第二章：艾銻無限為您整理：圖文并茂深入了解VLAN工作原理，不能錯過干貨

2020-02-12 17:14 作者：艾銻無限 瀏覽量：

 
這次的肺炎疫情對中國的中小企業將會是沉重的打擊，據釘釘和微信兩個辦公平臺數據統計現有2億左右的人在家遠程辦公，那么對于中小企業的員工來說不懂IT技術將會讓他們面臨的最大挑戰和困難。
 
電腦不亮了怎么辦？系統藍屏如何處理？辦公室的電腦在家如何連接？網絡應該如何設置？VPN如何搭建？數據如何對接？服務器如何登錄？數據安全如何保證？數據如何存儲？視頻會議如何搭建？業務系統如何開啟等等一系列的問題，都會困擾著并非技術出身的您。
   
好消息是當您看到這篇文章的時候，就不用再為上述的問題而苦惱，您只需撥打艾銻無限的全國免費熱線電話:400 650 7820，就會有我們的遠程工程師為您解決遇到的問題，他們可以遠程幫您處理遇到的一些IT技術難題。
 
如遇到免費熱線占線，您還可以撥打我們的24小時值班經理電話:15601064618或技術經理的電話:13041036957，我們會在第一時間接聽您的來電，為您提供適合的解決方案，讓您無論在家還是在企業都能無憂辦公。
 
那艾銻無限具體能為您的企業提供哪些服務呢？

艾銻無限始創于2005年，歷經15年服務了5000多家中小企業并保障了幾十萬臺設備的正常運轉，積累了豐富的企業IT緊急問題和特殊故障的解決經驗，制定了相對應的解決方案。我們為您的企業提供的IT服務分為三大版塊:
 
第一版塊是保障性IT外包服務:如電腦設備運維，辦公設備運維，網絡設備運維，服務器運維等綜合性企業IT設備運維服務。
 
第二版塊是功能性互聯網外包服務:如網站開發外包，小程序開發外包，APP開發外包，電商平臺開發外包，業務系統的開發外包和后期的運維外包服務。
 
第三版塊是增值性云服務外包:如企業郵箱上云，企業網站上云，企業存儲上云，企業APP小程序上云，企業業務系統上云，阿里云產品等后續的云運維外包服務。
 
您要了解更多服務也可以登錄艾銻無限的官網:www.bjitwx.com查看詳細說明，在疫情期間，您企業遇到的任何困境只要找到艾銻無限，能免費為您提供服務的我們絕不收一分錢，我們全體艾銻人承諾此活動直到中國疫情結束,我

們將這次活動稱為——春雷行動。  
以下還有我們為您提供的一些技術資訊，以便可以幫助您更好的了解相關的IT知識，幫您渡過疫情中辦公遇到的困難和挑戰，艾銻無限愿和中國中小企業一起共進退，因為我們相信萬物同體，能量合一，只要我們一起齊心協

力，一定會成功。再一次祝福您和您的企業，戰勝疫情，您和您的企業一定行。

艾銻無限為您整理： 
圖文并茂深入了解VLAN工作原理，不能錯過干貨


了解了VLAN的劃分的幾種方法和配置，我非常好奇VLAN是一個怎樣的工作過程呢?它是如何做到隔離的功能，帶著這些疑問，今天一起來看看吧。

VLAN基本通信原理

為了提高處理效率，交換機內部的數據幀一律都帶有VLAN Tag，已統一方式處理。當一個數據進入交換機接口時，如果沒有帶VLAN Tag標簽，且該接口上配置了PVID，那么，該數據幀就會被標記上接口的PVID。如果數據幀已經帶有VLAN Tag，那么，即使接口已經配置了PVID，交換機不會再給

數據幀標記VLAN Tag。

由于接口類型不同，交換機對數據幀的處理過程也不同，下面通過兩個案例來說明一下VLAN的工作原理：

同一交換機不同VLAN情況



上圖交換機分別配置了VLAN 10 20，同時把相應的PC加入不同的VLAN中，通過在交換機上GE0/01和GE0/0/3抓包，發現GE0/0/1能抓取數據包，而GE0/0/3沒有數據包經過。這也證實了VLAN的一個特性，隔離廣播風暴。




正常的情況先，PC1在和PC2的第一次通信，先廣播一個ARP請求，在交換機的所有端口，除了自己發送數據端口之外，其他端口都能正常收到的。但是上述拓撲由于劃分了VLAN，所以ARP廣播被GE0/0/3端口丟棄。所以導致PC1不能獲取PC2的MAC地址，導致無法通信。

小伙伴們看到這里，可能會說，我們能不能提前把PC2的MAC地址告訴PC1，這樣PC1就不用再發ARP廣播包去請求MAC地址啦。

通過在PC1和PC2中相互把對方的MAC地址進行添加，執行如下命令：

PC1>arp -s 192.168.1.3 54-89-98-C1-58-5A 

PC2>arp -s 192.168.1.2 54-89-98-05-20-B9 

添加完之后，重新在交換機GE0/0/1和GE0/0/3端口進行抓包，如下圖，GE0/0/3還是沒有數據抓取到，這次GE0/0/1端口到ICMP包的請求超時。


通過提前綁定MAC地址信息，但是，依然PC1和PC2不能相互訪問。那么VLAN數據包是如何工作的呢?先來看Access端口在接收和發送數據包的是都做了什么操作。

Access接口對接收不帶Tag的報文處理：接收該報文，并打上缺省的VLAN ID

Access接口對接收帶Tag的報文處理：當VLAN ID 與缺省VLAN ID相同時，接收該報文;當VLAN ID與缺省VLAN ID不同時，丟棄該報文;

發送幀處理過程：先剝離幀的PVID Tag，然后再轉發。

注意：如果端口為access類型，并加入了一個vlan ，那么這端口的PVID屬性值變成和VID值一樣;缺省VLAN ID 就是當前加入的VLAN ID

從以上access端口接收發送數據包，可以大致推測出PC1和PC2的通信過程如下：

當PC1發送數據包時，數據包是不帶Tag標簽的。進入交換機GE0/0/1端口后，則被帶上VLAN 10 的標簽。

當交換機GE0/0/3端口接收到GE0/0/1端口發來的數據包，然后檢查發現是帶上Tag標簽的，進一步比較與自己的缺省VLAN是否一致，結果發現不一致，直接發數據包丟棄了。

同一交換機相同VLAN情況





上圖兩臺交換機通過GE0/0/24端口互聯，并把GE0/0/24配置成trunk口模式，允許VLAN 10、20通過。那么垮交換機的VLAN又是怎么一個流程呢?

先分別在SW1和SW2的GE0/0/24端口抓包，看看什么樣的數據包經過GE0/0/24。


從上圖看到通過SW1和SW2的G0/0/24端口數據包都是一樣的，攜帶了Tag標簽。再來看看trunk收發數包的流程。


trunk端口對不帶Tag的報文處理：

打上缺省的VLAN ID，當缺省VLAN ID在允許通過的VLAN ID列表時，接收該報文。

當缺省VLAN ID不在允許通過的VLAN ID列表時，丟棄該報文。

trunk端口對帶Tag的報文處理：

當VLAN ID在接口允許通過的VLAN ID列表里時，接收該報文;

當VLAN ID不在接口允許通過的VLAN ID列表時，丟棄報文。

發送幀處理過程：


當VLAN ID與缺省VLAN ID相同，且是該接口允許通過的VLAN ID時，去掉Tag，發送該報文;

當VLAN ID與缺省VLAN ID不同，且是該接口允許通過的VLAN ID時，保持原有Tag，發送該報文。

從以上Trunk端口收發數據包的處理過程，大致可以推測出PC1和PC3的過程如下：

當PC1發送數據包到SW1端口(數據包不帶Tag標簽)，進入SW1交換機的GE0/0/1端口后，被加上該端口VLAN ID 20進行轉發。

進行ARP廣播請求PC3端MAC地址，數據包進入SW1的GE0/0/24端口，由于SW1的GE0/0/24端口為trunk模式，允許VLAN 10 和20通過，并根據trunk端口發送幀處理過程。數據包順利到達SW2的G0/0/24端口。

由于ARP廣播包攜帶了Tag標簽，只有對應的端口對此廣播進行處理，并相應。

PC1得到PC3的MAC地址，進行數據包封裝轉發，進行通信。