虛擬局域網:VLAN(交換機控制層面協議)
工作原理:是將一個物理的局域網在邏輯上劃分成多個廣播域的技術。通過在交換機上配置VLAN,可以實現在同一個VLAN內的用戶可以進行二層互訪,而不同VLAN間的用戶流量被二層隔離;這樣既能夠隔離廣播域,提高網絡的可擴展性,又能夠提升網絡的安全性。
總結:不建議利用路由器分割廣播域(設備成本高、可擴展性差、端到端的延時高)
靜態VLAN部署:基於端口的VLAN技術(將VLAN和交換機的物理接口進行綁定/關聯,此方法配置簡單,在實際中最為常見;但是當主機移動位置時,需要重新配置VLAN)。
動態VLAN部署:在實際中不常用,手工配製的工作量太大
1、基於MAC地址的VLAN技術:根據主機網卡的MAC地址劃分VLAN。網絡管理員提前配置網絡中的主機MAC和VLAN ID的映射關係。如果交換機收到不帶標籤的數據幀,會查找之前配置的MAC地址和VLAN映射表,根據數據幀中攜帶的MAC地址來添加相應的VLAN標籤。在使用此方法配置VLAN時,即使主機移動位置也不需要重新配置VLAN。
2、基於IP子網的VLAN技術:交換機在收到不帶標籤的數據幀時,根據報文攜帶的IP地址給數據幀添加VLAN標籤。
3、基於協議的VLAN技術:根據數據幀的協議類型(或協議族類型)、封裝格式來分配VLAN ID。網絡管理員需要先配置協議類型和VLAN ID之間的映射關係。
4、基於策略劃分的VLAN技術:使用幾個條件的組合來分配VLAN標籤。這些條件包括IP子網、端口和IP地址等。只有當所有條件都匹配時,交換機才為數據幀添加VLAN標籤。
標準VLAN:VLAN 1---VLAN 1005
VLAN 1:缺省/默認VLAN、本徵VLAN(中繼封裝協議802.1Q)/管理VLAN(交換機基於SVI技術實現的Telnet遠程連接,使用交換機的邏輯接口和VLAN接口進行綁定來實現的)
VLAN 1002---VLAN 1005:華為設備不做限制,思科設備提供給廣域網協議使用的
擴展VLAN:VLAN 1006---VLAN 4094
交換機端口分為三種類型:Access接口、Trunk接口和Hybird接口。
Access接口:接入接口,用戶主機連接交換機的接口(下聯接口)。接入接口只允許關聯一個VLAN,允許一個VLAN流量通過;當數據幀由用戶主機發送給交換機時被打上VLAN標籤,數據幀由交換機發送給用戶主機時被去除標籤。
Trunk接口:中繼接口,交換機連接交換機的接口(級聯接口)。中繼接口不用關聯任何一個VLAN,默認允許所有VLAN(1-4094)流量通過;中繼接口可以實現一個交換區塊內所有交換機共享相同的VLAN信息。
Hybird接口:雜合接口,融合了中繼接口和接入接口的特性;通過指定哪些流量可以通過;指定哪些流量加標/不加標通過,可以在二層實現跨越VLAN的流量互訪(屬於vlan欺騙,不建議使用)。
總結:Access接口可以配合Trunk接口使用;Hybrid接口只可以單獨使用;華為、H3C、Juniper設備支持hybrid接口,思科設備不支持。
Hybird接口默認的隱藏命令:
Port hybrid untag VLAN 1(默認允許VLAN 1不帶標籤進行發送)
Port hybrid pvid VLAN 1(當收到不帶標籤的數據幀時,會默認是來自VLAN 1的數據幀)
中繼封裝協議:IEEE 802.1Q
總結:TPID是一個固定取值,0x8100,表明這是一個攜帶802.1Q標籤的幀。如果不支持802.1Q的設備收到這樣的幀,會將其丟棄。
TCI是幀的控制信息,詳細說明如下:
Priority:表示幀的優先級,取值範圍為0~7,值越大優先級越高。當交換機阻塞時,優先發送優先級高的數據幀(標記值,二層的QOS)。
CFI:CFI表示MAC地址是否是經典格式。CFI為0說明是經典格式,CFI為1表示為非經典格式。用於區分以太網幀、FDDI幀和令牌環網幀。在以太網中,CFI的值為0。
VLAN ID:可配置的VLAN ID取值範圍為0~4095,但是0和4095在協議中規定為保留的VLAN ID,不能給用戶使用。(0用於識別幀優先級,4095作為預留值)
本徵VLAN:由於802.1Q只能支持Ethernet 2的數據封裝,不支持802.3的數據封裝;為了解決這個問題,在交換機中設置一個本徵VLAN,一個交換機中有且只有一個本徵VLAN,默認為VLAN 1,本徵vlan的數據幀在轉發時可以不打標籤,交換機在收到一個沒有打標的數據幀,會認為這是本徵VLAN的數據幀,從而進行數據轉發,使用時,中繼鏈路兩端的本徵VLAN要保持一致。
總結:用戶主機發送數據幀給華為交換機時,就會立即被交換機打上一個標籤;
---同一交換機內轉發,去標籤轉發
---跨交換機間轉發,需要通過中繼鏈路轉發,先檢查VLAN標籤,再進行轉發
端口VLAN標識符:PVID
一、Access接口上的PVID就是其關聯的VLAN
接收數據
---對帶有VLAN標記的數據幀,查看VLAN標記是否是PVID的VLAN標籤
是/接收;不是/直接被丟棄
---對不帶有VLAN標記的數據幀,強制給數據幀打上PVID的VLAN標籤並轉發
發送數據
---對帶有PVID標記的數據幀,發送時去掉標籤轉發;不帶,則直接丟棄
二、Trunk接口上的PVID就是鏈路對應的本徵VLAN
1、接收數據
---數據幀攜帶標籤,查看VLAN標籤是否在允許列表中;在/轉發,不在/丟棄
---數據幀不攜帶標籤,根據PVID判斷所屬的本徵VLAN,並查找本徵VLAN是否在允許列表中,在/轉發,不在/丟棄
發送數據
---數據幀所屬的VLAN是否是本徵VLAN
---是,確認本徵VLAN在允許列表中,在/轉發,不在/丟棄
---不是,查看數據幀是否在允許列表中,在/帶標籤轉發,不在/丟棄
三、Hybrid接口上的PVID就是其關聯的VLAN(同access接口屬性)
配置:
創建(批量)VLAN,將VLAN關聯到接口,查看VLAN信息
[SWA]vlan 2
[SWA]vlan batch 2 to 3
[SWA-vlan2]port GigabitEthernet 0/0/1
[SWA-GigabitEthernet0/0/1]port default vlan 2
[SWA]display (port)vlan
二、修改接口模式為Access模式,將接口關聯到VLAN
[SWA-GigabitEthernet0/0/1]port link-type Access
[SWA-GigabitEthernet0/0/1]port default vlan 2
三、修改接口模式為Trunk模式,允許哪些VLAN通過中繼接口,修改PVID
[SWA-GigabitEthernet0/0/1]port link-type Tyunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[SWA-GigabitEthernet0/0/1]port trunk pvid VLAN 2
三、修改接口模式為Hybrid模式,修改PVID;配置允許哪些VLAN的數據幀以打標籤方式通過該端口,允許哪些VLAN的數據幀以不打標籤方式通過該端口
[SWA-GigabitEthernet0/0/1]port link-type Hybrid
[SWA-GigabitEthernet0/0/1]port hybrid pvid VLAN 2
[SWA-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3
[SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3
閱讀更多 愛講網絡技術的閆輝 的文章
關鍵字: Networks 人生第一份工作 華為Mate30
