「VLAN」园区网内部划分网络，如何高效隔离财务部门和生产部门？

虚拟局域网：VLAN（交换机控制层面协议）

工作原理：是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户流量被二层隔离；这样既能够隔离广播域，提高网络的可扩展性，又能够提升网络的安全性。

总结：不建议利用路由器分割广播域（设备成本高、可扩展性差、端到端的延时高）

静态VLAN部署：基于端口的VLAN技术（将VLAN和交换机的物理接口进行绑定/关联，此方法配置简单，在实际中最为常见；但是当主机移动位置时，需要重新配置VLAN）。

动态VLAN部署:在实际中不常用，手工配制的工作量太大

1、基于MAC地址的VLAN技术：根据主机网卡的MAC地址划分VLAN。网络管理员提前配置网络中的主机MAC和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。

2、基于IP子网的VLAN技术：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签。

3、基于协议的VLAN技术：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要先配置协议类型和VLAN ID之间的映射关系。

4、基于策略划分的VLAN技术：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。

标准VLAN：VLAN 1---VLAN 1005

VLAN 1：缺省/默认VLAN、本征VLAN（中继封装协议802.1Q）/管理VLAN（交换机基于SVI技术实现的Telnet远程连接，使用交换机的逻辑接口和VLAN接口进行绑定来实现的）

VLAN 1002---VLAN 1005：华为设备不做限制，思科设备提供给广域网协议使用的

扩展VLAN：VLAN 1006---VLAN 4094

交换机端口分为三种类型：Access接口、Trunk接口和Hybird接口。

Access接口：接入接口，用户主机连接交换机的接口（下联接口）。接入接口只允许关联一个VLAN，允许一个VLAN流量通过；当数据帧由用户主机发送给交换机时被打上VLAN标签，数据帧由交换机发送给用户主机时被去除标签。

Trunk接口：中继接口，交换机连接交换机的接口（级联接口）。中继接口不用关联任何一个VLAN，默认允许所有VLAN（1-4094）流量通过；中继接口可以实现一个交换区块内所有交换机共享相同的VLAN信息。

Hybird接口：杂合接口，融合了中继接口和接入接口的特性；通过指定哪些流量可以通过；指定哪些流量加标/不加标通过，可以在二层实现跨越VLAN的流量互访（属于vlan欺骗，不建议使用）。

总结：Access接口可以配合Trunk接口使用；Hybrid接口只可以单独使用；华为、H3C、Juniper设备支持hybrid接口，思科设备不支持。

Hybird接口默认的隐藏命令：

Port hybrid untag VLAN 1（默认允许VLAN 1不带标签进行发送）

Port hybrid pvid VLAN 1（当收到不带标签的数据帧时，会默认是来自VLAN 1的数据帧）

中继封装协议：IEEE 802.1Q

总结：TPID是一个固定取值，0x8100，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

TCI是帧的控制信息，详细说明如下：

Priority：表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧（标记值，二层的QOS）。

CFI：CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI帧和令牌环网帧。在以太网中，CFI的值为0。

VLAN ID：可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。（0用于识别帧优先级，4095作为预留值）

本征VLAN：由于802.1Q只能支持Ethernet 2的数据封装，不支持802.3的数据封装；为了解决这个问题，在交换机中设置一个本征VLAN，一个交换机中有且只有一个本征VLAN，默认为VLAN 1，本征vlan的数据帧在转发时可以不打标签，交换机在收到一个没有打标的数据帧，会认为这是本征VLAN的数据帧，从而进行数据转发，使用时，中继链路两端的本征VLAN要保持一致。

总结：用户主机发送数据帧给华为交换机时，就会立即被交换机打上一个标签；

---同一交换机内转发，去标签转发

---跨交换机间转发，需要通过中继链路转发，先检查VLAN标签，再进行转发

端口VLAN标识符：PVID

一、Access接口上的PVID就是其关联的VLAN

接收数据

---对带有VLAN标记的数据帧，查看VLAN标记是否是PVID的VLAN标签

是/接收；不是/直接被丢弃

---对不带有VLAN标记的数据帧，强制给数据帧打上PVID的VLAN标签并转发

发送数据

---对带有PVID标记的数据帧，发送时去掉标签转发；不带，则直接丢弃

二、Trunk接口上的PVID就是链路对应的本征VLAN

1、接收数据

---数据帧携带标签，查看VLAN标签是否在允许列表中；在/转发，不在/丢弃

---数据帧不携带标签，根据PVID判断所属的本征VLAN，并查找本征VLAN是否在允许列表中，在/转发，不在/丢弃

发送数据

---数据帧所属的VLAN是否是本征VLAN

---是，确认本征VLAN在允许列表中，在/转发，不在/丢弃

---不是，查看数据帧是否在允许列表中，在/带标签转发，不在/丢弃

三、Hybrid接口上的PVID就是其关联的VLAN（同access接口属性）

配置：

创建（批量）VLAN，将VLAN关联到接口，查看VLAN信息

[SWA]vlan 2

[SWA]vlan batch 2 to 3

[SWA-vlan2]port GigabitEthernet 0/0/1

[SWA-GigabitEthernet0/0/1]port default vlan 2

[SWA]display （port）vlan

二、修改接口模式为Access模式，将接口关联到VLAN

[SWA-GigabitEthernet0/0/1]port link-type Access

[SWA-GigabitEthernet0/0/1]port default vlan 2

三、修改接口模式为Trunk模式，允许哪些VLAN通过中继接口，修改PVID

[SWA-GigabitEthernet0/0/1]port link-type Tyunk

[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[SWA-GigabitEthernet0/0/1]port trunk pvid VLAN 2

三、修改接口模式为Hybrid模式，修改PVID；配置允许哪些VLAN的数据帧以打标签方式通过该端口，允许哪些VLAN的数据帧以不打标签方式通过该端口

[SWA-GigabitEthernet0/0/1]port link-type Hybrid

[SWA-GigabitEthernet0/0/1]port hybrid pvid VLAN 2

[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3

[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3