VLAN初级知识 学习笔记

VLAN

       虚拟局域网 可以隔离广播域，提升网络安全性

       VLAN 数据链路层

       交换机 所有接口在同一广播域 pc1访问pc2 所有接口都会收到request

       VLAN帧格式

                tag 区别不同VLAN 给帧格式做一个身份验证 pc1发到交换机，不带tag(untag),pc没有打tag功能 ，转发到pc3时，视tag而定 

               创建vlan命令

                       [sw1]vlan 2

                       [sw1]vlan batch 2 3 6

                       [sw1]vlan batch 4 to 7

       

       链路类型

               用户主机与交换机为接入链路(access)

               交换机之间为干道链路(trunk)

               华为交换机默认为hybrid链路

       pvid号 根据端口决定 vlan10 则pvid为10 

               通常情况下，端口在默认(缺省)情况下所属的VLAN 

               默认情况下，X7系列交换机每个端口的默认pvid都为1 

               查看pvid命令 

                       [sw1]display port vlan active 

       access

               收到数据包时，检查是否为untag，若为untag，则打上与pvid相同的标签，从交换机另一端口转发时，比对tag与pvid，相同则剥离标签并转发，不相同则直接丢弃         

               配置access命令 

                               [sw1-Ethernet0/0/2]port link-type access

                               [sw1-Ethernet0/0/2]port default vlan 10

       trunk 干道链路

                       1.trunk收到帧时，如果帧不包含tag，则添加pvid，包含tag不变

                       2.trunk转发帧时，如果vlan id在允许列表里，比对pvid，相同剥离tag，不相同则直接转发出去

               需要避免不必要的流量

                       undo port trunk allow-pass vlan 1 

 

               配置trunk命令

                               [sw1-Ethernet0/0/2] port link-type trunk

                               [sw1-Ethernet0/0/2]port trunk allow-pass vlan 10 20 

       hybrid 华为默认端口

                       1.收到untag时，添加端口pvid，如果pvid在允许通过vlan ID时，转发报文，否则丢弃

                       2.收到tag数据帧，检查vlan id是否在允许通过的vlan id列表里，在接收，否则丢弃

                       3.在发送数据帧时，端口会检查是否允许数据帧通过，是否剥离tag        

               配置hybrid命令

                                [sw1-Ethernet0/0/2] port hybrid tagged vlan 端口在发送vlan id的数据帧时，不剥离tag，直接转发

                                [sw1-Ethernet0/0/2] port hybrid untagged vlan   端口在发送vlan id的数据帧时，剥离tag之后再转发

       

        voice VLAN 区分语音流量和业务流量，配置好优先级，保证业务质量 

       VLAN间路由

                为了让不同路由之间通信 

                通过二层交换机配合路由器实现，也可以通过三层交换机实现

                路由器上为每个vlan分一个端口，再通过物理链路连接

        

                单臂路由

               |

               PC8将数据包发送给路由器，路由器转发给PC9

               1.将交换机与路由器相连的链路设置为trunk，与主机相连的链路设置为access

               2.路由器是三层接口，不支持tag通过，必须封装802.1Q，变成2层接口

                 命令：

                 进入G 0/0/0.1 

                        [r1-GigabitEthernet0/0/0.1]dot1q termination vid 10   (封装vlan10，为此接口添加pvid号10 )

                        [r1-GigabitEthernet0/0/0.1]arp broadcast enable    允许arp广播

               三层交换 

                       为每一个VLAN创建一个VLANIF作为网关

       

        交换机网络

                交换机工作在数据链路层，对数据帧进行操作，收到数据帧后，打标签，进行转发

                交换机泛洪，把从某一端口进来的帧对其他所有端口进行转发

                初始状态下，ARP表为空，新主机连接发出广播需求时，

                交换机配置命令         

                        [s1-GigabitEthernet0/0/0]duplex half/full

                        [s1-GigabitEthernet0/0/0]speed 10/100/1000/auto

               

                switch Port 二层接口 不能添加ip地址

                router port 三层接口 可以添加ip地址

STP生成树协议

        为了提高网络可靠性，交换机通常会使用冗余链路，但是冗余链路会造成环路风险，并导致广播风暴以及mac地址不稳定

        生成树协议会提高可靠性，同时又会避免环路带来的风险

        

       环路会引起mac地址表震荡

        STP作用 

                通过阻塞端口来消除环路，并实现链路备份的目的

        STP端口选举

                永远阻塞下层的交换机 

                选举一个根桥交换机，其他均为非根桥交换机

                优先级 默认为32768，越低越优先，MAC地址和vlan越小越优先

                根据优先级选举根桥 

                根桥上所有端口为DP端口，其他与根桥连接的端口为RP端口，其他非RP/DP端口为可以阻塞的端口