VLAN与三层交换机的原理与配置
一、VLAN概述与优势
1、VLAN的概述
分割广播域
物理分割(交换机)
逻辑分割(VLAN):Vlanif →interface vlan 是逻辑端口,通常这个接口地址作为vlan下面用户的网关
例如:
补充知识
广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收任一设备发出的广播帧的所有设备的集合(局域网就是一个广播域)
2、VLAN的优势
控制广播
增强网络安全性(隔离广播域)
简化网络管理
3、VLAN的种类
① 静态VLAN
基于端口划分静态VLAN
② 动态VLAN
基于MAC地址划分动态VLAN
注意:动态VLAN是要把主机的接口MAC地址与VLAN绑定,在实际生产环境中运营商不会用动态VLAN,因为维护量大,绑定复杂等,用的是静态VLAN
4、VLAN ID的范围
VLAN ID是:
交换机一般可以划分255个vlan,每个vlan的id,可以是1~4096之间的任意数字。
ID的作用就是用于区分不同vlan,可以设置TAG UNTag member属性,可以让该端口的下行或上行数据报打上标签。
5、华为交换机接口的三种模式
1、Access
涵义:只能属于一个VLAN,也只能允许这一个VLAN的流量通过(数据进交换机加标签,出交换机脱标签)
2、Trunk
涵义:可以同时属于多个VLAN,也能同时允许这些VLAN的流量通过
是用来实现不同交换机上相同VLAN的主机之间的通信,即跨交换机的VLAN通信
3、Hybrid
涵义:可以根据需要以tagged或untagged方式加入某个VLAN 或者多个VLAN和Trunk接口一样在设置允许指定的VLAN通过Hybrid端口之前,该VLAN必须已经存在。
Hybrid端口和Trunk端口在接收数据时,处理思路方法是一样的,唯一区别之处在于发送数据时,Hybrid端口具有解除多VLAN标签的功能,Hybrid端口可以允许多个VLAN的报文发送时不打标签,从而增加了网络的灵活性,在一定程度上也增加了安全性,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
Hybrid端口和Trunk端口能直接切换。在Quidway S系列交换机以太网端口设置为Trunk类型的相应功能都可以使用Hybrid功能来代替,基于MAC地址、协议、IP子网的VLAN只对Hybrid端口配置有效。
二、华为Access配置法
Int g0/0/0
Port link-type access(端口链接类型)
Port default vlan 10(端口默认)
Undo shutdownVlan10 #划分Vlan10
Vlan batch 10 20 #批量划分vlan10和20
Display vlan #查看vlan表三、Access配置实验
实验一
将VLAN配置到交换机上,并把相同VLAN的PC端打通,即PC1与PC3、PC2与PC4相通
过程:
1、将PC端的IP地址配置输入并应用
2、划分VLAN20和30,进入SW1的系统视图之后,进行划分,命令为vlan batch 20 30
3、Dis vlan 查看vlan 表
4、将各个接口加入到划分的Vlan里面,例如将e0/0/1接口加入到VLAN10,方法是:此接口是Access接口,命令为Access的配置命令,命令为:
int e0/0/1
port link-type access
port default vlan 20
undo shutdown
display vlan
5、其他接口方法与此相同
6、连接成功之后测试,在PC1上pingPC3的IP地址,在PC2上pingPC3的IP地址,看是否能通
四、Trunk
1、含义
只使用一条链路,且通过标识来区分不同VLAN的数据;允许带标签的数据通过
2、交换网络中的链路类型
接入链路(单标签数据)ACCESS(主机与交换机之间)
中继链路(多标签数据)TRUNK(交换机与交换机之间)
五、VLAN的标识IEEE 802.1q
IEEE 802.1q协议规定的就是如何根据交换机的端口来划分VLAN
1、帧格式
DA( 6字节):用于识别需要接收帧的站。
SA(6字节):SA 字段用于识别发送帧的站。
TPID:值为8100(hex),当帧中的 EtherType 也为8100时,该帧传送标签 IEEE 802.1Q/802.1P
TCI (标签控制信息字段):包括用户优先级(User Priority)、规范格式指示器(Canonical Format Indicator)和 VLAN ID。
User Priority(用户优先级):包括8个(2^3)优先级别
CFI:以太网交换机中,规范格式指示器总被设置为0。由于兼容特性,CFI 常用于以太网类网络和令牌环类网络之间,如果在以太网端口接收的帧具有 CFI,那么设置为1,表示该帧不进行转发,这是因为以太网端口是一个无标签端口。
VID:VLAN ID 是对 VLAN 的识别字段,在标准 802.1Q 中常被使用。该字段为12位。支持4096(2^12) VLAN的识别。在4096可能的 VID 中,VID=0 用于识别帧优先级。 4095(FFF)作为预留值,所以 VLAN配置的最大可能值为4094。
Length/Type (2字节):如果是采用可选格式组成帧结构时,该字段既表示包含在帧数据字段中的 MAC 客户机数据大小,也表示帧类型ID。
Data -:是一组 n(46=< n =<1500)字节的任意值序列。帧总值最小为64字节。
Frame Check Sequence(FCS) : 4字节,该序列包括32位的循环冗余校验(CRC)值,由发送 MAC 方生成,通过接收 MAC 方进行计算得出以校验被破坏的帧
六、三层交换技术
1、概念
使用三层交换技术实现VLAN间通信
三层交换=二层交换(二层是指数据链路层)+三层转发(三层是指网络层)
它解决了局域网段中网段划分之后,网段中必须一类路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
二层交换:是指在同一网段下的主机互访
三层转发:是指在不同网段下的主机互访(跨网段通信需要网关)
三层交换机上配置的VLAN 接口为虚接口,每一个VLAN虚接口就是该网段的网关
2、三层交换机的硬件
三层交换机内部的两大部分是ASID和CPU,它们的作用分别如下:
ASIC:完成主要的二三层转发功能,内部包含用于二层转发的MAC地址表以及用于IP转发的三层转发表;
CPU:用于转发的控制,主要维护一些软件表项(包括软件路由表、软件ARP表等等),并根据软件表项的转发信息来配置ASIC的硬件三层转发表。当然,CPU本身也可以完成软件三层转发
3、三层交换机的工作原理
三层转发过程中要重新封装2层
三层交换机上,第3层引擎处理数据流的第一个包
交换机ASIC从3层引擎中获悉2层重写信息在硬件创建一个MLS条目,负责重写和转发数据流中的后续数据包
“一次路由,多次交换”
基于CEF(是一种基于拓扑转发的模型)的MLS
补充知识:
FIB转发表:用于判断基于IP包的网络前缀,如何进行转发;与RIB路由表不同,RIB路由表只是存储所有的路由信息,与具体的路由协议无关
七、华为Trunk配置法
Int g0/0/0(进入接口模式)
Port link-type trunk
Port trunk allow-pass vlan 10 20 30
Undo shutdown八、Trunk配置实验
实验二
在实验一的基础上再加一个三层交换机和两个PC
要使得两个相同VLAN的PC能互通,PC5、PC6能与其他相同VLAN的PC相通
过程:
1、将PC5和PC6的IP地址配置输入并应用
2、划分VLAN20和30,进入SW2的系统视图之后,进行划分,命令为
vlan batch 20 303、SW2的两个接口g0/0/1、g0/0/3是access接口,分别划到相应VLAN里面,配置方法同实验一
4、SW2的g0/0/2是Trunk接口,配置命令为:
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 20 30
undo shutdown5、要在SW1上面对的g0/0/1端口也要配置Trunk命令,操作方法同上
6、测试,在PC5、PC6上分别Ping相同VLAN的其他PC端的IP,例如在PC5上pingPC2
九、VLANIF 接口
1、划分VLAN后,同一VLAN内的用户可以互相通信,但是属于不同VlAN 内的用户不能直接通信
2、交换机需要与网络层的设备通信时,可以在交换机上创建基于VLAN的逻辑接口,即VLANIF接口。VLANIF接口属于逻辑接口,逻辑接口是指物理上不存在且需要通过配置建立的接口
3、VLANIF接口是网络层接口,创建VLANIF接口前要先创建了对应的VLAN,才可以配置IP地址。借助VLANIF接口,交换机就能与其它网络层的设备互相通信
4、如果VLANIF的IP地址为交换机地址,对该VLANIIF接口的删除关闭操作会导致无法登陆web网管,如果修改该VLANIF的地址,则需要使用修改后的地址登陆web网管。
十、VLANIF接口的使用
实验三
在实验二的基础上继续操作,实现跨VLAN能够通信
1、在SW2上的g0/0/1端进行操作,命令为:
int g0/0/1
int vlanif30
ip add 192.168.20.1 24
dis ip routing-table2、在SW2上的g0/0/3端进行操作,命令为:
int g0/0/3
int vlanif20
ip add 192.168.30.1 24
dis ip routing-table
3、跨网段通信需要加网关,6个PC端要配网关
4、网关配好之后,进行测试,用不同VLAN的PC端进行ping,举个例子,PC2与PC6之间测试是否连通
