vlan范围
首先,这是一个基于IEEE 802.1Q标准的通用VLAN ID范围表格:
| VLAN ID 范围 | 类别 | 用途与说明 |
|---|---|---|
| 0, 4095 | 保留 | 仅限系统使用,不能被创建、查看或用于流量转发。 |
| 1 | 默认/普通 | 默认VLAN。所有端口初始状态下都属于VLAN 1。出于安全考虑,不建议将其作为业务VLAN使用。 |
| 2 - 1001 | 普通/静态 | 最常用的以太网VLAN范围。管理员可以手动创建、删除和修改这些VLAN。 |
| 1002 - 1005 | 保留 | 为令牌环网和FDDI(光纤分布式数据接口) 自动创建,通常在现代以太网中不使用。 |
| 1006 - 4094 | 扩展 | 扩展的VLAN范围。并非所有设备都支持(尤其是较老的交换机)。需要确认设备硬件是否支持。 |
详细解释
1. VLAN 0 和 VLAN 4095
- VLAN 0: 在802.1Q标签头中,当Priority Code Point (PCP) 字段被用于标识优先级帧时,VLAN ID 0被保留用于表示该标签不携带VLAN ID信息。
- VLAN 4095: 保留给设备内部使用。用户无法配置。
- 总结:这两个VLAN对网络管理员来说是“不可见”的,无法在交换机上配置。
2. VLAN 1
- 这是所有交换机端口出厂时的默认Native VLAN(本征VLAN)。
- 重要安全建议:由于所有未打标签的流量默认都在VLAN 1中传输,它容易成为攻击目标。最佳实践是更改Trunk链路的Native VLAN为一个未使用的、专门的VLAN,而不是将你的业务VLAN(如用户数据VLAN)作为Native VLAN。
3. VLAN 2 - 1001
- 这是网络管理员日常工作中创建和使用的最主要、最标准的VLAN范围。
- 你可以根据需要自由地创建、分配和删除这些VLAN,用于划分部门、功能或安全区域(如:VLAN 10给行政部门,VLAN 20给财务部门等)。
4. VLAN 1002 - 1005
- 这是为了向后兼容旧的网络技术(如令牌环网和FDDI)而自动创建的。
- 在纯以太网环境中,你可以忽略这些VLAN。它们不能被删除。
5. VLAN 1006 - 4094
- 这是扩展的VLAN范围,提供了更多的VLAN资源。
- 支持性:需要检查你的交换机型号和软件版本是否支持扩展VLAN。大部分现代企业级交换机都支持。
- 用途:当标准VLAN范围不够用时使用。例如,在大型数据中心或为服务提供商网络提供解决方案时。
不同厂商的细微差别
虽然标准是统一的,但不同厂商在实现上可能有细微差异:
-
思科 (Cisco):
- 标准范围:1 - 1005。VLAN 1是默认VLAN。
- 扩展范围:1006 - 4094。在全局配置模式下,需要使用
vlan internal allocation policy descending命令或特定平台许可才能启用。 - 信息存储在VLAN数据库(VLAN.dat文件)和运行配置中。
-
华为 (Huawei):
- 标准范围:1 - 4094。
- 华为设备通常直接支持整个1-4094的范围,无需特殊命令来启用扩展VLAN。
- VLAN 1同样是默认VLAN,并且同样建议出于安全考虑更改Native VLAN。
实践建议
- 规划:为你的网络提前规划一个VLAN方案。
- 命名:为每个VLAN分配一个描述性的名称(如
VLAN10_HR)。 - 安全性:务必更改Trunk链路上的Native VLAN,不要使用VLAN 1。
- 范围选择:优先在 2-1001 的普通范围内创建业务VLAN。只有在普通范围耗尽时,才考虑使用扩展范围。