在传统的以太网中,所有的用户都在同一个广播域中,当网络规模较大时,广播包的数量会急剧增加,当广播包的数量占总数量的30%时,网络的传输效率将会明显下降。特别是当某个网络设备出现故障后,就会不停地向网络发送广播,从而导致广播风暴,是网络通信陷于瘫痪。
VLAN概述与优势
一个VLAN即是一个广播域。 相同VLAN内的设备可以直接进行二层通信,而不同VLAN的设备无法直接通信。要实现VLAN之间的通信,需借助三层设备(具备路由功能的设备),例如路由器,或者三层交换机等。
我们可以使用分隔广播域的方法来解决,分隔广播域有两种方法。
将网络从物理上分割成若干小网络,然后使能隔离广播的路由设备将不同的网络连接起来实现通信
将网络从逻辑上划分成若干小的虚拟网络。即VLAN(Virtual Local Area Network)。VLAN工作在OSI参考模型的数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在一个广播域中,各VLAN通过路由设备连接实现通信.
VLAN的优势
1.控制广播
每个VLAN都是-一个独立的广播域,这样就减少了广播对网络带宽的占用,提高了网络传输效率,并且一个VLAN出现了广播风暴不会影响其他的VLAN。
2.增强网络安全性
由于只能在同一VLAN内的端口之间交换数据,不同VLAN的端口之间不能直接访问,因此VLAN可以限制个别主机访问服务器等资源。所以,通过划分VLAN可以提高网络的安全性。
3.简化网络管理
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,这样会增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或应用将不同地理位置的用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护的费用。
Access 只能属于一个VLAN ,也只能允许这一个VLAN的流量通过
Trunk 可以同时属于多个VLAN,也能同时允许这些VLAN的流量通过
Hybrid可以根据需要以tagged或者untagged方式加入某个VLAN或者多个VLAN
静态VLAN
静态vlan即明确指定交换机的端口属于哪个vlan,这需要网络管理员手动配置。当用户的主机连接到交换机端口上时,就被分配了对应的vlan中
基于端口划分静态VLAN
动态VLAN
基于mac地址划分动态VLAN
VLAN的范围
1.创建VLAN
2.将交换机的端口加入到相应的VLAN中
3.验证VLAN的配置
静态VLAN由两种配置方式:VLAN数据库和全局配置
华为交换机建立和删除vlan
vlan 10 ##创建vlan10
vlan batch 10 20 ##批量创建vlan 10 20
undo vlan 10 ##删除vlan10
例如
Vlan interface的基础配置
SW的配置如下:
#创建VLAN10及20,将GE0/0/1划分到VLAN10,GE0/0/2划分到VLAN20
[SW] vlan batch 10 20
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type access
[SW-GigabitEthernet0/0/2] port default vlan 20
SW的配置如下(cont.):
#为vlanif10及vlanif20配置IP地址,作为VLAN10及VLAN20用户的网关
[SW] interface vlanif 10
[SW-vlanif10] ip address 192.168.10.254 24
[SW] interface vlanif 20
[SW-vlanif20] ip address 192.168.20.254 24
华为Access配法
将接口加入access口
int g0/0/0
port link-type access (接口模式)
port default vlan 10 (接口模式)
undo shutdown
华为hybrid vlan(人为控制经过端口时是否脱去vlan标签)
Hybrid接口是华为设备的特殊的二层接口模式,可以类似于VLAN和trunk 接口,可以对数据帧不打VLAN标签和不打标签。
心法口诀:
出口检查:查untag表 有标 脱 无标 查tag 有 放通 无丢掉
进口检查:查有无标签 有标 查tag表 有放通 无标 丢弃
无标 打PVID后 放通
int g0/0/0 ###理解access口
port hybrid pvid vlan 10 (接口模式)
port hybrid untagged vlan 10 (接口模式)
undo shutdown
int g0/0/0 ###理解trunk口
port hybrid tagged vlan 10 20 30(中继口命令)
undo shutdown
int g0/0/0 ###上层接路由器配法
port hybrid untagged vlan 10 30(经过端口时脱去vlan10 30 标签)
undo shutdown
int g0/0/0
undo port default vlan ####初始化还原
port link-type hybrid ####将这个口变为hybrid模式 ,华为交换机默认hybrid口
Trunk的作用
如何实现交换机之间的VLAN通信
为每一个VLAN提供一条链路
使用多条物理链路连接多个vlan
交换机中的网络链路
接入链路:通常属于一个vlan。
中继链路:可以承载多个vlan。中继链路通常用来将一台交换机连接到其他交换机上,或者将交换机连接到路由器上。
VLAN跨交换机通信的过程
交换机给其他交换机的数据帧打上VLAN标识
使用一条中继链路里连接多个vlan
数据帧通过中继链路时的标记过程
(1)当vlan30终的主机A发送数据帧给主机B时,主机A发送的数据帧时普通的数据帧。
(2)交换机SW1接收到数据帧,知道这个数据帧来自vlan30且要发给交换机SW2,于是就会在数据帧中打上vlan30的标识,然后发送给交换机SW2。
(3)交换机SW2接收到带有vlan30标识的数据帧后,根据目标mac地址,得知数据帧时发送给主机B的,就删除了vlan标识还原为普通的数据帧,然后转发给主机B。
VLAN的标识
在以太网上实现中继,有两种封装
ISL(Cisco私有标准)
IEEE802.1q
IEEE802.1q帧格式
华为Trunk配法
将接口加入trunk口
int g0/0/0
port link-type trunk (接口模式)
port trunk allow-pass vlan 10 20 30 (接口模式)
undo shutdown
三层交换机通过硬件来交换和路由选择数据包。
三层交换机具备路由功能,所以两个vlan之间可以互相访问,每一个vlan虚接口就是该网段的网关。
三层交换技术
使用三层交换技术实现VLAN间的通信
三层交换机=二层交换机+三层转发
传统MLS2-1
3层转发过程中要重新封装2层
三层交换机上,第三层引擎处理数据流的第一个包
交换机ASIC从层引擎中获悉2层重写信息在硬件中创建一个MLS条目
负责重写和转发数据流中的后续数据包
三层交换机ip地址配置在vlanif里
int vlanif 10
ip add ip-address netmask ## 配置虚拟接口的ip地址
undo shutdown