自学笔记——VLAN

VLAN——虚拟局域网(Virtual Local Area Network(VLAN))、Virtual Private Network(VPN)、Virtual Router Redundancy Protocol(VRRP)等。

二层广播域——一个广播帧所能到达的整个范围，简称广播域(Broadcast Domain)。一个交换网络其实就是一个广播域。

将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此便可以有效地提升网络的安全性，同时减少了垃圾流量，节约了网络资源。

大白话：一个大网络中，划分为几个子网络，做到专网专用。

好处：提高网络安全性，减少垃圾流量的问题。

二层通信——通信的双方是以直接交换帧的方式来传递信息的。

一个VLAN就是一个广播域，所以在同一个VLAN内部，计算机之间的通信就是二层通信。

如果源PC与目的PC位于不同的VLAN中，那么它们之间是无法进行二层通信的，只能进行三层通信来传递信息。

802.1Q 帧

VLAN传输的帧

VLAN实现原理：通过给帧打上标签，通过识别标签来识别不同的VLAN。

VLAN Tag 各个字段的含义：

给帧打标签：

        发送：交换机识别出某个帧是属于哪个VLAN后，会在这个帧的特定位置上添加上一个标签(Tag)，这个Tag明确地表明了这个帧是属于哪个VLAN的。

        接收：别的交换机收到这个带Tag的帧后，就能轻易而举地直接根据Tag信息识别出这个帧是属于哪个VLAN的。

如判断帧是否是Tagged帧：

        一个帧的源MAC地址后面的两个字节的值是不是0x8100，

        是的——Tagged帧；    不是的——传统的Untagged帧。

        注意：计算机中没有VLAN的概念，不会产生并发送Tagged帧，如果收到了Tagged帧因为识别不出0x8100的含义，会直接将这个Tagged帧丢弃。

VLAN的类型

1.基于端口的VLAN（Port-based VLAN）

          将VLAN的编号(VLAN ID) 配置影射 到交换机的物理端口上，从哪个端口进，该端口属那个VLAN，该帧就被划分为哪个VLAN。

优点：简单而直观，实现也很容易，并且也比较安全可靠。

不足：当接入端口发生了变化时，该发送的帧的VLAN归属可能会发生改变。

基于端口的VLAN通常也称为物理层VLAN或一层VLAN。

2.基于MAC地址的VLAN（MAC-based VLAN）

其划分原则：交换机内部建立并维护了一个MAC地址与VLAN ID的对应表，当交换机接收到计算机发送的Untagged帧时，交换机将分析帧中的源MAC地址，然后查询MAC地址与VLANID的对应表，并根据对应关系把这个帧划分到相应的VLAN中。

优点：灵活性高。

例如，当计算机接入端口发生了变化时，该计算机发送的帧的VLAN归属并不会发生改变（因为计算机的MAC地址不会发生变化）。

不足：这种划分原则实现起来稍显复杂，这种类型的VLAN的安全性不是很高，因为一些恶意的计算机是很容易伪造自己的MAC地址的。

基于MAC地址的VLAN通常也称为二层VLAN。

3.基于协议的VLAN（Protocol-based VLAN）

          其划分原则：交换机根据计算机发送的Untagged帧中的帧类型字段的值来决定帧的VLAN归属。     例如，可以将类型值为0x0800的帧划分到一个VLAN，将类型值为Ox86dd的帧划分到另一个VLAN；这实际上是将载荷数据为IPv4 Packet的帧和载荷数据为IPv6 Packet的帧分别划分到了不同的VLAN。基于协议的VLAN通常也称为三层VLAN。 

        基于端口的VLAN在实际的网络中应用最为广泛。如无特别说明，所提到的VLAN，均是指基于端口的VLAN。

链路类型和端口类型

Access链路（Access  Link)——把交换机与终端计算机直接相连的链路。

Trunk链路(Trunk Link)——交换机之间直接相连的链路。

Hybrid端口——既可以将交换机上与终端计算机相连的端口配置为Hybrid端口，也可以将交换机上与其他交换机相连的端口配置为Hybrid端口。    

VLAN配置示例 

system-view                                     //进入系统视图

vlan 10                                            //创建vlan

quit                                                //退出vlan视图

interface gigabitethernet 1/0/1     //进入端口视图

port link-type [access/trunk]        //设置端口的VLAN端口类型

port default vlan 10                     //access类型设置端口的vlan类型

port trunk allow-pass vlan 【all|vlan号】 //trunk类型端口设置通过vlan的。

display port vlan                         //查看交换机各端口类型及加入的VALN。

GVRP

GARP(Generic Attribute Registration Protocol，通用属性注册协议）的框架协议，该框架协议包含了两个具体的协议：

GMRP（GARP Multicast Registration Protocl,简称GMRP）

GVRP（GARP VLAN Registration Protocl，简称GVRP）。

GVRP的应用——可以大大地降低VLAN配置过程中的手工工作量。

静态VLAN——交换机上手工创建的VLAN。

动态VLAN——交换机利用GVRP协议自动创建的VLAN。

GVRP配置示例

1.配置思路

（1）在每台交换机的全局及端口下使能GVRP功能。

（2）配置交换机二层连通性，即将交换机的某些端口配置为Trunk端口并允许相应的VLAN帧通过。

（3）在边端交换机S1和S4上配置静态VLAN1000。

2.配置步骤

   （1）在每台交换机的全局及端口下使能GVRP功能。

        system-view    //进入视图界面

        gvrp            //全局使能GVRP功能

（2）配置交换机二层连通性，即将交换机的某些端口配置为Trunk端口并允许相应的VLAN帧通过。

 端口交换机

        interface gigabitethernet 1/0/1        //进入端口模式

        port link-type access                        //设置vlan的端口access

        port default vlan 1000                     //设置vlan号

        quit                                                  //退出端口模式

         interface gigabitethernet 1/0/2        //进入端口模式

        gvrp                                                 //开启GVRP

        port link-type trunk                          //设置trunk端口类型

        port trunk allow-pass vlan all           //设置所有vlan

        quit                                                   //退出端口模式

二层交换机

         interface gigabitethernet 1/0/1

         gvrp

         port link-type trunk

        port trunk allow-pass vlan all

        quit

        interface gigabitethernet 1/0/2

        gvrp

        port link-type trunk

        port trunk allow-pass vlan all

        quit

        display vlan summary      //系统视图下，查看VLAN信息

（3）在边端交换机S1和S4上配置静态VLAN1000。

        vlan 1000   //创建vlan

        quit            //退出vlan模式

查看配置验证设置

            display gvrp status            //查看GVRP的使能情况

            display gvrp statistics        //查看端口的GVRP统计信息

            display vlan summary       //查看VLAN信息，dynamic vlan的号码

VLAN间的三层通信

        属于同—VLAN的计算机之间是可以进行二层通信的，属于不同VLAN的计算机之间是无法进行二层通信。            属于不同VLAN的计算机之间是无法进行二层通信的，但完全可以进行正常的通信，是三层通信。   

通过多臂路由器实现VLAN间的三层通信     

两个VLAN间的PC不能直接通信，   目前尚未存在一个“三层通道”，所以它们之间也无法进行三层通信。   

方法之一便是引入一台路由器。路由器的作用实质上就是在不同的二层网络（二层广播域）之间建立起三层通道。

每条物理链路可以被形象地称为路由器的一条“手臂”，所以这里的路由器R也常常被形象地称为“双臂路由器”，或泛泛地称为“多臂路由器”。

通过单臂路由器实现VLAN间的三层通信

实际的网络部署中，几乎都不会通过多臂路由器来实现VLAN间的三层通信。

采用单臂路由器的方法来实现VLAN间的三层通信。

    采用这种方法时，必须对路由器的物理接口进行“子接口（Sub-Interface)”划分。一个路由器的物理接口可以划分为多个子接口，不同的子接口对应了不同的VLAN。

通过三层交换机实现VLAN间的三层通信

如果VLAN的数量众多，VLAN间的通信流量很大时，单臂链路所能提供的带宽就有可能无法支撑这些通信流量。另外，如果单臂链路一旦发生了中断，那么所有VLAN间的通信也都会因此而中断。通常，我们把交换机上的端口称为二层端口，或简称为二层口；同时，我们把路由器或计算机上的接口称为三层接口，或简称为三层口。

三层交换机的原理性定义是：三层交换机是二层交换机与路由器的一种集成形式，它除了可以拥有一些二层口外，还可以拥有一些“混合端口”（简称为“混合口”）。混合口既具有二层口的行为特征，同时又具有三层口的行为特征。

三层交换机内既存在MAC地址表，用以进行二层转发，又存在IP路由表，用以进行三层转发。

VLANIF接口配置示例

1.配置思路

    （1)  在交换机上S1创建VLAN（注意，在S2和S3上无需创建VLAN)。

     （2）配置交换机S1的端口。

     （3）在交换机Sl上创建VLANIF接口并配置IP地址，实现不同VLAN之间的三层互通。

2.配置步骤

        system-view

        vlan batch 10 20                                //批量创建vlan

        interface gigabitethernet 0/0/1

        port link-type access

        port default vlan 10

        quit

         interface gigabitethernet 0/0/2

        port link-type access

        port default vlan 20

        quit

        display vlan vlanid verbose        //查看vlanif配置

        display port vlan                        //查看S1上所有VLAN所包含的端口信息

在S1路由器

        interface vlanif 10

        ip address 192.168.100.1 24

        quit

        interface vlanif 20

         ip address 192.168.200.1 24

        quit

        display ip interface brief vlanif  vlan-id      //查看vlanif接口看信息