03-VLAN协议_NEW
VLAN 技术全解析与厂商配置指南
一、VLAN 基础概念
graph TD
A[VLAN核心功能] --> B(广播域隔离)
A --> C(安全增强)
B --> D[减少广播流量]
B --> E[提升带宽利用率]
C --> F[不同VLAN间需路由通信]
1.1 核心价值
- 广播控制:将广播域限制在单个VLAN内
- 安全隔离:不同部门/业务系统间逻辑隔离
- 灵活组网:突破物理位置限制的网络划分
1.2 端口类型对比
| 端口类型 | 流量承载 | 典型应用场景 | 标签处理 |
|---|---|---|---|
| Access | 单VLAN | 终端设备接入 | 接收去标签,发送加标签 |
| Trunk | 多VLAN | 交换机间互联 | 保留标签传输 |
| Hybrid | 多VLAN | 混合场景(华为特有) | 可灵活配置标签处理方式 |
二、Super VLAN 技术深度解析
2.1 通信流程解析
-
同Sub-VLAN通信:直接二层转发
-
跨Sub-VLAN通信:
sequenceDiagram PC1->>SVI: ARP请求(开启代理) SVI-->>PC1: 响应网关MAC PC1->>SVI: 三层转发数据 SVI->>PC2: 路由转发
2.2 多厂商配置对比
| 功能项 | 思科 | 华为 | 华三 | 锐捷 |
|---|---|---|---|---|
| Super VLAN创建 | vlan 100private-vlan primary | vlan batch 100vlan 100aggregate-vlan | vlan 100supervlan | vlan 100super-vlan |
| Sub-VLAN关联 | private-vlan association 101-103 | access-vlan 101 to 103 | subvlan 101 102 103 | sub-vlan 101-103 |
| ARP代理 | 默认关闭 | 默认开启 | 默认开启 | 需手动启用 |
| 地址分配 | DHCP Snooping | VLANIF接口分配 | VLAN接口分配 | VLAN虚接口分配 |
思科配置示例:
vlan 100
private-vlan primary
private-vlan association 101,102
interface Vlan100
ip address 192.168.1.1 255.255.255.0
private-vlan mapping 101,102
三、Private VLAN 高级应用
3.1 组件构成
- Primary VLAN:核心通信通道
- Community VLAN:组内互通
- Isolated VLAN:完全隔离
3.2 配置要点对比
| 特性 | 思科 | 华为 | 华三 | 锐捷 |
|---|---|---|---|---|
| 主VLAN创建 | private-vlan primary | port-isolate mode all | port-isolate enable | port-group isolate |
| 端口关联 | switchport private-vlan host | port-isolate enable | port-isolate uplink-port | port-group member |
| 上行链路配置 | switchport private-vlan promiscuous | port-isolate uplink-port | port-isolate uplink | port-group promiscuous |
| 流量监控 | SPAN/RSPAN | 镜像端口 | 镜像端口 | 流量镜像 |
华为配置示例:
vlan batch 100 101
interface GigabitEthernet0/0/1
port link-type access
port default vlan 101
port-isolate enable group 1
四、Native VLAN 关键技术
4.1 核心作用解析
graph LR
A[Trunk端口] --> B{Native VLAN}
B --> C[未标记流量处理]
C --> D[默认VLAN1]
C --> E[安全隐患]
4.2 多厂商配置规范
| 配置项 | 思科 | 华为 | 华三 | 锐捷 |
|---|---|---|---|---|
| 默认Native值 | VLAN 1 | VLAN 1 | VLAN 1 | VLAN 1 |
| 修改命令 | switchport trunk native vlan | port trunk pvid vlan | port trunk pvid | switchport trunk native vlan |
| 安全建议 | 修改默认值+禁用DTP | 关闭VLAN1+开启MAC漂移检测 | 配置端口保护+安全MAC | 启用端口安全+风暴控制 |
锐捷安全配置示例:
interface GigabitEthernet 0/25
switchport mode trunk
switchport trunk native vlan 999
storm-control broadcast level 50
port-security max-mac-count 5
五、无线网络部署规范
5.1 架构对比
graph TD
W[无线架构] --> FAP[胖AP]
W --> TAP[瘦AP]
FAP --> S1[独立管理]
TAP --> AC[集中控制]
AC --> CAPWAP[控制协议]
5.2 转发模式对比表
| 指标 | 集中式转发 | 本地转发 |
|---|---|---|
| 数据路径 | AP->AC->网络 | AP直接转发 |
| 配置复杂度 | 高 | 低 |
| 网络延迟 | 较高 | 较低 |
| 适用场景 | 安全要求高的小型网络 | 大规模高密度部署 |
| VLAN处理 | Trunk+Native VLAN | Access模式 |
华为AC典型配置:
wlan
ap-group name office
vap-profile default
ssid-profile default
radio 0
channel 20mhz 6
ap auth-mode mac-auth
六、官方文档参考
最佳实践提示:所有VLAN配置变更后务必进行以下验证:
- 执行
show vlan brief查看VLAN分布- 使用
ping和tracert验证连通性- 通过端口镜像进行流量分析
- 检查STP状态防止环路产生
