VLAN 知识详解最后更新2026/04/30目录VLAN 定义为什么需要 VLANVLAN 的作用与优势VLAN 原理VLAN 的类型VLAN 的范围VLAN 的运作机制VLAN 间路由Trunk 与 Access 链路VLAN 配置示例常见问题与排错VLAN 设计原则1. VLAN 定义VLAN Virtual Local Area Network虚拟局域网VLAN是一种在物理网络上逻辑划分出多个独立广播域的技术属于二层数据链路层技术。核心概念概念说明虚拟逻辑划分不依赖物理布线局域网局限在本地网络环境广播域广播帧能够到达的范围二层技术工作在数据链路层MAC地址2. 为什么需要 VLAN传统网络问题未使用VLAN时所有设备在同一广播域广播风暴影响整个网络安全风险高任何人可以监听网络管理混乱使用 VLAN 后广播域被分割每个VLAN独立不同VLAN间默认不能通信便于按部门/功能管理3. VLAN 的作用与优势作用说明广播域分割减少广播风暴提高安全性不同VLAN间默认隔离简化管理按部门划分便于管理节约成本无需额外路由器灵活扩展增删VLAN无需改物理布线STP优化减少STP计算范围4. VLAN 原理802.1Q 标准802.1Q通过插入4字节VLAN Tag来标识VLAN字段长度说明TPID2字节0x8100标识VLAN帧TCI2字节包含优先级和VLAN IDVID12位VLAN ID范围1-4094帧格式对比普通帧DA(6) SA(6) Type(2) Data FCS 802.1Q帧DA(6) SA(6) TPID(2) TCI(2) Type(2) Data FCS5. VLAN 的类型类型说明Port-Based基于交换机端口最常用MAC-Based基于设备MAC地址Protocol-Based基于网络层协议Subnet-Based基于IP子网三层VLAN6. VLAN 的范围范围用途0, 4095保留1思科默认VLAN2-1001正常范围1002-1005FDDI/Token Ring保留1006-4094扩展范围7. VLAN 的运作机制同VLAN通信交换机直接转发二层无需路由器不同VLAN通信必须经过路由器/三层交换机需要三层路由8. VLAN 间路由方式1单臂路由路由器一个物理口创建多个子接口缺点带宽瓶颈方式2三层交换机交换机上配置SVI接口优点性能高9. Trunk 与 Access 链路类型连接特征Access交换机↔终端传输单一VLAN帧无TagTrunk交换机↔交换机传输多VLAN帧有TagNative VLAN默认为VLAN 1建议改为其他VLAN提高安全性10. VLAN 配置示例华为vlan batch1020interface GigabitEthernet0/0/1 port link-type access port default vlan10interface Vlanif10ipaddress192.168.10.254255.255.255.0思科vlan10interface FastEthernet0/1 switchport mode access switchport access vlan10interface VLAN10ipaddress192.168.10.254255.255.255.011. 常见问题与排错问题检查项VLAN间不通网关/SVI/ACL/Trunk同VLAN不通IP地址/MAC表/STP/物理连接12. VLAN 设计原则核心原则每个VLAN对应一个子网VLAN 10 → 192.168.10.0/24 VLAN 20 → 192.168.20.0/24Super VLAN多个Sub VLAN聚合为一个逻辑VLANSub VLAN间二层隔离三层互通MUX VLANPrincipal VLAN可与所有VLAN通信Separate VLAN同VLAN内完全隔离Group VLAN同VLAN内可互通13. Access 与 Trunk 深度解析核心问题为什么需要两种端口类型因为交换机连接的对象不同连接终端设备PC、服务器→ 终端不认识VLAN Tag → 用 Access连接网络设备交换机、路由器→ 需要识别多个VLAN → 用 TrunkAccess 端口详解定义交换机连接终端设备的端口只传输一个VLAN的数据。工作机制数据进入交换机接收PC1 发送普通以太网帧无VLAN Tag DA SA Type Data 交换机收到后 1. 打上该端口的 PVID默认VLAN 1 2. 在 MAC 表中记录MAC地址 Port VLAN ID 3. 在对应 VLAN 中转发数据离开交换机发送交换机转发数据帧到 PC 1. 检查目标 MAC 地址确定出端口 2. **剥离 VLAN Tag**还原为普通以太网帧 3. 从 Access 端口发出 PC 收到DA SA Type Data无TagAccess 端口图解Access Port (VLAN 10) ──────────────────── PC ──────── [无Tag帧] ────────► 交换机 │ │ 内部处理 ▼ ┌──────────────┐ │ 打上 VLAN 10 │ └──────────────┘ │ ▼ ┌──────────────┐ │ 查 MAC 表 │ │ VLAN 10 │ └──────────────┘ │ ▼ ┌──────────────┐ │ 剥离 VLAN Tag│ ← 关键出方向剥Tag └──────────────┘ │ ▼ PC ◄──────── [无Tag帧] ◄──────── 交换机Trunk 端口详解定义交换机之间连接的端口可以传输多个VLAN的数据帧会打上 VLAN Tag。工作机制数据进入交换机接收SW1 发来带 VLAN Tag 的帧 DA SA 0x8100 VLAN 10 Type Data 交换机收到后 1. 检查 VLAN Tag 的合法性是否在 allowed-vlan 列表 2. 在 MAC 表中记录MAC Port VLAN ID来自Tag 3. 在对应 VLAN 中转发数据离开交换机发送转发到另一台交换机 1. 检查 MAC 表确定出端口是 Trunk 2. **保持 VLAN Tag 不变**不剥离 3. 从 Trunk 端口发出 SW2 收到DA SA 0x8100 VLAN 10 Type Data带TagTrunk 端口图解Trunk Port (允许VLAN 10,20,30) ───────────────────────────── SW1 ──────── [VLAN 10] ────────► SW2 [VLAN 20] ◄─────── [VLAN 20] [VLAN 30] ────────► [VLAN 30] 帧格式变化 SW1发出DASA0x8100VIDTypeDataCRC ← 保持Tag SW2收到DASA0x8100VIDTypeDataCRC ← 识别VLAN SW2转发DASA0x8100VIDTypeDataCRC ← 保持Tag关键区别表特性AccessTrunk连接对象PC、服务器、打印机交换机、路由器VLAN数量1个多个帧格式进无Tag → 打Tag带Tag → 识别Tag帧格式出剥Tag → 无Tag保持Tag典型应用接入层端口汇聚/核心层链路VLAN Tag 的生命周期PC1 (VLAN 10) ──► SW1 ──► SW2 ──► SW3 ──► PC2 (VLAN 10) PC1 ──► SW1 (Access Port) 帧[无Tag] 操作打上 VLAN 10 Tag 结果[TagVLAN 10] SW1 ──► SW2 (Trunk Port) 帧[TagVLAN 10] ← 保持Tag 操作检查 allowed-vlan转发 结果[TagVLAN 10] SW2 ──► SW3 (Trunk Port) 帧[TagVLAN 10] ← 保持Tag 操作检查 allowed-vlan转发 结果[TagVLAN 10] SW3 ──► PC2 (Access Port) 帧[TagVLAN 10] 操作剥离 VLAN Tag 结果[无Tag] ← PC只收到普通帧PVID 与 VID概念说明VIDVLAN ID数据帧携带的标签标识数据属于哪个VLANPVIDPort VLAN ID端口的默认VLAN ID收到无Tag帧时打上此Tag常见问题Q1PC能不能识别VLAN Tag不能。普通PC网卡和操作系统不处理802.1Q Tag收到带Tag的帧会丢弃。这就是为什么Access端口要剥Tag。Q2为什么交换机之间不用Access连接假设 SW1 的 Port1 是 Access VLAN 10 假设 SW2 的 Port1 是 Access VLAN 10 问题 1. SW1 的 VLAN 10 数据从 Port1 发出时剥离 Tag 2. SW2 收到无Tag帧认为是默认VLAN通常是1 3. 无法正确传递 VLAN 信息 所以交换机之间必须用 Trunk记忆口诀Access接入 一进一出剥我Tag 收无Tag → 打PVID 发带Tag → 剥Tag Trunk干道 一进一出保我Tag 收带Tag → 识VID 发带Tag → 保Tag 连PC → Access 连交换机 → Trunk
VLAN知识点
发布时间:2026/5/22 23:28:40
VLAN 知识详解最后更新2026/04/30目录VLAN 定义为什么需要 VLANVLAN 的作用与优势VLAN 原理VLAN 的类型VLAN 的范围VLAN 的运作机制VLAN 间路由Trunk 与 Access 链路VLAN 配置示例常见问题与排错VLAN 设计原则1. VLAN 定义VLAN Virtual Local Area Network虚拟局域网VLAN是一种在物理网络上逻辑划分出多个独立广播域的技术属于二层数据链路层技术。核心概念概念说明虚拟逻辑划分不依赖物理布线局域网局限在本地网络环境广播域广播帧能够到达的范围二层技术工作在数据链路层MAC地址2. 为什么需要 VLAN传统网络问题未使用VLAN时所有设备在同一广播域广播风暴影响整个网络安全风险高任何人可以监听网络管理混乱使用 VLAN 后广播域被分割每个VLAN独立不同VLAN间默认不能通信便于按部门/功能管理3. VLAN 的作用与优势作用说明广播域分割减少广播风暴提高安全性不同VLAN间默认隔离简化管理按部门划分便于管理节约成本无需额外路由器灵活扩展增删VLAN无需改物理布线STP优化减少STP计算范围4. VLAN 原理802.1Q 标准802.1Q通过插入4字节VLAN Tag来标识VLAN字段长度说明TPID2字节0x8100标识VLAN帧TCI2字节包含优先级和VLAN IDVID12位VLAN ID范围1-4094帧格式对比普通帧DA(6) SA(6) Type(2) Data FCS 802.1Q帧DA(6) SA(6) TPID(2) TCI(2) Type(2) Data FCS5. VLAN 的类型类型说明Port-Based基于交换机端口最常用MAC-Based基于设备MAC地址Protocol-Based基于网络层协议Subnet-Based基于IP子网三层VLAN6. VLAN 的范围范围用途0, 4095保留1思科默认VLAN2-1001正常范围1002-1005FDDI/Token Ring保留1006-4094扩展范围7. VLAN 的运作机制同VLAN通信交换机直接转发二层无需路由器不同VLAN通信必须经过路由器/三层交换机需要三层路由8. VLAN 间路由方式1单臂路由路由器一个物理口创建多个子接口缺点带宽瓶颈方式2三层交换机交换机上配置SVI接口优点性能高9. Trunk 与 Access 链路类型连接特征Access交换机↔终端传输单一VLAN帧无TagTrunk交换机↔交换机传输多VLAN帧有TagNative VLAN默认为VLAN 1建议改为其他VLAN提高安全性10. VLAN 配置示例华为vlan batch1020interface GigabitEthernet0/0/1 port link-type access port default vlan10interface Vlanif10ipaddress192.168.10.254255.255.255.0思科vlan10interface FastEthernet0/1 switchport mode access switchport access vlan10interface VLAN10ipaddress192.168.10.254255.255.255.011. 常见问题与排错问题检查项VLAN间不通网关/SVI/ACL/Trunk同VLAN不通IP地址/MAC表/STP/物理连接12. VLAN 设计原则核心原则每个VLAN对应一个子网VLAN 10 → 192.168.10.0/24 VLAN 20 → 192.168.20.0/24Super VLAN多个Sub VLAN聚合为一个逻辑VLANSub VLAN间二层隔离三层互通MUX VLANPrincipal VLAN可与所有VLAN通信Separate VLAN同VLAN内完全隔离Group VLAN同VLAN内可互通13. Access 与 Trunk 深度解析核心问题为什么需要两种端口类型因为交换机连接的对象不同连接终端设备PC、服务器→ 终端不认识VLAN Tag → 用 Access连接网络设备交换机、路由器→ 需要识别多个VLAN → 用 TrunkAccess 端口详解定义交换机连接终端设备的端口只传输一个VLAN的数据。工作机制数据进入交换机接收PC1 发送普通以太网帧无VLAN Tag DA SA Type Data 交换机收到后 1. 打上该端口的 PVID默认VLAN 1 2. 在 MAC 表中记录MAC地址 Port VLAN ID 3. 在对应 VLAN 中转发数据离开交换机发送交换机转发数据帧到 PC 1. 检查目标 MAC 地址确定出端口 2. **剥离 VLAN Tag**还原为普通以太网帧 3. 从 Access 端口发出 PC 收到DA SA Type Data无TagAccess 端口图解Access Port (VLAN 10) ──────────────────── PC ──────── [无Tag帧] ────────► 交换机 │ │ 内部处理 ▼ ┌──────────────┐ │ 打上 VLAN 10 │ └──────────────┘ │ ▼ ┌──────────────┐ │ 查 MAC 表 │ │ VLAN 10 │ └──────────────┘ │ ▼ ┌──────────────┐ │ 剥离 VLAN Tag│ ← 关键出方向剥Tag └──────────────┘ │ ▼ PC ◄──────── [无Tag帧] ◄──────── 交换机Trunk 端口详解定义交换机之间连接的端口可以传输多个VLAN的数据帧会打上 VLAN Tag。工作机制数据进入交换机接收SW1 发来带 VLAN Tag 的帧 DA SA 0x8100 VLAN 10 Type Data 交换机收到后 1. 检查 VLAN Tag 的合法性是否在 allowed-vlan 列表 2. 在 MAC 表中记录MAC Port VLAN ID来自Tag 3. 在对应 VLAN 中转发数据离开交换机发送转发到另一台交换机 1. 检查 MAC 表确定出端口是 Trunk 2. **保持 VLAN Tag 不变**不剥离 3. 从 Trunk 端口发出 SW2 收到DA SA 0x8100 VLAN 10 Type Data带TagTrunk 端口图解Trunk Port (允许VLAN 10,20,30) ───────────────────────────── SW1 ──────── [VLAN 10] ────────► SW2 [VLAN 20] ◄─────── [VLAN 20] [VLAN 30] ────────► [VLAN 30] 帧格式变化 SW1发出DASA0x8100VIDTypeDataCRC ← 保持Tag SW2收到DASA0x8100VIDTypeDataCRC ← 识别VLAN SW2转发DASA0x8100VIDTypeDataCRC ← 保持Tag关键区别表特性AccessTrunk连接对象PC、服务器、打印机交换机、路由器VLAN数量1个多个帧格式进无Tag → 打Tag带Tag → 识别Tag帧格式出剥Tag → 无Tag保持Tag典型应用接入层端口汇聚/核心层链路VLAN Tag 的生命周期PC1 (VLAN 10) ──► SW1 ──► SW2 ──► SW3 ──► PC2 (VLAN 10) PC1 ──► SW1 (Access Port) 帧[无Tag] 操作打上 VLAN 10 Tag 结果[TagVLAN 10] SW1 ──► SW2 (Trunk Port) 帧[TagVLAN 10] ← 保持Tag 操作检查 allowed-vlan转发 结果[TagVLAN 10] SW2 ──► SW3 (Trunk Port) 帧[TagVLAN 10] ← 保持Tag 操作检查 allowed-vlan转发 结果[TagVLAN 10] SW3 ──► PC2 (Access Port) 帧[TagVLAN 10] 操作剥离 VLAN Tag 结果[无Tag] ← PC只收到普通帧PVID 与 VID概念说明VIDVLAN ID数据帧携带的标签标识数据属于哪个VLANPVIDPort VLAN ID端口的默认VLAN ID收到无Tag帧时打上此Tag常见问题Q1PC能不能识别VLAN Tag不能。普通PC网卡和操作系统不处理802.1Q Tag收到带Tag的帧会丢弃。这就是为什么Access端口要剥Tag。Q2为什么交换机之间不用Access连接假设 SW1 的 Port1 是 Access VLAN 10 假设 SW2 的 Port1 是 Access VLAN 10 问题 1. SW1 的 VLAN 10 数据从 Port1 发出时剥离 Tag 2. SW2 收到无Tag帧认为是默认VLAN通常是1 3. 无法正确传递 VLAN 信息 所以交换机之间必须用 Trunk记忆口诀Access接入 一进一出剥我Tag 收无Tag → 打PVID 发带Tag → 剥Tag Trunk干道 一进一出保我Tag 收带Tag → 识VID 发带Tag → 保Tag 连PC → Access 连交换机 → Trunk
)
-从业一年-经验贴)
)
调用ChatGPT API的工业级封装方案)
)
