1. Virtual Local Area Network(虚拟局域网)概述

  • VLAN用来隔离广播域[每个 VLAN 都是独立广播域]
  • 实现同一VLAN内的二层互访
  • VLAN的地址范围:1~4094(212 = 4096,从 0 开始排列,掐头去尾 0、4095 不可用)
  • 需要使用什么链路类型,取决于网络架构设计(VLAN ID),没有固定采用任何一种链路类型接入对应的设备,都可以灵活多变
  • 「PVID」= 入方向
  • 「Untagged」= 出方向

    2. 802.1Q Frame

VLAN 是在以太帧中插入了一个 802.1Q Tag 字段,通过 Tag 区分不同的 VLAN

image.png
802.1Q Frame 格式解析

  • Destination Address:目的 MAC 地址
  • Source Address:源 MAC 地址
  • 802.1Q Tag
    • TPID:帧类型标识(0x8100 时表示 802.1Q Tag 帧),如果不支持802.1Q的设备收到这样的帧,会将其丢弃
    • PRI:802.1Q 帧优先级,数值越大越优先(当阻塞时,优先发送优先级高的数据包 QoS)
    • CFI:表示 MAC 地址是否是经典格式(用于区分以太网帧、FDDI 帧和令牌环网帧。在以太网中,CFI 的值为0 )
      • 0 = 标准格式
      • 1 = 非标准格式
    • VID:VLAN ID,表示帧属于的 VLAN
  • Length/Type:后续 Data 的长度(不包括 CRC)

    3. 链路类型

1)Access

  • 只允许一个VLAN通过(独享),同一交换机上,接口属于相同 VLAN 才能通信
  • 端口的 VLAN Tag (VLAN ID)和 PVID 相同(默认 PVID = 1)
  • 流量的入方向增加 PVID、出方向移除 PVID(Untagged)

  • 当 Access 接口收到带有 Tag 的帧,并且帧中 VID 与 PVID 相同时,Access 接口也能接收并处理该帧

    2)Trunk

  • 允许多个VLAN通过(共享)

  • Trunk 模式下的 PVID 不携带 Tag(Untagged,类似于 Access ,默认为 VLAN 1)
  • 每个链路的 PVID 可以不同,建议修改为空业务 VLAN(避免攻击)
  • 入方向:如果携带 Tag 标记,直接转发(透传);如果不携带 TAG 标记,增加接口的 PVID

  • 出方向:如果转发的 VLAN 和端口的 PVID 相同,移除 Tag ;如果转发的 VLAN 和端口的 PVID 不同,直接转发(透传)

    3)Hybrid

  • 既可以作为 Trunk 也可以作为 Access(作为 Trunk 方式可以让 PVID 携带 Tag )

  • 入方向:跟 Access 一样只能增加一个 PVID
  • 出方向:可以拿掉多个 VLAN 的 Tag(Untagged)