华为交换划分vlan以及三层交换机配置原理（超详细）

Posted 2021-06-07 ‘朱砂痣’、

目录

什么是VLAN？

VLAN作用

VLAN基本原理

802.1Q帧的格式

VLAN类型

VLAN转发

VLAN配置

什么是VLAN？

VLAN（Virtual Local Area Network），LAN在这里就是代指广播域，而不再强调是一个局域网。

通常把划分前，规模较大的广播域称为LAN，划分后的称为VLAN

这边有个补充的注意点：

一个广播域中，任何两台终端计算机都能进行二层通信（也就是数据链路层通信），二层通信是怎么通信的呢？直接进行交换帧的方式来传递信息

二层通信特点：

• 源Mac地址，目标Mac地址，类型值，载荷数据，CRC都没有变化
• 信息发送的帧，可能会通过路由器来转发，但一定不会通过路由器或者三层交换机（具有路由功能）来三层转发。

三层通信：源数据帧经过路由器的转发，那么目的计算机收到的数据帧一定不是源计算机发出的数据帧。至少目标计算机收到的帧的目标Mac地址和源Mac地址一定和源计算机发出的帧的源Mac地址和目标Mac地址不同。这就是三层通信

VLAN作用

如图：

一个典型的交换网络，只有终端计算机和交换机

• 假设此时pc0发送一个广播帧，然后交换机就会进行泛洪操作，结果所有的pc都会收到这个广播帧，在这里我们把一个广播帧所能到达的范围称为二层广播域，在这里很显然一个交换网络就是一个广播域
• 假设此时pc0发送一个单播帧Y。假定此时S1，S3，S7中Mac地址表中存在关于pc10的Mac地址的表项，S2，S5不存在关于pc10的Mac地址表项,那么S1和S3将对Y帧进行点对点转发操作，S7将对Y帧进行丢弃操作，S2和S5将对Y帧进行泛洪操作。最终配pc10虽然收到了Y帧，但是 pc3,pc4同时也收到了他们不应该收到的Y帧。

这里就出现了两个问题：

• 网络安问题

假如pc4是一台恶意计算机那么就会很容易的获取PC0发送给PC10的数据信息

• 垃圾流量问题

就是上面所说的其他非目的计算机也会收到Y帧，垃圾流量会浪费网络带宽资源和计算机计算资源

显而易见广播域越大，那么上面的现象越严重，因此VLAN技术就出现了，通过在交换机上面部署VLAN机制，将大的广播域在逻辑上划分成若干个小的广播域

作用

• 提升网络的安全性
• 减少垃圾流量，节约网络资源

VLAN基本原理

示例1：

将一个大的广播域划分成两个VLAN，可知此时将port1,port2,port6属于VLAN3，port3，port4，port5属于VLAN3

这里面有个注意点：

• 计算机本身没有VLAN概念，所以计算机上没有相关的VLAN配置

示例2：

X帧：

目的Mac地址：ff-ff-ff-ff-ff-ff（广播地址）

源Mac地址：PC1的Mac地址

假设PC1发送一个广播帧X，从属于vlan2的port1口出来，那么X帧就属于vlan2，于是就向同属于vlan2的port2，port6口泛洪，最后只有PC2，PC6收到X帧，而属于VLAN3的PC3，PC4，PC5是收不到的X帧的.

示例3：

Y帧：

目的Mac地址：PC6的Mac地址

源Mac地址：PC1的Mac地址

假设PC1向PC6发送一个单播帧Y，那么会出现两种情况

• 交换机中没有存在PC6的Mac地址表项
• 交换机中不存在PC6的Mac地址表项

以交换机存在PC6的Mac地址表项为例，那么交换机首先会判断Y帧属于VLAN2，交换机查询了vlan2的Mac地址表项之后会将Y帧点到点的向同属于VLAN2的port6口进行转发，最后PC6收到了Y帧（交换机中不存在PC6的Mac地址表项，那么首先会在VLAN2中的port2，port6进行泛洪，PC2收到之后丢弃，PC6收到之后不会丢弃，而是进行后续操作）

示例4：

Z帧：

目的Mac地址：PC3的Mac地址

源Mac地址：PC1Mac地址

PC1向向PC3发送单播帧Z。单播帧Z是从port1中进入的，port1属于vlan2，所以交换机的的vlan2中的Mac地址是不存在关于PC3的Mac地址表项的，所以交换机会向port2，port6泛洪，PC2和PC6收到Z帧之后会直接丢弃，最后的结果是PC3没接收到Z帧，交换机阻断了PC1和PC3的二层通信。

示例5：

就这样后面还有补充