VLAN讲解与三种端口模式(Acess,Trunk,Hybrid)
TAG:所有文章均为原创，可以转载但请声明，是在学校里面做的，使用不了EVE和ENSP，请各路大神嘴下留情，如文章内容有误导请及时联系博主----来自一个17岁的中专生。
1.什么是VLAN呢?
VLAN全称(Virtual Local Area Network)中文名为虚拟局域网

• VLAN是干嘛用的呢?
• 隔离广播域,保护二层链路.–这应该是最简单理解的说法了
• 为什么要使用VLAN呢?
• 大家知道，在我们在网络中，在一个复杂在环境中，是肯定会产生环路的，但是为什么要用VLAN呢，就比如，为什么学校里面，要分班呢？为什么公司里面，要分部门呢？
• 其实VLAN的最大作用，就是一个标识和分类和隔离广播域保护二层，仅此而已。
• 比如一个环境中，有用VLAN,10,20,30,40,50
• 那就相当于一个学校里面有1-2-3-4-5班
• TAG:首先阐明一点,VLAN是二层技术，但是支持三层。
• TAG:首先阐明一点,VLAN是二层技术，但是支持三层。
• TAG:首先阐明一点,VLAN是二层技术，但是支持三层。

- 重要的事情说了三遍了。
在我的理解中，VLAN分二层和三层。当然应该官网或者其他人不是这样解释的。毕竟每个人理解不一样。
Cisco中：（因为我现在在学校用的是PT，没用EVE）在PT中是不可以批量建立VLAN的，只能一个一个建立。
HUWEI：应该是一样的，但是我没做过。
如图所示，在VLAN建立之后，会自动进入VLAN里面，在里面的命令只有NAME，在PT下无法批量建立，EVE忘记了。VLAN是基于端口的。

TAG:任何厂商默认下的本证VLAN都是VLAN1，意思就是默认都属于VLAN1，无论建不建立，每个端口默认下都是属于VLAN1,这被称为本征VLAN，可以手动修改。

2. 前面我们说到VLAN是分二层和三层的（个人理解） 在二层VLAN中，几乎什么什么都做不了的，除了命名 如何升级三层VLAN呢？
   interfaece vlan numb （前提要创造了二层vlan才可升三层）

TAG:如图所示我们看到，VLAN的状态变成了UP，并且配置上了一个IP，所谓三层，那就是具有IP和路由转发功能。可以理解为OSI七层模型的三层。同时这也有个名字表示交换机虚拟接口（SVI:switch virtual interface），一般我们喜欢叫SVI。也就是三层VLAN接口IP

• 在这里我们只可以看到这么一点点命令arp，带宽，延迟，ipv6等等命令。
• TAG：在EVE和真机中会多很多其他命令，这也是PT的缺点，支持命令少。

---

**2.**既然说到了带有IP的VLAN，这时候应该有人问了，前面不是说本证VLAN都属于1吗，哪创造了这些VLAN有什么用呢？

• 确实，我们创了这个VLAN，那就得使用他，不然不就浪费资源了嘛，一般来说，我们会把端口划入VLAN中。
  前面我们说到了，VLAN是基于端口的，那就需要需要在端口下配置命令让他进入我们想让他进入的VLAN。

可以看到，在配置完二层VLAN升三层VLAN后，配置IP后，在端口F0/1下进入了VLAN10（此步骤可以做完二层VLAN直接进入，无先后顺序）
输入命令：do show vlan 可以看到在vlan10中，命名为10，端口里面只有F0/1一个成员。而VLAN1是本证默认存在的，其他的VLAN是自带的。

在VLAN中，是保护二层的，顾名思意，同一个VLAN中的可以互相通信，不同VLAN的不能通信。
TAG：此处需要特别注意，不能通信指的是二层不能通信，而不是值升三层VLAN之后的不能通信。三层通信。
TAG：此处需要特别注意，不能通信指的是二层不能通信，而不是值升三层VLAN之后的不能通信。三层通信
TAG：此处需要特别注意，不能通信指的是二层不能通信，而不是值升三层VLAN之后的不能通信。三层通信
重要的事情说三遍。
什么是三层通信什么是二层通信呢？
通俗的解释：二层就是你的家门，三层就是你天台。你在天台跟你邻可以说话可以搞其他的，但是家门（二层）他是进不来的。除非你家人有钥匙（同VLAN）

TAG：细心的朋友看到这应该可以发现，出现了Acess这个命令，这是什么呢？
让我告诉你，标题中我们说到了有三种端口模式。
对的，在交换机中，端口可以设置成三种模式其中一种运行，这三
种模式分别是Acess，trunk，hyprid（最近有一种新出来的dynameic）

• dynameic（自动协商）：对面是什么我就变成什么

• Acess（接入）：一般来说，是连接终端使用的（PC之类的）

• Trunk（干道）：这个东西是干嘛用的呢，如果是说，一台二层交换机连接一台三层交换机。他们之间有一个及以上的VLAN存在，那么问题来了。他们直接连接的口需要设置成什么模式呢？

• 总不能一个端口划分进好几个vlan呀，如果只划分10那20.30.40就不能通了。这时候应该怎么办呢？
  ---------------------------------------------------------------------

• 答案是trunk模式或者是hybrid模式

• 配置：
  
  在思科的三层交换机中是要打一条switchport trunk encapsulation dot1q 先然后才能变成trunk模式的。（封装成dot1q模式）

• 原因是什么，为什么要用这两个模式，让我们来看看。

• 

  把两台交换机连接的端口设置成trunk模式
  此时，若PC的IP地址与对应VLAN的GW同网段并指向网关，即可访问全部资源。（需要在三层交换机上开启ip routing路由转发功能，思科是默认关闭的）
  TAG：为什么trunk就可以全部互通了呢？
  因为，trunk的作用，就是允许所有vlan通行，什么意思呢。就是说，既然不能一个一个的划分VLAN，那干脆我进入你们全部VLAN。
  这句话怎么理解呢？
  意思就是，让所有的端口和VLAN都属于他
  
  在Cisco中：Trunk口默认下是允许所有VLAN通过的
  在Huawei中：Trunk口默认下是拒绝所有VLAN通过的
  

• 如图所示，在图中可以看到，switchport trunk ？ 之后 有三个选项（当然这个只是PT，eve和真机多很多其他的）
  allowed：允许通过的VLAN，在生成树或者动态路由中，有些地方是不允许通过VLAN的，就是说这条路是不允许通过的，用ACL也可以但是用allowd（允许）通过的VLAN更加方便。默认下允许所有，手动放行了那个VLAN就只有放行的那个VLAN才允许通过。
  encapsulation：这个讲过了在前面，在三层交换机中是需要封装dot1q模式才能设置成trunk的。
  native：本征VLAN，一般是封装管理VLAN。对VLAN进行封装bai有两种协议.一种du是思科zhi有的协议dao,叫做1653ISL.
  另一种是RFC公有的协议专叫做802.1Q. 两种协议都是针对TRUNK承载属不同VLAN为防止混乱而产生的.

  默认情况下.交换机上所有的接口都位于VLAN1下.也就是NATIVE VLAN.
  事实上,本地VLAN中不仅仅有着接口,还有STP信息,比如BPDU桥接协议数据单元,VLAN ID的信息等等都要通过native
  vlan来传输.

  ISL协议和802.1Q的区别在于针对native vlan是否打标.
  ISL是全部都打,有几个VLAN打几个标记,而.1Q协议除了VLAN1也就是native
  vlan不打标记之外其他的VLAN都打标记,作用都是一样的,都能让TRUNK识别不同的VLAN.
  那为什么不对VLAN1打标记呢.就是因为VLAN1中承载着许多信息.对native vlan标记是相当不利的
  **Hybrid：**混合接口（思科不支持）
  这个接口是干嘛用的呢。顾名思义，混合，意思就是支持Aeccss和trunk同时使用，但是这个出入都需要打标签解标签，也就是TAG，什么是标签呢，下面我们会说到。

TAG：标签，我们知道，为什么同一个VLAN里面的数据可以通信呢，第一个，同网段是必须的吧？第二个VLAN，为什么说是VLAN内可以通信呢，是因为他们VLAN内的主机发送ping包或者其他数据包的时候，到达网关之后，会把数据包头前面加上一个属于他VLAN的标签（TAG），因为Access（连接终端接口）是不带TAG包的，所以进出就需要打标签和解标签。对面看到跟我（同VLAN）是一个TAG（标签）自然就会帮你接标签然后把数据包发送到目的地再返回去。
三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。
比如说我现在在接口下设置了trunk口，我想变成hybrid口的话，要先设置成Access先，然后再变hybrid，如果按照一般思路是no trunk之类的，所以这里需要注意一下。

**

3.大白话讲解类型

**

交换机内部的对vlan tag的处理有以下几种情况：（按照数据包的转发方向）

1、从Access端口进入，然后从Access端口发出；则进入是带上vlan tag，发出时去掉vlan tag；

2、从Access端口进入，然后从Trunk端口发出；则进入时带上vlan tag，发出时保留vlan tag；

3、从Trunk端口进入，然后从Trunk端口发出；则vlan tag无变化，进来什么样出去还是什么样；

4、从Trunk端口进入，然后从Access端口发出；则进入时无变化，出去时去掉vlan tag；

其实很简单，从access口出来的都是不带tag的，从trunk口出来，都是带tag的

trunk的作用是可以让多个vlan通过，原理是对不同的vlan打上不同的标签以区分不同的vlan的数据帧

因此，Access接口发出的数据帧肯定不带Tag，Trunk接口发出的数据帧只有一个VLAN的数据帧不带Tag，其他都带VLAN标签，Hybrid接口发出的数据帧可根据需要设置某些VLAN的数据帧带Tag，某些VLAN的数据帧不带Tag。

好的本次到这里就结束了，欢迎观看我的文章。我是CCIE-Yasuo，喜欢就关注我吧，下一期见。
欢迎新盟教育的同学一起来交流，我是41期的疾风剑豪
同时我也是一名17岁来自中专的学生在学校写的，如有写的不对或侵权请及时联系删除。