结合eNSP实验讲VLAN，让理论生动

一、VLAN的简介

1、定义

2、产生的原因--解决传统以太网的问题

3、VLAN的作用

4、VLAN数据帧格式--插入VLAN标签

5、VLAN的种类

5.1静态VLAN--常用

5.1.1静态vlan的范围

5.2动态VLAN

6、VLAN的三种端口类型

6.1Access接口

6.2Trunk接口

6.3Hybrid接口

二、配置静态VLAN-eNSP实验

1、基本步骤

2、具体实验--基于端口划分VLAN

三、单臂路由

1、单臂路由概述

2、单臂路由实现不同VLAN之间的通信

2.1 链路类型

2.2 子接口

2.3 单臂路由实现不同VLAN之间通信的原理

3、eNSP实验--实现不同VLAN之间的互通

4、单臂路由的局限

一、VLAN的简介

1、定义

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。

2、产生的原因--解决传统以太网的问题

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

传统以太网的问题：

3、VLAN的作用

划分/限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
提高安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
简化了网络的管理：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

4、VLAN数据帧格式--插入VLAN标签

交换机如何区别vlan?

vlan是交换机的独有技术，pc机是不认识vlan的
数据帧的vlan ID和端口的vlan ID 做比较，如果一样放行，如果不一样丢弃。

5、VLAN的种类

5.1静态VLAN--常用

基于端口划分静态VLAN

5.1.1静态vlan的范围

5.2动态VLAN

基于MAC地址划分动态VLAN

6、VLAN的三种端口类型

6.1Access接口

交换机上常用来连接用户PC、服务器等终端设备的接口。
Access接口所连接的这些设备的网卡往往只收发无标记帧。
Access接口只能加入一个VLAN。

如果收到一个没有vlan标签的数据帧，会接收数据，打上自己端口的vlan标签。

如果收到一个带有vlan标签的数据帧，会和自己的vlan标签比较，如果一样放行，并且脱掉标签，如果不一样拒收。

6.2Trunk接口

Trunk接口允许多个VLAN的数据顿通过，这些数据帧通过802.1QTag实现区分。
Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。

如果收到一个没有vlan标签的数据帧，会接收数据，打上自己端口的vlan标签，一般是默认的 vlan1。

如果收到一个带有vlan标签的数据帧，会对比vlan list 在list中的放行，并且不脱标签。

6.3Hybrid接口

Hybrid接口与Trunk接口类似，也允许多个VLAN的数据顿通过这些数据帧通过802.1Q Tag实现区分。
用户可以灵活指定Hvbrid接口在发送某个 (或某些)VLAN的数据时是否携带Tag
是华为特有的。

二、配置静态VLAN-eNSP实验

1、基本步骤

①创建VLAN

vlan 10               //建立vlan10vlan batch 10 20 30   //一次性 建立10 20 30三个vlanvlan batch 11 to 20   //一次性建立11到20的vlan

②选择端口的类型

port link-type 端口的类型   //选择端口的类型
port link-type access
port link-type trunk
port link-type hybrid

③将交换机的端口加入到相应的VLAN中

port link-type access  //如果端口类型为accessport default vlan 数字port link-type trunk   //如果端口类型为trunkport trunk allow-pass vlan all

④查看VLAN设备的信息

display vlan             //①display port vlan active //②看的更详细

1.2优化操作

我们在实际操作中，不仅仅配置一两个设备的端口，如果一个个配置，很是繁琐，所以我们可以把相同配置的端口加入到一组中，以组为单位进行统一配置。

设置一个临时端口组，将要进行相同配置的端口分在一组
port-group group-member e0/0/3  e0/0/4   //将e0/0/3端口和e0/0/4端口分为一组port-group group-membere0/0/1 to e0/0/10 //将e0/0/1端口到e0/0/10端口分为一组
在实际操作中，我们会配置很多vlan，时间一长，我们会忘记他们具体是用来干嘛的，所以我们可以给vlan添加描述信息。

添加描述信息
VLAN 10               //进入到vlan
description 描述信息   //添加具体描述信息

2、具体实验--基于端口划分VLAN

1.建立以下拓扑图

注意：

VLAN划分是对广播域进行划分，不是对网段的划分。
在实际中，不同部门会被划分在不同网段下。但是为了实验效果明显，所以这里我们划分在同一网段下。

2.对服务器和pc机进行IP地址和子网掩码的配置

3.对交换机LSW1进行的端口进行vlan划分

<Huawei>u t m
<Huawei>sys
[Huawei]sys LSW1
[LSW1]vlan batch 10 20
[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access
[LSW1-Ethernet0/0/1]port default vlan 10
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 10
[LSW1-Ethernet0/0/2]int e0/0/3
[LSW1-Ethernet0/0/3]port link-type access
[LSW1-Ethernet0/0/3]port default vlan 20
[LSW1-Ethernet0/0/3]int e0/0/4
[LSW1-Ethernet0/0/4]port link-type access
[LSW1-Ethernet0/0/4]port default vlan 20
[LSW1-Ethernet0/0/4]q

4.对交换机LSW2进行的端口进行vlan划分

--原理与对LSW1的端口划分一样。

5.测试

①不同vlan直接ping---PC1 ping PC3

②拿服务器对不同vlan中的主机进行ping测试

三、单臂路由

1、单臂路由概述

单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

2、单臂路由实现不同VLAN之间的通信

2.1 链路类型

交换机连接主机的端口为access链路
交换机连接路由器的端口为Trunk链路

2.2 子接口

路由器的物理接口可以被划分为多个逻辑接口
每个子接口对应一个VLAN网段的网关

2.3 单臂路由实现不同VLAN之间通信的原理

--路由器重新封装MAC地址、转换VLAN标签

将路由器的F0接口进行逻辑划分：分为F0.1和F0.2 设置网关分别为主机对应IP地址网段。

1、主机A 和主机B通信

由于不在同一网段中，

主机A会生成一个不带vlan标签的报文

无标签
源IP地址 10.0.0.10/24
目的IP地址 20.0.0.20/24

源MAC地址
000000aaaaaa
目的MAC地址 000000111111

2、达到交换机后

交换机F0/1端口是access链路收到不带vlan标签的数据帧，会打上自己端口vlan 10 的标签，然后从F0/24端口出去，F0/24是trunk链路。我们要允许所有的链路通过，所有数据会携带vlan标签发往路由器。

此时报文

vlan 10的标签
源IP地址 10.0.0.10/24
目的IP地址 20.0.0.20/24
源MAC地址 000000aaaaaa
目的MAC地址 000000111111

3、路由器F0/0.1口收到数据--因为他是vlan10的网关

然后进行拆包分析，发现要去往20.0.0.20的网段，查找路由表发现是直连路由，可以直接从F0/2端口转发出去，并且发现这个端口属于vlan 20，所以重新封装该数据帧，并把vlan标签改成vlan 20的标签，再发arp广播得到主机2的MAC地址，形成最后的数据帧

vlan 20的标签
源IP地址 10.0.0.10/24
目的IP地址 20.0.0.20/24
源MAC地址 000000111111
目的MAC地址 000000bbbbbb

4、达到交换机后

交换机F0/2端口是access链路收到带vlan 20标签的数据帧，

达到交换机后

交换机F0/1端口是access链路收到带vlan 20标签的数据帧，帧的VLAN ID与接口PVID相同:
先剥离该帧的Tag，然后再将其从该接口发出

无标签
源IP地址 10.0.0.10/24
目的IP地址 20.0.0.20/24
源MAC地址 000000111111
目的MAC地址 000000bbbbbb

3、eNSP实验--实现不同VLAN之间的互通

1、建立拓扑图

在上面实验--基于端口划分VLAN的基础上加一个路由器，形成单臂路由。

2、对服务器和主机的ip地址，子网掩码，网关进行设置，使其在不同的网段

3、对路由器进行设置


//交换机可以子接口划分，直接进入子接口0.10，建议与vlan一致
[AR1]int g0/0/0.10
//配置vlan封装结构，（dot1q为IEEE802.1q协议，该子接口属于vlan10）
[AR1-GigabitEthernet0/0/0.10]dot1q termination vid 10
//为该子接口添加ip地址（即vlan10下面所属主机的网关地址）
[AR1-GigabitEthernet0/0/0.10]ip address 192.168.10.254 24
//开启向下arp广播请求功能
[AR1-GigabitEthernet0/0/0.10]arp broadcast enable 
//进入子接口0.10，建议与对应的vlan一致
[AR1-GigabitEthernet0/0/0.10]int g0/0/0.20
//配置vlan封装结构，同上
[AR1-GigabitEthernet0/0/0.20]dot1q termination vid 20
//为该子接口添加ip地址，同上
[AR1-GigabitEthernet0/0/0.20]ip address 192.168.20.254 24
//开启广播请求功能，同上
[AR1-GigabitEthernet0/0/0.20]arp broadcast enable