网络综合实训之vlan
文章目录
1:交换机简介
1)冲突域、广播域与mac地址介绍
冲突域:冲突域是指连接在同一共享介质上的所有节点的集合,冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到,部署多个交换机的原因:划分冲突域,一个交换机的接口为一个冲突域。
广播域:广播报文所能到达的整个访问范围称为二层广播域,简称广播域,同一广播域内的主机都能收到广播报文。
MAC (Media Access Control)地址在网络中唯一标识一个网卡,每个网卡都需要并拥有唯一的一个MAC地址。
以太网数据帧格式:
Ethernet II 格式 :
DMAC 6B
SMAC 6B
Type 2B
用户数据 46-1500B
FCS 4B //最小有64byte
IEEE 802.3格式
DMAC 6BYTE
SMAC 6B
Length 2B
LIC 3B
SNAP 5B
用户数据 39-1492B
FCS 4B
半双工:仅支持发送或者接受
全双工:可同时发送和接受
2:单播、组播与广播
单播:一对一:MAC 地址是指第一个字节的最低位是 0 的 MAC 地址。即mac地址转换成2进制后第八位为0
组播:一对多,或者多对多,但不是全部:MAC 地址是指第一个字节的最低位是 1 的 MAC 地址,即mac地址转换成2进制后第八位为1
广播:一对所有 FF-FF-FF-FF-FF-FF, MAC 地址是指每个比特都是 1 的 MAC 地址
3:交换机的工作原理简介
1):学习
构建MAC地址表的过程
根据该接接受数据中包含的源MAC与如既然接口确定
2):泛洪
除接受端口之外,其余端口均转发
2.1 接收到广播帧数据
2.2 接收到组播数据帧
2.3 接收到未知单播数据帧
3):转发
根据数据帧的目的MAC地址,参考MAC地址表的接口进行转发
arp static 10.1.1.3 aabb-cc00-0003 //手动修改arp缓存
4)数据帧源目MAC地址,对应交换机的MAC地址地址条目的相同接口,则丢弃
2:vlan的原理与配置
为了划分广播域,节约成本,因此在交换机中开发了vlan(虚拟局域网)
特点:不受地域限制,同一vlan内的设备才能直接进行二层通信。
默认情况下,交换机的所有接口都属于vlan1下。即属于同一个广播域.
1)vlan的划分方式
- vlan划分方式
- 基于接口划分,例如 G0/0/1,G0/0/2
- 基于MAC地址划分,根据设备的MAC地址来划分
- 基于IP地址划分,根据ip地址网段等来划分
- 基于协议划分,例如ipv4,ipv6等
- 基于策略划分,ip地址+MAC地址等类型划分
2)vlan标签
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。
IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag。
vlan范围:2^12:0-4095(0,4095为保留)
208.1Q数据帧格式
TPID(标签协议标识符):标识数据帧的类型,值为0x8100时表(802.1Q帧
PRI(优先级)﹔标识帧的优先级,主要用于QoS.。
CFI(标准格式指示符):在以太网环境中,该字段的值为0。
VLAN ID (VLAN标识符):标识该帧所属的VLAN。
vlan 10 #创建vlan 10
vlan batch 10 20 #创建vlan10和vlan20
vlan batch 10 to 20 #创建vlan 10 到vlan 20
3)vlan 端口类型介绍
a.access类型
-
接收到数据帧
- 查看是否有标签,有就与接口pvid对比,一样就通过,不一样就丢弃
- 如果接收的数据帧不带标签,则添加上接口的pvid
-
发送数据帧
-
数据帧的vlan id与接口的pvid相同时,则剥离掉标签,再进行转发,不同的话则禁止从该口转发。
-
从access出来的数据帧不带标记
-
b.trunk类型
-
接收数据帧
-
进入带标签,查看是否在vlan允许列表,存在则接收,不存在则丢弃
-
接收到不带标签的数据帧,打上接口的pvid,且在允许列表内则接收,否则丢弃
-
-
发送数据帧
- 发送出去的时候会检查所带的标记与trunk接口的pvid是否一致,不一致则保留原标签。一致则去掉标签再发送
- 如果不在vlan的允许列表中则直接丢弃
c.hybrid类型
-
接收数据帧
-
进入带标签,查看是否在vlan允许列表,存在则接收,不存在则丢弃
-
接收到不带标签的数据帧,打上接口的pvid,且在允许列表内则接收,否则丢弃
-
-
发送数据帧
- 所携带的数据帧是否在vlan的放行列表内,不在直接丢弃
- 在untagged列表中,则剥离标签发送
- 在tagged列表中,则保留标签发送
4)vlan配置
a.access简单配置
[Huawei]sysname S1 #修改交换机名称
[S1]vlan 10 #创建vlan
[S1]int g0/0/1[S1-GigabitEthernet0/0/1]port link-type access #更改端口类型为access
[S1-GigabitEthernet0/0/1]port default vlan 10 #添加pvid 10
[S1-GigabitEthernet0/0/1]quit #退出
[S1]display port vlan active //查看交换机端口类型vlan
LSW2同理
交换机之间的接口配置
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
LSW2同理
两个交换机之间的数据帧不携带tag标签
整个过程的描述:
- PC1发送不携带tag的数据帧,到达交换机的G0/0/1口,这个接口配置为access接口,vlan 10,access接收到不带tag的数据帧,打上接口的tag vlan 10 进入交换机内部
- LSW1在发送数据帧的时候,发现其携带有vlan 10的tag,且G0/0/2接口的tag为vlan 10,access接口收到与接口tag一样的数据帧,剥离tag发送
- 不携带tag的数据帧到达LSW2的G0/0/2接口,access收到不带tag的数据帧,打上接口的tag即vlan 20,进入交换机内部
- LSW2在发送数据帧的时候,发现出接口即G0/0/1的接口tag为vlan 20,access接口收到携带tag与自身一样的数据帧,剥离tag发送,数据帧到达PC2
- 数据帧返回的原理同PC1发送到PC2的数据帧原理相同
总结:acess端口实现原理,网络终端设备只能接收不带tag的数据帧,
因此access接口类型大多时候用在与终端设备互联的情况下
<SW2>save #保存文件
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y #确认保存文件
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]: #保存文件名
Aug 30 2022 13:04:07-08:00 SW2 %%01CFM/4/SAVE(l)[0]:The user chose Y when decidi
ng whether to save the configuration to the device.
Now saving the current configuration to the slot 0.
Save the configuration successfully.
b.trunk简单配置
LSW1配置
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
LSW2配置
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30
- 实现原理
- PC1发送数据帧到达LSW1的G0/0/1接口,access接口收到不带tag的数据帧,打上10的标签到达LSW1内部
- 交换机泛洪数据帧到所有接口,G0/0/2接口收到带tag的数据帧,与自身tag 20比较,不同tag,access接口丢弃数据包
- 同时数据帧到达G0/0/3接口,次接口允许放行vlan 10,到达LSW2的G0/0/3接口,此接口接受vlan 10并保留原标签
- LSW1将数据帧被泛洪到所有接口,G0/0/1 接口收到携带tag的数据帧,且与自身tag相同,剥离tag,到达PC3
- 同时G0/0/1接口收到携带tag的数据帧,且与接口自身tag不一致,丢弃数据帧
- PC1的数据帧返回原理相同
总结:trunk接口实现原理
c.hybrid简单配置
LSW1配置
sysname SW1
#
vlan batch 10 20 30
#
interface GigabitEthernet0/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30
#
interface GigabitEthernet0/0/2
port hybrid tagged vlan 10 20 30
#
interface GigabitEthernet0/0/3
port hybrid pvid vlan 20
port hybrid untagged vlan 20 30
LSW2配置
vlan batch 10 20 30
#
interface GigabitEthernet0/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30
#
interface GigabitEthernet0/0/2
port hybrid tagged vlan 10 20 30
#
interface GigabitEthernet0/0/3
port hybrid pvid vlan 30
port hybrid untagged vlan 10 20 30
- 整个过程描述
- 对于从PC1发出的数据帧,到达LSW1 G0/0/1接口,打上pvid 10,进入交换机内部,数据帧被交换机泛洪到所有接口
- 此时G0/0/3收到来自PC1的数据帧,查看本地,untag vlan 20 30,并没有剥离vlan 10 的tag,数据帧携带tag,终端无法接受带tag的数据帧,于是丢弃数据帧
- 交换机泛洪,G0/0/2接口也会收到,次接口只需要允许所有数据帧携带自身tag通过即可,如果在此处剥离tag,则PC3能够与PC2进行互通,不满足题意,LSW2的G0/0/2接口同理
- 数据帧到达LSW2,会泛洪到所有接口,G0/0/1接口收到PC1携带pvid 10 的数据帧,查看自身untag vlan 10,则剥离掉数据帧的pvid 10标签,到达PC2;
- 数据帧也会到达LSW2的G0/0/3接口,收到带pvid 10 的数据帧,查看本地untag 10 20 30,剥离掉数据帧携带的tag,数据帧到达pc4
- 数据帧返回PC1原理与PC1数据帧到达PC2,PC4原理相同
总结:hybrid接口实现原理
基于MAC地址的vlan划分
拓扑图与配置同hybrid简单配置实验
在此基础上,首先输出之前的LSW2的G0/0/1接口的pvid
[SW2-GigabitEthernet0/0/1]undo port hybrid pvid vlan
配置基于mac的vlan
[SW2]vlan 10
[SW2-vlan10]mac-vlan mac-address 5489-9872-2bae 24 #24为掩码
[SW2-GigabitEthernet0/0/1]mac-vlan enable #进入接口,开启mac-vlan
但是此时将mac地址修改为其他mac地址,发现其会走默认的vlan 1,能够与PC1通信,此时并不安全
修改mac地址后
因此需要创建另一个vlan,并将这个vlan加入到接口中来,将其他的设备划分到这个vlan中来,默认就是用所创建的这个vlan,不在使用默认的vlan1,确保安全
创建vlan100
[SW2]vlan 100
加入到接口中
[SW2-GigabitEthernet0/0/1]port hybrid pvid vlan 100
此时PC2与PC1无法进行通信
***在vlan中 mac-vlan mac-address MAC地址 后面添加掩码后,即确定了MAC地址的范围,例如24位掩码则表示前6位不能改变,后面六位可以改变,不会影响mac-vlan的绑定
[SW2-vlan10]mac-vlan mac-address 5489-9872-2bae 24
#即MAC地址的前六位: 5489-98不能进行改变,后面的72-2bae可以改变,不影响mac-vlan绑定关系