什么是vlan？vlan就是动态vlan和vlan的实现方法

一、什么是vlan？

.

VLAN是一种虚拟局域网，是一种在二层交换机上将物理局域网逻辑划分为多个广播域（多个VLAN）的通信技术。同一个vlan中的主机可以直接通信，但是不同vlan之间的通信需要依赖三层网络设备（三层交换机、路由器等）。

.

VLAN 具有灵活性和可扩展性的特点。使用VLAN技术有以下优点：

.

控制广播，每个vlan是一个独立的广播域，减少广播对网络带宽的占用，提高网络传输效率，一个vlan的广播风暴不会影响其他vlan。增强网络安全性，由于数据只能在同一个vlan内的端口之间交换，不同vlan的端口不能直接访问，因此vlan可以限制不同部门之间的通信。这提高了部门之间的安全性。简化网络管理。对于交换式以太网，如果部分用户被重新分配网段，网络管理员需要重新调整网络系统的物理结构，甚至需要增加网络设备，这会增加网络管理的工作量。, 对于使用 vlan 技术的网络，一个vlan可以根据部门功能、对象组或应用将不同地理位置的用户划分为一个逻辑网段，并且可以在不改变网络物理连接的情况下任意改变网络。部分。

vlan 有两种类型：动态 vlan 和静态 vlan：

.

1、静态vlan：也称为基于端口的vlan，是目前最常见的vlan实现。静态vlan是表示交换机的某个端口属于哪个vlan，需要手动配置。当主机连接到交换机端口时，主机被分配到相应的vlan。

.

2、动态vlan：动态vlan有多种实现方式。目前最常见的实现方式是基于MAC地址的动态vlan。基于MAC地址的动态vlan会根据主机的MAC地址自动将其分配到指定的vlan中。这种vlan划分方式最大的好处就是当用户的物理位置移动时，会从一个交换机移动到其他交换机。对应的vlan不会改变。这种方法的缺点是必须在初始化时配置所有用户。如果用户很多，这种配置方式很不方便，所以这种划分方式不适合大型局域网。

.

vlan的范围是指：

思科和华为交换机设备支持的VLAN范围（vlan ID）相同。下面是具体VLAN范围的作用：

交换机所有接口默认属于vlan 1。我们正常创建vlan时，使用的vlan ID的取值范围是2到1001，这些ID号对我们来说已经足够了。

.

关于vlan的介绍不多。vlan中还有一个概念，就是vlan label，这里不做解释。可以理解为交换机自己对数据帧进行标记，是为了区分一个数据帧属于哪个vlan。，用于区分不同vlan的数据帧。

.

二、华为交换机的三种接口模式。

.

华为交换机共有三种接口模式：Access、Trunk、Hybrid。其中Access和Trunk的接口模式与Cisco交换机的接口模式相同，Hybrid接口是华为设备独有的接口模式。与 Hybrid 接口和 Trunk 接口相同的是，它们可以允许来自多个 VLAN 的流量通过并被标记。不同的是，Hybrid接口可以允许多个VLAN的报文不带VLAN Tag发送。

.

华为交换机的三种接口模式说明如下：

Access和Trunk接口模式是Cisco设备中存在的概念，其功能与华为设备完全相同。因此，我不会谈论这两种接口模式。我们来写一下Hybrid接口的功能。

.

Hybrid接口的作用是实现流量隔离和互通：

.

混合接口的工作原理。

.

Hybrid接口可以灵活控制接口上数据帧的VLAN Tag的添加和删除。例如，如果接口对端的设备是交换机，可以配置接口允许部分vlan的数据帧携带vlan标签通过接口，而其他vlan不携带vlan标签发送出去. 当接口的对等体是终端主机时，可以将发送到这些接口的数据帧配置为不携带任何 VLAN 标签。

.

Hybrid接口的工作原理涉及接口的三个属性c语言实现二层交换机的工作原理，即untag list、tag list和PVID（port-base VLAN ID，port-based vlan ID）。

.

Hybrid接口的三个属性介绍：

由以上可以得出，接口收到数据包后的处理方式与混合接口的标签列表和PVID有关；接口发送数据包时的处理方式与混合接口的untag list和tag list有关。.

.

在上图中，我们更直观的看一下Hybrid接口收发数据帧时的处理流程！

Hybrid接口和Trunk接口都可以标记多个vlan，传输多个vlan的流量；但是Hybrid接口可以允许来自多个不同vlan的报文不打标签（将对应的vlan ID添加到untag列表中）可以在Trunk接口中实现，而Trunk接口只允许默认vlan的报文发送不贴标签发送。

三种接口可以在一台交换机上共存，但trunk接口不能直接切换为混合接口。只能先设置成接入接口，再设置成混合接口（混合接口可以直接设置成trunk接口，不管怎么切换，都有一些限制。比如当一个trunk接口切换到接入接口时，需要删除或更改一些接口配置才能替换为接入接口，涉及的原理很多，比如华为交换机设置为trunk接口时，需要手动allow all 如果vlan流量通过，则可以正常工作，否则默认只允许vlan1流量通过Trunk接口，所以Trunk接口没有存在的意义，而Access只允许一个vlan的流量通过。因此，如果要从Trunk更改为Access，必须先更改原来的“允许所有vlan通过”相关配置）。

.

啰嗦了这么多，我们举个栗子来配置一下，把理论应用到实践中，让技术更好用。

.

环境如下（只是为了举栗子，不是为了生产环境）：

需要满足以下要求：

生产部客户端和销售部客户端可以互相访问，只能访问服务器1。

财务部客户端无法与任何部门通信，只能访问服务器2。

配置如下：

1、自己配置每台PC和服务器的IP地址，不用配置网关，因为每个vlan的IP地址在同一个网段。

2、配置开关 S1：

un ter mo 
sys 
[S1]vlan ba 2 3 10 
[S1]in g0/0/1 
[S1-GigabitEthernet0/0/1]port link-type hybrid 
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1 
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2 
[S1-GigabitEthernet0/0/1]in g0/0/2 
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2 
[S1-GigabitEthernet0/0/2]in g0/0/3 
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10 
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10 
[S1-GigabitEthernet0/0/3]in g0/0/4 
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2 
[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10 

2、配置交换机S2（配置S1时所有配置命令字都注释掉）：

un ter mo
[S2]vlan ba 2 3 10
[S2]in g0/0/1 
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2-GigabitEthernet0/0/1]in g0/0/2 
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/2]in g0/0/3 
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S2-GigabitEthernet0/0/3]quit

3、至此，配置完成，实现了需要实现的需求。提醒一下，这种方法仅限于同一网段的每个vlan中的IP地址。如果它们不属于同一个网段，那么不同VLAN之间的通信也需要经过一个三层设备。

4、那么，如果要生产部和财务部沟通呢？可以配置如下：

[S1]in g0/0/1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
[S1-GigabitEthernet0/0/1]in g0/0/3
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1

经过上面的简单配置，就实现了生产部门和财务部门的通信，但只实现了这两个部门的通信。销售部和生产部都在vlan 1，但是销售部和财务部还是无法沟通。，对应的接口还是需要设置的。

.

其实在上面的需求中，还有另外一种配置方式比较简单，也不难理解。我会谈谈这个想法。如果您有兴趣，请尝试自己配置。S2的G0/0/4接口和G0/0/1接口都设置为trunk接口模式，允许所有vlan流量通过，然后将需要通信的接口设置为混合接口模式，并设置vlan通信双方的ID 加入untag列表后，就可以通信了。比如财务部门需要和服务器1通信c语言实现二层交换机的工作原理，服务器1分别属于vlan 10和vlan 2。然后，将交换机互连的接口设置为trunk接口模式，允许所有vlan流量通过，在S1交换机连接财务部客户端的接口上，