VLAN——虛擬局域網(wǎng)(Virtual Local Area Network(VLAN))颠毙、Virtual Private Network(VPN)仰迁、Virtual Router Redundancy Protocol(VRRP)等览效。

二層廣播域——一個廣播幀所能到達的整個范圍呢燥，簡稱廣播域(Broadcast?Domain)慎式。一個交換網(wǎng)絡其實就是一個廣播域终佛。

將一個規(guī)模較大的廣播域在邏輯上劃分成若干個不同的安接、規(guī)模較小的廣播域翔忽，由此便可以有效地提升網(wǎng)絡的安全性，同時減少了垃圾流量盏檐，節(jié)約了網(wǎng)絡資源歇式。

大白話：一個大網(wǎng)絡中，劃分為幾個子網(wǎng)絡胡野，做到專網(wǎng)專用材失。

好處：提高網(wǎng)絡安全性，減少垃圾流量的問題硫豆。

二層通信——通信的雙方是以直接交換幀的方式來傳遞信息的龙巨。

一個VLAN就是一個廣播域笼呆，所以在同一個VLAN內(nèi)部，計算機之間的通信就是二層通信旨别。

如果源PC與目的PC位于不同的VLAN中诗赌，那么它們之間是無法進行二層通信的，只能進行三層通信來傳遞信息秸弛。

802.1Q 幀

VLAN傳輸?shù)膸?/p>

VLAN實現(xiàn)原理：通過給幀打上標簽铭若，通過識別標簽來識別不同的VLAN。

VLAN Tag 各個字段的含義：

給幀打標簽：

? ? ? ? 發(fā)送：交換機識別出某個幀是屬于哪個VLAN后胆屿，會在這個幀的特定位置上添加上一個標簽(Tag)奥喻，這個Tag明確地表明了這個幀是屬于哪個VLAN的偶宫。

? ? ? ? 接收：別的交換機收到這個帶Tag的幀后非迹，就能輕易而舉地直接根據(jù)Tag信息識別出這個幀是屬于哪個VLAN的。

如判斷幀是否是Tagged幀：

????????一個幀的源MAC地址后面的兩個字節(jié)的值是不是0x8100纯趋，

????????是的——Tagged幀憎兽；????不是的——傳統(tǒng)的Untagged幀。

? ? ? ? 注意：計算機中沒有VLAN的概念吵冒，不會產(chǎn)生并發(fā)送Tagged幀纯命，如果收到了Tagged幀因為識別不出0x8100的含義，會直接將這個Tagged幀丟棄痹栖。

VLAN的類型

1.基于端口的VLAN（Port-based VLAN）

???????? ?將VLAN的編號(VLAN ID) 配置影射 到交換機的物理端口上亿汞，從哪個端口進，該端口屬那個VLAN揪阿，該幀就被劃分為哪個VLAN疗我。

優(yōu)點：簡單而直觀，實現(xiàn)也很容易南捂，并且也比較安全可靠吴裤。

不足：當接入端口發(fā)生了變化時，該發(fā)送的幀的VLAN歸屬可能會發(fā)生改變溺健。

基于端口的VLAN通常也稱為物理層VLAN或一層VLAN麦牺。

2.基于MAC地址的VLAN（MAC-based VLAN）

其劃分原則：交換機內(nèi)部建立并維護了一個MAC地址與VLAN ID的對應表，當交換機接收到計算機發(fā)送的Untagged幀時鞭缭，交換機將分析幀中的源MAC地址剖膳，然后查詢MAC地址與VLANID的對應表，并根據(jù)對應關系把這個幀劃分到相應的VLAN中岭辣。

優(yōu)點：靈活性高吱晒。

例如，當計算機接入端口發(fā)生了變化時易结，該計算機發(fā)送的幀的VLAN歸屬并不會發(fā)生改變（因為計算機的MAC地址不會發(fā)生變化）枕荞。

不足：這種劃分原則實現(xiàn)起來稍顯復雜柜候，這種類型的VLAN的安全性不是很高，因為一些惡意的計算機是很容易偽造自己的MAC地址的躏精。

基于MAC地址的VLAN通常也稱為二層VLAN渣刷。

3.基于協(xié)議的VLAN（Protocol-based VLAN）

???????? ?其劃分原則：交換機根據(jù)計算機發(fā)送的Untagged幀中的幀類型字段的值來決定幀的VLAN歸屬。???? 例如矗烛，可以將類型值為0x0800的幀劃分到一個VLAN辅柴，將類型值為Ox86dd的幀劃分到另一個VLAN；這實際上是將載荷數(shù)據(jù)為IPv4 Packet的幀和載荷數(shù)據(jù)為IPv6 Packet的幀分別劃分到了不同的VLAN瞭吃÷掂郑基于協(xié)議的VLAN通常也稱為三層VLAN。?

????????基于端口的VLAN在實際的網(wǎng)絡中應用最為廣泛歪架。如無特別說明股冗，所提到的VLAN，均是指基于端口的VLAN和蚪。

鏈路類型和端口類型

Access鏈路（Access??Link)——把交換機與終端計算機直接相連的鏈路止状。

Trunk鏈路(Trunk?Link)——交換機之間直接相連的鏈路。

Hybrid端口——既可以將交換機上與終端計算機相連的端口配置為Hybrid端口攒霹，也可以將交換機上與其他交換機相連的端口配置為Hybrid端口怯疤。????

VLAN配置示例?

system-view ????????????????????????????????????//進入系統(tǒng)視圖

vlan 10? ? ? ? ? ? ? ? ? ? ????????????????????????//創(chuàng)建vlan

quit? ? ? ? ? ? ? ? ? ? ????????????????????????????//退出vlan視圖

interface gigabitethernet 1/0/1? ? ?//進入端口視圖

port link-type [access/trunk]? ? ????//設置端口的VLAN端口類型

port default vlan 10? ? ? ? ? ? ? ? ? ? ?//access類型設置端口的vlan類型

port trunk allow-pass vlan 【all|vlan號】 //trunk類型端口設置通過vlan的。

display port vlan? ? ? ? ? ? ? ? ? ? ? ? ?//查看交換機各端口類型及加入的VALN催束。

GVRP

GARP(Generic Attribute Registration Protocol集峦，通用屬性注冊協(xié)議）的框架協(xié)議，該框架協(xié)議包含了兩個具體的協(xié)議：

GMRP（GARP Multicast Registration Protocl,簡稱GMRP）

GVRP（GARP VLAN Registration Protocl抠刺，簡稱GVRP）塔淤。

GVRP的應用——可以大大地降低VLAN配置過程中的手工工作量。

靜態(tài)VLAN——交換機上手工創(chuàng)建的VLAN矫付。

動態(tài)VLAN——交換機利用GVRP協(xié)議自動創(chuàng)建的VLAN凯沪。

GVRP配置示例

1.配置思路

（1）在每臺交換機的全局及端口下使能GVRP功能。

（2）配置交換機二層連通性买优，即將交換機的某些端口配置為Trunk端口并允許相應的VLAN幀通過妨马。

（3）在邊端交換機S1和S4上配置靜態(tài)VLAN1000。

2.配置步驟

? ?（1）在每臺交換機的全局及端口下使能GVRP功能杀赢。

? ? ? ? system-view? ? //進入視圖界面

? ? ? ? gvrp? ? ? ? ? ? //全局使能GVRP功能

（2）配置交換機二層連通性烘跺，即將交換機的某些端口配置為Trunk端口并允許相應的VLAN幀通過。

?端口交換機

? ? ? ? interface gigabitethernet 1/0/1? ? ? ? //進入端口模式

? ? ? ? port link-type access? ? ? ? ? ? ? ? ? ? ? ? //設置vlan的端口access

? ? ? ? port default vlan 1000? ? ? ? ? ? ? ? ? ? ?//設置vlan號

? ? ? ? quit? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //退出端口模式

? ???????interface gigabitethernet 1/0/2? ? ? ??//進入端口模式

? ? ? ? gvrp? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//開啟GVRP

? ? ? ? port link-type trunk? ? ? ? ? ? ? ? ? ? ? ? ? //設置trunk端口類型

? ? ? ? port trunk allow-pass vlan all? ? ? ? ? ?//設置所有vlan

? ? ? ? quit? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//退出端口模式

二層交換機

? ???????interface gigabitethernet 1/0/1

? ???????gvrp

? ? ? ? ?port link-type trunk

????????port trunk allow-pass vlan all

? ? ? ? quit

? ??????interface gigabitethernet 1/0/2

? ??????gvrp

? ? ? ? port link-type trunk

????????port trunk allow-pass vlan all

? ? ? ? quit

? ? ? ? display vlan summary? ? ? //系統(tǒng)視圖下脂崔，查看VLAN信息

（3）在邊端交換機S1和S4上配置靜態(tài)VLAN1000滤淳。

? ? ? ? vlan 1000? ?//創(chuàng)建vlan

? ? ? ? quit? ? ? ? ????//退出vlan模式

查看配置驗證設置

? ? ? ? ? ? display gvrp status? ? ? ? ? ? //查看GVRP的使能情況

????????????display gvrp statistics? ? ? ? //查看端口的GVRP統(tǒng)計信息

? ? ? ? ? ? display vlan summary? ? ? ?//查看VLAN信息，dynamic vlan的號碼

VLAN間的三層通信

? ??????屬于同—VLAN的計算機之間是可以進行二層通信的砌左，屬于不同VLAN的計算機之間是無法進行二層通信脖咐。??? ????????屬于不同VLAN的計算機之間是無法進行二層通信的铺敌，但完全可以進行正常的通信，是三層通信屁擅。???

通過多臂路由器實現(xiàn)VLAN間的三層通信?????

兩個VLAN間的PC不能直接通信偿凭，? ?目前尚未存在一個“三層通道”，所以它們之間也無法進行三層通信派歌。? ?

方法之一便是引入一臺路由器弯囊。路由器的作用實質(zhì)上就是在不同的二層網(wǎng)絡（二層廣播域）之間建立起三層通道。

每條物理鏈路可以被形象地稱為路由器的一條“手臂”胶果，所以這里的路由器R也常常被形象地稱為“雙臂路由器”匾嘱，或泛泛地稱為“多臂路由器”。

通過單臂路由器實現(xiàn)VLAN間的三層通信

實際的網(wǎng)絡部署中早抠，幾乎都不會通過多臂路由器來實現(xiàn)VLAN間的三層通信霎烙。

采用單臂路由器的方法來實現(xiàn)VLAN間的三層通信。

? ??采用這種方法時贝或，必須對路由器的物理接口進行“子接口（Sub-Interface)”劃分吼过。一個路由器的物理接口可以劃分為多個子接口，不同的子接口對應了不同的VLAN咪奖。

通過三層交換機實現(xiàn)VLAN間的三層通信

如果VLAN的數(shù)量眾多，VLAN間的通信流量很大時酱床，單臂鏈路所能提供的帶寬就有可能無法支撐這些通信流量羊赵。另外，如果單臂鏈路一旦發(fā)生了中斷扇谣，那么所有VLAN間的通信也都會因此而中斷昧捷。通常，我們把交換機上的端口稱為二層端口罐寨，或簡稱為二層口靡挥；同時，我們把路由器或計算機上的接口稱為三層接口鸯绿，或簡稱為三層口跋破。

三層交換機的原理性定義是：三層交換機是二層交換機與路由器的一種集成形式，它除了可以擁有一些二層口外瓶蝴，還可以擁有一些“混合端口”（簡稱為“混合口”）毒返。混合口既具有二層口的行為特征舷手，同時又具有三層口的行為特征拧簸。

三層交換機內(nèi)既存在MAC地址表，用以進行二層轉(zhuǎn)發(fā)男窟，又存在IP路由表盆赤，用以進行三層轉(zhuǎn)發(fā)贾富。

VLANIF接口配置示例

1.配置思路

? ??（1)? 在交換機上S1創(chuàng)建VLAN（注意，在S2和S3上無需創(chuàng)建VLAN)牺六。

? ? ?（2）配置交換機S1的端口祷安。

? ? ?（3）在交換機Sl上創(chuàng)建VLANIF接口并配置IP地址，實現(xiàn)不同VLAN之間的三層互通兔乞。

2.配置步驟

? ? ? ? system-view

? ? ? ? vlan batch 10 20? ? ? ? ? ? ? ? ? ? ? ? ? ? ????//批量創(chuàng)建vlan

? ? ? ? interface gigabitethernet 0/0/1

? ? ? ? port link-type access

? ? ? ? port default vlan 10

? ? ? ? quit

? ???????interface gigabitethernet 0/0/2

????????port link-type access

????????port default vlan 20

? ? ? ? quit

? ? ? ? display vlan vlanid verbose? ? ? ? //查看vlanif配置

? ? ? ? display port vlan? ? ? ? ? ? ? ? ? ? ? ? //查看S1上所有VLAN所包含的端口信息

在S1路由器

? ? ? ? interface vlanif 10

? ? ? ? ip address 192.168.100.1 24

? ? ? ? quit

? ? ? ? interface vlanif 20

? ???????ip address 192.168.200.1 24

? ??????quit

? ? ????display ip interface brief vlanif? vlan-id? ????//查看vlanif接口看信息