我终于找到一个写文章的好方法了😁——使用markdown
写博客用的就是markdown,语法少、使用简单,而且也使用习惯了
要是能用来写微信文章那岂不是很棒
然后,我找到了一个chrome插件——Markdown Here
然后今天晚上就在调试渲染css,如果你们想了解的话,下次单独写一篇文章
现在直接开始今天的内容啦
VLAN基础配置
现在我们先了解一下什么是VLAN,VLAN是用来干什么的
在此之前我们先讲下广播域和冲突域
广播域(broadcast domain)就是说如果站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域。(路由器隔离广播域)
冲突域(collision domain),所有直接连接在一起的,而且必须竞争以太网总线的节点都可以认为是处在同一个冲突域中,说白了就是一次只有一个设备发送信息,其他的只能等待。交换机或hub可以隔离冲突域。
VLAN是什么
VLAN(Virtual Local Area Network)的中文名为”虚拟局域网”。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
- 网络设备的移动、添加和修改的管理开销减少;
- 可以控制广播活动;
- 可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
VLAN是用来干什么的
交换机能够有效地隔绝冲突域,但是这个网络中的设备还是处于一个广播域,所有的设备之间都可以相互通信。
但是,有时我们并不希望所有设备都处于一个广播域,因此,人们使用VLAN技术将一个物理的LAN在逻辑上划分成多个广播域。(使用VLAN隔离广播域)
一个VLAN中的设备之间能够之间通信,但不同VLAN内的设备之间不能直接互通。
不同的VLAN使用不同的VLAN ID区分,VLAN ID的范围是04095,可配置的值为14094,0和4095为保留值。
划分依据
1、按端口划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。
被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
2、按MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
3、按网络层划分
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4、按IP组播划分
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5、基于规则的VLAN
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。
6、按用户定义、非用户授权划分
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
以上划分VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和IP广播方式建立在第三层上。
基本配置
1、创建VLAN
[s1]vlan 10 # 在系统视图创建vlan
[s1-vlan10]description VLAN10 # 命名
[s1-vlan10]vlan 20 # 可以在这个视图接着创建vlan
# 创建多个vlan
[s1]vlan batch 30 40
2、查看VLAN信息
[s1]display vlan
3、查看配置好的VLAN的简要信息
[s1]display vlan summary
4、查看VLAN和接口配置情况
[s1]display port vlan
VLAN技术原理
交换机用VLAN标签来区分不同VLAN的以太网帧
帧格式
单交换机VLAN标签操作
- 在进入交换机端口是,附加缺省VLAN标签
- 出交换机端口时,去掉VLAN标签
Access链路类型端口
Access接口是交换机上用来连接用户主机的接口。
当Access接口从主机收到一个不带VLAN标签的数据帧时,会给该数据帧加上与PVID一致的VLAN标签。
当Access接口要发送一个带VLAN标签的数据帧给主机时,首先检查该数据帧的VLAN ID是否与自己的PVID相同,若相同,则去掉VLAN标签后发送该数据帧给主机;若不相同,直接丢弃该数据帧。
一般在与客户机相连的接口上配置。
跨交换机VLAN标签
带有VLAN标签的以太网帧在交换机间传递
Trunk链路类型端口
为了使VLAN的数据帧能够跨跃多台交换机传递,交换机之间互联的链路需要设置为干道链路(Trunk Link)
允许多个VLAN通过,可以接收和发送多个VLAN的数据帧,缺省VLAN的以太网帧不带标签。
当Trunk端口收到数据帧时,如果该帧不包含802.1Q的VLAN标签,将打上该Trunk端口的PVID;如果该帧包含802.1Q的VLAN标签,则不改变。
当Trunk端口发送数据帧时,当所发送帧的VLAN ID与端口的PVID不同时,检查是否允许该VLAN通过,若允许的话直接转发,不允许就直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则剥离VLAN标签后转发。
一般用于交换机与交换机之间连接的接口。
Hybrid链路类型端口
允许多个VLAN通过,可以接收和发送多个VLAN的数据帧。
Hybrid端口和Trunk端口的不同之处在于:
- Hybrid端口允许多个VLAN的以太网帧不带标签
- Trunk端口只允许缺省VLAN的以太网帧不带标签
接口配置
配置access口
[s1]int g0/0/2 # 进入与PC相连的接口
[s1-g0/0/2]port link-type access # 配置接口类型为Access
[s1-g0/0/2]port default vlan 10 # 配置接口的默认VLAN并加入VLAN10 默认情况下,所有接口的默认VLAN ID为1
配置Trunk口
[s1]int g0/0/1 # 进入与另一交换机相连的接口
[s1-g0/0/1]port link-type trunk # 配置接口类型为Trunk
[s1-g0/0/1]port trunk allow-pass vlan 10 20 # 允许VLAN10、20通过
[s1-g0/0/1]port trunk allow-pass vlan all # 允许所有VLAN通过(1~4094)
配置Hybrid
# 与主机相连
[s1-g0/0/2]undo port default vlan #恢复接口默认VLAN
[s1-g0/0/2]port link-type hybrid #设置接口类型为Hybrid
[s1-g0/0/2]port hybrid untagged vlan 20 #转发VLAN20帧时剥离tag
[s1-g0/0/2]port hybrid pvid vlan 20 #默认VLAN ID
# 与switch相连
[s1-g0/0/1]port trunk allow-pass vlan 1
[s1-g0/0/1]port link-type hybrid
[s1-g0/0/1]port hybrid tagged vlan 10 20 #接收带有VLAN10、20标签的帧
VLAN间路由
由于VLAN隔离了二层广播域,也间接的隔离了各个VLAN之间的其他二层流量交换,这样导致属于不同VLAN之间的用户不能进行二层的通信,但是如果我们想让VLAN10和VLAN20之间能够通信怎么办呢
——经过三层的路由转发能将报文从一个VLAN转发到另外一个VLAN。
路由器物理接口
这个讲还是得讲的,但是一般不用,所以只给个拓扑图,不配置
随着交换机VLAN的数量增加,需要路由器的接口也随之增加。而路由器的端口数量有限且某些端口也并不是一直工作状态,导致成本高且某些端口使用率低,造成浪费。
单臂路由
和上面的相比,只是将物理接口转换成了虚拟子接口,节省了路由器端口
配置:
S1、S2(下面两交换机)与PC相连的接口配置为Access接口,并且S1的E0/0/1及E0/0/3都是VLAN10,S2的E0/0/1为VLAN20、E0/0/3为VLAN30;
S1、S2、S3与交换机/路由器相连的接口配置为Trunk口,并且允许所有VLAN通过
剩下的重头戏:配置R1
# 进入子接口1并且配置好IP
[R1]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
# 配置子接口封装
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
Mar 7 2020 00:05:38-08:00 R1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0.1 has entered the UP state.
# 开启子接口的ARP广播功能
[R1-GigabitEthernet0/0/0.1]arp broadcast enable
其他两个接口也这样配置
配置完成之后,可以使用命令display ip interface brief
查看接口状态
使用命令display ip routing-table
查看路由表
之后使用ping IP测试连通性即可
利用三层交换机
三层交换机带有路由功能,VLANIF接口可以配置IP地址,借助VLANIF接口,三层交换机就能实现路由转发功能
设置好PC的网络参数,IP、掩码已给出,网关为192.168.*.254
接着配置交换机SW
创建VLAN并配置接口
[SW]vlan 10
[SW-vlan10]vlan 20
[SW-vlan20]int g0/0/1
[SW-GigabitEthernet0/0/1]port link-type access
[SW-GigabitEthernet0/0/1]port defaut vlan 10
[SW-GigabitEthernet0/0/1]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port defaut vlan 20
[SW-GigabitEthernet0/0/2]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type access
[SW-GigabitEthernet0/0/3]port defaut vlan 10
配置VLANIF
[SW]int VLANif 10
[SW-Vlanif10]ip add 192.168.1.254 24
[SW-Vlanif10]int VLANif 20
[SW-Vlanif20]ip add 192.168.1.254 24
这样就配置成功了
查看接口状态
PC测试
VLAN的就到这里了,拜拜~
Blog wallleap , Copyright © 2019-2020 by Luwang All Rights Reserved.