VLAN

作用

1. 通过VLAN标签在交换机上做广播域隔离
   • VLAN ID 在TAG占12位（2^12=4096），范围是0-4095 ，但是0和4095保留，实际使用范围是1-4094
   • 交换机上默认存在VLAN 1 ，删不掉
   • 交换机内部的数据帧都是带有VLAN标签的
2. VLAN 划分方式
   • 基于端口
   • 基于MAC
   • 基于子网
   • 基于协议
3. VLAN标签在交换机上的实现
   • Access接口
     1. 进口打标，出口解标
     2. 只允许一个VLAN数据通过
     3. 一般用于连接用户
   • Trunk接口
     1. trunk允许多个VLAN数据帧带标签通过，H3C交换机默认只允许VLAN 1通过，如果要允许多个VLAN通过，需要用命令放行其他VLAN通过
     2. 携带有VLAN标签的数据帧要从trunk发送出去的时候，会检查数据帧携带的VLAN标签和trunk的PVID是否一致，如果一致则剥离标签发送，否则带标签发送；如果trunk收到一个不带VLAN标签的数据帧则打上trunk的PVID
     3. 一般用户交换机之间的连接。
   • Hybrid接口
     1. 允许多个VLAN数据帧带标签通过
     2. 允许多个VLAN数据帧不带标签通过
     3. 入方向看PVID，出方向看untag
     4. 应用在Private VLAN

Private VLAN

1. 背景：在采用以太网接入的场景中，基于用户安全和管理计费等方面的考虑，一般会要求接入用户互相隔离。VLAN是天然的隔离手段，于是很自然的想法是每个用户一个VLAN。但是，根据IEEE 802.1Q规定，最多可以提供4094个VLAN。如果每个用户一个VLAN，4094个VLAN远远不能满足需求。Private VLAN采用二层VLAN结构，它在同一台设备上配置Primary VLAN和Secondary VLAN两类VLAN，既能够保证接入用户之间相互隔离，又能将接入的VLAN ID屏蔽掉，从而节省了VLAN资源。
2. 是一个2层的技术，仅做二层转发使用
3. 是一个2级的VLAN技术包括了Primary VLAN和Secondary VLAN
4. Secondary VLAN 做广播域的隔离，对于上行设备不可见
5. Private VLAN 包含多个Secondary VLAN，对于上行设备可见，Trunk是带着Private VLAN的标签通过的
6. Secondary VLAN 下的主机如果要相互通讯，需要通过上行的三层设备做三层互发本地ARP代理

Super VLAN

1. 背景：在大型的园区网中，如果要实现每楼层每VLAN的场景，则须要在核心设备上去配置大量VLAN虚接口和IP地址作为主机的网关地址，可能造成虚接口的浪费；使用Super VLAN可以实现每栋楼所有VLAN使用1个VLAN虚接口和1个IP地址作为网关进行三层转发。
2. 是一个三层技术，仅做三层转发使用
3. Super VLAN 建立三层虚接口，为下面主机提供网关功能，不包含物理接口。该接口UP的条件是Sub VLAN下有活跃的物理接口
4. Sub VLAN 包含物理接口，做2层广播域的隔离。Sub VLAN下主机互发需要在Super VLAN下配置本地ARP代理
5. Super VLAN 和Sub VLAN建立映射
6. Trunk不允许Super VLAN通过，Sub VLAN下主机和其他主机的2层通信，Trunk是带着Sub VLAN的标签通过
7. Sub VLAN主机和外界三层通信是Super VLAN 处理.
   per VLAN 处理.