vlan理論01-概念及原理

1、 vlan的作用
將一個物理的區域網在邏輯上劃分成多個廣播域的技術。
主要解決傳統乙太網的衝突嚴重，廣播氾濫，以及安全無法保障等問題。
傳統的共享式乙太網中使用的是CSMA/CD技術來避免衝突。

2、802.1q 幀格式如下：

TPID：標籤協議識別符號），表示幀型別，取值為 0x8100 時表示 802.1q Tag 幀。如果
不支援 802.1q 的裝置收到這樣的幀，會將其丟棄。
PRI：表示幀的優先順序，取值範圍為 0～7，值越大優先順序越高。用於當交換機阻塞時，優先發送優先順序高的資料幀。
CFI：標準格式指示位，表示 MAC 地址是否是經典格式，CFI 為 0 說明是經典格式， CFI 為 1 表示為非經典格式。用於相容乙太網和令牌環網，在乙太網中， CFI 的值為 0。
VID：VLAN ID，表示該幀所屬的 VLAN，VLAN ID 取值範圍是 0～4095。由於 0 和4095 為協議保留取值，所以 VLAN ID 的有效取值範圍是 1～4094。

3、鏈路型別
1）、接入鏈路（Access Link）：用於連線使用者主機和交換機的鏈路。通常情況下，主機並不需要知道自己屬於哪個 VLAN，主機硬體通常也不能識別帶有 VLAN 標記的幀。因此，主機發送和接收的幀都是 untagged 幀。
2）、幹道鏈路（Trunk Link）：用於交換機間的互連或交換機與路由器之間的連線。幹道鏈路可以承載多個不同 VLAN 資料，資料幀在幹道鏈路傳輸時，幹道鏈路的兩端裝置需要能夠識別資料幀屬於哪個 VLAN，所以在幹道鏈路上傳輸的幀都是 Tagged 幀。

當交換機從access介面收到了幀後，發現是個untag的幀，就給他打上VLAN ID為1的預設VLAN tag，按理說從trunk介面轉發出去的時候應該攜帶這個預設的VLAN tag，但是華為是將這個預設的VLAN tag剝除再發送出去的（前提是介面允許通過預設VLAN），因為在華為眼裡，打上預設VLAN tag再發送出去沒有必要。所以說，當從trunk收到一個沒有打VLAN tag的幀的時候，預設都認為是屬於VLAN 1的資料。

4、介面型別
1）、Access 介面
access介面接收：access介面在收到資料（通常為untag的幀）後會新增VLAN tag，VLAN tag和埠的PVID相同（如果沒有手工指定PVID，預設為1）。如果在access介面收到了打了VLAN tag的幀（一般情況下不會，但是如果有***就又可能），那麼交換機會將 VLAN tag與介面的PVID比較，如果不匹配，就丟棄。如果匹配，就轉發。
access介面傳送：access介面在傳送資料之前會將這個VLAN tag剝除。
2）、Trunk 介面
trunk介面接收：當trunk埠接收到幀時，如果該幀不包含tag，將打上埠的預設PVID（其實就是對端預設PVID傳送過來的幀），然後轉發到相應埠；如果該幀包含tag，則不改變，轉發相應埠。
trunk介面傳送：當在access介面對資料幀添加了VLAN tag之後（所有的幀在從access介面進入交換機的時候都會打上VLAN tag，可能是手工指定的PVID，也可能是預設的PVID 1），從trunk介面轉發出去之前會首先檢視trunk介面是否允許了這個VLAN tag的通過，如果不允許就直接丟棄。如果允許：
a、若與trunk介面的預設PVID相同時，就剝離tag傳送；
B、若與trunk介面的預設PVID不同時，就直接傳送。
3）、Hybrid 介面
Hybrid 介面是交換機上既可以連線使用者主機，又可以連線其他交換機的介面。Hybrid 介面既可以連線接入鏈路又可以連線幹道鏈路。Hybrid 介面允許多個 VLAN 的幀通過，並可以在出介面方向將某些 VLAN 幀的 Tag 剝掉。
4）、QinQ 介面
QinQ（802.1Q-in-802.1Q）介面是使用 QinQ 協議的介面。 QinQ 介面可以給幀加上雙重 Tag，即在原來 Tag 的基礎上，給幀加上一個新的 Tag，從而可以支援多達 4094×4094 個 VLAN（不同的產品支援不同的規格），滿足網路對 VLAN 數量的需求。
QinQ 幀格式如下圖所示，外層的標籤通常被稱作公網 Tag，用來存放公網的 VLAN ID。內層標籤通常被稱作私網 Tag，用來存放私網的 VLAN ID。

5、VLAN的劃分
可以基於以下幾種方式來劃分VLAN：
1）、基於介面：根據交換裝置的介面編號來劃分VLAN；
2）、基於MAC地址：根據計算機網絡卡的 MAC地址來劃分VLAN。 網路管理員成功配置 MAC 地址和VLAN ID 對映關係表，如果交換機收到的是 untagged（不帶 VLAN 標籤）幀，則依據該表新增 VLAN ID；
3）、基於IP子網：如果交換裝置收到的是 untagged（不帶 VLAN 標籤）幀，交換裝置根據
報文中的 IP 地址資訊，確定新增的VLAN ID；
4）、基於協議：根據介面接收到的報文所屬的協議（族）型別及封裝格式來給報文分配
不同的 VLAN ID；
5）、基於策略：在交換機上配置終端的 MAC 地址和 IP地址，並與 VLAN 關聯。只有符合條件的終端才能加入指定VLAN。符合策略的終端加入指定VLAN 後，嚴禁修改 IP 地址或 MAC地址，否則會導致終端從指定 VLAN中退出。

注 ： 優先順序關係：基於匹配策略劃分VLAN->基於MAC地址劃分VLAN和基於子網劃分VLAN->基於協議劃分VLAN->基於介面劃分VLAN。