详解VLAN的划分方法

VLAN概念

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。

由于交换机端口有两种VLAN属性，其一是VLANID，其二是VLANTAG，分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG（标签）数据包，不同VLANID端口，可以通过相互允许VLANTAG，构建VLAN。

一、VLAN基础

同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的 成员才能听到，而不会传输到其他的VLAN中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

1、技术特点

(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的 交换机 可以当作多个逻辑的交换机使用。

(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。

(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。

2、TAG和UNTAG

基于端口的VLAN,这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

IEEE于1999年发布了用以规范VLAN实现的IEEE Std 802.1Q标准。IEEE 802.1Q协议标准为各种局域网网络结构定义了VLAN的Tag字段，不同网络结构中，连接 设备可以通过共同的数据特征进行VLAN识别。

对于常见的以太网网络模型，其主要的报文封装格式类型有两种，分别为Ethernet II型和 802.2/802.3型。对于这两种以太网报文的封装格式，IEEE 802.1Q协议标准在数据帧首部的目 的MAC地址（DA）和源MAC地址（SA）后定义了VLAN Tag，用以标识VLAN的相关信息。

3、端口的链路类型

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

以太网端口有 3种链路类型:access、trunk、General

Access类型端口只能属于1个VLAN 般用于连接计算机端口；

Trunk类型端口可以允许多个VLAN通过,可以接收和发送多个VLAN 报文,一般用于交换机之间的连接；

General类型端口可以允许多个VLAN通过，可以接收和发送多个VLAN 报文，可以用于交换机的间连接也可以用于连接用户计算机。

General端口和Trunk端口在接收数据时处理思路方法是一样的，唯一区别的处在于发送数据时:General端口可以允许多个VLAN报文发送时不打标签，而Trunk端口只允许缺省VLAN报文发送时不打标签。

缺省VLAN( PVID）:

Access端口只属于1个VLAN 所以它缺省VLAN就是它所在VLAN不用设置；

General端口和 Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下 Hybrid端口和Trunk端口缺省VLAN为VLAN 1；

如果设置了端口缺省VLAN ID当端口接收到不带VLAN Tag报文后则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag报文时，如果该报文 VLAN ID和端口缺省VLAN ID相同，则系统将去掉报文VLAN Tag，然后再发送该报文。

交换机接口出入数据处理过程:

Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口 PVID并进行交换、转发，如果有则直接丢弃(缺省) Acess端口发报文:将报文VLAN信息剥离直接发送出去

trunk端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发，如果有判断VLAND ID是否在该trunk的允许范围内，如果在范围内则转发，否则丢弃

trunk端口发报文:比较端口PVID和将要发送报文VLAN信息如果两者相等则剥离VLAN信息再发送，如果不相等则直接发送

General端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发。如果有则判断该General端口是否允许该VLAN数据进入:如果可以则转发，否则丢弃(此时端口上untag配置是不用考虑，untag配置只对发送报文时起作用)

General端口发报文:

1）判断该VLAN在本端口属性

2）如果是untag,则剥离VLAN信息再发送;如果是tag,则直接发送.

二、如何划分VLAN

以TP-LINK SL3226为例，需求：学校宿舍无线网，某楼层有一台二层网管接入交换机，带了20台面板AP.需要接入网络，管理地址为192.168.200.110.管理VLAN为4000，端口VLAN为110，和核心交换机级联VLAN为204.控制器控制VLAN为1000

简介：TP-LINK SL3226为24口百兆交换机，两个上联口25.26为千兆口。

1、登陆交换机管理界面（配置电脑网线暂时插在24口上）

选择VLAN

2、端口类型配置

选择端口号1-24端口，选择端口类型GENERAL,缺省VLAN为1，稍后再更改

同样配置25，26上联口，端口类型TRUNK

3、开始新建VLAN

新建VLAN110,端口为1-23，25-26，保留端口24做配置交换机用

端口1-23出口规则为UNTAG，端口25-26为TAG

新建VLAN204,端口为25-26，出口规则TAG

新建VLAN1000,端口为1-26，出口规则为TAG

新建VLAN4000,端口为24-26，出口规则24为UNTAG,25-26为TAG

配置VLAN如下图

4、配置PVID

更改前1-23口缺省VLAN为110

更改24口缺省VLAN为4000

更改以后，请将网线插在25或者26口进行配置，管理IP不变

改完24口后登陆如图

5、修改管理VLAN号和管理IP

系统配置>管理IP。修改管理VLAN为4000，修改管理IP为192.168.200.110

需改后电脑失去连接，更改电脑IP地址192.168.200.*，并将网线插入24口

6、保存配置

输入192.168.200.110重新登陆交换机管理界面，配置保存菜单，选择保存配置，这样一台二层接入交换机就配置好了。

如果想恢复出厂配置，可以在系统管理>系统工具>软件复位中进行操作。

以上就是关于VLAN的划分方法，仅供学习参考！