【25软考网工】第三章(3)虚拟局域网VLAN
一、虚拟局域网VLAN
1. VLAN基础
定义:根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。例如将大型网络划分为多个VLAN(如VLAN1-4)。
优势:
- 管理便利:便于对不同部门或功能进行分组管理
- 安全隔离:单个VLAN内的安全问题(如PC中毒)不会影响其他VLAN
- 策略控制:更容易实现访问控制策略
通信规则:不同VLAN间通信必须经过三层设备(路由器/三层交换机/防火墙等)
注意:考试中默认"交换机"指二层交换机,需明确标注"三层"才具备跨VLAN通信功能。
冲突域和广播域:
(1)一个中继器和集线器是一个冲突域
(2)网桥/交换机的一个接口为一个冲突域
(3)一个VLAN为一个广播域,交换机默认所有接口都在VLAN 1(没有划分VLAN)
1)冲突域
基本概念:连接在同一共享介质上的所有节点集合,节点竞争同一带宽,任一节点发出的报文(单播/组播/广播)均可被其他节点接收。
典型场景:
- 早期以太网的同轴电缆总线结构(物理层冲突)
- 集线器组网的半双工通信(逻辑层冲突)
解决机制:
- CSMA/CD:载波监听多路访问/冲突检测协议
- 设备差异:
- 中继器/集线器:整个设备属于1个冲突域
- 网桥/交换机:每个接口为独立冲突域(如图中交换机组网形成5个冲突域)
影响因素:同一介质节点越多,冲突概率越大
2)广播域
定义:广播报文能到达的整个网络范围,同一广播域内主机均可接收广播报文。
设备特性:
- 传统以太网(集线器/总线型):整个网络为1个广播域
- 交换机:默认所有接口在VLAN1(1个广播域),划分VLAN后可创建多个广播域
- 路由器:每个接口为独立广播域(天然隔离广播)
典型示例:
- 未划分VLAN的交换网络:所有主机处于同一广播域
- 划分VLAN10/20后:广播仅在本VLAN内传播
3)应用案例
例题:VLAN域判断
答案:B
冲突域分析:
- 网桥接口:2个冲突域(左右各1)
- 交换机接口:2个冲突域(上下各1)
- 总计:4个冲突域(非选项A的2个)
广播域分析:
- 路由器左右接口:天然隔离形成2个广播域(选项B正确)
ARP传播限制:
- 广播报文不能跨越路由器(选项D错误)
- Q查找R的MAC地址时,ARP报文仅限左侧广播域
易错点:
- 忽略路由器接口的广播域隔离特性
- 混淆三层交换机与普通交换机的功能差异
2. 交换机VLAN划分
1)划分方式
静态划分:基于交换机端口进行划分,将指定接口划入对应VLAN。这是最常用的划分方式。
动态划分:包含四种实现方式:
- 基于MAC地址划分(如将MAC地址为5489-98FC-5825的设备划入指定VLAN)
- 基于策略划分(可结合MAC地址、IP地址等条件)
- 基于网络层协议划分(如区分IPv4/IPv6)
- 基于网络层地址划分(按IP地址段划分)
2)跨VLAN通信
实现设备:必须通过三层设备(路由器或三层交换机)才能实现不同VLAN间的通信
典型应用:企业网络中研发部、测试部、市场部的VLAN可以跨越不同楼层部署
3. VLAN划分配置
1)静态配置
创建VLAN: [Huawei] vlan 10
退出: quit
接口配置:
- 进入接口模式:interface GigabitEthernet0/0/1
- 设置接口类型为access:port link-type access
- 把接口加入VLAN:port default vlan 10
2)动态配置
基于MAC地址进行VLAN划分配置命令:
- 创建VLAN:[Huawei] vlan 20
- 绑定MAC地址:mac-vlan mac-address 5489-98FC-5825
基于策略配置命令:
- 创建VLAN:[Huawei] vlan 20
- 策略配置:policy-vlan mac-address 0-1-1 ip 10.1.1.1 priority 7
- 注意:该配置会同时匹配MAC地址和IP地址,并设置802.1p优先级为7
4. VLAN作用
(1)流量控制:限制广播域范围,有效控制广播风暴,减小冲突域,提高带宽利用率
(2)安全增强:通过路由配置实现VLAN间通信过滤,提供流量控制和安全隔离
(3)灵活管理:突破地理限制按功能划分工作组,基于MAC划分时支持移动办公
考点提示
- 案例题重点:VLAN划分方式(静态/动态)是案例分析题标准答案要点
- 选择题考点:基于策略的VLAN划分配置曾考过选择题
- 记忆要点:VLAN三大作用为教材标准内容,需重点记忆
5. 802.1Q标签
1)802.1Q标签字段概述
- 基本结构:802.1Q标签共4字节,插入在以太网帧中源MAC地址之后、类型字段之前
- 核心字段:重点掌握PRI(优先级)和VID(VLAN标识符)两个字段
- 技术对比:相比VXLAN的24位VNI标识符(支持1600万虚拟网络),VLAN的12位VID支持规模较小
- 封装方式:基于UPD封装
2)PRI(优先级)
- 位数分配:占用3位空间,可表示0∼7共8个优先级
- 实际应用:当多个帧等待发送时,交换机根据优先级决定发送顺序
- 考试重点:优先级字段长度是高频考点(3位)
3)VID(VLAN标识符)
- 位数分配:占用12位空间,理论可表示2^12=4096个VLAN
- 特殊保留:VID0用于识别优先级,VID4095保留未用
- 实际可用:有效VLAN编号范围为1∼4094,共4094个可用VLAN
4)VLAN数量及默认管理VLAN
- 默认配置:VLAN 1是默认管理VLAN,不可删除
- 初始状态:所有交换机端口默认属于VLAN1
- 常见误区:虽然12位理论上支持4096个值,但实际可用只有4094个(需排除0和4095)
5)802.1Q标签在以太网帧中的位置
具体位置:位于源MAC地址(6字节)之后,类型/长度字段之前
字段组成:
- TPID(16位):标签协议标识符
- PRI(3位):优先级
- CFI(1位):规范格式指示器
- VID(12位):VLAN标识符
6)交换机对VLAN标签的处理
实现方式:由专用硬件自动完成添加/删除操作
性能特点:处理速度极快,几乎不引入网络延迟
处理主体:中间传输的交换机负责VLAN标签的增删操作,VLAN标记对用户透明
7)VLAN标记对用户透明
终端视角:
- 发送端(如PC)产生标准以太网帧
- 接收端(如服务器)接收标准以太网帧
传输过程:VLAN标记仅在网络设备间传递,终端设备不可见
6. 交换机端口类型
1)Access接口
- 功能特点:仅能传输单个VLAN的数据
- 典型应用:连接终端设备(PC、摄像头等)
- 标签处理:接入端口会剥离VLAN标签
2)Trunk接口
- 功能特点:可传输多个VLAN的数据
- 典型应用:交换机之间的互联
- 标签保留:会保留原始VLAN标签进行传输
3)Hybrid接口
- 混合特性:兼具Access和Trunk接口的功能
- 灵活控制:可自定义标签处理方式
4)QinQ(dot-1q)技术
- 技术特点:采用双层VLAN标签(外层+内层)
- 容量计算:支持4094×4094≈1600万个虚拟网络
- 应用场景:主要应用于运营商城域网环境
7. 应用案例
1)例题:生成VLAN标记协议
- 答案: A.IEEE 802.1q
- 考点: 用于生成VLAN标记的协议
- 解析: 题目问的是用于生成VLAN标记的协议,根据网络知识,IEEE 802.1q是用于生成VLAN标记的协议,因此选择A。
2)例题:VLAN作用描述判断
- 答案: C
- 考点: VLAN的描述
- 解析:
- A选项“VLAN的主要作用是隔离广播域”描述正确。
- B选项“不同VLAN间须跨三层互通”描述正确,不同VLAN间需要通过路由器等三层设备进行互通。
- C选项“VLAN ID可以使用范围为1~4095”描述错误,VLAN ID的可使用范围是1-4094,其中1是默认的管理VLAN,不能创建,也不能删除,0和4095保留,不能使用。
- D选项“VLAN1不用创建且不能删除”描述正确。
- 因此,不正确的选项是C。
3)例题:批量创建VLAN数量
- 答案: D.2和11
- 考点: 批量创建VLAN的命令及结果
- 解析:
- 命令“vlan batch 30 40”会创建VLAN 30和VLAN 40,共2个VLAN。
- 命令“vlan batch 30 to 40”会创建VLAN 30到VLAN 40,包括30和40,共11个VLAN。
- 因此,分别创建的VLAN数量是2和11,选择D。
4)例题:VLAN配置命令
- 考点: VLAN配置命令的含义
60题答案: B
- 配置命令: port-isolate enable
- 含义: 同一VLAN下二层隔离。即配置了该命令的接口,在同一VLAN下将不能二层互通。
- 选择: B选项“同一VLAN下二层隔离”描述正确。
61题答案: A
- 配置命令: port trunk allow-pass vlan 10 to 30
- 含义: 配置接口属于VLAN10-VLAN30,即允许这些VLAN的流量通过该接口。
- 选择: A选项“配置接口属于VLAN10-VLAN30”描述正确。
注意: 华为设备的串口接口默认不放行除了VLAN 1的流量,如果需要放行其他VLAN的流量,需要手动配置。
知识小结
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
| VLAN定义与作用 | 根据管理功能、组织机构或应用类型对交换局域网进行逻辑分段 | VLAN隔离广播域,提升安全性和管理灵活性 | ⭐⭐ |
| 跨VLAN通信 | 必须依赖三层设备(路由器/三层交换机) | 考试陷阱:默认“交换机”指二层交换机,需明确“三层交换机” | ⭐⭐⭐ |
| 冲突域与广播域 | - 冲突域:集线器整体为1个,交换机每接口1个<br>- 广播域:1个VLAN=1个广播域,路由器每接口隔离广播域 | 易混淆:交换机未划分VLAN时默认所有接口在VLAN 1(1个广播域) | ⭐⭐⭐⭐ |
| VLAN划分方式 | - 静态:基于接口<br>- 动态:基于MAC/策略/协议/IP段 | 案例题高频考点:动态划分的4种方法需记忆 | ⭐⭐⭐ |
| 802.1Q标签 | 4字节插入以太网帧,含3位优先级+12位VLAN ID(可用1-4094) | 必考细节:标签位置(源MAC后)、VLAN 1不可删除 | ⭐⭐⭐⭐ |
| 交换机端口类型 | - Access:单VLAN(接终端)<br>- Trunk:多VLAN(交换机互联)<br>- Hybrid/QinQ(特殊场景) | 易错点:华为Trunk口需手动放行VLAN | ⭐⭐⭐ |
| VLAN数量限制 | 标准VLAN:4094个(1-4094)<br>扩展对比:VXLAN的VNI为24位(约1600万) | 选择题高频:VLAN 0和4095保留 | ⭐⭐ |
| 端口隔离 | 同VLAN下接口二层隔离(需代理ARP实现通信) | 配置题考点:port-isolate enable命令作用 | ⭐⭐⭐ |