干货！VLAN基础知识总结

作者：言炎言舌 2018-10-31 14:44:13

云计算

虚拟化 VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

 什么是VLAN？

VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。

[[248217]]

为什么要用到VLAN？

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段（建议一个Vlan对应一个IP子网。不同VLAN用同一个IP子网或一个VLAN对应多个IP子网都是错的）。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN优点？

1、增加灵活性和可扩展性

通过将交换机端口或用户分配到交换机上的VLAN组中，或则分配到相连的交换机组中，就可以只添加你想要其进入此广播域的用户，而不用去理会他们的物理位置如何。

2、控制网络上的广播

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外同样，相邻的端口不会收到其他VLAN产生的广播这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

3、增加安全性

处于同一交换机上不同VLAN用户间默认情况下无法进行通信。它可以配置为一旦有任何对网络资源的非授权访问，可以立即通知网络管理站。

VLAN的划分方法

1、基于端口划分的VLAN

这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（***虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

2、基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应***的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

3、基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络这种按网络层协议来组成的 VLAN，可使广播域跨越多个VLAN交换机这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

4、根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

5、按策略划分VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。

6、按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

VLAN的使用方式

1、Local VLAN

一个VLAN集中在一个机架中，便于故障分析定位，便于管理流量。推荐使用。

①数据流可预测

②冗余路径

③高可用性

④有限的故障域

⑤可扩展性

2、End-to-End VLAN

设备在物理上分布灵活、流量不合理、故障难定位。不推荐使用。

VLAN成员关系

1、静态VLAN

VLAN通常是由管理员创建的，并由管理员将交换机端口分配到每个VLAN中，这种类型的VLAN称为静态VLAN。

Switch(config)#vlan ? 
 
#在全局模式下创建、删除、修改VALN。 
 
<1-1005> 
 
ISL VLAN IDs 1-1005 

#说明这台交换机只能支持基础的VLAN创建。扩展的VLAN范围包括0～4096。其中0，4095，1006～1024为系统保留，无法查看使用它们；1为管理VLAN（本机VLAN），可以查看使用但不能删除；1002～1005用于FDDI 和令牌环的Cisco 默认VLAN，用户不能删除。另外需要注意的是在VTP版本2中只能支持基础VLAN的同步。

Switch(config)#vlan 2 
 
Switch(config-vlan)#name Sales 
 
#为这个VLAN命名，便于记忆。（可选配置） 
 
Switch(config-vlan)#interface fa0/1 
 
#进入接口模式。 
 
Switch(config-if)#switchport mode access 
 
#将端口定义为接入端口（接入层端口）。 
 
Switch(config-if)#switchport access vlan 2 
 
#将此端口静态的划分到某个VLAN中。 

2、动态VLAN

动态VLAN可以自动决定一个结点的VLAN分配。通过使用智能化的管理软件，就可以基于硬件地址、协议甚至应用程序来创建动态的VLAN。这里可以使用VLAN管理策略服务器（VLAN Management Policy Server，VMPS）的服务来建立MAC地址的数据库，这个数据库可以用于VLAN的动态寻址。VMPS数据库能够自动将MAC地址映射到VLAN。

3、检查

switch#show vlan 
 
#查看VLAN 信息 
 
switch#show interface vlan [vlan_id] 
 
#查看具体某个VLAN 的详细信息 
 
switch#show vlan brief 
 
#查看交换机上已经创建的VLAN和交换机端口的从属关系。 
 
switch#show spanning-tree vlan ID 
 
#查看某个VLAN的生成树。 

注：默认情况下，交换机的vlan 文件不是保存在config.text 中，因此在清除启动配置后，还可以看见vlan 信息，Cisco 交换机是将VLAN 信息保存在Flash:vlan.dat 中，只有将该文件删除，vlan 信息才能彻底删掉。命令如下：

switch#show flash 
 
#使用show 命令查看是否有vlan.dat 文件 
 
switch#delete flash:vlan.dat 
 
#使用delete 命令删除vlan.dat 文件 

广播域的分割与VLAN的必要性

分割广播域时，一般都必须使用到路由器。使用路由器后，可以以路由器上的网络接口（LAN Interface）为单位分割广播域。

但是，通常情况下路由器上不会有太多的网络接口，其数目多在1～4个左右。随着宽带连接的普及，宽带路由器（或者叫IP共享器）变得较为常见，但是需要注意的是，它们上面虽然带着多个（一般为4个左右）连接LAN一侧的网络接口，但那实际上是路由器内置的交换机，并不能分割广播域。

况且使用路由器分割广播域的话，所能分割的个数完全取决于路由器的网络接口个数，使得用户无法自由地根据实际需要分割广播域。

与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。

用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。