VLAN——虛擬局域網(Virtual Local Area Network(VLAN))、Virtual Private Network(VPN)、Virtual Router Redundancy Protocol(VRRP)等。
二層廣播域——一個廣播幀所能到達的整個范圍,簡稱廣播域(Broadcast?Domain)。一個交換網絡其實就是一個廣播域。
將一個規模較大的廣播域在邏輯上劃分成若干個不同的、規模較小的廣播域,由此便可以有效地提升網絡的安全性,同時減少了垃圾流量,節約了網絡資源。
大白話:一個大網絡中,劃分為幾個子網絡,做到專網專用。
好處:提高網絡安全性,減少垃圾流量的問題。
二層通信——通信的雙方是以直接交換幀的方式來傳遞信息的。
一個VLAN就是一個廣播域,所以在同一個VLAN內部,計算機之間的通信就是二層通信。
如果源PC與目的PC位于不同的VLAN中,那么它們之間是無法進行二層通信的,只能進行三層通信來傳遞信息。
802.1Q 幀
VLAN傳輸的幀
VLAN實現原理:通過給幀打上標簽,通過識別標簽來識別不同的VLAN。
VLAN Tag 各個字段的含義:
給幀打標簽:
? ? ? ? 發送:交換機識別出某個幀是屬于哪個VLAN后,會在這個幀的特定位置上添加上一個標簽(Tag),這個Tag明確地表明了這個幀是屬于哪個VLAN的。
? ? ? ? 接收:別的交換機收到這個帶Tag的幀后,就能輕易而舉地直接根據Tag信息識別出這個幀是屬于哪個VLAN的。
如判斷幀是否是Tagged幀:
????????一個幀的源MAC地址后面的兩個字節的值是不是0x8100,
????????是的——Tagged幀;????不是的——傳統的Untagged幀。
? ? ? ? 注意:計算機中沒有VLAN的概念,不會產生并發送Tagged幀,如果收到了Tagged幀因為識別不出0x8100的含義,會直接將這個Tagged幀丟棄。
VLAN的類型
1.基于端口的VLAN(Port-based VLAN)
???????? ?將VLAN的編號(VLAN ID) 配置影射 到交換機的物理端口上,從哪個端口進,該端口屬那個VLAN,該幀就被劃分為哪個VLAN。
優點:簡單而直觀,實現也很容易,并且也比較安全可靠。
不足:當接入端口發生了變化時,該發送的幀的VLAN歸屬可能會發生改變。
基于端口的VLAN通常也稱為物理層VLAN或一層VLAN。
2.基于MAC地址的VLAN(MAC-based VLAN)
其劃分原則:交換機內部建立并維護了一個MAC地址與VLAN ID的對應表,當交換機接收到計算機發送的Untagged幀時,交換機將分析幀中的源MAC地址,然后查詢MAC地址與VLANID的對應表,并根據對應關系把這個幀劃分到相應的VLAN中。
優點:靈活性高。
例如,當計算機接入端口發生了變化時,該計算機發送的幀的VLAN歸屬并不會發生改變(因為計算機的MAC地址不會發生變化)。
不足:這種劃分原則實現起來稍顯復雜,這種類型的VLAN的安全性不是很高,因為一些惡意的計算機是很容易偽造自己的MAC地址的。
基于MAC地址的VLAN通常也稱為二層VLAN。
3.基于協議的VLAN(Protocol-based VLAN)
???????? ?其劃分原則:交換機根據計算機發送的Untagged幀中的幀類型字段的值來決定幀的VLAN歸屬。???? 例如,可以將類型值為0x0800的幀劃分到一個VLAN,將類型值為Ox86dd的幀劃分到另一個VLAN;這實際上是將載荷數據為IPv4 Packet的幀和載荷數據為IPv6 Packet的幀分別劃分到了不同的VLAN。基于協議的VLAN通常也稱為三層VLAN。?
????????基于端口的VLAN在實際的網絡中應用最為廣泛。如無特別說明,所提到的VLAN,均是指基于端口的VLAN。
鏈路類型和端口類型
Access鏈路(Access??Link)——把交換機與終端計算機直接相連的鏈路。
Trunk鏈路(Trunk?Link)——交換機之間直接相連的鏈路。
Hybrid端口——既可以將交換機上與終端計算機相連的端口配置為Hybrid端口,也可以將交換機上與其他交換機相連的端口配置為Hybrid端口。????
VLAN配置示例?
system-view ????????????????????????????????????//進入系統視圖
vlan 10? ? ? ? ? ? ? ? ? ? ????????????????????????//創建vlan
quit? ? ? ? ? ? ? ? ? ? ????????????????????????????//退出vlan視圖
interface gigabitethernet 1/0/1? ? ?//進入端口視圖
port link-type [access/trunk]? ? ????//設置端口的VLAN端口類型
port default vlan 10? ? ? ? ? ? ? ? ? ? ?//access類型設置端口的vlan類型
port trunk allow-pass vlan 【all|vlan號】 //trunk類型端口設置通過vlan的。
display port vlan? ? ? ? ? ? ? ? ? ? ? ? ?//查看交換機各端口類型及加入的VALN。
GVRP
GARP(Generic Attribute Registration Protocol,通用屬性注冊協議)的框架協議,該框架協議包含了兩個具體的協議:
GMRP(GARP Multicast Registration Protocl,簡稱GMRP)
GVRP(GARP VLAN Registration Protocl,簡稱GVRP)。
GVRP的應用——可以大大地降低VLAN配置過程中的手工工作量。
靜態VLAN——交換機上手工創建的VLAN。
動態VLAN——交換機利用GVRP協議自動創建的VLAN。
GVRP配置示例
1.配置思路
(1)在每臺交換機的全局及端口下使能GVRP功能。
(2)配置交換機二層連通性,即將交換機的某些端口配置為Trunk端口并允許相應的VLAN幀通過。
(3)在邊端交換機S1和S4上配置靜態VLAN1000。
2.配置步驟
? ?(1)在每臺交換機的全局及端口下使能GVRP功能。
? ? ? ? system-view? ? //進入視圖界面
? ? ? ? gvrp? ? ? ? ? ? //全局使能GVRP功能
(2)配置交換機二層連通性,即將交換機的某些端口配置為Trunk端口并允許相應的VLAN幀通過。
?端口交換機
? ? ? ? interface gigabitethernet 1/0/1? ? ? ? //進入端口模式
? ? ? ? port link-type access? ? ? ? ? ? ? ? ? ? ? ? //設置vlan的端口access
? ? ? ? port default vlan 1000? ? ? ? ? ? ? ? ? ? ?//設置vlan號
? ? ? ? quit? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //退出端口模式
? ???????interface gigabitethernet 1/0/2? ? ? ??//進入端口模式
? ? ? ? gvrp? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//開啟GVRP
? ? ? ? port link-type trunk? ? ? ? ? ? ? ? ? ? ? ? ? //設置trunk端口類型
? ? ? ? port trunk allow-pass vlan all? ? ? ? ? ?//設置所有vlan
? ? ? ? quit? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//退出端口模式
二層交換機
? ???????interface gigabitethernet 1/0/1
? ???????gvrp
? ? ? ? ?port link-type trunk
????????port trunk allow-pass vlan all
? ? ? ? quit
? ??????interface gigabitethernet 1/0/2
? ??????gvrp
? ? ? ? port link-type trunk
????????port trunk allow-pass vlan all
? ? ? ? quit
? ? ? ? display vlan summary? ? ? //系統視圖下,查看VLAN信息
(3)在邊端交換機S1和S4上配置靜態VLAN1000。
? ? ? ? vlan 1000? ?//創建vlan
? ? ? ? quit? ? ? ? ????//退出vlan模式
查看配置驗證設置
? ? ? ? ? ? display gvrp status? ? ? ? ? ? //查看GVRP的使能情況
????????????display gvrp statistics? ? ? ? //查看端口的GVRP統計信息
? ? ? ? ? ? display vlan summary? ? ? ?//查看VLAN信息,dynamic vlan的號碼
VLAN間的三層通信
? ??????屬于同—VLAN的計算機之間是可以進行二層通信的,屬于不同VLAN的計算機之間是無法進行二層通信。??? ????????屬于不同VLAN的計算機之間是無法進行二層通信的,但完全可以進行正常的通信,是三層通信。???
通過多臂路由器實現VLAN間的三層通信?????
兩個VLAN間的PC不能直接通信,? ?目前尚未存在一個“三層通道”,所以它們之間也無法進行三層通信。? ?
方法之一便是引入一臺路由器。路由器的作用實質上就是在不同的二層網絡(二層廣播域)之間建立起三層通道。
每條物理鏈路可以被形象地稱為路由器的一條“手臂”,所以這里的路由器R也常常被形象地稱為“雙臂路由器”,或泛泛地稱為“多臂路由器”。
通過單臂路由器實現VLAN間的三層通信
實際的網絡部署中,幾乎都不會通過多臂路由器來實現VLAN間的三層通信。
采用單臂路由器的方法來實現VLAN間的三層通信。
? ??采用這種方法時,必須對路由器的物理接口進行“子接口(Sub-Interface)”劃分。一個路由器的物理接口可以劃分為多個子接口,不同的子接口對應了不同的VLAN。
通過三層交換機實現VLAN間的三層通信
如果VLAN的數量眾多,VLAN間的通信流量很大時,單臂鏈路所能提供的帶寬就有可能無法支撐這些通信流量。另外,如果單臂鏈路一旦發生了中斷,那么所有VLAN間的通信也都會因此而中斷。通常,我們把交換機上的端口稱為二層端口,或簡稱為二層口;同時,我們把路由器或計算機上的接口稱為三層接口,或簡稱為三層口。
三層交換機的原理性定義是:三層交換機是二層交換機與路由器的一種集成形式,它除了可以擁有一些二層口外,還可以擁有一些“混合端口”(簡稱為“混合口”)。混合口既具有二層口的行為特征,同時又具有三層口的行為特征。
三層交換機內既存在MAC地址表,用以進行二層轉發,又存在IP路由表,用以進行三層轉發。
VLANIF接口配置示例
1.配置思路
? ??(1)? 在交換機上S1創建VLAN(注意,在S2和S3上無需創建VLAN)。
? ? ?(2)配置交換機S1的端口。
? ? ?(3)在交換機Sl上創建VLANIF接口并配置IP地址,實現不同VLAN之間的三層互通。
2.配置步驟
? ? ? ? system-view
? ? ? ? vlan batch 10 20? ? ? ? ? ? ? ? ? ? ? ? ? ? ????//批量創建vlan
? ? ? ? interface gigabitethernet 0/0/1
? ? ? ? port link-type access
? ? ? ? port default vlan 10
? ? ? ? quit
? ???????interface gigabitethernet 0/0/2
????????port link-type access
????????port default vlan 20
? ? ? ? quit
? ? ? ? display vlan vlanid verbose? ? ? ? //查看vlanif配置
? ? ? ? display port vlan? ? ? ? ? ? ? ? ? ? ? ? //查看S1上所有VLAN所包含的端口信息
在S1路由器
? ? ? ? interface vlanif 10
? ? ? ? ip address 192.168.100.1 24
? ? ? ? quit
? ? ? ? interface vlanif 20
? ???????ip address 192.168.200.1 24
? ??????quit
? ? ????display ip interface brief vlanif? vlan-id? ????//查看vlanif接口看信息
