2Router上的vlan子接口配置及8021Q协议封装

交换机常用功能举例（四）——管理型交换机IEEE 802.1Q VLAN设置应用实例一VLAN的概念VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN 头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是控制网络的广播风暴、确保网络安全、简化网络管理、减少了对路由器的需求、灵活的网络分组、减少网络解决方案费用、更合理的利用服务资源。

VLAN是局域交换网的灵魂。

VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。

是否具有VLAN功能是衡量局域网交换机的一项重要指标。

网络的虚拟化是未来网络发展的潮流。

二VLAN的划分方式VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。

802.1Q是VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。

不同厂家的交换机只要支持802.1Q VLAN就可以跨越交换机，可以统一划分管理。

三802.1q Tag VLAN的设置实例我司的大多数管理型交换机都支持基于端口的VLAN和基于802.1q协议的VLAN功能。

基于端口规则的VLAN这是最早的VLAN类型，也是最简单的VLAN，可以将局域网交换机其中的几个端口指定成一个VLAN。

以下主要介绍管理型交换机的IEEE 802.1Q VLAN设置，设置IEEE802.1Q VLAN大体分三步：1、选择VLAN的类型。

2、设置VLAN组的划分。

3、端口PVID值的设置。

下面用TL-SL3226P交换机举三个实例来说明802.1Q VLAN的划分方法。

IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。

下面先介绍有关VLAN的基本概念。

1．IEEE 802.1q协议简介IEEE 802.1q协议为标识带有VLAN成员信息的以太帧建立了一种标准方法。

I EEE802.1q标准定义了VLAN网桥操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN拓朴结构等操作。

IEEE 802.1q标准主要用来解决如何将大型网络划分为多个小网络，如此广播和组播流量就不会占据更多带宽的问题。

此外IEEE 802.1q标准还提供更高的网络段间安全性。

IEEE802.1q完成这些功能的关键在于标签。

支持IEEE 802.1q的交换端口可被配置来传输标签帧或无标签帧。

一个包含VL AN信息的标签字段可以插入到以太帧中。

如果端口有支持IEEE 802.1q的设备（如另一个交换机）相连，那么这些标签帧可以在交换机之间传送VLAN成员信息，这样VLAN就可以跨越多台交换机。

但是，对于没有支持IEEE 802.1q设备相连的端口我们必须确保它们用于传输无标签帧，这一点非常重要。

很多PC和打印机的NIC并不支持IEEE 802.1q，一旦它们收到一个标签帧，它们会因为读不懂标签而丢弃该帧。

在IEEE 802.1q中，用于标签帧的最大合法以太帧大小已由1518字节增加到1522字节，这样就会使网卡和旧式交换机由于帧“尺寸过大”而丢弃标签帧。

图6-16就是以太网中的IEEE 802.1q标签帧格式。

Preamble（Pre）：前导字段，7字节。

Pre字段中1和0交互使用，接收站通过该字段知道导入帧，并且该字段提供了同步化接收物理层帧接收部分和导入比特流的方法。

Start-of-Frame Delimiter（SFD）：帧起始分隔符字段，1字节。

字段中1和0交互使用，结尾是两个连续的1，表示下一位是利用目的地址的重复使用字节的重复使用位。

2020/3/31
专业化、规范化、标准化、电子化
19
（4）N:1 VLAN聚合模式：在该模式下，OLT或ONU设 备将上行的多个VLAN聚合为唯一的网络侧VLAN ID； 并将下行业务VLAN 反向映射到对应的多个VLAN。
2020/3/31
专业化、规范化、标准化、电子化
20
（5）VLAN Trunk模式：收到一个报文，判断是否有 VLAN信息：如果没有则打上端口的PVID，并进行交换 转发，如果有判断该trunk端口是否允许该 VLAN的数据 进入：如果可以则转发，否则丢弃 发报文：
2020/3/31
专业化、规范化、标准化、电子化
24
8021Q封装
DA
SA
Etype Tag Len/EtypeData
FCS
QinQ封装
DA
SA
Etype Tag Etype Tag Len/EtypeData
FCS
同802.1Q的帧相比 QinQ在这里插入了一 层标签,通常我们称之 为外层标签
2020/3/31
专业化、规范化、标准化、电子化
10
802.1Q帧格式
• 前导码（Preamble）：7字节；用于同步 • 帧开始符（SFD）：1字节； • 目的MAC地址（DA）：6字节 • 源MAC地址（SA）：6字节 • 802.1Q tag：4字节 • Type/Length：2字节； • 数据（Data）：42~1500字节 • 帧校验序列（FCS）：4字节
2020/3/31
专业化、规范化、标准化、电子化
21
（6）VLAN Hybrid模式：收到一个报文,判断是否有 VLAN信息：如果没有则打上端口的PVID，并进行交换 转发，如果有则判断该hybrid端口是否允许该VLAN的数 据进入：如果可以则转发，否则丢弃

首先，说明一下本例子。

vlan之间通讯需要用到的设备有：二层交换机两个（当然三层也可以，不过很贵~~），路由器/3层交换机一台（支持802.1q协议），pc4台。

试验环境为Cisco虚拟软件packet trcer 4.1二层交换机：首先要明白一点，对于vlan通讯来说，二层交换机上vlan没有必要配ip地址，唯一需要的是vlan1（配置的ip地址为管理地址）。

其次，二层交换机没有ip地址。

当然vlan可以设置ip，但是端口什么的没有ip。

虽然这点很简单，但是，很多人经常忘记，至少我身边的同学好多都不知道这个事实。

还有，这点很重要，二层交换机只能同一时刻存在一个vlan。

最后，要保证vlan之间可以相互通讯的前提，就是二层与路由的接口要设置为trunk模式。

路由器：由于要实现vlan之间通讯，所以路由器需要用到802.1q协议，来封装端口。

（下面开始配置）S1：vlan 1 ：IP ：10.1.0.2/16vlan 10： name--V1 下属pc：IP：192.168.1.x/24 网关 192.168.1.254/24vlan 20： name--V2 下属pc：IP：192.168.2.x/24 网关 192.168.2.254/24S2：vlan1：IP：10.2.0.2/16vlan 30： name--V3 下属pc：IP：192.168.3.x/24 网关 192.168.3.254/24vlan 40： name--V4 下属pc：IP：192.168.4.x/24 网关 192.168.4.254/24R1：F0/0：IP：10.1.0.1/16虚接口地址：F0/0.1: IP：192.168.1.254/24F0/0.2: IP：192.168.2.254/24F0/1：IP：10.2.0.1/16虚接口地址：F0/1.1: IP：192.168.3.254/24F0/1.2: IP：192.168.4.254/24拓扑图如下：S1配置如下：Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostSwitch(config)#hostname S1S1(config)#vlan 10S1(config-vlan)#name V1S1(config-vlan)#exitS1(config)#vlan 20S1(config-vlan)#name V2S1(config-vlan)#int vlan 1S1(config-if)#ip address 10.1.0.2 255.255.0.0S1(config-if)#no shut%LINK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up S1(config-if)#int f0/2S1(config-if)#switchport mode accessS1(config-if)#switchport access vlan 10S1(config-if)#no shutS1(config-if)#int f0/3S1(config-if)#switchport mode accessS1(config-if)#switchport access vlan 20S1(config-if)#no shutS1(config-if)#int f0/1S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk allowed vlan allS1(config-if)#no shutS1(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleS1#sh vlanVLAN Name Status Ports---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Fa0/23, Fa0/2410 V1 active Fa0/220 V2 active Fa0/31002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default activeVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 010 enet 100010 1500 - - - - - 0 020 enet 100020 1500 - - - - - 0 01002 enet 101002 1500 - - - - - 0 01003 enet 101003 1500 - - - - - 0 01004 enet 101004 1500 - - - - - 0 01005 enet 101005 1500 - - - - - 0 0S2设置如上：Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname S2S2(config)#vlan 30S2(config-vlan)#name V3S2(config-vlan)#no shut^% Invalid input detected at '^' marker.S2(config-vlan)#vlan 40S2(config-vlan)#name V4S2(config-vlan)#int vlan 1S2(config-if)#ip address 10.2.0.2 255.255.0.0S2(config-if)#no shut%LINK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upS2(config-if)#int f0/2S2(config-if)#swit m aS2(config-if)#swit access vlan 30S2(config-if)#no shutS2(config-if)#int f0/3S2(config-if)#swit m aS2(config-if)#swit a vlan 40S2(config-if)#no shutS2(config-if)#int f0/1S2(config-if)#swit m tS2(config-if)#swit trunk allowed vlan allS2(config-if)#no shutS2(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleS2#sh vlanVLAN Name Status Ports---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Fa0/23, Fa0/2430 V3 active Fa0/240 V4 active Fa0/31002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default activeVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------1 enet 100001 1500 - - - - - 0 030 enet 100030 1500 - - - - - 0 040 enet 100040 1500 - - - - - 0 01002 enet 101002 1500 - - - - - 0 01003 enet 101003 1500 - - - - - 0 01004 enet 101004 1500 - - - - - 0 01005 enet 101005 1500 - - - - - 0 0路由器R1设置如下：Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#R1(config)#int f0/0R1(config-if)#ip address 10.1.0.1 255.255.0.0R1(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int f0/1R1(config-if)#ip address 10.1.1.1 255.255.0.0% 10.1.0.0 overlaps with FastEthernet0/0R1(config-if)#ip address 10.2.0.1 255.255.0.0R1(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upR1(config-if)#int f0/0.1%LINK-5-CHANGED: Interface FastEthernet0/0.1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.1, changed state to upR1(config-subif)#encapsulation dot1q 10R1(config-subif)#ip address 192.168.1.254 255.255.255.0R1(config-subif)#no shutR1(config-subif)#int f0/0.2%LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.2, changed state to upR1(config-subif)#encapsulation dot1q 20R1(config-subif)#ip address 192.168.2.254 255.255.255.0R1(config-subif)#no shutR1(config-subif)#int f0/1.1%LINK-5-CHANGED: Interface FastEthernet0/1.1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1.1, changed state to upR1(config-subif)#encapsulation dot1q 30R1(config-subif)#ip address 192.168.3.254 255.255.255.0R1(config-subif)#no shutR1(config-subif)#int f0/1.2%LINK-5-CHANGED: Interface FastEthernet0/1.2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1.2, changed state to upR1(config-subif)#encapsulation dot1q 40R1(config-subif)#ip address 192.168.4.254 255.255.255.0R1(config-subif)#no shutR1(config-subif)#end%SYS-5-CONFIG_I: Configured from console by consoleR1#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set10.0.0.0/16 is subnetted, 2 subnetsC 10.1.0.0 is directly connected, FastEthernet0/0C 10.2.0.0 is directly connected, FastEthernet0/1C 192.168.1.0/24 is directly connected, FastEthernet0/0.1C 192.168.2.0/24 is directly connected, FastEthernet0/0.2C 192.168.3.0/24 is directly connected, FastEthernet0/1.1C 192.168.4.0/24 is directly connected, FastEthernet0/1.2现在，可以设置PC的属性了，别忘了四处ping下，检查是否设置成功。

Direct 0 0
127.0.0.1
192.168.1.1/32
O_ASE 150 1
20.1.1.2
192.168.2.1/32
O_ASE 150 1
20.1.1.2
Interface Vlan10 InLoop0 Vlan20 InLoop0 Vlan20 Vlan20 Vlan20 InLoop0 InLoop0 Vlan20 Vlan20
VLAN接口IP地址
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e23e-f90a
IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e23e-f90a
Destinations : 11
Routes : 11
Destination/Mask Proto Pre Cost
NextHop
10.1.1.0/24
Direct 0 0
10.1.1.1
10.1.1.1/32
Direct 0 0
127.0.0.1
20.1.1.0/24
Direct 0 0
20.1.1.1
G0/0 10.1.1.1/24
G0/0.2 10.1.2.1/24
G0/0.3 10.1.3.1/24
RTA
G0/0
[RTA-GigabitEthernet0/0]ip address 10.1.1.1 255.255.255.0 [RTA-GigabitEthernet0/0]interface GigabitEthernet0/0.2 [RTA-GigabitEthernet0/0.2]vlan-type dot1q vid 2 [RTA-GigabitEthernet0/0.2]ip address 10.1.2.1 255.255.255.0 [RTA-GigabitEthernet0/0.2]interface GigabitEthernet0/0.3 [RTA-GigabitEthernet0/0.3]vlan-type dot1q vid 3 [RTA-GigabitEthernet0/0.3]ip address 10.1.3.1 255.255.255.0

Tagged 端口发报文： 对比该报文的 VID 与该端口的 PVID： 1. 若没有 VID，无此种情况，即 tagged 端口是不会 发 untagge 包的。 2. 若 VID 等于 PVID，则剥离标签在发出。
3. 若 VID 不等于 PVID，则直接发出。
Untagged 端口发报文： 判断该报文的 VID： 1. 若没有 VID，无此种情况，即 untagged 端口是不 会发 untagge 包的。 2. 若有 VID，不论该 VID 在不在允许之列，都要剥 掉标签再转发。
二、802.1Q VLAN（trunk vlan），用于跨交换机
思博伦仪表端口 P1 接 SW-1 的 1 端口，P2 接 SW-2 的 3 端口，两台交换机通过各 自的 8 端口级联 1.第一种情况 SW-1，1/8 端口均为 tagged 端口
SW-2，1/8 端口均为 tagged 端口
①P1 发送带 VLAN 的包（VID=100），P2 能收到包，且报文中带 VLAN 字段 100 分析：VLAN100 报文发到 SW-1 的 1 端口，1 端口是 tagged 端口，判断该报文 VID 在允许之 列，进入，流到同属 VID100 的端口 8，端口 8 是 tagged 端口，判断该报文 VID 不等于其 PVID，直接发出，发送到 SW-2 的端口 8，8 端口是 tagged 端口，判断该报文 VID 在允许之 列，进入，流到同属 VID100 的端口 2，端口 2 是 tagged 端口，判断该报文 VID 不等于其 PVID，直接发出，发送到 P2。（小结：tagged 端口收报文时依据 VID 队列进行判断，发报文 时，依据该端口 PVID 进行判断，若 VID 不等于 PVID，则直接发出，若 VID＝PVID，则剥离 标签再发出） ②P1 发送不带 VLAN 的包（未知单播帧），所有端口均能收到 分析：未知单播包发到 SW-1 的 1 端口，1 端口是 tagged 端口，判断该报文没有 VID，故给 报文打上 PVID，进入，因所有端口默认 PVID 均为 1，故流向 SW-1 和 SW-2 的所有端口。 ③P1 发送带 VLAN 的包（VID 不等于 100），P2 不能收到包 分析：报文发到 SW-1 的 1 端口，1 端口是 tagged 端口，判断该报文 VID 不在允许之列，故 不允许进入即丢弃。 2.第二种情况 SW-1，1 端口是 untagged 端口，8 端口是 tagged 端口

802.1q一、802.1Q协议802.1Q协议，即Virtual Bridged Local Area Networks协议，主要规定了VLAN的实现，下面我们首先讲述一下有关VLAN的基本观念。

Virtual LANs目前发展很快，世界上主要的大网络厂商在他们的交换机设备中都实现了VLAN协议，顾名思义，VLAN就是虚拟局域网，比如对于QuidwayS2403交换机来说，可以将它的24个10M 以太网口划分为几个组，比如协议组，ATM组，测试组等，这样，组内的各个用户就象在同一个局域网内(可能协议组的用户位于很多的交换机上，而非一个交换机)一样，同时，不是本组的用户也无法访问本组的成员。

实际上，VLAN成员的定义可以分为4种：根据端口划分VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分，比如S2403的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机的话，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。

它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。

这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

802.1q协议802.1q协议是一种网络通信协议，用于虚拟局域网（VLAN）的标准化。

它允许网络管理员在现有的以太网基础设施上创建虚拟局域网，从而提供更好的网络管理和资源隔离。

背景随着企业网络规模的扩大和组织结构的变化，传统的以太网无法满足网络管理的需求。

当网络中存在多个部门或用户群体时，需要一种机制来隔离不同的数据流，以确保安全性和性能。

这就是802.1q协议的诞生背景。

802.1q标签在802.1q协议中，虚拟局域网是通过使用802.1q标签来实现的。

每个以太网帧都会被添加一个额外的标签，用于标识该帧所属的虚拟局域网。

这个标签包含了虚拟局域网的标识符（VLAN ID），以及一些其他的控制信息。

交换机的支持要使用802.1q协议，网络中的交换机必须支持VLAN的功能。

现代的企业级交换机通常都支持802.1q协议，并提供了相应的配置选项。

通过配置交换机的VLAN设置，管理员可以创建、删除和管理虚拟局域网。

VLAN的优势802.1q协议带来了许多优势，使得企业可以更好地管理和控制网络。

以下是一些主要的优点：1.隔离网络流量： VLAN允许管理员将网络划分为多个逻辑上独立的子网络，从而隔离不同部门或用户群体的流量。

这有助于提高网络的安全性和性能。

2.简化网络管理： VLAN提供了一种逻辑上集中管理网络资源的方法。

管理员可以根据需要调整虚拟局域网的配置，而无需对整个物理网络进行修改。

3.降低网络成本：使用VLAN可以减少物理设备的数量和复杂性。

管理员可以通过逻辑上的配置更灵活地利用现有的网络基础设施。

4.增强网络可靠性： VLAN可以提供冗余和负载均衡的功能。

通过将关键设备和服务器分配到不同的虚拟局域网上，可以确保网络中断的影响范围最小。

VLAN的配置以下是一些常见的配置步骤，用于在支持802.1q协议的交换机上创建和配置VLAN：1.启用VLAN功能：确保交换机已启用VLAN功能。

这通常可以在交换机的管理界面中完成。

VLAN 优先 级

选择“网络属性”选项卡。完成参数设置后，单击“应用”。 本例中取值 取值说明 UNI 接口是服务提供商靠近用户侧的接口，处理 IEEE 802.1Q 的 TAG 属性，该端口根据支持的 Tag Aware、Access、Hybrid 标识，对接入用户的报文 VLAN 信息进行处理和识别。

参数项
端口使能
PORT5：使能 PORT6：使能
端口工作 模式 最大帧长 度 MAC 环回
PORT5：自协商 PORT6：自协商 PORT5：1522 PORT6：1522 PORT5：不环回 PORT6：不环回
环回设置用于故障诊断。业务配置时，需要设置 为“不环回”。 环回设置用于故障诊断。业务配置时，需要设置 为“不环回”。



图 1 EVPLAN 业务（IEEE 802.1q 网桥）的配置组网图
说明： 本示例中的单板插放的槽位以 OptiX OSN3500 为例，其余产品的业务配置方法是完全相同 的，唯一的区别是单板插放的槽位可能不同。 单板配置信息 以太网单板交换单板对 EVPLAN（IEEE 802.1q 网桥）业务的支持情况请参见表 1。 本例中，在汇聚节点 NE1 配置一块支持 IEEE 802.1q 网桥的 N1EMS4 以太网交换单板，实现 隔离用户数据的 EVPLAN 业务。 说明： N1EMS4 单板使用 ETF8 单板的电接口接入电信号。如本例中的 N1EMS4 单板的 PORT5 处理的 以太网业务就是由 ETF8 单板的 FE1 接口接入的。 接入节点 NE2 和 NE4 分别配置一块 N1EFT8A 以太网透传单板，配置 EPL 业务实现各自节点 到汇聚节点 NE1 的透明传输。 说明： 如表 1 所示，从业务类型的角度而言，以太网单板分为透传单板和交换单板。透传单板只 支持 EPL 业务，交换单板在支持 EPL 业务的基础上还支持 EVPL 业务和二层交换功能，应用 场景更为丰富。

第4章802.1Q配置802.1qVLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q 协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性.本章主要描述如何配置迈普系列路由器通过以太口把划分了VLAN（Virtual LAN）的局域网连接到外网上，并保持局域网内VLAN设置的功能。

本章主要内容：●802.1Q协议简介●802.1Q配置原理●802.1Q配置命令●802.1Q配置实例4.1802.1Q协议简介802.1Q标准定义了交换式以太网的关键技术—VLAN（Virtual LAN）的原理以及如何实现。

VLAN用于实现数据链路层上广播域的隔离，以及更为方便、有效地对交换式以太网进行扩展和管理。

支持802．1Q 标准的路由器主要是用作单臂路由器与交换机连接来解决VLAN之间的通信，以及在数据链路层上对广播域进行隔离。

标准以太网帧格式IEEE 802.1Q标准帧格式字段解释：DA：目的MAC地址SA：源MAC地址Type：协议类型Data：帧中所携带的用户数据CRC：校验和CFI: 规范格式指示符Priority：用户优先级VLAN ID：用来表示一个VLAN的ID号与标准的以太网帧相比，802.1Q协议加入了Tag字段，加入Tag的目的是为了携带VLAN的信息，表明这个数据帧属于哪个VLAN，以确定数据帧的属性。

路由器的第二层桥接功能做为第三层设备，路由器的主要功能是数据包的转发和过滤、路径选择。

与此同时，做为高层设备，理所当然路由器也具备低层功能。

为此，本文将专门介绍路由器的第二层桥接功能，也就是对数据帧的处理功能。

路由器的第二层桥接功能，其实就是对数据帧的处理能力。

当路由器启用“子接口”时，支持多种(如ISL和802..1Q)数据帧封装。

这样，我们可以使用路由器来连接使用不同的帧封装标准的第二层设备了。

Cisco路由器提供集成的路由与桥接(Integrated Routing and Bridging，IRB)功能。

当配置了IRB后，不可路由的协议数据流可以在配置为相同网桥组的端口上实现桥接交换，同时可以路由的协议数据流则在其他的路由端口或不同的网桥组之间实现路由。

可以将子接口添加到不同的桥接组bridge-group中，每个bridge-group会对应一个BVI虚拟接口，不同的BVI之间或者BVI与其它端口之间可以实现路由能力。

如果两个交换机想使用统一的VLAN划分，即，使接入SW1的VLAN1的客户机和接入SW2的VLAN1的客户机使用同一网段和同一网关，以及接入SW1的VLAN2的客户机和接入SW2的VLAN2的客户机使用同一网段和同一网关，此时就需要启用路由器的第二层桥接功能。

路由器的具体配置叙述如下：在路由器的F0/0接口启用两个子接口F0/0.1和F0/0.2，均采用ISL帧封装：1int f0/0.123encapsulation ISL145int f0/0.267encapsulation ISL2在路由器的F0/1接口启用两个子接口F0/1.1和F0/1.2，均采用802.1Q帧封装：8int f0/1.1910encapsulation dot1q11112int f0/1.21314encapsulation dot1q2将F0/0.1和F0/1.1添加到桥接组bridge-group1中：15int f0/0.11617bridge-group11819int f0/1.12021bridge-group1将F0/0.2和F0/1.2添加到桥接组bridge-group2中：22int f0/0.22324bridge-group22526int f0/1.22728bridge-group2全局模式下创建bridge-group1和2：bridge1protocol ieee//这里的ieee选项开启了IEEE的生成树协议bridge2protocol ieee全局模式下指定需要桥接的协议：29bridge1route ip3031bridge2route ip全局模式下开启集成路由和桥接：bridge irb创建BVI逻辑端口并配置IP地址：32interface bvi13334ip add192.168.1.1255.255.255.03536interface bvi23738ip add192.168.2.1255.255.255.0路由器的第二层桥接功能就为大家介绍完了，希望大家能够有所收获。

4.1 802.1Q 协议简介
802.1Q 标准定义了交换式以太网的关键技术—VLAN（Virtual LAN）的原理以及如何实现。VLAN 用 于实现数据链路层上广播域的隔离， 以及更为方便、 有效地对交换式以太网进行扩展和管理。 支持 802． 1Q 标准的路由器主要是用作单臂路由器与交换机连接来解决 VLAN 之间的通信， 以及在数据链路层上对广播 域进行隔离。 DA SA Type
描述 在子接口上配置此接口的 IP 地址和掩码 在此子接口上应用访问列表
5
要使用单臂路由功能，还要禁止某些设备之间的通讯，就要在此子接口上应用访问列表。
4.4 802.1Q 配置实例
本节主要内容： 单臂路由器的典型应用 子网隔离的典型应用 配置信息及统计信息
4.4.1 单臂路由器的典型应用
图 4－2 单臂路由示例
config-if-××
config-if-×× config-if-×× config-if-×× config-if-××
迈普通信版权所有 翻印必究 Copyright © 2005 Maipu Communication，All Rights Reserved.
4
Байду номын сангаас
子接口最多可以有 1023 个(在 2600 中最多可以有 63 个)。 n encapsulation dot1q 为了封装接口为 802.1Q 协议,使用该命令； 否则使用 shutdown 来关闭此接口。 若需要重新启动此接口， 使用 no shutdown 命令。 encapsulation dot1q vlan id[native] shutdown no shutdown 命令 encapsulation dot1q vlan id [native] Shutdown no shutdown 【缺省情况】 未定义 & 注： 子接口只能封装 802.1Q 协议， 并且在创建子接口时并没有封装 802.1Q 协议， 需要用户设置 VLAN ID。 VLAN ID 只能为 1－4094。 n ip 为了 ip 层可以使用 802.1Q 协议,使用这两条命令;否则使用这两条命令的 no 格式来禁止。 其中,ip address 命令用来配置接口的 ip 地址和掩码;而 ip access-group 用来配置应用访问列表。 ip address unicast address network mask no ip address unicast address network mask ip access-group {IP access list | Access-list name} {in | out} no ip access-group {IP access list | Access-list name} {in | out} 命令 address unicast address network mask access-group {IP access list | Access-list name} {in | out} 【缺省情况】 未定义 & 注： 子接口上配置的 IP 地址要与局域网中其它同一 VLAN 设备的 IP 地址在同一网段。

实验报告---思科802.1q trunk的VLAN配置实验环境：实验要求：1、配置四台PC机属于各自的VLAN。

2、将某些端口配置成trunk端口，并允许前面配置的所有VLAN通过。

3、测试同一VLAN中的PC机能否ping通。

实验分析:当一个VLAN跨过不同的交换机时,在同一VLAN上但却是在不同的交换机上的计算机进行通信时需要使用Trunk。

Trunk技术使得一条物理线路可以传送多个VLAN的数据。

所以Trunk是十分重要的，掌握Trunk 的配置过程也是必须的。

在本实验中共有两个VLAN，并且分布于两台交换机端口上，所以要使用到Trunk。

在划分完VLAN配置Trunk以后处于同一VLAN的计算机之间应该能够通信。

实验过程：1、实验配置1）交换机A配置2）交换机B配置3）实验验证4)实验总结本实验的总结我引用的是在网上发现的一篇文章当在交换机上划分有多个VLAN时，若欲借助一条链路实现与其他交换机的通信，就必须要创建Trunk（如图6-13所示）。

默认状态下，第二层接口自动处于动态的Switchport模式，当相邻接口（即借助于双绞线或光纤连接在一起的两个端口）支持Trunk，并且配置为Trunk或动态匹配模式，该链接即可作为Trunk链接。

1．配置Trunk端口进入全局配置模式。

Switch# configure terminal指定欲设置为Trunk的端口。

当然，Trunk应当在交换机级联端口上配置。

Switch(config)# interface interface-id将接口配置为第二层Trunk。

只有接口是第二层访问接口，或者指定Trunk模式时，才需要使用该命令。

dynamic aut o，如果相邻接口被设置为trunk或desirable模式，将该接口置为Trunk连接。

dynamic desirable，如果相邻接口设置为t runk、desirable或auto模式，将该接口置为Trunk连接。

第4章802.1Q配置本章主要描述如何配置迈普系列路由器通过以太口把划分了VLAN（Virtual LAN）的局域网连接到外网上，并保持局域网内VLAN设置的功能。

本章主要内容：●802.1Q协议简介●802.1Q配置原理●802.1Q配置命令●802.1Q配置实例4.1802.1Q协议简介802.1Q标准定义了交换式以太网的关键技术—VLAN（Virtual LAN）的原理以及如何实现。

VLAN用于实现数据链路层上广播域的隔离，以及更为方便、有效地对交换式以太网进行扩展和管理。

支持802．1Q 标准的路由器主要是用作单臂路由器与交换机连接来解决VLAN之间的通信，以及在数据链路层上对广播域进行隔离。

标准以太网帧格式IEEE 802.1Q标准帧格式字段解释：DA：目的MAC地址SA：源MAC地址Type：协议类型Data：帧中所携带的用户数据CRC：校验和CFI: 规范格式指示符Priority：用户优先级VLAN ID：用来表示一个VLAN的ID号与标准的以太网帧相比，802.1Q协议加入了Tag字段，加入Tag的目的是为了携带VLAN的信息，表明这个数据帧属于哪个VLAN，以确定数据帧的属性。

4.2802.1Q配置原理802.1Q协议将网络中的设备都加上VLAN ID号，VLAN的隔离的原理是802.1Q数据帧中Tag字段中的VLAN ID值相同的设备可以互相通信，不是相同VLAN ID的设备不能互相通信（如果不包含在同一VLAN组中）。

本节主要内容：●配置VLAN的作用●单臂路由●子网隔离4.2.1配置VLAN的作用支持802.1Q的以太网中，可以将以太网划分成多个子网，每个子网对应一个VLAN（如图4－1）。

数据帧流过交换机时，按照802.1Q标准定义的帧格式重新进行了封装，增加了一个称之为VLAN 标签（Tag）的内容，在标签中对此帧所属于的VLAN进行了描述。

当路由器的以太口接收到此数据帧时，根据所携带的标签来判断这个数据帧应该属于哪个VLAN，并与接收接口所对应的VLAN进行比较。

路由器的单臂路由与VLAN(802.1Q)的典型配置
路由器的单臂路由与VLAN(802.1Q)的典型配置(原
创经典)
【需求】
路由器与交换机的上行trunk端口相连，交换机下行口划分5个VLAN，带若干主机。

在局域网中，通过交换机上配置VLAN可以减少主机通信广播域的范围，当VLAN之间有部分主机需要通信，但交换机不支持三层交换时，可以采用一台支持802.1Q的路由器实现VLAN的互通。

这需要在以太口上建立子接口，分配IP地址作为该VLAN的网关，同时启动802.1Q，并启用防火墙，通过访问控制列表ACL来管理控制各VLAN之间相互通信。

【组网图】
【路由器的具体配置】
【交换机的具体配置】
具体的可以参考交换机的操作手册。

【验证】
在启用路由器防火墙前，各VLAN内的PC可以ping通各自的网关，并可以通过路由器实现VLAN间互访；
在启用路由器防火墙后，除了VLAN 1以外只能在本VLAN之间可以相互通信，且除了VLAN 2外各VLAN都可以与VLAN 1相互通信。

【提示】
1.在各个VLAN中的主机必须指定相应的网关，其地址为路由器相应子接口的IP地址。

2.按上述配置完，各VLAN的主机可以互相PING通，无需添加路由，启用防火墙是为了控制各VLAN之间相互通信的。

3.如果只想实现VLAN间部分主机互通，一个方法是在路由器上通过访问控制列表ACL实施过滤。

VLAN简介
VLAN的分类（续）
基于IP的VLAN 根据用户三层逻辑地址来进行VLAN划分，不同 的IP等地址可以划分进不同的VLAN。但注意这 个不是路由！ 只要用户的IP地址不变，VLAN号也不变，这与 它的地址和逻辑位置无关，相对于MAC的 VLAN更加方便。 但IP层面的处理，意味着更多系统资源的开销 基于策略的VLAN 通常可以根据MAC、IP、以太网协议类型、上 层应用等来进行灵活的划分
802.1Q工作原理
802.1Q处理过程（续）
MAC地址学习 我们需要区分以下交换机的类型，可以分为IVL和 SVL两种： IVL－Independent Vlan Learning独立式VLAN 地址学习，交换机的MAC地址表在逻辑上被看成 根据VLAN号划分成多张表，一个MAC地址可以 被学习到不同的VLAN表中 SVL－Shared Vlan Learning共享式VLAN地址 学习，一个地址表项对所有的VLAN通用，一个 MAC地址在整张表中是唯一的

VLAN简介
VLAN的分类
基于端口的VLAN 这是划分VLAN最简单也是最有效的方法，实际 上就是某些交换端口的集合。管理员只要管理和 配置交换端口，而不管交换端口连接什么设备 基于MAC的VLAN 按MAC地址来划分VLAN实际上是将某些工作 站和服务器划属于某个VLAN。 设备根据自己网卡的MAC地址唯一确定VLAN， 当设备移动时，VLAN能够自动识别，而无需重 新配置，非常方便。 缺点：当网络规模很大时，会给管理带来难度

802.1Q工作原理
802.1Q的流程图（续）
SVL的MAC表查询流程 根据帧目的MAC查L2FDB，查找相应的出端口 找到数据报文的出端口后，判断出端口是否允 许此数据报文通过，允许则进入出端口流程，不 允许则丢弃（出端口流程） 如果在L2FDB表中查找不到该目的MAC，则该 数据报文将通过广播的方式在该VLAN内的所有 端口转发 L2FDB表中MAC地址通过老化机制来更新 在转发的过程中，不会对帧的内容进行修改

6.4.3 IEEE 802.1q协议IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。

下面先介绍有关VLAN的基本概念。

1．VLAN简介“Virtual LANs”（虚拟局域网）目前发展很快，世界上主要的大网络厂商在他们的交换机设备中都实现了VLAN协议。

在一个支持VLAN技术的交换机中，可以将它的以太网口划分为几个组，比如生产组，工程组，市场组等。

这样，组内的各个用户就像在同一个局域网内（可能各组的用户位于很多的交换机上，而非一个交换机）一样，同时，不是本组的用户就无法访问本组的成员，在一定程度上提高了各组的网络安全性。

实际上，VLAN成员的定义可以分为4种：（1）根据端口划分VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分的，比如将某交换机的的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C……以上这些属于同一VLAN组的端口可以不连续，如何配置，由管理员决定。

另外，如果有多个交换机的话，例如，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机。

根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1q协议规定的就是如何根据交换机的端口来划分VLAN。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。

它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

（2）根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。