Up状态不变。即VLAN Damping功能可以适当延迟VLAN向VLANIF接口上报接口Down状态的时间，从而抑制不必要的路由震荡。
 
VLAN内二层隔离：
 
为了实现用户之间的二层隔离，可以将不同的用户加入不同的VLAN。但若企业规模很大，拥有大量的用户，那么就要为不能互相访问的用户都分配VLAN，这不但需要耗费大量的VLAN，还增加了网络管理者配置和维护的工作量。
 
为此，华为提供了一些VLAN内二层隔离技术，如端口隔离、MUX VLAN和基于MQC的VLAN内二层隔离等。
 
端口隔离：
 
端口隔离可实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间的二层隔离，不同隔离组的端口之间或者不属于任何隔离组的端口与其他端口之间都能进行正常的数据转发。同时，用户还可以通过配置实现端口的单向隔离，为用户提供更安全、更灵活的组网方案。
 
MUX VLAN：
 
MUX VLAN（Multiplex VLAN）提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通信，也可实现VLAN内的用户相互隔离。
 
比如，企业有如下需求：
 
要求企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。
要求企业员工和企业客户都可以访问企业的服务器。
 
此种场景，通过部署MUX-VLAN就可以实现。
 
基于流策略的VLAN内二层隔离：
 
流策略是将流分类和流行为关联后形成的完整的QoS策略。基于流策略的VLAN内二层隔离指用户可以根据匹配规则对报文进行流分类，然后通过流策略将流分类与permit/deny动作相关联，使符合流分类的报文被允许或被禁止通过，从而实现灵活的VLAN内单向或双向隔离。
 
VLAN间三层隔离：
 
VLAN间实现三层互通后，两VLAN内的所有用户之间都可以互相访问，但某些场景中，需要禁止部分用户之间的互访或者只允许用户单向访问，比如用户主机和服务器之间一般是单向访问、企业的访客一般只允许上网和访问部分服务器等。此时，就需要配置VLAN间互访控制。
 
VLAN间互访控制一般通过流策略实现。用户可根据实际需求定义匹配规则对报文进行流分类，然后通过流策略将流分类与permit/deny动作相关联，使符合流分类的报文被允许或禁止通过，从而实现灵活的VLAN间互访控制。
 
管理VLAN：
 
当用户通过远端网管集中管理设备时，需要在设备上通过VLANIF接口配置IP地址作为设备管理IP，通过管理IP来STelnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN，也可以访问该设备，增加了设备的不安全因素。
 
这种情况下可以配置VLAN为管理VLAN（与管理VLAN对应，没有指定为管理VLAN的VLAN称为业务VLAN），不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户，限制这两种类型接口加入管理VLAN后，与该接口相连的用户就无法访问该设备，从而增加了设备的安全性。
 
 
 
 
参考文档：华为HedEx文档
 
 

最近要在mips-linux下实现vlan和super-vlan，太久没弄交换机的东东，换公司之后以前整理的笔记都留在原公司了，现在没有资料，只有重新上网搜索整理了一下。
 
 
vlan的基本知识参见百度百科：http://baike.baidu.com/view/16125.htm#sub21837
 
 
1.pvid是什么
 
PVID英文解释为Port-base VLAN ID，是基于端口的VLAN ID，一个端口可以属于多个vlan，但是只能有一个PVID，收到一个不带tag头的数据包时，会打上PVID所表示的vlan号，视同该vlan的数据包处理，所以也有人说PVID就是某个端口默认的vlan ID号。
 
注意：PVID并不是加在帧头的标记，而是端口的属性，用来标识端口接收到的未标记的帧。也就是说，当端口收到一个未标记的帧时，则把该帧转发到VID和本端口PVID相等的VLAN中去。
 

 
 
2.vid是什么
 
VID（VLAN ID）是VLAN的标识，定义其中的端口可以接收发自这个VLAN的包；而PVID（Port VLAN ID）定义这个untag端口可以转发哪个VLAN的包。比如，当端口1同时属于VLAN1、VLAN2和VLAN3时，而它的PVID为1，那么端口1可以接收到VLAN1，2，3的数据，但发出的包只能发到VLAN1中。
 
 
3.vid和pvid的作用
 
vid的作用在于当VLAN跨设备时（即switch1和switch2中都有VLAN2），各个设备需要和其他设备中的相同VLAN实现通信时，就必须在数据帧中加入vlan tag，来标示该数据帧应该被转发的vlan id。简而言之，vid是用在设备之间互联时用来决定一个二层帧属于哪个vlan的标记。
 
pvid更多的时候是用于设备和计算机互联时，用来标示计算机发出的未携带TAG的数据帧属于哪个vlan。
 

 4.tag报文和untag报文
 
untag报文就是普通的Ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；TAG报文结构的变化是在源MAC地址和目的MAC地址之后，加上了4bytes的VLAN信息，也就是VLAN TAG头。
 
4.1、在一个物理端口上，如果该端口为access端口则只有一个vlan，且vlan号等于pvid（即端口默认的vlan号），且其一定是一个untagged端口。
 4.2、在一个物理端口上，如果该端口为trunk端口则支持多个vlan，其中vlan号等于pvid的端口为untagged
 
，其余的都为tagged端口。所以，一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是
 
tagged Port。（一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和
 
PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port。）
 
 
4.access、hybid、truck 
 
access,trunk,hybid是三种端口属性；
 具有access性质的端口只能属于一个vlan，且该端口不打tag；
 具有trunk性质的端口可以属于多个vlan，且该端口都是打tag的；
 具有hybid性质的端口可以属于多个vlan，至于该端口在vlan中是否打tag由用户根据具体情况而定；
 
 access和truck 主要是区分VLAN中交换机的端口类型,truck端口为与其它交换机端口相连的VLAN汇聚口,access端口为交换机与VLAN域中主机相连的端口。
 trunk一般是打tag标记的，一般只允许打了该tag标记的vlan 通过，所以该端口 可以允许多个打tag标记的vlan 通过，而access端口一般是不打标记的，而且一个access vlan端口只允许一个access vlan通过。
 
Hybrid端口和Trunk 端口的不同之处在于Hybrid 端口可以允许多个VLAN 的报文发送时不打标签，而Trunk 端口只允许缺省VLAN 的报文发送时不打标签, 需要注意的是：Hybrid 端口加入的VLAN 必须已经存在。
 

 VLAN Trunk的作用是让连接在不同交换机上的相同VLAN中的主机互通。
 　　如果两台交换机都设置有同一VLAN里的计算机，怎么办呢，我们可以通过VLAN Trunk来解决。 
 　　如果交换机1的VLAN1中的机器要访问交换机2的VLAN1中的机器，我们可以把两台交换机的级联端口设置为Trunk端口，这样，当交换机把数据包从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据包属于哪一个VLAN，这样，其它交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。
 
5.怎样判断一个数据进入端口后是否会被打上标记？
 
 
 
Tagged 数据帧
Tagged 数据帧
Untagged数据帧
Untagged数据帧
 
in
out
in
out
Tagged端口
原样接收
原样发送
按端口PVID打TAG标记
按端口PVID打TAG标记
Untagged端口
丢弃
去掉TAG标记
按端口PVID打TAG标记
原样发送
 

 1、一个数据包要进入一个tagged端口，如果其原来是untagged，则给其打上为tag，号码为pvid，如果其已经为tagged则原样输入；

 2、一个数据包要进入一个untagged端口，如果其原来是untagged，则给其打上tag，号码为pvid，如果其已经打上了tagged，则丢弃
 
该包；
 3、一个数据包要出一个tagged端口，如果其原来是untagged包，则给其打上tag,号码为pvid，如果其原来是tagged包，则原样输出；4、一个数据包要出一个untagged端口，如果其原来是untagged包，则原样输出，如果其原来是tagged包，则去掉其tag头部，变为untagged。
 
 
 
 
 
 
 
端口有三种模式：access，hybrid，trunk。access就不说了，trunk可以属于多个vlan，可以接收和发送多个vlan的报文，一般用于交换机之间的连接;hybrid也可以属于多个vlan，可以接收和发送多个vlan的报文，可以用于交换机之间的连接也可以用于交换机和用户计算机之间的连接。trunk和hybrid的区别主要是，hybrid端口可以允许多个vlan的报文不打标签，而 trunk端口只允许缺省vlan的报文不打标签，同一个交换机上不能hybrid和trunk并存。
 　　下边详细介绍一下三种端口：
 　　untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯;
 　　tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的
 　　带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含：
 　　2个字节的协议标识符(TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。
 　　2个字节的标记控制信息(TCI)，包含了三个域。
 　　Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。该域被802.1p采用。
 　　规范格式指示符(CFI)域，占1bit，0表示规范格式，应用于以太网;1表示非规范格式，应用于Token Ring。
 　　VLAN ID域，占12bit，用于标示VLAN的归属。
 　　以太网端口有三种链路类型：Access、Hybrid和Trunk。
 　　Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口;
 　　Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口;
 　　Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
 　　Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
 　　在这里先要向大家阐明端口的缺省VLAN这个概念
 　　Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置;
 　　Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
 　　当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口(如果设置了端口的缺省VLAN ID)。当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。
 　　注：对于华三交换机缺省VLAN被称为“Pvid Vlan”，对于思科交换机缺省VLAN被称为“Native Vlan”交换机接口出入数据处理过程如下：
 　　Acess端口收报文:
 　　收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃(缺省)
 　　Acess端口发报文：
 　　将报文的VLAN信息剥离，直接发送出去
 　　(所以，Access端口可以实现同一交换机上相同VLAN下的主机通信;也可以实现交换机级连时的缺省VLAN1报文交换，但不能实现VLAN透传。)
 　　trunk端口收报文：
 　　收到一个报文，判断是否有VLAN信息：如果有，判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃;如果没有VLAN信息则打上端口的PVID，并进行交换转发。
 　　trunk端口发报文：
 　　比较将要发送报文的VLAN信息和端口的PVID，如果不相等则直接发送。如果两者相等则剥离VLAN信息，再发送。
 　　(所以，将交换机级连口统统设置为Trunk并允许所有VLAN通过后，VLAN2-VLAN4000直接透传，而VLAN1则因为和 Trunk缺省PVID相同，需要通过剥离VLAN信息又添加VLAN信息实现了透传。而如果更改Trunk的缺省PVID，则可以实现某一交换机下的 VLAN-X和另一交换机下的VLAN-Y通信。)
 　　hybrid端口收报文：
 　　收到一个报文,判断是否有VLAN信息：如果有，则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用);
 　　如果没有则打上端口的PVID，并进行交换转发。
 　　hybrid端口发报文：
 　　1、判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag)
 　　2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送
 　　(所以，Hybrid实现了不同VLAN下的主机的通信。)
 　　以下案例可以帮助大家深入理解华三交换机的hybrid端口模式
 　　[Switch-Ethernet0/1]int e0/1
 　　[Switch-Ethernet0/1]port link-type hybrid
 　　[Switch-Ethernet0/1]port hybrid pvid vlan 10
 　　[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
 　　[Switch-Ethernet0/1] int e0/2
 　　[Switch-Ethernet0/2]port link-type hybrid
 　　[Switch-Ethernet0/2]port hybrid pvid vlan 20
 　　[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged
 　　此时inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通时数据所走的往返vlan是不同的。
 　　以下以inter e0/1下的所接的pc1访问inter e0/2下的所接的pc2为例进行说明
 　　pc1所发出的数据，由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机，交换机发现inter e0/2允许vlan 10的数据通过，于是数据被转发到inter e0/2上，由于inter e0/2上vlan 10是untagged的，于是交换机此时去除数据包上vlan10的标记，以普通包的形式发给pc2，此时pc1->p2走的是vlan10
 　　再来分析pc2给pc1回包的过程，pc2所发出的数据，由inter0/2所在的pvid vlan20封装vlan20的标记后送入交换机，交换机发现inter e0/1允许vlan 20的数据通过，于是数据被转发到inter e0/1上，由于inter e0/1上vlan 20是untagged的，于是交换机此时去除数据包上vlan20的标记，以普通包的形式发给pc1，此时pc2->pc1走的是vlan20。