关于vlan的常见划分方式_关于VLAN的概念及划分方法

VLAN概念

VLAN(虚拟局域网)的中文名字是‘虚拟局域网’。虚拟局域网(VLAN)是一组逻辑设备和用户。这些设备和用户不受物理位置的限制。它们可以按照功能、部门和应用来组织，它们之间的通信就像是在同一个网段一样，因此得名VLAN。由于交换机端口有两个VLAN属性，一个是VLANID，一个是VLANTAG，分别对应VLAN对设置VLAN标签和VLANTAG包。不同的VLANID端口可以通过允许VLAN互相标记来构建VLAN。

一、VLAN基础

同一VLAN中的用户之间的通信就像在局域网中一样。同一个VLAN中的广播只能被VLAN中的成员听到，不会传送到其他VLAN，从而控制了不必要的广播风暴的产生。同时，没有路由，不同的VLAN无法相互通信，从而提高了不同工作组之间的信息安全性。网络管理员可以通过配置VLAN之间的路由来全面管理网络中不同工作组之间的信息交换。

1、技术特点(1)端口分离。

即使在同一台交换机上，不同VLAN的端口也无法通信。这种物理交换机可以用作多个逻辑交换机。

(2)网络安全。不同的VLAN不能直接通信，这消除了广播信息的不安全性。(3)柔性管理。改变用户的网络不需要改变端口和连接，只需要改变软件配置。

2、TAG和UNTAG以VLAN港为基础，这是最常用的VLAN划分方法，也是使用最广泛、最有效的方法。目前，大多数采用VLAN协议的交换机都提供这种VLAN配置方法。这种VLAN划分方法基于以太网交换机的交换端口。它将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干组，每组构成一个虚拟网络，相当于一个独立的VLAN交换机。1999年，IEEE发布了IEEE Std 802.1Q标准来规范VLAN的实现。IEEE 802.1Q协议标准为各种LAN网络结构定义了VLAN的标签字段。在不同的网络结构中，连接的设备可以通过共同的数据特征识别VLAN。对于常见的以太网网络模型，有两种主要的数据包封装格式，即以太网II和802.2/802.3。对于这两种以太网报文的封装格式，IEEE 802.1Q协议标准在数据帧头的目的MAC地址(DA)和源MAC地址(SA)后定义了VLAN标签，用于标识VLAN的相关信息。

3、端口的链路类型，在不同部门需要互访时，可以通过路由器进行转发，并且可以用基于MAC地址的端口进行过滤。将可通过的MAC地址设置在到站点的访问路径上离站点最近的交换机、路由交换机或路由器的相应端口上。这可以防止非法入侵者从内部窃取IP地址和从其他可访问点入侵的可能性。

以太网端口有三种链路类型：接入、中继和通用接入端口只能属于一个VLAN，可以用来连接计算机端口；Trunk型端口可以允许多个VLAN通过，可以收发多个VLAN报文，一般用于交换机之间的连接；通用型端口可允许多个VLAN通过，接收和发送多个VLAN报文，可用于交换机间连接和用户计算机连接。通用端口和中继端口在接收数据时的处理方法相同。唯一不同的是，在发送数据时，通用端口可以允许发送多条无标签的VLAN报文，而中继端口只允许发送无标签的默认VLAN报文。

默认VLAN( PVID):接入端口只属于一个VLAN，所以其默认VLAN是其所在的VLAN，不需要设置；通用端口和中继端口属于多个VLAN，因此需要设置默认的VLAN ID。

默认情况下，混合端口和中继端口的默认VLAN是VLAN 1；如果设置了端口的默认VLAN ID，端口在收到没有VLAN的tag报文后，会将报文转发到默认VLAN所属的端口；当端口发送带有VLAN标签的报文时，如果报文的VLAN ID与端口默认的VLAN ID相同，系统将去掉报文的VLAN标签后再发送报文。

交换机接口进出数据的处理过程：在接入端口接收报文：收到报文后判断是否有VLAN信息；如果否，则标记端口PVID进行交换和转发；如果有，直接丢弃(默认)Acess端口发送报文：剥离报文的VLAN信息，直接发送到trunk端口接收报文，判断是否有VLAN信息：如果没有VLAN信息，打孔端口PVID，交换转发；如果有，判断VLAND ID是否在trunk允许的范围内，如果是，则转发；否则，丢弃中继端口发送报文；如果比较端口PVID与待发送报文的VLAN信息相等，则剥离VLAN信息，直接发送到接收报文的通用端口；如果没有，则在收到消息后判断是否有VLAN信息；如果没有，打PVID港，并交换和转发。如果是，则判断通用端口是否允许VLAN数据进入：如果是，则转发，否则丢弃(此时不考虑端口上的untag配置，untag配置只在发送报文时起作用)。通用端口发送消息：1)判断VLAN是否在本地端口属性中。2)如果是untag，则在发送之前去除VLAN信息；如果是标签，直接发。

二、如何划分VLAN

以TP-LINK SL3226为例。要求：学校宿舍无线网络。在一个有20个配线架接入点的楼层上有一个二层网络管理接入交换机。它需要连接到网络。管理地址是192.168.200.110。管理VLAN是4000，端口VLAN是110，与核心交换机级联的VLAN是204。控制器控制VLAN是1000。简介：

1、登录交换机管理界面(配置计算机网线临时插入端口24)。

选择VLAN

2、端口类型配置选择端口号1-24，并选择端口类型常规。默认的VLAN是1，以后会更改。

还配置了25和26端口，端口类型为中继。

3、开始创建新的VLAN

使用端口1-23和25-26创建VLAN110，并保留端口24用于配置。交换机端口1-23的退出规则是UNTAG，端口25-26是TAG。

使用端口25-26创建VLAN204，并导出规则标记。

创建一个端口为1-26的新VLAN1000，退出规则为TAG。

创建VLAN4000，端口24-26，导出规则24作为unTAG，端口25-26作为TAG。

如下所示配置VLAN

4、在更改PVID之前，端口1-23的默认VLAN是110。

将24个端口的默认VLAN更改为4000。

更改后请将网线插入25或26端口进行配置，管理IP不变。更改24端口后，如图所示登录。

5、修改管理VLAN号码和管理IP系统配置管理IP。将管理VLAN修改为4000，将管理IP修改为192.168.200.110。

如果修改后计算机失去连接，将计算机的IP地址更改为192.168.200。*并将网线插入24个端口。

6、保存配置输入192.168.200.110再次登录交换机管理界面，配置保存菜单，选择保存配置，这样就配置了一台二层接入交换机。

如果您想恢复出厂配置，您可以在系统管理系统工具软件中进行重置。

以上是VLAN分部的方法，仅供参考！

黄飞