交换机划分Vlan配置

实验目标

理解虚拟LAN(VLAN)基本配置；
掌握一般交换机按端口划分VLAN的配置方法；
掌握Tag VLAN配置方法。

实验背景

某一公司内财务部、销售部的PC通过2台交换机实现通信；要求财务部和销售部的PC可以互通，但为了数据安全起见，销售部和财务部需要进行互相隔离，现要在交换机上做适当配置来实现这一目标。

技术原理

VLAN是指在一个物理网段内。进行逻辑的划分，划分成若干个虚拟局域网，VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经路由设备进行转发，广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。
Port VLAN是实现VLAN的方式之一，它利用交换机的端口进行VALN的划分，一个端口只能属于一个VLAN。
Tag VLAN是基于交换机端口的另一种类型，主要用于交换机的相同Vlan内的主机之间可以直接访问，同时对不同Vlan的主机进行隔离。Tag VLAN遵循IEEE802.1Q协议的标准，在使用配置了Tag VLAN的端口进行数据传输时，需要在数据帧内添加4个字节的8021.Q标签信息，用于标示该数据帧属于哪个VLAN,便于对端交换机接收到数据帧后进行准确的过滤。
标准以太网帧就是不加tag的普通ethernet帧，普通PC机的网卡是可以识别这样的报文进行通讯；

tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的。带802.1Q的帧即VLAN TAG帧是在标准以太网帧上插入了4个字节的标识。其中包含：2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。2个字节的标记控制信息（TCI），包含了三个域。Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring。VLAN ID域，占12bit，用于标示VLAN

以太网端口有三种链路类型：Access、Hybrid和Trunk。
Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
在这里先要向大家阐明端口的缺省VLAN这个概念
Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；
Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1。如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。
注：对于华为交换机缺省VLAN被称为“Pvid Vlan”，对于思科交换机缺省VLAN被称为“Native Vlan”
交换机接口出入数据处理过程如下：
Acess端口收报文:
收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）
Acess端口发报文：
将报文的VLAN信息剥离，直接发送出去
trunk端口收报文：
收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃
trunk端口发报文：
比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送
hybrid端口收报文：
收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用)