VLAN标签处理过程

VLAN的工作原理VLAN（Virtual Local Area Network）是一种虚拟局域网技术，它能够将一个物理局域网划分为多个逻辑上的虚拟局域网，实现网络资源的隔离和管理。

VLAN的工作原理基于802.1Q协议，通过在数据帧的头部添加VLAN标签来标识不同的虚拟局域网。

VLAN的工作原理可以分为三个主要步骤：VLAN划分、VLAN标记和VLAN通信。

1. VLAN划分：在一个物理局域网中，可以根据不同的需求将网络设备划分为多个逻辑上的VLAN。

这种划分可以基于端口、MAC地址、IP地址等标识符。

例如，可以将某些端口划分为一个VLAN，将此外一些端口划分为另一个VLAN。

这样，不同的VLAN之间的设备将无法直接通信，实现了网络资源的隔离。

2. VLAN标记：在数据帧的头部添加VLAN标签是实现VLAN的关键步骤。

VLAN标签是一个包含VLAN ID的12位字段，用于标识数据帧所属的VLAN。

当一个数据帧从一个VLAN划分的端口进入交换机时，交换机会在数据帧的头部添加VLAN标签。

这样，交换机就知道该数据帧属于哪个VLAN，并相应地进行处理。

3. VLAN通信：VLAN通信是指不同VLAN之间的设备如何进行通信。

在同一个VLAN内的设备可以直接进行通信，而不同VLAN之间的设备则需要通过路由器或者三层交换机进行通信。

当一个数据帧从一个VLAN划分的端口进入交换机时，交换机会根据VLAN标签将数据帧转发到相应的VLAN。

如果数据帧需要跨越不同的VLAN，交换机会将数据帧发送到路由器或者三层交换机，由其进行跨VLAN通信。

总结：VLAN的工作原理是通过划分、标记和通信来实现虚拟局域网的功能。

通过VLAN的划分，可以将一个物理局域网划分为多个逻辑上的虚拟局域网，实现网络资源的隔离和管理。

通过VLAN标记，交换机可以识别数据帧所属的VLAN，并相应地进行处理。

通过VLAN通信，不同VLAN之间的设备可以通过路由器或者三层交换机进行通信。

第9章虚拟局域网VLAN（Virtual Local Area Network）主要内容：1 VLAN概述2 VLAN作用3 VLAN在交换机上的实现方法★4 交换机配置界面★5 配置实例1 VLAN概述VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

LAN所指的LAN特指使用路由器分割的网络——也就是广播域。

广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。

严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2 VLAN作用VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。

VLAN技术优势：1. 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。

VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN 后，这部分管理费用大大降低。

1 QinQ&SVLAN 简介1.1 QinQ & SVLAN 简介QinQ 是对基于IEEE 802.1Q 封装的隧道协议的形象称呼，又称VLAN 堆叠。

QinQ 技术是在原有VLAN 标签（内层标签）之外再增加一个VLAN 标签（外层标签），外层标签可以将内层标签屏蔽起来。

SPVLAN ：Service Provider VLAN ；CVLAN ：Customer VLAN 用户网络2CVLAN 1~100服务提供商网络Switch APE PE Switch B SPVLAN 10Uplink portSPVLAN 10Uplink portSPVLAN 10Customer portSPVLAN 10Customer port用户网络一般通过Trunk VLAN 方式接入PE ，服务提供商网络内部的Uplink 端口通过Trunk VLAN 方式对称连接。

当报文从用户网络1到达交换机A 的customer 端口时，无论报文是tagged 还是untagged 的，交换机A 都强行插入外层标签，插入的标签为接口的native vlan （VLAN ID 为10）。

在服务提供商网络内部，报文沿着VLAN 10的端口传播，直至到达交换机B 。

交换机B 发现与用户网络2相连的端口为customer 端口，于是按照传统的802.1Q 协议剥离外层标签，恢复成用户的原始报文，发送到用户网络2。

这样，用户网络1和2之间的数据可以通过服务提供商网络进行透明传输，用户网络可以自由规划自己的私网VLAN ID ，而不会导致和服务提供商网络中的VLAN ID 冲突。

传统的QINQ 部署中（实际上目前的城域网也较多的使用高端交换机部署普通QinQ ），数据包只能在下行口打上该端口的native vlan 进行双标签转发。

但实际应用中，一个端口有打不同外层标签甚至透传VLAN的需求，因此“灵活的QinQ——SVLAN（Selective VLAN）”应运而生。

实验、VLan 的配置一.实验原理 1.1 VLAN 的作用虚拟局域网VLAN 逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上的网络划分成多个小的逻辑网络。

这些小的逻辑网络形成各自的广播域，也就是VLAN 。

如下图所示。

几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN ，形成各自的广播域，广播报文不能跨越这些广播域传送。

广播域市场部工程部财务部21.2 VLAN 的帧格式标准规定，在原有的标准以太网帧格式中，增加一个特殊的标志域----Tag 域，用于标识数据帧所属的VLAN ID ，其帧格式如下图所示。

1.3 VLAN 端口从交换机处理VLAN 数据帧的不同，我们可以将交换机的端口分为两类：一类是只能传送标准以太网帧的端口，被称为Access 端口；另一类是既可以传送有VLAN 标签的数据帧，也可以传送标准以太网帧的端口，称为Trunk 端口。

带有IEEE802.1Q 标记的以太网Access端口一般是指那些连接不支持VLAN技术的终端设备的端口，这些端口收到的数据帧都不包含VLAN标签，发送帧中也必须不包含VLAN标签。

Trunk端口一般是指那些连接支持VLAN技术的网络设备的端口。

这些端口接收到的数据帧一般都包含VLAN标签，而向外发送数据帧时也常常需要添加VLAN标签。

1.4 VLAN的配置配置VLAN大致分为一下几个方面：（1）创建/删除VLAN（2）向当前VLAN中添加/删除端口（3）将当前端口添加/删除到指定VLAN（4）指定端口类型（5）指定/删除端口的缺省VLAN IDaccess的缺省VLAN ID就是它所属的VLAN ID，缺省情况下Trunk端口的VLAN ID是VLAN1。

注意：在修改Trunk端口的缺省VLAN ID时，要保证Trunk链路两端的缺省VLAN ID一致，否则，同一VLAN用户不能正常通信。

（6）指定/删除Trunk端口可以通过的VLAN数据帧二. 实验内容：VLAN基本配置三. 实验目的：掌握VLAN基本配置命令和配置注意事项四. 实验环境：2台交换机，6台PC，实验组网如图所示。

简述报文转发、vlan标记添加与删除和vlan间路由的过程。

报文转发是网络数据流量在不同网络设备之间传递的过程。

当数据包到达交换机时，该交换机需要根据对应的目的地址将数据包转发到正确的端口以进行后续传输。

在转发过程中，交换机需要执行一些额外操作，例如添加VLAN标记、删除VLAN标记和VLAN间路由等。

首先是VLAN标记添加和删除的过程。

VLAN是一种将网络划分为多个虚拟局域网的技术，它可以提高网络性能和安全性。

当数据包从一个端口进入交换机时，交换机需要将该数据包标记为相应的VLAN标记。

交换机会检查其端口对应的VLAN ID，并将其作为标记添加到数据包头中，以确定数据包属于哪个虚拟网络。

VLAN标记可以被其他交换机、路由器或防火墙等设备识别，使得数据包可以沿着正确的路径传输，而不污染其他网络通信。

当数据包从一个交换机传输到另一个交换机时，交换机需要根据VLAN标记重新判断它要转发到哪个端口。

如果数据包进入到另一个VLAN，则这个VLAN标记就会被删除。

其次是VLAN间路由的过程。

在一个VLAN中，通常每个设备都能够直接通信，但是不同VLAN之间的通信则需要通过路由器进行。

VLAN间路由器接收到数据包时会检查源MAC地址和目的MAC地址，以及VLAN标记，决定将数据包发送到哪个子网或设备。

如果路由器接收到的数据包跨越不同的VLAN，它就会删除VLAN ID标签，并将数据包发送到目标VLAN的交换机。

交换机会检查数据包的VLAN ID，并将数据包发送到正确的端口，以便将其从该VLAN中的其他设备转发出去。

总之，报文的转发、VLAN标记的添加和删除以及VLAN间路由是计算机网络中非常基础和重要的技术，它们可以帮助网络管理员更好地管理网络和提升网络安全，同时也能够提高网络传输的效率。

因此，在网络设计和维护过程中，对这些技术的了解和掌握尤为重要。

参考资料：1. 架构师之路——三层交换机与 Vlan（包括Vlan的引入，Vlan的划分，Vlan的通信，Vlan的配置，Vlan的路由）2. 你所不知道的VLAN技术实现原理3. 什么是VLAN，VLAN的类型和VLAN的实现方法4. VLAN和路由学习笔记。

关于vlan标签总结
报文入方向：
在入方向上，交换机的根本任务是决定该报文是否允许进入该端口，根据入报文的tag/untag的属性以及端口属性，细分为如下情况：
1 报文为untag:允许报文进入该端口，并打上PVID的vlan tag,与端口属性无关。

2 报文为tag:在这种情况下，需要交换机来判断是否允许该报文进入端口：
（1）Access端口：PVID和报文中的vlan tag标明的vlan一致，接受并处理报文。

否则丢弃；
（2）Trunk/Hybrid端口：如果端口允许tag中标明的vlan通过，则接收并处理报文，否则丢弃报文出方向：
在出方向上，交换机已经完成对报文的转发，其根本任务就是在转发出端口时，是否携带tag转发出去，根据出端口属性，细分如下情况：
（1）Access端口：将标签剥掉，不带tag转发。

（2）Trunk端口：报文所在vlan和PVID相同，则报文不带tag;否则带tag
（3）Hybrid端口：报文所在VLAN配置为tag,则报文带tag,否则不带tag。

实验四VLAN的基础配置实验报告一、实验原理一、VLAN（Virtual LAN）概述:VLAN可以是由少数几台家用计算机构成的网络, 也可以是数以百计的计算机构成的企业网络。

VLAN把一个物理上的LAN划分成多个逻辑上的LAN, 每个VLAN是一个广播域。

VLAN的组网如下图所示：同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互, 而处在不同VLAN内的主机之间如果需要通信, 则必须通过路由器或三层交换机等网络层设备才能够实现。

二、VLAN原理1.VLAN Tag为使交换机能够分辨不同VLAN 的报文, 需要在报文中添加标识VLAN 的字段。

由于交换机工作在OSI 模型的数据链路层（三层交换机不在本章节讨论范围内）, 只能对报文的数据链路层封装进行识别。

因此, 识别字段需要添加到数据链路层封装中。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。

如下图所示:其中DA 表示目的MAC 地址, SA 表示源MAC 地址, Type 表示报上层协议的类型字段。

IEEE 802.1Q 协议规定, 在目的MAC 地址和源MAC 地址之后封装4 个字节的VLAN Tag, 用以标识VLAN 的相关信息。

VLAN Tag的组成字段如下图所示:1)VLAN Tag包含四个字段, 分别是TPID（Tag Protocol Identifier, 标签协议标识符）、Priority、CFI（Canonical Format Indicator, 标准格式指示位）和VLAN ID。

2) TPID: 用来标识本数据帧是带有VLAN Tag 的数据帧。

该字段长度为16bit, 在H3C 系列以太网交换机上缺省取值为协议规定的0x8100。

Priority: 用来表示802.1P 的优先级。

该字段长度为3bit, 相关介绍和应用请参见本手册“QoS-QoS Profile”部分的介绍。

Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID 上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；********************************************************************* ***************************Access、Hybrid和Trunk三种模式的理解Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan 信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。

VLAN基础及VLAN划分的详细步骤VLAN概念VLAN（Virtual Local Area Network）的中⽂名为"虚拟局域⽹"。

虚拟局域⽹（VLAN）是⼀组逻辑上的设备和⽤户，这些设备和⽤户并不受物理位置的限制，可以根据功能、部门及应⽤等因素将它们组织起来，相互之间的通信就好像它们在同⼀个⽹段中⼀样，由此得名虚拟局域⽹，由于交换机端⼝有两种VLAN属性，其⼀是VLANID，其⼆是VLANTAG，分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG（标签）数据包，不同VLANID端⼝，可以通过相互允许VLANTAG，构建VLAN。

⼀、VLAN基础同⼀个VLAN中的⽤户间通信就和在⼀个局域⽹内⼀样，同⼀个VLAN中的⼴播只有VLAN中的成员才能听到，⽽不会传输到其他的VLAN中去，从⽽控制不必要的⼴播风暴的产⽣。

同时，若没有路由，不同VLAN之间不能相互通信，从⽽提⾼了不同⼯作组之间的信息安全性。

⽹络管理员可以通过配置VLAN之间的路由来全⾯管理⽹络内部不同⼯作组之间的信息互访。

1、技术特点(1)端⼝的分隔。

即便在同⼀个交换机上，处于不同VLAN的端⼝也是不能通信的。

这样⼀个物理的交换机可以当作多个逻辑的交换机使⽤。

(2)⽹络的安全。

不同VLAN不能直接通信，杜绝了⼴播信息的不安全性。

(3)灵活的管理。

更改⽤户所属的⽹络不必换端⼝和连线，只更改软件配置就可以了。

2、TAG和UNTAG基于端⼝的VLAN,这是最常应⽤的⼀种VLAN划分⽅法，应⽤也最为⼴泛、最有效，⽬前绝⼤多数VLAN协议的交换机都提供这种VLAN配置⽅法。

这种划分VLAN的⽅法是根据以太⽹交换机的交换端⼝来划分的，它是将VLAN交换机上的物理端⼝和VLAN交换机内部的PVC（永久虚电路）端⼝分成若⼲个组，每个组构成⼀个虚拟⽹，相当于⼀个独⽴的VLAN交换机。

IEEE于1999年发布了⽤以规范VLAN实现的IEEE Std 802.1Q标准。

Linux VLAN学习总结1 环境说明文档后续描述的都是内核处理VLAN标签，即关闭了NETIF_F_HW_VLAN_RX/TX。

NETIF_F_HW_VLAN_RX/TX开启：由网卡驱动操作VLAN标签；NETIF_F_HW_VLAN_RX/TX关闭：由内核操作VLAN标签。

2 Linux命令行配置步骤配置命令：vconfig add eth1 100 // 创建虚拟子接口vconfig add eth2 100brctl addbr vswitch100 // 创建虚拟网桥brctl addif vswitch100 eth1.100 // 将接口加入到虚拟网桥brctl addif vswitch100 eth2.100ip link set dev vswitch100 address 00:11:22:33:44:55ip addr add 100.0.0.1/24 brd + dev vswitch100ifconfig eth1.100 upifconfig eth2.100 upifconfig vswitch100 up查看命令：~ # brctl show vlan10bridge name bridge id STP enabled interfaces vswitch100 8000.001122334455 no eth1.100eth2.1003 802.1Q帧3.1 802.1Q帧格式标准以太帧承载的payload为46～1500字节，由于802.1Q标签占用了4字节，因此802.1Q 以太帧承载的payload长度为42～1496，即（46-4）～（1500-4）。

在插入和移除VLAN标签时，都需要重新对FCS进行校验和计算。

3.2 802.1Q帧的数据结构Source file : linux-2.6.37\include\linux\If_vlan.hvlan_ethhdr为802.1Q帧头，其中h_vlan_encapsulated_proto是标准以太帧的typy部分。

谈到VLAN，或许许多人都觉得非常神秘，甚至包括一些网管人员。

其实有关VLAN的技术标准IEEE 802.1Q 早在1999年6月份就由IEEE委员正式公布实施了，而且最早的VLNA技术早在1996年Cisco〔思科〕公司就提出了。

随着几年来的开展，VLAN技术得到广泛的支持，在大大小小的企业网络中广泛应用，成为当前最为热门的一种以太局域网技术。

本篇就要为大家介绍交换机的一个最常见技术应用--VLAN技术，并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。

一、VLAN根底VLAN〔Virtual Local Area Network〕的中文名为"虚拟局域网"，注意不是"VPN"〔虚拟专用网〕。

VLAN 是一种将局域网设备从逻辑上划分〔注意，不是从物理上划分〕成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

IEEE于1999年公布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的播送域，每一个VLAN都包含一组有着一样需求的计算机工作站，与物理上形成的LAN有着一样的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理*围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的播送和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的平安性。

交换技术的开展，也加快了新的交换技术〔VLAN〕的应用速度。

通过将企业网络划分为虚拟网络VLAN 网段，可以强化网络管理和网络平安，控制不必要的数据播送。

VLAN的基本概念链路类型VLAN内的链路可以分为：●接入链路（Access Link）：连接用户主机和交换机的链路为接入链路。

如图3-5所示，图中PC机和交换机之间的链路都是接入链路。

接入链路上通过的帧为不带Tag的以太网帧。

●干道链路（Trunk Link）：连接交换机和交换机的链路称为干道链路。

如图3-5所示，图中交换机之间的链路都是干道链路。

干道链路上通过的帧一般为带Tag的VLAN帧。

图3-5 链路类型示意图端口类型在802.1Q中定义VLAN帧后，设备的有些端口可以识别VLAN帧，有些端口则不能识别VLAN帧。

VRP支持基于端口的VLAN划分方式，即根据交换机的端口编号来划分VLAN。

计算机所属的VLAN由端口所属的VLAN决定。

根据对VLAN帧的识别情况，将端口分为4类：●Access端口Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路。

Access端口只允许一个VLAN的帧通过，在从主机接收帧时，给帧加上Tag标记；在向主机发送帧时，将帧中的Tag标记剥掉。

●Trunk端口Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。

Trunk端口允许多个VLAN的帧（带Tag标记）通过，在接收和发送帧时保留Tag标记。

●Hybrid端口Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。

Hybrid端口既可以连接接入链路又可以连接干道链路。

Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。

●QinQ端口QinQ（802.1Q-in-802.1Q）端口是交换机上和其他交换机连接的，并且能够处理携带双层Tag标记的VLAN帧的端口。

由于IEEE802.1Q中定义的Tag字段只有12个bit，所以在同一个二层网络中最多可以支持4096个VLAN。

在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4096个VLAN远远不能满足需求。

VLAN的配置与管理管理一般为本地管理和远程管理。

交换机、EPON等设备都有一个专用的本地管理口，不管设备配置成何种模式，都可以通过本地管理口进行修改。

远程管理指通过预先设置好管理IP、vlan和权限以后，通过IP网络在远程实现管理。

EPON系统的vlan配置对于交换机设备，Vlan的配置信息都保存在交换机里。

EPON设备分为OLT 和ONU，ONU必须与OLT一起使用。

配置信息一般都保存在OLT上，在OLT上可以完成所有的配置。

对EPON设备的vlan配置在机房通过设备的配置口、管理口来完成。

Epon系统中OLT一般放在分机房，ONU设备安装在光节点。

所有的操作只需要登陆到OLT设备来实现，ONU不需要设置初始vlan、不需要设置IP地址。

ONU可以大面积的先安装、再实现在线配置，对于数据通信设备来说，这种模式是最优的。

EPON系统中的vlan设置分一般为三个部分：ONU的以太网口、OLT的PON、OLT的Uplink口。

而最终实现三种不同的应用模式：1、透传。

不管接收到的数据包是否带vlan信息，都不做处理，直接转发。

2、只允许不带vlan的数据通过，上传的数据会被加上vlan标签。

3、允许不带vlan和带vlan的数据通过，所有的数据都是都带vlan标签，不带vlan的数据会被打上默认的vlan标签。

EOC系统中的vlan模式探讨：1、EOC终端以太网口vlan设置为untag和tag方式的问题：如果EOC系统能达到100Mbps全双工（上下行都可以同时达到100Mbps），EOC终端以太网口的vlan需要考虑untag和tag方式都满足，因为这时的EOC终端下面还可以接更多的接入设备，可以完全当做汇聚层设备；如果EOC系统只能像现在的100Mbps 半双工，EOC终端以太网口的vlan只需要考虑untag方式就行。

当然，如果实现tag方式非常简单，完全可以让客户多一种选择。

2、EOC终端和局端同轴口vlan的问题：EOC终端和局端的同轴口不需要考虑vlan的设置，直接透传，或者是只需要考虑tag模式。

VLAN与三层交换机的原理与配置，你懂了吗？⼀、VLAN概述与优势1、VLAN的概述分割⼴播域物理分割（交换机）逻辑分割（VLAN）：Vlanif →interface vlan 是逻辑端⼝，通常这个接⼝地址作为vlan下⾯⽤户的⽹关例如：补充知识⼴播：将⼴播地址作为⽬的地址的数据帧⼴播域：⽹络中能接收任⼀设备发出的⼴播帧的所有设备的集合（局域⽹就是⼀个⼴播域）2、VLAN的优势控制⼴播增强⽹络安全性（隔离⼴播域）简化⽹络管理3、VLAN的种类①　静态VLAN基于端⼝划分静态VLAN②　动态VLAN基于MAC地址划分动态VLAN注意：动态VLAN是要把主机的接⼝MAC地址与VLAN绑定，在实际⽣产环境中运营商不会⽤动态VLAN，因为维护量⼤，绑定复杂等，⽤的是静态VLAN4、VLAN ID的范围VLAN ID是：交换机⼀般可以划分255个vlan，每个vlan的id，可以是1~4096之间的任意数字。

ID的作⽤就是⽤于区分不同vlan，可以设置TAG UNTag member属性，可以让该端⼝的下⾏或上⾏数据报打上标签。

5、华为交换机接⼝的三种模式1、Access涵义：只能属于⼀个VLAN，也只能允许这⼀个VLAN的流量通过（数据进交换机加标签，出交换机脱标签）2、Trunk涵义：可以同时属于多个VLAN，也能同时允许这些VLAN的流量通过是⽤来实现不同交换机上相同VLAN的主机之间的通信，即跨交换机的VLAN通信3、Hybrid涵义：可以根据需要以tagged或untagged⽅式加⼊某个VLAN 或者多个VLAN和Trunk接⼝⼀样在设置允许指定的VLAN通过Hybrid端⼝之前，该VLAN必须已经存在。

Hybrid端⼝和Trunk端⼝在接收数据时，处理思路⽅法是⼀样的，唯⼀区别之处在于发送数据时，Hybrid端⼝具有解除多VLAN标签的功能，Hybrid端⼝可以允许多个VLAN的报⽂发送时不打标签，从⽽增加了⽹络的灵活性，在⼀定程度上也增加了安全性，⽽Trunk端⼝只允许缺省VLAN的报⽂发送时不打标签。

笔记本电脑设置抓带Vlan包标签方法一、问题的提出VLAN tag是在802.1Q中定义的标签，带VLAN tag的报文头格式如下：01 0c cd 01 00 01 00 01 7a 01 00 52 81 00 00 00●其中 81 00为TPID，即表明此数据包为带802.1Q/802.1P标签的数据包；●接下去的00 00为TCI（标签控制信息字段），表示为二进制共有16位，其中前3位为优先级，第4位为CFI，通常为0，第5-16位为VLAN ID，VLAN ID为0用于识别帧优先级。

某一些网卡驱动默认会在接收数据包的时候过滤vlan tag，使得用wireshark抓到的数据包中不含vlan tag，此时需要通过修改注册表让驱动保留vlan tag。

二、解决办法我司大部分使用的笔记本电脑网卡为Intel PRO/1000或PRO/100网卡，对于此类网卡需要将注册表：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103 18}\00xx，如果该目录下有多个子项，需要找到Intel(R) PRO/100 S网卡对应的子项（其中DriverDesc 是设备类型）：将该子项中的MonitorModeEnabled的数据改为1，如果不存在则新建这么一个dword键。

电脑重启后，抓到的包中就有优先级标签了。

如果原配的网卡驱动版本比较低，如果有抓包需要的建议先升级网卡驱动程序。

对于Broadcom千兆网卡，需要在注册表里增加一项PreserveVlanInfoInRxPacket=1，类型为string。

位置与TxCoalescingTicks相同，后者可以在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索到。

修改后需要重启机器让它生效。

第一步：lan-->lan cloud-->VLANs，在vlan上右键create vlanCreate vlan窗口下，vlan name里填写vlan的名字，vlan id里填写vlanid标签（比如106）第二步：点击左上方server，然后依次如下展开Server-->server profiles-->root-->qdhydxspp1，如下图：Qdhydxspp1下，依次展开vNICs-->vNIC vnic1，左键点击vNIC vnic1，右侧点击Modify VLANs，如下图：点开modify VLANs，弹出modify vlan窗口，选中要添加的vlan，然后点击ok，如下图。

Qdhydxspp1下，依次展开vNICs-->vNIC vnic2，左键点击vNIC vnic2，右侧点击Modify VLANs，弹出modify vlan窗口，选中要添加的vlan，然后点击ok。

第三步：点击左上方server，然后依次如下展开Server-->server profiles-->root-->qdhydxspp2Server-->server profiles-->root-->qdhydxspp3Server-->server profiles-->root-->qdhydxspp4Server-->server profiles-->root-->qdhydxspp5Server-->server profiles-->root-->qdhydxspp6Server-->server profiles-->root-->qdhydxspp7Server-->server profiles-->root-->qdhydxspp8分别在spp2-spp8里重复如上红字的操作即可。