1. VLAN技术原理

在早期基于总线型拓扑的局域网（LAN）存在以下问题：

1. 如果当前有多个节点同时发送数据会产生冲突问题
2. 任意一个节点发送的数据都会发送到其他节点，形成广播
3. 所有的节点共享同一传输通道，因此信息传输的安全性较差

 

也就是说，在早期传统的局域网中存在冲突域，广播域，无法保障信息传输的安全性等问题；特别是当网络中的计算机越来越多的时候，这些问题尤为明显。虚拟局域网（Virtual LAN，简称VLAN）正好解决了这些问题，VLAN可以实现广播域隔离和局域网内信息的安全传输。

VLAN技术主要部署在数据链路层隔离二层流量。

VLAN技术可以将一个物理上的局域网从逻辑上划分为多个VLAN。上图中原本PC1和PC2是处于同一局域网下的，但是通过VLAN技术我们将PC1划分到VLAN 10，PC2划分到VLAN 20。由于现在PC1和PC2处于不同的VLAN，隔离了广播域，这意味着它们之间是不能直接进行二层通信的。

只有同一VLAN的主机可以直接进行二层通信，共享同一广播域。

 

2. VLAN的范围

 

VLAN的划分范围：

0 和4095：仅限系统使用，用户不能查看和使用这些VLAN

1：思科的默认vlan，用户能够使用该VLAN，但是无法删除

2 ~ 1001：用户可以随意创建，使用和删除的以太网VLAN范围

1006 ~ 1024：仅限系统使用，用户不能查看和使用这些VLAN

1025 ~ 4094：拓展VLAN，仅用于以太网

 

 

3. VLAN划分部署实验

 

VLAN划分实验部署的步骤：

1. 创建VLAN
2. 将接口放入特定的VLAN

 

在此之前我们先配置好PC1和PC2的ip地址信息，这里略过......（如果有不知道怎么配置IP地址的童鞋，可以翻翻前面的文章）

 

 

一般情况下，交换机的所有端口都是处于VLAN 1的，可以通过show命令来查看：

SW1#show vlan-switch brief 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa2/0, Fa2/1, Fa2/2, Fa2/3
                                                Fa2/4, Fa2/5, Fa2/6, Fa2/7
                                                Fa2/8, Fa2/9, Fa2/10, Fa2/11
                                                Fa2/12, Fa2/13, Fa2/14, Fa2/15
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    

从show命令给出的信息可以看到PC1和PC2是处于同一VLAN里，即默认的VLAN 1，所以PC1和PC2是可以直接通信的。

 

 

接下来我们要进行VLAN划分部署了，进入SW1交换机创建VLAN：

//进入VLAN数据库创建VLAN
SW1#vlan database
//选择vlan 10数据库并命名为VLAN10
SW1(vlan)#vlan 10 name VLAN10
VLAN 10 modified:
Name: VLAN10
//选择vlan 20数据库并命名为VLAN20
SW1(vlan)#vlan 20 name VLAN20
VLAN 20 modified:
    Name: VLAN20
SW1(vlan)#exit
APPLY completed.
Exiting....
SW1#

 

 

然后将交换机的端口划分到特定的VLAN：

SW1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)#int f2/0
//设置交换机的f2/0端口为access模式，表示该端口是用于连接计算机的
SW1(config-if)#switchport mode access 
//将该端口划分到vlan 10
SW1(config-if)#switchport access vlan 10
//同上
SW1(config-if)#int f2/1
SW1(config-if)#switchport mode access 
//将端口划分到vlan 20
SW1(config-if)#switchport access vlan 20

 

再次通过show命令查看交换机的VLAN信息：

SW1#show vlan-switch brief 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa2/2, Fa2/3, Fa2/4, Fa2/5
                                                Fa2/6, Fa2/7, Fa2/8, Fa2/9
                                                Fa2/10, Fa2/11, Fa2/12, Fa2/13
                                                Fa2/14, Fa2/15
10   VLAN10                           active    Fa2/0
20   VLAN20                           active    Fa2/1
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active   

从交换机的vlan配置信息可以看到VLAN 10和VLAN 20分别处于不同的端口。

 

 

测试网络连通性：

PC1#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

此时PC1再去ping PC2时就无法直接进行二层通信了，因为现在pc1和pc2做了vlan隔离处于不同的VLAN，所以无法直接通信。