一.VLAN基礎

VLAN（Virtual Local Area Network，虛拟局域網）是一種将局域網設備從邏輯上劃分成一個 個網段，從而實現虛拟工作組的數據交換技術，這種技術通過在局域網數據幀上定義擴展字段， 來對物理網絡進行邏輯上的分割，從而限定局域網數據幀的轉發範圍，縮小廣播域。VLAN技 術主要應用于交換機、路由器和無線控制器等網絡設備中。

同一個VLAN中的用戶間通信就和在一個局域網内一樣，同一個VLAN中的廣播隻有VLAN中的 成員才能聽到，而不會傳輸到其他的VLAN中去，從而控制不必要的廣播風暴的産生。同時， 若沒有路由，不同VLAN之間不能相互通信，從而提高了不同工作組之間的信息安全性。網絡 管理員可以通過配置VLAN之間的路由來全面管理網絡内部不同工作組之間的信息互訪。

1技術特點

(1)端口的分隔。即便在同一個交換機上，處于不同VLAN的端口也是不能通信的。這樣一個物理的交換機可以當作多個邏輯的交換機使用。

(2)網絡的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改用戶所屬的網絡不必換端口和連線，隻更改軟件配置就可以了。

2.TAG和UNTAG

基于端口的VLAN,這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網交換機的交換端口來劃分的，它是将VLAN交換機上的物理端口和VLAN交換機内部的PVC（永久虛電路）端口分成若幹個組，每個組構成一個虛拟網，相當于一個獨立的VLAN交換機。

IEEE于1999年發布了用以規範VLAN實現的IEEE Std 802.1Q标準。 IEEE 802.1Q協議标準為各種局域網網絡結構定義了VLAN的Tag字段，不同網絡結構中，連接 設備可以通過共同的數據特征進行VLAN識别。

對于常見的以太網網絡模型，其主要的報文封裝格式類型有兩種，分别為Ethernet II型和 802.2/802.3型。對于這兩種以太網報文的封裝格式，IEEE 802.1Q協議标準在數據幀首部的目 的MAC地址（DA）和源MAC地址（SA）後定義了VLAN Tag，用以标識VLAN的相關信息。

3. 端口的鍊路類型

對于不同部門需要互訪時，可通過路由器轉發，并配合基于MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應端口上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從内部盜用IP地址從其他可接入點入侵的可能。

以太網端口有 3種鍊路類型:access、trunk、General

Access類型端口隻能屬于1個VLAN 般用于連接計算機端口；

Trunk類型端口可以允許多個VLAN通過,可以接收和發送多個VLAN 報文,一般用于交換機之間的連接；

General類型端口可以允許多個VLAN通過，可以接收和發送多個VLAN 報文，可以用于交換機的間連接也可以用于連接用戶計算機。

General端口和Trunk端口在接收數據時處理思路方法是一樣的，唯一區别的處在于發送數據時:General端口可以允許多個VLAN報文發送時不打标簽，而Trunk端口隻允許缺省VLAN報文發送時不打标簽。

缺省VLAN( PVID）:

Access端口隻屬于1個VLAN 所以它缺省VLAN就是它所在VLAN不用設置；

General端口和 Trunk端口屬于多個VLAN，所以需要設置缺省VLAN ID。缺省情況下 Hybrid端口和Trunk端口缺省VLAN為VLAN 1；

如果設置了端口缺省VLAN ID當端口接收到不帶VLAN Tag報文後則将報文轉發到屬于缺省VLAN的端口；當端口發送帶有VLAN Tag報文時，如果該報文 VLAN ID和端口缺省VLAN ID相同，則系統将去掉報文VLAN Tag，然後再發送該報文。

交換機接口出入數據處理過程:

Acess端口收報文:收到個報文判斷是否有VLAN信息:如果沒有則打上端口 PVID并進行交換、轉發，如果有則直接丢棄(缺省) Acess端口發報文:将報文VLAN信息剝離直接發送出去

trunk端口收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上端口 PVID 并進行交換轉發，如果有判斷VLAND ID是否在該trunk的允許範圍内，如果在範圍内則轉發，否則丢棄

trunk端口發報文:比較端口PVID和将要發送報文VLAN信息如果兩者相等則剝離VLAN信息再發送，如果不相等則直接發送

General端口收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上端口 PVID 并進行交換轉發。如果有則判斷該General端口是否允許該VLAN數據進入:如果可以則轉發，否則丢棄(此時端口上untag配置是不用考慮，untag配置隻對發送報文時起作用)

General端口發報文:

1、判斷該VLAN在本端口屬性

2、如果是untag,則剝離VLAN信息再發送;如果是tag,則直接發送.

二.如何劃分VLAN

以TP-LINK SL3226為例，需求：學校宿舍無線網，某樓層有一台二層網管接入交換機，帶了20台面闆AP.需要接入網絡，管理地址為192.168.200.110.管理VLAN為4000，端口VLAN為110，和核心交換機級聯VLAN為204.控制器控制VLAN為1000

簡介：TP-LINK SL3226為24口百兆交換機，兩個上聯口25.26為千兆口。

1.登陸交換機管理界面（配置電腦網線暫時插在24口上）

選擇VLAN

2.端口類型配置

選擇端口号1-24端口，選擇端口類型GENERAL,缺省VLAN為1，稍後再更改

同樣配置25，26上聯口，端口類型TRUNK

3.開始新建VLAN

新建VLAN110,端口為1-23，25-26，保留端口24做配置交換機用

端口1-23出口規則為UNTAG，端口25-26為TAG

新建VLAN204,端口為25-26，出口規則TAG

新建VLAN1000,端口為1-26，出口規則為TAG

新建VLAN4000,端口為24-26，出口規則24為UNTAG,25-26為TAG

配置VLAN如下圖

4.配置PVID

更改前1-23口缺省VLAN為110

更改24口缺省VLAN為4000

更改以後，請将網線插在25或者26口進行配置，管理IP不變

改完24口後登陸如圖

4.修改管理VLAN号和管理IP

系統配置>管理IP。修改管理VLAN為4000，修改管理IP為192.168.200.110

需改後電腦失去連接，更改電腦IP地址192.168.200.*，并将網線插入24口

5.保存配置

輸入192.168.200.110重新登陸交換機管理界面，配置保存菜單，選擇保存配置，這樣一台二層接入交換機就配置好了。

如果想恢複出廠配置，可以在系統管理>系統工具>軟件複位中進行操作。

完，謝謝!

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!