VLAN部署在数据链路层，用于隔离二层流量。

VLAN划分方法：基于端口、基于MAC、基于IP子网、基于协议、基于策略。

Access接口：连接主机的接口，只允许某一个VLAN通过。

Trunk接口：干道接口，允许多个VLAN通过。

	收	发
Access	不带VLAN Tag的帧，添加PVID标签。 带VLAN Tag的帧，如果帧Tag与端口的PVID相同则接收，如果帧Tag与端口的PVID不相同则丢弃。	将VLAN Tag剥离后发给主机。
Trunk	不带VLAN Tag的帧，添加接口PVID标签，如果PVID在允许通过的VLAN ID表中则接收否则丢弃。 带VLAN Tag的帧，如果VLAN ID在允许通过的VLAN ID列表中则接收否则丢弃。	当VLAN ID与接口的PVID相同，且是允许通过的VLAN时，剥离Tag后发送。 当VLAN ID与接口的PVID不同，且是允许通过的VLAN时，保持Tag直接发送。

 

 

 

 VLAN标签长4个字节，其中12bit为VLAN ID范围0~4095。

VLAN隔离了二层广播域，同时也隔离了不同VLAN间的所有二层流量，不同VLAN间的用户之间不能进行二层通信。

不同VLAN间的用户必须通过三层路由才能进行互通。

VLAN配置：

 

[SW1]vlan batch 10 20

[SW1]interface g0/0/1

[SW1-GigabitEthernet0/0/1]p l a

[SW1-GigabitEthernet0/0/1]p d v 10

[SW1-GigabitEthernet0/0/2]p l a

[SW1-GigabitEthernet0/0/2]p d v 20

[SW1]interface g0/0/24

[SW1-GigabitEthernet0/0/24]p l t

[SW1-GigabitEthernet0/0/24]p t a v 10 20

[SW1]interface Vlanif 10

[SW1-Vlanif10]ip add 10.1.10.100 24  //vlan10的网关

[SW1]interface Vlanif 20

[SW1-Vlanif20]ip add 10.1.20.100 24  //vlan20的网关

//vlan的划分实现了不同VLAN间的二层隔离，vlanif的配置实现了不同VLAN间的三层互通。

[SW2]vlan batch 10 20

[SW2]interface g0/0/1

[SW2-GigabitEthernet0/0/1]p l a

[SW2-GigabitEthernet0/0/1]p d v 10

[SW2]interface g0/0/24

[SW2-GigabitEthernet0/0/24]p l t

[SW2-GigabitEthernet0/0/24]p t a v 10 20