谈谈对vlan的具体理解（一篇文章教你了解什么是VLAN）

"同志，你快醒醒，你的交换机出广播风暴了，CPU飙到99%了！"一场突如其来的重感冒把小张击倒了，昏昏欲睡间却被人给晃醒了。

睁眼一看，眼前白色的天花板下面，是主管焦急的眼神。

"小张，你可算是醒了，快去机房看看，怎么交换机全都瘫了啊，我就说没了小张不行吧，你看他一病，机房一出问题，你们都解决不了了吧！"主管对病床旁边的几个年轻人大发脾气。

小张心底暗暗苦笑，说实在的，整个信息部一共四个人，一个主管，两个裙带亲戚，只剩下自己无权无势无后台，再加上对于自己的工作环境有种病态的执着，哪怕同事一般，但是既然自己负责机房，就要把机房管理维护好，前几天熬了两个通宵进行割接和升级，出门淋了一场雨，就生病了。

"主管，你看我这情况，实在坚持不到机房了，你先把我的主机down掉，然后把备机开一下吧，保证公司能够正常运行最重要。然后看一下IDS（入侵检测系统）有没有什么检测报警，把日志数据导出一份给我吧，这样的话我可以分析一下。"小张有气无力的说着，

主管一愣，旋即问道："你不在的这几天，我对那个IDS做了一些配置，但是不知道为什么这个IDS老是出问题，于是我就把它拆下来了。"

小张痛苦的闭上眼睛，片刻后开口道："那给我导一份交换机的日志吧，我看看VLAN和STP状态。"

"是这样的，小张啊，这个交换机的配置啊，上次不知道做了什么，开了个VTP好像是，反正现在的VLAN数据全部丢失了，就是小张啊，你有备份吗？"

小张一愣，旋即眼前一黑，颤声道："主管，你知道什么是VLAN吗？"

VLAN （Virtual Local Area Network）虚拟本地区域网络，也就是虚拟局域网。

前文我们提到过，一台交换机只有一个广播域，当从某一端口收到一个数据而本地MAC地址表项种没有该映射关系时，就会进行泛洪，从除接收端口外的所有端口进行转发。

而此时如果交换机下接设备够多，就会无端的造成交换机资源的浪费，假如此时有一种病毒借助广播的传播，那么就会遍及全网，整台交换机下的设备都会中毒，此时就会造成业务流量的无法正常访问。

VLAN技术应运而生，它存在的一个巨大的意义，就是能够分割广播域，每个vlan区域内的设备都可以看作是一个独立的个体，

在这个环境中，如果进行如图中所示的VLAN分割，那么就可以将其看作在一台交换机上，被重新分割成为了三台交换机，每个vlan之间的广播域互不牵扯，广播包只会在本地的VLAN内进行泛洪。

既然能够分割广播域，那么自然而然的就是一定程度上抑制广播风暴，广播风暴数据只会在单一的VLAN数据内进行传播影响，不会影响其他区域。

而这不仅仅是VLAN技术的优点。

Vlan技术同时可以增强局域网的安全性。

不同的vlan之间不可以通信，假如本局域网络中存在财务和项目两个部门，如果财务部有敏感数据，而如果不进行vlan划分的话

而使用了vlan划分技术之后，就可以增强局域网的安全性，含有敏感数据的用户组与网络的其余部分隔离，从而降低泄露机密信息的可能性。

要使设备能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用以标识VLAN信息。

1、 TPID:Tag Protocol Identifier（标签协议标识符），表示数据帧类型。

表示帧类型，取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

在VLAN的类型中，默认是802.1Q，而思科有他单独的一个类型被称为ISL（ 交换链路内协议）。

各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时， 为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致。

2. PRI(Priority)：3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧。

3. CFI（Canonical Format Indicator）1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。

4. VLAN Identifier：VLAN ID，12比特，用于指明可以使用的VLAN ID，为2的12次方，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。

提到vlan，那便不得不提他的三种接口类型：

Access，trunk，hybrid；

在讲解这三个接口类型时，我们首先引入两个概念，叫做tagged和untagged。

Tagged：叫做带有vlan的标签，同理，untagged叫做不带vlan的标签。

Access：又被叫做接入端口，是交换机上用来连接用户主机的端口，它只能连接接入链路，并且只能允许唯一的VLAN ID通过本端口。

接收方向：当A口收到一个数据时，首先他会检查这个数据，是tagged还是untagged，如果该端口收到对端设备发送的帧是untagged，交换机将强制加上该端口的PVID。

如果该端口收到对端设备发送的帧是tagged，交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时，接收该报文。当VLAN ID与该端口的PVID不同时，丢弃该报文。

发送方向：A口发送数据帧时，总是先剥离帧的Tag，然后再发送。A口发往对端设备的以太网帧永远是不带标签的帧

Trunk：T口是交换机上用来和其他交换机连接的端口，它负责连接设备之间。T口允许多个VLAN的帧（带Tag标记）通过。

接收方向：当一个T口收到数据帧时，他会首先检查这个数据帧是否携带tag，如果时untagged数据，则添加端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。

当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文。否则丢弃该报文。

注意：华为交换机种需要手动设置trunk允许的vlan。

发送方向：端口发送数据帧时，当VLAN ID与端口的PVID相同，且是该端口允许通过的VLAN ID时，去掉Tag，发送该报文。

当VLAN ID与端口的PVID不同，且是该端口允许通过的VLAN ID时，保持原有Tag，发送该报文。

Hybrid：Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。

Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。

它可以设置本地的PVID，当本地的数据要出去时，则添加本地的pvid标签，同时他也可以在端口下设置untagged与tagged。

在tagged标签中，表明了允许哪些VLAN的数据帧以tagged方式通过该端口。

在untagged标签中，表明了允许哪些VLAN的数据帧以untagged方式通过该端口。

华为配置实例：

[HuaWei-SW1]vlan 10//创建VLAN

[HuaWei-SW1]vlan 20//创建VLAN

[HuaWei-SW1]interface G0/0/2 //设置为trunk类型接口

[HuaWei-SW1]port link-type trunk //设置为trunk类型接口

[HuaWei-SW1] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口

[HuaWei-SW1]interface G0/0/1

[HuaWei-SW1]port link-type access //设置为access类型接口

[HuaWei-SW1]port default vlan 10//设置为分配到vlan10中

[HuaWei-SW1]interface G0/0/3

[HuaWei-SW1]port link-type hybrid//设置为hybrid类型接口

[HuaWei-SW1]port hybrid pvid vlan 20//设置pvid为 vlan 20

[HuaWei-SW1]port hybrid untagged vlan 20//设置vlan 20抵达此端口可去标签

[HuaWei-SW2]vlan 10

[HuaWei-SW2]vlan 20

[HuaWei-SW2]interface G0/0/1

[HuaWei-SW2]port link-type trunk //设置为trunk类型接口

[HuaWei-SW2] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口

[HuaWei-SW2]interface G0/0/3

[HuaWei-SW2]port link-type access

[HuaWei-SW2]port default vlan 10

[HuaWei-SW2]interface G0/0/2

[HuaWei-SW2]port link-type hybrid//同上

[HuaWei-SW2]port hybrid pvid vlan 20//同上

[HuaWei-SW2]port hybrid untagged vlan 20//同上

此时查看实验效果

从实验效果可以得知，PC1与PC3可以通信，PC2与PC4可以通信。

小张想到这里，从床上爬了起来，对着主管说道："主管，备机上都有配置，你把配置都粘下来然后导进主设备上吧，IDS的配置在我电脑桌面上，你也把他导进去，然后接上吧，免得再出现问题了。"

"能一起共事这么久，也算是缘分，如今我累了，就先辞职吧。"小张摇了摇头，跌跌撞撞离开了病房，主管望着小张离开的身影，隐隐的觉得失去了什么东西……

一出门的小张，望着门外西装革履的男子，叹道："麻烦让个路好吗。"

男子望着颤抖的小张，不由分说抗了起来，一边走一边说："BOSS让我找你一趟，有个职位想要和你谈谈。"

,