VLAN简述

VLAN（Virtual Local Area Network）又称虚拟局域网，它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。所谓的VLAN技术，其实就是一个对TAG字段进行操作的过程。通常计算机发送或接收的数据帧是不带TAG字段（如果有TAG字段，计算机就会丢包），但数据帧进入交换机内部后，交换机会为数据帧增加一个TAG头，再根据TAG头中VLAN ID信息，按照规则对相应的数据帧进行处理。所有的交换机接口都有一个PVID（Port VLAN Identity），交换机端口会根据它的PVID，决定数据帧进入或离开时数据帧头部的TAG字段的处理方式。

交换机接口类型

对于日常使用的二、三层交换机，其端口接口类型可以分为三种：Access接口、Trunk接口和Hybrid接口，在这里笔者对三种端口类型作一简要介绍。Access接口只能承载一个VLAN的 流量，通常用于交换机与PC相连的接口，当Access接口收到一个数据帧时，先判断是否有VLAN信息，如果没有则打上自己的PVID，如果有则直接丢弃；当Access接口要转发一个数据帧时，先判断该数据帧的VLAN是否和自己在一个VLAN，如果是，则先剥离VLAN信息再转发，如果不是，则丢弃；Trunk接口上可以承载多个VLAN的流量，一般用于交换机之间的链接。当Trunk接口收到一个数据帧时，先判断是否允许该VLAN的流量通过，如果允许则转发到相应的接口，由相应的接口进行处理；如果不允许则丢弃。Trunk接口发送数据帧时，同样判断是否允许该VLAN通过，如果允许则转发到相应的接口，由相应的接口进行处理；如果不允许则直接丢弃；Hybrid 类型的端口可以属于多个VLAN，接收和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接用户的计算机。它是一种混杂模式，同时具有了Access接口和Trunk接口的特点，实现了在一个Untagged端口允许报文以Tagged形式送出交换机。利用Hybrid属性，定义分属于不同的VLAN端口之间的互访，这是Access接口和Trunk接口所不能实现的。Hybrid接口和Trunk接口的最大区别是可以对任何VLAN打标记或不打标记。

图1 局域网网络拓扑结构

Hybrid接口转发数据帧的原理

当Hybrid接口接收数据帧时，先判断该数据帧是否有VLAN信息，如果有则看该接口是否对该VLAN打标记，如果对该VLAN打标记，则直接转发到相应的接口，由相应的接口进行处理；如果没有对该VLAN打标记，则丢弃（因为默认情况下，Hybrid接口只允许默认VLAN的数据帧通过）。如果收到的数据帧没有任何标记，则标记为自己的PVID。在接口上配置对某些VLAN标记所起的作用，只是允许和不允许该VLAN的数据帧通过，且只在接口发送数据帧时起作用。Hybrid接口发送数据帧时，若该数据帧有标记，则判断该数据帧的标记VLAN和自己是否在同一个VLAN，如果是在同一个VLAN，则去掉标记后转发；如果该数据帧和自己不在同一个VLAN，则判断接口对该数据帧是标记还是不标记，如果是不标记，则去掉标记后再进行转发，如果是标记则直接转发，若没有明确说明则直接丢弃。如果要发送的数据帧没有标记则直接转发。

应用Hybrid特性区分局域网业务实例

以笔者单位局域网的典型业务区分为例，应用二层交换机就能实现不同VLAN之间同网段PC机互访。如果利用路由器和三层交换机做访问控制列表来实现业务区分，就要麻烦得多。单位一般的业务区分为A区、B区、C区和D区，其VLAN划分分别为 ：vlan10，vlan20,vlan30 和vlan40。由于网络安防和实际工作的需要，A区主机可以访问B区、C区和D区主机；B区主机可以访问A区主机，但不能访问C区和D区主机；C区主机可以访问A区和D区主机，但不能访问B区主机；D区主机可以访问A区和C区主机，但不能访问B。其网络拓扑图如图1所示。

以H3C 3100交换机为例加以说明，配置是通过Hybrid接口的PVID来表示一个端口，接收端口通过是否将VLAN设置为Untagged VLAN，来控制是否与PVID VLAN和该VLAN的端口互通。

//创建业务需要的VLAN，并将端口1划分到VLAN1中；

[H3C]vlan 10

[H3C-vlan10]port ether net 1/0/1

//将 端 口ethernet 1/0/1配置为Hybrid类型；

[H3C]interface ethernet 1/0/1

[H3C-ethernet1/0/1]po rt link-type hybrid

//设置端口的PVID等于该端口所属的VLAN；

[H3C-ethernet1/0/1]po rt hybrid pvid vlan 10

//将互通端口的PVID VLAN设置 为Untagged VLAN,接收数据帧时去掉VLAN10、VLAN20、VLAN30和VLAN40的标识符，意思就是B区、C区和D区主机可以访问A区主机；

[H3C-ethernet1/0/1]po rt hybrid vlan 10 20 30 40 untagged

其余3个端口VLAN、端口类型配置和上述配置基本相同，不同之处就是配置untagged时的允许的VLAN有所不同。

端口2具体配置如下：

[H3C-ethernet1/0/2]po rt hybrid pvid vlan 20

//将互通端口的PVID VLAN设置 为Untagged VLAN,接收数据帧时去掉VLAN10、VLAN20的标识符，意思就是A区主机可以访问B区主机；

[H3C-ethernet1/0/2]port hybrid vlan 10 20 untagged

端口3具体配置如下：

[H3C-ethernet1/0/3]po rt hybrid pvid vlan 30

//将互通端口的PVID VLAN设置 为Untagged VLAN,接收数据帧时去掉VLAN10、VLAN20的标识符，意思就是A区、D区主机可以访问C区主机；

[H3C-ethernet1/0/3]port hybrid vlan 10 30 40 untagged

端口4具体配置如下：

[H3C-ethernet1/0/4]port hybrid pvid vlan 40

//将互通端口的PVID VLAN设置为Untagged VLAN,接收数据帧时去掉VLAN10、VLAN20的标识符，意思就是A区、C区主机可以访问D区主机；

[H3C-ethernet1/0/4]port hybrid vlan 10 30 40 untagged

结语

在小型局域网中，利用应用交换机的Hybrid接口特性即一个端口可以属于多个不同的VLAN，来完成分属不同VLAN内的同网段PC机的访问需求，和使用三层交换机的访问控制列表来控制VLAN之间的互访比较起来，利用交换机Hybrid混合端口方法用起来更为方便，也可以节约购买三层交换机的成本，降低了网络的复杂度和维护难度，大家可以在平时的组网过程中试一试。