VLAN部署在数据链路层,用于隔离二层流量。
VLAN划分方法:基于端口、基于MAC、基于IP子网、基于协议、基于策略。
Access接口:连接主机的接口,只允许某一个VLAN通过。
Trunk接口:干道接口,允许多个VLAN通过。
|
收 |
发 |
|
|
Access |
不带VLAN Tag的帧,添加PVID标签。 带VLAN Tag的帧,如果帧Tag与端口的PVID相同则接收,如果帧Tag与端口的PVID不相同则丢弃。 |
将VLAN Tag剥离后发给主机。 |
|
Trunk |
不带VLAN Tag的帧,添加接口PVID标签,如果PVID在允许通过的VLAN ID表中则接收否则丢弃。 带VLAN Tag的帧,如果VLAN ID在允许通过的VLAN ID列表中则接收否则丢弃。 |
当VLAN ID与接口的PVID相同,且是允许通过的VLAN时,剥离Tag后发送。 当VLAN ID与接口的PVID不同,且是允许通过的VLAN时,保持Tag直接发送。 |
VLAN标签长4个字节,其中12bit为VLAN ID范围0~4095。
VLAN隔离了二层广播域,同时也隔离了不同VLAN间的所有二层流量,不同VLAN间的用户之间不能进行二层通信。
不同VLAN间的用户必须通过三层路由才能进行互通。
VLAN配置:
[SW1]vlan batch 10 20
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]p l a
[SW1-GigabitEthernet0/0/1]p d v 10
[SW1-GigabitEthernet0/0/2]p l a
[SW1-GigabitEthernet0/0/2]p d v 20
[SW1]interface g0/0/24
[SW1-GigabitEthernet0/0/24]p l t
[SW1-GigabitEthernet0/0/24]p t a v 10 20
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip add 10.1.10.100 24 //vlan10的网关
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip add 10.1.20.100 24 //vlan20的网关
//vlan的划分实现了不同VLAN间的二层隔离,vlanif的配置实现了不同VLAN间的三层互通。
[SW2]vlan batch 10 20
[SW2]interface g0/0/1
[SW2-GigabitEthernet0/0/1]p l a
[SW2-GigabitEthernet0/0/1]p d v 10
[SW2]interface g0/0/24
[SW2-GigabitEthernet0/0/24]p l t
[SW2-GigabitEthernet0/0/24]p t a v 10 20