为了避免冲突域,同时扩展传统局域网接入更多的计算机,可以在局域网中接入二层的交换机。交换机能有效隔离冲突域,但是由于所有的计算机仍处于同一个广播域,任意设备都能收到所有的报文,不但降低了网络效率,而且降低了安全性,及广播域和信息安全依然存在。为了减少广播,提高安全性,人们使用虚拟的局域网,即VLAN技术把一个物理LAN在逻辑上划分为多个广播域。VLAN内的主机可以直接通信,而VLAN间不能直接通信。
VLAN ID的范围是0~4095 可配置的值1~4094,0和4095为保留值。
创建VLAN有2种形式,一种是使用"VLAN"命令创建单个vlan ,另一种是“vlan batch”创建多个vlan 。 默认情况下,交换机的接口都属于“VLAN 1 ”。
配置接口类型
- Access接口 该接口仅能承载一个VLAN流量,通常用于连接服务器或者PC。当交换机通过该接口收到一个数据帧时,先判断是否有VLAN信息,如没有则打上该接口PVID,当交换机通过该接口转发数据帧时,则先判断该数据帧的VLAN是否和自己在一个VLAN,如果是则拆除VLAN信息,再转发,如果不是,则丢弃。 配置Access接口,命令:使用“port link-type access” 接口类型,并使用“port default vlan "命令把配置接口的默认vlan同时加入相应的vlan中。
- Trunk接口 该接口可以承载多个VLAN流量,但在华为交换机默认情况下只允许默认VLAN流量通过,只允许对默认VLAN不打标。通常用于交换机与交换机之间连接。当交换机通过trunk接口收到一个数据帧时,先判断是否允许该VLAN流量通过,如果允许,则对数据进行处理,如果不允许,直接丢弃。trunk接口发送数据是,同样判断是否允许该VLAN通过,如允许还要看数据源所在的VLAN是不是默认VLAN,如果是默认VLAN,则拆除标记后转发,如不是默认VLAN则直接转发,如果不允许,直接丢弃。当该接口收到一个没有打标记的数据帧时,会打上自己的PVID。 配置Trunk接口,命令:使用“port link-type trunk” 接口类型,并使用“port truck allow-pass vlan # ",可以允许多个vlan通过(指定vlan信息),也可以使用“port truck allow-pass vlan all ".允许全部vlan通过。
- Hybrid接口 Hybrid特性是华为交换机的专用特性,该特性为LAN搭建提供了更多的灵活性和安全性。该接口可以承载多个VLAN流量,可用在与PC或交换机相连。与trunk接口最大的区别是可以对任何VLAN不打标或打标。当交换机从hybrid接口接收到数据帧时,先判断该数据的二层封装是否有VLAN信息,如有,则看该接口是否对该VLAN打标记,如果打,则允许从该接口通过。如果没有明确说对该VLAN打标还是不打标,则丢弃。因为默认情况下,该接口只允许默认VLAN的数据帧通过,如果要允许其它VLAN通过,就要对相应VLAN打标。如果收到的数据帧时没有任何标记,则标记为接受端口的PVID。在接口上配置对某些VLAN标记所起的作用只是允许和不允许该VLAN的数据帧通过的问题。在接口上配置对某些VLAN不打标时只在接口发送数据帧时起作用,当接口收数据帧时,是不起作用的。当交换机通过hybrid接口发送数据帧时,若该数据帧有标记,则判断该数据帧所标记的VLAN和发送接口是否在同一个VLAN,如果是在同一个VLAN,则拆除标记后转发(hybrid接口对自己所在的VLAN不打标记),如果不在同一个VLAN,则判断接口对数据帧是否标记还是不标记,如果不标记,则拆除标记后在进行转发,如果标记,则直接转发,若没有明确说是标记还是不标记,则直接丢弃。而对于没有标记的数据帧则直接转发。当把一个接口加入VLAN2后,再把该接口设备为hybrid接口时,该接口PVID就变成了VLAN2,同时对VLAN2的数据帧不打标记。 配置接口命令:使用“port link-type hybrid”,接口类型,port hybrid untagged vlan # 交换机在该接口转发VLAN时帧,剥离掉相应的vlan Tag(标签) port hybrid pvid vlan #.设置Hybrid类型接口默认的vlan ID号。