一、VLAN(虚拟局域网)概念详解
🌐1、 什么是 VLAN?
VLAN(Virtual Local Area Network) 是一种网络划分技术,它可以将一个局域网中的设备根据逻辑需求划分为若干个子网。 不同 VLAN 之间的设备彼此隔离,即使它们物理上连接在同一个交换机上,也无法直接通信。
📢 每个 VLAN 都是一个独立的广播域,这样就能有效减少广播风暴、提升安全性与网络效率。
🎯 通俗解释
你可以把 VLAN 理解为一张“虚拟的局域网地图”:
不同部门(如财务部、研发部、销售部)就像住在不同小区的住户;即使这些住户(设备)住在同一栋大楼(同一台交换机)里,只要分属不同 VLAN,他们之间也不能随便“串门”;除非有专门的“门禁系统”(三层交换或路由)开放通道,否则通信受限。
🧩 VLAN 的逻辑组成
在 VLAN 中,交换机端口拥有两个关键属性:
属性名说明VLAN ID指定该端口所属的 VLAN 编号(例如 VLAN 10、VLAN 20)VLAN TAGVLAN 帧中的标签字段,用于标记数据帧属于哪个 VLAN
🛠 VLAN 的工作机制简述
当数据帧经过交换机端口时,交换机会查看该端口的 VLAN 属性;若数据帧没有携带 VLAN Tag,交换机会打上默认的 PVID(Port VLAN ID);若数据帧带有 VLAN Tag,交换机会检查该端口是否允许该 VLAN 通过;不同 VLAN 的设备之间不能直接通信,除非通过三层设备进行路由。
🔗 VLAN 之间的互通?
默认情况下不同 VLAN 是隔离的若需要通信,需使用:
三层交换机(配置 VLAN 接口或子接口)路由器(Router-on-a-stick)
📦 总结
VLAN 的核心价值在于:
🔒 增强网络安全🧹 减少广播范围🧩 灵活划分网络结构(逻辑大于物理)📶 提升资源使用效率与可管理性
2. VLAN 为什么会出现?
VLAN 的出现是为了解决传统二层网络在扩展性、安全性和管理性方面的诸多问题,主要目的是为了隔离广播域、提高安全性、简化管理。
🚫 降低广播风暴带来的影响
在没有 VLAN 的情况下,整个二层网络是一个统一的广播域。 广播帧、多播帧,甚至目的地址未知的单播帧,都会在整个局域网中泛滥,导致:
网络带宽被无意义的数据占用;设备处理压力增大;严重时可能引发广播风暴,使网络瘫痪。
使用 VLAN 后,每个 VLAN 是一个独立的广播域,广播帧不会跨 VLAN 传播,从根本上降低了广播风暴的风险。
🔐 提高网络的安全性
VLAN 可以根据组织架构(如部门)进行划分,使不同部门的设备逻辑上互相隔离:
财务部门设备与研发部门设备互相看不见;避免信息泄露和非法访问;即使设备连接在同一台交换机上,只要属于不同 VLAN,也无法通信。
🛠 简化网络结构管理
VLAN 实现了网络的逻辑划分,使得:
不同地点的用户可以被划入同一个 VLAN;网络结构不再受限于物理位置;用户迁移时只需修改 VLAN 配置,无需重新布线。
👥 支持按功能或部门自由分组
VLAN 的划分可以基于以下维度:
组织结构(如人力、财务、开发)功能需求(如语音 VLAN、管理 VLAN、访客 VLAN)安全策略(如高安全级 VLAN 和普通用户 VLAN)
这种分组方式更贴合实际业务需求。
🎯 广播域的例子解释
假设主机 A、B、C 都连接在一台交换机上,默认属于同一个广播域:
A 发送广播帧,B 和 C 都能收到;换句话说,它们在一个逻辑“房间”里,任何人说话,大家都能听见。
一个广播域指的是广播帧能够到达的范围,本质上是一个二层网段。
🌐 VLAN 出现后的变化
引入 VLAN 后,即使 A、B、C 都物理连接在同一台交换机上,如果:
A 属于 VLAN 10,B 属于 VLAN 20,C 属于 VLAN 10;则 A 可以与 C 通信(同 VLAN);但 B 与 A、C 之间通信会被阻止(不同 VLAN)。
这样:
广播帧仅在各自的 VLAN 内传播;避免无关设备收到不必要的广播;实现了通信隔离 + 安全提升。
✅ 小结
VLAN 优势说明✅ 降低广播范围每个 VLAN 成为独立广播域,减少带宽浪费✅ 提升网络安全不同 VLAN 默认隔离,防止越权访问✅ 管理灵活不受物理结构限制,易于扩展与调整✅ 逻辑分组支持按组织/功能划分网络,提高可维护性
💡 VLAN 是将“物理网络”抽象成“逻辑网络”的强大工具,它既是网络设计的基石,也是安全控制的第一道防线。
3. VLAN 的作用?
VLAN(虚拟局域网)的核心作用在于通过逻辑划分网络,实现广播隔离、安全增强与灵活管理,从而提高整个局域网的效率与健壮性。
✨ VLAN 的主要作用概览
功能说明📢 广播隔离避免广播消息在整个网络泛滥,仅在 VLAN 内传播🔐 网络安全不同 VLAN 默认隔离通信,提升安全性🧩 灵活部署不受物理位置限制,按部门/功能划分虚拟网络🔄 易于管理支持 VLAN 间路由,便于信息互访和统一管理⚙️ 增强健壮性故障被限制在 VLAN 内,避免全网瘫痪
1️⃣ 限制广播域,提升效率
在传统局域网中,一个主机发出的广播(如 ARP 请求),会被整个网络中的所有主机接收到:
举例:主机 A 想获取主机 B 的 MAC 地址,只需 B 接收即可;但广播却让所有主机都收到了该帧;每台主机不仅占用带宽,还要消耗 CPU 来处理。
这种不必要的广播会造成:
带宽浪费;CPU 资源浪费;网络性能下降。
✅ VLAN 的引入,让广播只在 VLAN 内部传播,从而构建出多个独立的广播域,避免广播风暴的产生。
2️⃣ 构建虚拟工作组,突破物理限制
VLAN 允许网络管理员根据组织需求,将用户划入虚拟工作组中:
即使设备不在同一地点,也可属于同一个 VLAN;举例:A 与 B 不应通信,只需放入不同 VLAN;实现了逻辑上的隔离。
这种方式突破了物理布线的限制:
管理更加灵活;用户迁移无需重新连接物理网络;可按部门/功能/项目等划分网络结构。
3️⃣ 提升 LAN 安全性,阻止越权访问
不同 VLAN 的报文是相互隔离的:
默认情况下,不同 VLAN 用户之间不能直接通信;就算设备连接在同一台交换机上,只要 VLAN 不同,也无法直接访问;提高了信息的保密性和数据隔离性。
✅ 需要互通时,可通过三层交换机或路由器配置 VLAN 间路由(Inter-VLAN Routing)。
4️⃣ 增强网络健壮性,控制故障传播
VLAN 将网络划分为多个逻辑隔离区域;如果某个 VLAN 内设备出现问题(如病毒或配置异常);故障不会影响到其他 VLAN,极大增强了网络的容错能力。
✅ VLAN 在实际中可作为网络故障“隔离舱”,避免局部问题影响全局网络。
🔄 VLAN 间通信与管理
虽然 VLAN 之间默认不能通信,但我们可以通过以下方式实现受控互访:
在三层设备上配置 VLAN 间路由(Inter-VLAN Routing);设置访问控制列表(ACL)实现权限管理;综合管理不同工作组之间的信息流动与隔离。
✅ 小结
VLAN 的引入,使得企业网络在结构上更清晰、在管理上更高效、在安全上更可控。它是现代网络架构中不可或缺的重要机制。
💡 VLAN 的本质:通过逻辑划分,把“混乱的大网络”变成“可控的小单元”。
二、VLAN 实现原理
1. VLAN 标签(802.1Q Tag)
VLAN 能够隔离广播域的核心机制之一,就是在以太网帧中插入 VLAN 标签字段,标记该帧属于哪个 VLAN。
🧱 VLAN 标签的定义
IEEE 802.1Q 规定在目的 MAC 地址和源 MAC 地址之间插入 4 字节的 VLAN Tag,用于标识 VLAN 信息。
VLAN Tag 使得网络设备能够识别报文的 VLAN 归属;只有处于同一 VLAN 的主机之间才能通信;普通二层交换机仅识别数据链路层信息,因此 VLAN 标签也必须封装在链路层内。
🧬 VLAN Tag 的结构(共 4 字段)
字段长度含义TPID(Tag Protocol Identifier)16 bit标签协议标识符,标识是否带 VLAN Tag,默认值:0x8100PRI(Priority)3 bitIEEE 802.1p 优先级(0~7),影响流量调度CFI(Canonical Format Indicator)1 bit标识 MAC 地址封装格式,0=标准格式,1=非标准格式,默认值为 0VLAN ID12 bit表示 VLAN 编号,取值范围 1~4094(0 和 4095 为保留值)
🎒 Tagged vs Untagged
Tagged 帧:带有 VLAN 标签的以太网帧;Untagged 帧:普通以太网帧,不含 VLAN 标签;终端设备(如 PC、服务器、集线器)只能处理 Untagged 帧;网络设备(如交换机、路由器、无线 AC)可以处理 Tagged 与 Untagged 两种帧。
⚙️ VLAN Tag 的插入与识别流程
交换机内部处理规则:
所有数据帧在交换机内部传输时都带 VLAN Tag,以便统一处理;
当帧进入交换机时:
如果帧未携带 VLAN Tag,交换机会检查该接口的缺省 VLAN(PVID),然后为数据帧打上该 PVID 对应的 VLAN Tag;如果帧已经携带 VLAN Tag,即使接口设置了 PVID,交换机也不会再打标签。
PVID(Port VLAN ID)机制:
每个交换机端口都有一个默认 PVID(默认值为 VLAN 1);PVID 用于为接收的 Untagged 数据帧**“补上”一个 VLAN 标签**;发送到该端口的数据帧,如果 VLAN ID 与端口 PVID 不符,可能会被丢弃或做特殊处理(依据交换机配置)。
🧠 小结:为什么 VLAN 能实现广播隔离?
VLAN 的本质是在报文中加入 VLAN ID 信息,使得交换机:
根据 VLAN ID 判断该数据帧应该转发到哪些端口;控制不同 VLAN 的通信路径,实现逻辑隔离;帮助网络管理员构建更灵活、安全、可控的网络结构。
✅ VLAN 标签是 VLAN 实现的“身份证”,没有它,设备无法区分报文属于哪个虚拟网络。
2、链路类型(Link Type)
VLAN 的链路类型主要有三种,分别是:Access 链路、Trunk 链路、Hybrid 链路,它们决定了交换机端口如何处理 VLAN 报文。(详情见一篇详解交换机接口类型Access / Trunk / Hybrid 及接口与端口的区别(内含本地VLAN问题详解))
🔌 (1) Access 链路(接入链路)
定义:连接终端设备(如 PC、打印机)与交换机的链路;特点:
只属于一个 VLAN;仅处理 Untagged(无标签)帧;报文不会携带 VLAN 标签; 典型应用:用户接入、PC 接入、普通办公网口等。
🛣️ (2) Trunk 链路(干道链路)
定义:用于连接 交换机与交换机、交换机与路由器 的链路;特点:
可承载多个 VLAN 的报文;所有经过的帧为 Tagged(带标签)帧;用于 VLAN 报文的转发与隔离; 典型应用:交换机级联、跨 VLAN 数据传输。
♻️ (3) Hybrid 链路(混合链路)
定义:可以处理多个 VLAN 的 Tagged 和 Untagged 帧,适配多种复杂场景;特点:
同时支持 多个 VLAN 的通信;可接收/发送 Tagged 和 Untagged 帧;可用于交换机对交换机、交换机对 PC 的多 VLAN 连接; 区别于 Trunk 的关键点:
Hybrid 接口可为多个 Untagged 报文分别打上 VLAN Tag;Trunk 接口只能接收 Tagged 报文,并为单一 VLAN 提供 Untagged 出口。
⚙️ 使用场景比较
链路类型是否携带 VLAN 标签能连接设备支持 VLAN 数量典型应用场景Access否(Untagged)PC/终端1用户接入Trunk是(Tagged)交换机多交换机互联Hybrid是/否(混合)PC/交换机多跨 VLAN 应用、复杂场景接入
🧠 小结:链路类型与 VLAN 标签关系
Access 链路:只接受 Untagged 帧,常用于接入终端;Trunk 链路:只接受 Tagged 帧,常用于 VLAN 之间的数据传输;Hybrid 链路:既能处理 Tagged,又能处理 Untagged,适用于复杂或自定义 VLAN 需求的网络连接。
✅ Hybrid 是 Access 与 Trunk 的结合与扩展,更灵活但也更复杂。
3、交换机端口类型
交换机端口根据 VLAN 的处理方式不同,可分为以下三种类型:
📎 (1) Access 端口
定义:一般用于连接终端设备(如 PC、打印机等),只属于一个 VLAN。
处理逻辑:
接收到帧后,判断是否带 VLAN Tag:
无 VLAN Tag:打上该 Access 接口的默认 VLAN ID(PVID);有 VLAN Tag:比较帧的 VLAN ID 与 PVID 是否一致;
一致 → 正常处理;不一致 → 丢弃帧; 发出帧时:剥离 VLAN Tag,发送 Untagged 帧。 使用场景:普通办公网口、PC、打印机接入。
🔀 (2)Trunk 端口
定义:连接交换机、路由器等设备,允许多个 VLAN 数据通过。
处理逻辑:
接收到帧后:
无 VLAN Tag:直接丢弃;有 VLAN Tag:判断是否允许该 VLAN ID 通过;
允许 → 继续处理;不允许 → 丢弃帧; 发出帧时:
判断 VLAN ID 是否为该接口的 PVID(默认 VLAN);
是 → 去掉 VLAN Tag 发送;否 → 保留 VLAN Tag 原样发送。 使用场景:交换机对交换机、交换机对路由器连接。
♻️ (3) Hybrid 端口
定义:同时支持 Tagged 和 Untagged 帧,兼具 Access 和 Trunk 功能,更加灵活。
处理逻辑:
接收到帧后:
无 VLAN Tag:添加本接口的 PVID,继续处理;有 VLAN Tag:判断是否允许该 VLAN ID 帧进入;
允许 → 继续处理;不允许 → 丢弃帧; 发出帧时:
根据 VLAN ID 在该接口配置的是 Tag 还是 Untag:
Tag 模式:保留 VLAN Tag,直接发送;Untag 模式:剥离 VLAN Tag,发送 Untagged 帧。 使用场景:复杂 VLAN 环境,如同一接口连接多个 VLAN 的 PC、IP 电话、无线 AP 等。
🔍 VLAN 数据帧处理总结
端口类型接收无 VLAN Tag接收带 VLAN Tag发出帧是否带 TagAccess添加 PVIDVLAN ID ≠ PVID → 丢弃剥离 VLAN TagTrunk丢弃VLAN ID 在允许范围 → 处理是否为 PVID 决定是否剥离Hybrid添加 PVIDVLAN ID 在允许范围 → 处理依据接口配置(Tag/Untag)发送
✅ Hybrid 是最灵活的接口类型,但配置也更复杂,适用于多 VLAN 的接入混合场景。
4、VLAN 的种类与分类方式
🌐 VLAN 的作用
VLAN(虚拟局域网)通过 VLAN 标签对数据帧进行标识,实现不同设备间的广播隔离与虚拟网段划分。
设备加入 VLAN 的方式是将交换机的端口加入对应 VLAN。当多个端口加入同一个 VLAN,就能组成一个虚拟局域网。
📂 VLAN 的常见类型
VLAN 类型功能描述默认 VLAN默认情况下交换机所有端口属于 VLAN 1,是初始配置的 VLAN。管理 VLAN用于远程管理交换机的 VLAN,通常与默认 VLAN 分开设置。原生 VLAN(Native VLAN)Trunk 链路上传输的 Untagged 帧 默认属于该 VLAN,需两端配置一致。语音 VLAN专为 IP 电话提供隔离和高优先级服务,保证语音质量 QoS。
📌 VLAN 的配置方式
VLAN 的配置可分为 静态 VLAN 和 动态 VLAN:
(1) 静态 VLAN(Port-based VLAN)
定义:人为将交换机某个端口分配到指定 VLAN。优点:配置简单、可控性强。缺点:当网络设备变更位置(如接入端口变化)时,需要重新配置 VLAN,维护成本高。
(2)动态 VLAN(Dynamic VLAN)
定义:根据接入终端的某些特征自动为端口分配 VLAN。适合场景:网络拓扑变动频繁的大型网络,管理更智能。
动态 VLAN 分类如下:
类型判定依据描述基于 MAC 地址的 VLAN二层根据主机的 MAC 地址判断其应属于哪个 VLAN。即使换端口,仍属于同一 VLAN。👉 初始配置复杂,但管理灵活。基于子网的 VLAN三层根据主机 IP 地址所在子网进行 VLAN 分配。基于用户的 VLAN七层根据登录用户身份进行 VLAN 分配。(需要配合认证服务器,较少使用)
✅ 三者的核心差异在于:使用 OSI 模型的哪一层信息决定 VLAN 划分。
📊 VLAN 分类方式对比表
分类方式对应 OSI 层特点静态 VLAN第二层配置简便,适合结构稳定的小型网络动态 VLAN(MAC)第二层移动性高,自动分配动态 VLAN(IP)第三层与路由策略结合紧密动态 VLAN(用户)第七层灵活度高,依赖认证系统
📎 小结:
Trunk 接口上传输多 VLAN 流量,Native VLAN 用于识别 Untagged 流量;语音 VLAN 提供语音数据高优先级保障;动态 VLAN 更适合大型复杂网络;配置动态 VLAN 需要配合 VLAN 管理服务器(如 VMPS)。
三、VLAN 的通信原理
1️⃣ VLAN 内部主机通信
在同一 VLAN 中,主机之间的通信不需要三层设备,只要处于同一个广播域即可直接通信。
🌐 通信原理举例:
假设公司产品部(VLAN 10)有两个交换机:
一楼交换机管理一楼员工二楼交换机管理二楼员工
员工小李的电脑连接在一楼交换机,小陈也在一楼,属于同一 VLAN。通信流程如下:
小李电脑发送一个 未打标签(Untagged) 的数据帧到交换机;交换机识别该端口属于 VLAN 10,给帧打上 VLAN 标签(Tagged);根据 MAC 地址表,在 VLAN 范围内转发;目标端口接收后,撕去标签,将原始帧交给小陈电脑处理。
2️⃣ 跨交换机通信(同 VLAN)
若小李在一楼,小张在二楼,且两人都在 VLAN 10,通信原理如下:
小李电脑向交换机发送 Untagged 帧;一楼交换机打上 VLAN 10 的标签,变为 Tagged 帧;帧经过两交换机间的 Trunk 链路,Trunk 不做修改直接传输;二楼交换机收到 Tagged 帧后,根据 VLAN ID 查找端口;转发至小张所在端口,并 移除 VLAN 标签;小张电脑收到 Untagged 帧,完成通信。
✅ 不同交换机中同一 VLAN 的通信依靠 Trunk 链路 + VLAN 标签 实现。
3️⃣ VLAN 间主机通信
不同 VLAN 属于不同的广播域,不能直接通信,必须依靠三层设备(如路由器或三层交换机)进行转发。
常见方式如下:
✅ 方法一:三层交换机 + VLAN 接口(VLANIF)
每个 VLAN 创建一个三层接口(VLANIF)各主机的默认网关配置为各自 VLAN 的 VLANIF 接口地址实现三层转发
优点:无需额外路由器,转发效率高 缺点:三层交换机成本较高
✅ 方法二:路由器多物理接口(多臂路由)
每个 VLAN 对应路由器的一个物理接口每个接口配置不同子网的 IP 地址,作为网关
优点:配置简单 缺点:接口数量有限,不适合大规模 VLAN 部署
✅ 方法三:路由器逻辑子接口(单臂路由)
路由器的一个物理接口划分多个逻辑子接口(sub-interface)每个子接口绑定一个 VLAN 并配置子网 IP,作为各 VLAN 的网关二层交换机 + Trunk 口连接路由器
优点:扩展性强,成本低 缺点:配置略复杂,依赖 Trunk 配置正确
📌 小结:三种跨 VLAN 通信方式对比
方式硬件原理优点缺点三层交换机 + VLANIF三层交换机VLAN 接口做路由性能高、部署简洁成本高多臂路由路由器每个物理口对应一个 VLAN配置简单扩展能力弱单臂路由路由器一个物理口划多个逻辑口成本低、扩展性好配置复杂
🔁 网络举例说明
假设一楼二楼都有产品部(VLAN 10)和销售部(VLAN 20),员工之间需要通信:
一楼交换机接收到来自 VLAN 10/20 的数据,打标签;Tagged 帧通过 Trunk 传到二楼;二楼交换机根据 VLAN 标签分别送到对应端口;若是不同 VLAN,需依靠三层设备中转,完成跨 VLAN 通信。
这样,通过 打标签、Trunk 传输、标签识别、撕标签等机制,就可以实现 VLAN 内外的精细通信控制。
四、VLAN的配置(华为)
1、管理VLAN命令
交换机基础配置命令
[Huawei] system-view # 进入系统视图模式
[Huawei] sysname Switch # 修改设备名为 Switch
[Huawei] interface GigabitEthernet 0/0/1 # 进入接口模式
[Huawei-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0 # 配置接口IP地址
[Huawei-GigabitEthernet0/0/1] undo shutdown # 启用接口
Telnet远程管理配置(华为)
[Huawei] sysname Switch
[Switch] interface Vlanif 1
[Switch-Vlanif1] ip address 192.168.1.10 255.255.255.0
[Switch-Vlanif1] quit
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode aaa
[Switch-ui-vty0-4] protocol inbound telnet
[Switch-ui-vty0-4] quit
[Switch] aaa
[Switch-aaa] local-user admin password cipher Huawei@123
[Switch-aaa] local-user admin service-type telnet
[Switch-aaa] local-user admin privilege level 15
1. 创建 VLAN 并配置 Access 接口
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
2. 配置 Trunk 链路
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 2 to 10
[Switch-GigabitEthernet0/0/3] quit
3. 设置 Hybrid 混合端口
[Switch] interface GigabitEthernet 0/0/4
[Switch-GigabitEthernet0/0/4] port link-type hybrid
[Switch-GigabitEthernet0/0/4] port hybrid untagged vlan 20
[Switch-GigabitEthernet0/0/4] port hybrid tagged vlan 2 to 5
[Switch-GigabitEthernet0/0/4] quit
4. 批量管理 VLAN 端口
方法一:通过端口组配置
[HUAWEI] port-group pg1
[HUAWEI-port-group-pg1] group-member GigabitEthernet 0/0/1 to 0/0/5
[HUAWEI-port-group-pg1] port link-type access
[HUAWEI-port-group-pg1] port default vlan 10
方法二:在 VLAN 视图中批量添加接口
[HUAWEI] vlan 10
[HUAWEI-vlan10] port GigabitEthernet 0/0/1 to 0/0/5
2、VLAN 配置实战案例
目标:
VLAN10:PC1 和 PC3VLAN20:PC2
配置命令:
[HUAWEI] vlan 10
[HUAWEI] vlan 20
[HUAWEI] interface GigabitEthernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10
[HUAWEI] interface GigabitEthernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] port link-type access
[HUAWEI-GigabitEthernet0/0/2] port default vlan 20
[HUAWEI] interface GigabitEthernet 0/0/3
[HUAWEI-GigabitEthernet0/0/3] port link-type access
[HUAWEI-GigabitEthernet0/0/3] port default vlan 10
结果:
PC1 ↔ PC3 可通信(VLAN10)PC2 与其他设备隔离(VLAN20)