VLAN基礎知識

以太網是一種基于CSMA/CD載波偵聽多路通路/沖突檢測

通過交換機實作LAN互聯，雖然解決沖突嚴重的問題，但不能隔離廣播封包

當主機數目較多時會導緻沖突嚴重，廣播泛濫，性能顯著下降，甚至使網絡不可用等問題

二層MAC表:裝置接口号、所屬的Vlan-id、該接口相連接配接的裝置MAC位址 

（針對這三元組生成一個key、Hash算法得出值放入CAM表中）

三層TCAM表:裝置接口号、所屬的Vlan-id、該接口相連接配接的裝置MAC位址、裝置IP位址

傳統格式

<a href="https://s5.51cto.com/wyfs02/M00/8D/BD/wKioL1ipmMmxGhKRAAB7DV-LDK4648.jpg" target="_blank"></a>

vlan原理:

要使網絡裝置能夠分辨不同vlan的封包，需要在封包中添加辨別vlan的字段。由于普通交換機工作在OSI模型的資料鍊路層，隻能對封包的資料鍊路層封裝進行識别，如果添加識别字段，也需要添加到資料鍊路層封裝中

802.1Q格式

<a href="https://s2.51cto.com/wyfs02/M02/8D/BD/wKioL1ipmDHQvC4yAACp3MgsJXs783.jpg" target="_blank"></a>

MAC位址表轉發方式:單點傳播、廣播

TPID标簽協定辨別符：用來判斷本資料幀是否帶有VLAN tag，長度為16bite，預設取值為0x8100

priority表示封包的優先級，長度為3bite

CFI字段辨別MAC位址在不同的傳輸媒體中是否以标準格式進行封裝，長度為1bite，取值為0表示MAC位址以标準格式進行封裝，為1表示以非标準格式封裝，預設取值為0

VLAN ID辨別該封包所屬vlan的編号，長度為12bite取值範圍0~4095（0和4095為協定保留取值）

Cisco的vlan定義（Cisco使用的是ISL是以它所定義的幀的格式和802.1Q大有差別）

1002-1005 給FDDI和Token Ring

1006-4094 擴充vlan 型号三層以上 一定要把VTP的模式設為transport

Vlan交換:根據标簽（vlan tag）進行封包轉發，同時可以對封包進行标簽更改

vlan交換通過本地交換組和服務執行個體共同實作:把不同端口上的兩個服務執行個體關聯到同一個本地交換組中，就建立起了vlan交換

vlan終結:對收到的vlan封包，去除vlan tag後進行三層轉發或其他處理。轉發出去的封包是否帶有tag由出接口決定

對将發送的封包，将相應的vlan資訊添加到封包中再發送

vlan可以把lan劃分成多個邏輯的LAN，每個vlan是一個廣播域，vlan間不能互相通信，廣播封包被限制在一個vlan内，VLAN可以隔離2層的廣播域，vlan劃分不受實體位置的限制

vlan的優點:A VLAN ＝（一個） 廣播域＝（一個）邏輯子網

1.限制廣播，節省了帶寬，提高了網絡處理能力

2.增強區域網路的安全，vlan間二層封包互相隔離，隔離故障域

3.靈活建構虛拟工作組，用vlan可以劃分不同的使用者到不同的工作組，提高了安全性

Vlan終結的實質

1、對收到的Vlan封包，去除Vlan tag後轉發，轉發出去的封包是否帶有Tag由出接口決定

2、對将發送的封包，将相應的vlan資訊添加到封包中再發送

中繼器5-4-3規則

級聯太多導緻有較大的延時，建議最多不要超過四層

交換機建議配置預設網關預設路由，主要便于管理

ip default-gateway 10.1.1.254 

IP route 0.0.0.0 0.0.0.0 10.1.1.254

vlan 10

port g1/0/1 to g1/0/10

裝置描述以及标簽基本格式：

公司簡稱 +  業務子產品 +  位置 +  裝置型号 +  編号（TaiJi_Computer_LAB_3660_03）

一旦删除vlan，access接口上的vlan會靜止，不轉發流量

show version 檢視整機的MAC位址

display interface   接口存在哪些類型錯誤，FCS錯誤雙工模式不比對

Native vlan配置不比對，那麼CDP會發送一條“vlan配置錯誤”消息

Native vlan不比對的情況，可能産生二層環路

其一、下面能通信麼

<a href="https://s5.51cto.com/wyfs02/M01/8F/D1/wKioL1js2nKDA-ZlAAB1LKv3Tdk227.jpg" target="_blank"></a>

答案：不可以互通、為什麼呢？

其二、PC可以通信麼？

<a href="https://s4.51cto.com/wyfs02/M02/8F/D3/wKiom1js27SiSiwfAAC0q6RUs3U241.jpg" target="_blank"></a>

答案：可以互通、為什麼呢？

access接口的資料幀是沒有标記的，當一個access接口屬于某個vlan，那麼從此接口收到的資料幀都被認為此vlan的資料，是以就可與該接口相同vlan的主機通信，隻有資料幀經過Trunk時，才會打上Vlan标記

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1748064，如需轉載請自行聯系原作者