VLAN

将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。
利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说，一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。
构成虚拟局域网的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。

好处

（1）抑制广播风暴：通过划分很多虚拟局域网而减少整个网络范围内广播包的传输，因为广播信息是不会跨过VLAN的，可以把广播限制在各个虚拟网的范围内，用术语讲就是缩小了广播域，提高了网络的传输效率，从而提高网络性能。
（2）基于安全性的考虑，通过划分虚拟局域网对不同部门的数据进行隔离
（3）集中化的管理控制：同一部门的人员分散在不同的物理地点，虽然这些数据都是要保密的，但需统一结算时，就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中，实现数据安全和共享。

配置

VLAN配置包括：

• 创建/删除VLAN
• 给VLAN指定端口
  

Port-based VLAN

Port-based VLAN提供了用户分组(user-group)的功能。一个端口可以属于多个user-group。不属于同一个user-group的端口不能相互通信(普通的VLAN不属于同一个VLAN的端口不能相互通信)。
默认属于user—group 1组,并且如果端口只属于user-group 1组则不能删除

以太网端口链路类型

S5000P以太网端口有两种链路类型：Access和Trunk。

• Access类型的端口只能属于一个VLAN，一般用于连接计算机的端口；
• Trunk类型的端口同样也只属于某一个VLAN，但是可以接收和发送来自多个VLAN的报文，一般用于连接交换机之间的端口,或者是交换机和路由器。

Trunk的主要功能是仅通过一条链路就可以连接多个VLAN。Trunk也称为链路中继。

[Quidway]interface GigabitEthernet0/1
[Quidway-GigabitEthernet0/1]port link-type trunk

[Quidway] interface GigabitEthernet0/1
[Quidway-GigabitEthernet0/1] port access vlan 3

[Quidway] interface GigabitEthernet0/1
[Quidway-GigabitEthernet0/1] port trunk pvid vlan 100

本端Trunk端口的缺省VLAN ID和相连的对端交换机的Trunk端口的缺省VLAN ID必须一致，否则报文将不能正确传输。

端口对收发报文的处理

Acess端口

• 收报文：判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发；如果有就直接丢弃（因为Access端口和终端PC网卡不会发送带 VLAN 标记的报文）
• 发报文：将报文的VLAN信息剥离，直接发送出去（因为Access端口发送报文一般是到终端PC，PC中的网卡是不能识别VLAN标记的。还有一种情况是发送到另一个同VLAN中的Access端口，因为Access端口也不接受带有VLAN标记的报文）

Trunk端口

• 收报文：判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发；否则判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃
• 发报文：比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送（往access或PC机发），否则直接发送（发送到其他trunk）