虚拟局域网:VLAN(交换机控制层面协议)
工作原理:是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户流量被二层隔离;这样既能够隔离广播域,提高网络的可扩展性,又能够提升网络的安全性。
总结:不建议利用路由器分割广播域(设备成本高、可扩展性差、端到端的延时高)
静态VLAN部署:基于端口的VLAN技术(将VLAN和交换机的物理接口进行绑定/关联,此方法配置简单,在实际中最为常见;但是当主机移动位置时,需要重新配置VLAN)。
动态VLAN部署:在实际中不常用,手工配制的工作量太大
1、基于MAC地址的VLAN技术:根据主机网卡的MAC地址划分VLAN。网络管理员提前配置网络中的主机MAC和VLAN ID的映射关系。如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。
2、基于IP子网的VLAN技术:交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。
3、基于协议的VLAN技术:根据数据帧的协议类型(或协议族类型)、封装格式来分配VLAN ID。网络管理员需要先配置协议类型和VLAN ID之间的映射关系。
4、基于策略划分的VLAN技术:使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。
标准VLAN:VLAN 1---VLAN 1005
VLAN 1:缺省/默认VLAN、本征VLAN(中继封装协议802.1Q)/管理VLAN(交换机基于SVI技术实现的Telnet远程连接,使用交换机的逻辑接口和VLAN接口进行绑定来实现的)
VLAN 1002---VLAN 1005:华为设备不做限制,思科设备提供给广域网协议使用的
扩展VLAN:VLAN 1006---VLAN 4094
交换机端口分为三种类型:Access接口、Trunk接口和Hybird接口。
Access接口:接入接口,用户主机连接交换机的接口(下联接口)。接入接口只允许关联一个VLAN,允许一个VLAN流量通过;当数据帧由用户主机发送给交换机时被打上VLAN标签,数据帧由交换机发送给用户主机时被去除标签。
Trunk接口:中继接口,交换机连接交换机的接口(级联接口)。中继接口不用关联任何一个VLAN,默认允许所有VLAN(1-4094)流量通过;中继接口可以实现一个交换区块内所有交换机共享相同的VLAN信息。
Hybird接口:杂合接口,融合了中继接口和接入接口的特性;通过指定哪些流量可以通过;指定哪些流量加标/不加标通过,可以在二层实现跨越VLAN的流量互访(属于vlan欺骗,不建议使用)。
总结:Access接口可以配合Trunk接口使用;Hybrid接口只可以单独使用;华为、H3C、Juniper设备支持hybrid接口,思科设备不支持。
Hybird接口默认的隐藏命令:
Port hybrid untag VLAN 1(默认允许VLAN 1不带标签进行发送)
Port hybrid pvid VLAN 1(当收到不带标签的数据帧时,会默认是来自VLAN 1的数据帧)
中继封装协议:IEEE 802.1Q
总结:TPID是一个固定取值,0x8100,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
TCI是帧的控制信息,详细说明如下:
Priority:表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧(标记值,二层的QOS)。
CFI:CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI帧和令牌环网帧。在以太网中,CFI的值为0。
VLAN ID:可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用。(0用于识别帧优先级,4095作为预留值)
本征VLAN:由于802.1Q只能支持Ethernet 2的数据封装,不支持802.3的数据封装;为了解决这个问题,在交换机中设置一个本征VLAN,一个交换机中有且只有一个本征VLAN,默认为VLAN 1,本征vlan的数据帧在转发时可以不打标签,交换机在收到一个没有打标的数据帧,会认为这是本征VLAN的数据帧,从而进行数据转发,使用时,中继链路两端的本征VLAN要保持一致。
总结:用户主机发送数据帧给华为交换机时,就会立即被交换机打上一个标签;
---同一交换机内转发,去标签转发
---跨交换机间转发,需要通过中继链路转发,先检查VLAN标签,再进行转发
端口VLAN标识符:PVID
一、Access接口上的PVID就是其关联的VLAN
- 接收数据
---对带有VLAN标记的数据帧,查看VLAN标记是否是PVID的VLAN标签
是/接收;不是/直接被丢弃
---对不带有VLAN标记的数据帧,强制给数据帧打上PVID的VLAN标签并转发
- 发送数据
---对带有PVID标记的数据帧,发送时去掉标签转发;不带,则直接丢弃
二、Trunk接口上的PVID就是链路对应的本征VLAN
1、接收数据
---数据帧携带标签,查看VLAN标签是否在允许列表中;在/转发,不在/丢弃
---数据帧不携带标签,根据PVID判断所属的本征VLAN,并查找本征VLAN是否在允许列表中,在/转发,不在/丢弃
- 发送数据
---数据帧所属的VLAN是否是本征VLAN
---是,确认本征VLAN在允许列表中,在/转发,不在/丢弃
---不是,查看数据帧是否在允许列表中,在/带标签转发,不在/丢弃
三、Hybrid接口上的PVID就是其关联的VLAN(同access接口属性)
配置:
- 创建(批量)VLAN,将VLAN关联到接口,查看VLAN信息
[SWA]vlan 2
[SWA]vlan batch 2 to 3
[SWA-vlan2]port GigabitEthernet 0/0/1
[SWA-GigabitEthernet0/0/1]port default vlan 2
[SWA]display (port)vlan
二、修改接口模式为Access模式,将接口关联到VLAN
[SWA-GigabitEthernet0/0/1]port link-type Access
[SWA-GigabitEthernet0/0/1]port default vlan 2
三、修改接口模式为Trunk模式,允许哪些VLAN通过中继接口,修改PVID
[SWA-GigabitEthernet0/0/1]port link-type Tyunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[SWA-GigabitEthernet0/0/1]port trunk pvid VLAN 2
三、修改接口模式为Hybrid模式,修改PVID;配置允许哪些VLAN的数据帧以打标签方式通过该端口,允许哪些VLAN的数据帧以不打标签方式通过该端口
[SWA-GigabitEthernet0/0/1]port link-type Hybrid
[SWA-GigabitEthernet0/0/1]port hybrid pvid VLAN 2
[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3
[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3
京公网安备 11010802041100号