HCIP(VLAN)
企业的三层架构
企业搭建网络时的一个参考建议方案
园区:工厂,政府,商场,写字楼,校园等公共场所为了实现数据互通而搭建的网络都可以称为园区网络。“城市除了街道都是园区”不同园区搭建的网络侧重点不同,但是都可以参考三层架构来进行搭建
- 接入层:提供终端设备接入网络,接入层主要由交换机构成,接入层交换机主要是由二层交换机来来组建,二层交换机指的是通过识别MAC地址查询MAC地址表来进行二层转发的设备
- 汇聚层:接入层的流量将收集到的流量进行汇聚,形成汇聚层,汇聚层设备我们一般选用三层交换机来充当,三层交换机相较于普通的二层交换机,既有二层交换机实现二层转发所使用的接口,也拥有类似路由器可以实现三层转发的三层接口(三层接口和二层接口最直接的一个区别就是三层接口需要配置IP地址,则也需要具有MAC地址)所以在三层交换机中,即拥有MAC地址表也拥有路由表,相当于是二层交换机和路由器集成的产物
- 核心层:主要作用就是完成私网和公网之间数据的快速转发,核心层一般是使用路由器作为核心层的设备
AP:无线接入点
WLAN:无线局域网,从广义上讲,是指以无线电波,激光,红外等来代替有线局域网中部分或者全部传输介质所构成的网络
无线传输的缺点:
-
传输速率低于有线,信号强度存在波动,和信号发射点位置越远,信号越弱
-
无线信号传输性较差,以太网可以实现频分
-
上网用户数量增多,则网络卡顿严重
-
CSMA/CD:载波侦听发多路访问/冲突检测
无线网络中没有使用冲突检测技术
- 无线信号本身信号强度动态范围非常大,往往收到的信号强度可能远远小于发出时的强度,检测冲突比较困难
- 在无线网络的应用场景中,存在很多冲突无法检测的场景
-
CMSA/CA:载波侦听多路访问/冲突避免
- 即使在没有侦听到信号时,也不立即发送消息,而是先执行避让动作,给自己设置一个随机的计时器,时间到了之后再发送信息
- CSMA/CA技术,为了保障传输的可靠性,采用了停等式流控,每发送一个数据包,要求对方回复ACK进行确认,否则重传
-
企业三层架构的核心思想:冗余(备份)—保障网络的稳定性
-
线路冗余
-
设备冗余
-
网关冗余
-
UPS冗余-----UPS:不间断电源
交换机启用过程 -
RAM:随机存储(当前配置文件)
-
ROM:只读存储(自检程序)
-
NVROM:非易失性存储(保存配置)
-
Flash:闪存(操作系统)
交换机
交换机的工作方式:
-
存储转发
收到数据帧后存储后进行完整性校验,数据帧完整进行转发,不完整则丢弃
-
贯穿转发
收到数据帧检测MAC地址直接转发
-
无分片转发
取64字节进行检测,检测一致则转发,不一致则丢弃
交换机的基本功能:
- 基于源MAC地址学校
- 基于目标MAC地址转发
- 数据过滤:交换机拒绝转发集线器的洪泛数据,交换机通过接口收到的数据,查询MAC地址表之后发现出接口与入接口一致,交换机拒绝转发
- 防止环路:交换收到需要泛洪的数据帧,将数据帧通过本交换机上除接收接收的接口转发出去
VLAN:虚拟局域网
可以理解为虚拟的广播域,交换机和路由器协同工作后,将原来的一个广播域逻辑上的划分为多个广播域
VID:VLAN ID,用来区分和标定不同的VLAN,IEEE组织在802.1Q标准中进行规定,VID由12位二进制构成,0-4095,其中0和4095保留,所以VID的取值范围为1-4094
在交换机中为了区分不同VLAN的流量,需要给数据帧打上标签。于是就有了802.1Q帧,在普通的以太网Ⅱ型帧的基础上,在其源MAC和类型字段之间增加了4个字节的标签,我们称为TAG,里面包含12位的VID,这样的帧我们也称为tagged帧。没有打标签的帧也可以被称为untagged帧。
- TPID(标签协议标识符):标识数据帧的类型,值为0x8100时表示为802.1Q帧
- PRI(优先级):标识帧的优先级
- CFI(标准格式指示符):在以太网中,该字段的值为0
- VLAN ID(VLAN 标识符):标识该帧所属的VLAN
Access接口
交换机和PC之间的链路称为Access链路,Access链路中交换机侧的接口被称为Access接口。ACCESS链路中,只能通过untagged帧,并且,这些帧一定属于某一个特定的VLAN;
- 当Access接口从链路上收到一个untagged帧时,交换机首先会在数据帧中添加VID为PVID的标签,之后查看允许列表,如果允许列表中有该数据帧标签中的VID号,则转发(Access接口因为允许列表中的VID号和自己的PVID相同,所以,这种情况下,一定可以转发)
- 当一个tagged帧从交换机的其他端口到达一个ACCESS端口后,交换机会检查这个帧中的tag的VID是否和允许列表中的VID相同,如果不同,则直接丢弃;如果相同,则需要先剥离标签后发出到链路上。
- 如果ACCESS接口在链路上收到一个tagged帧,则交换机会检查他的VID是否在自己
本地的允许列表中,如果在,则转发,不在,则丢弃。
ACCESS — 可以修改PVID,可以修改允许列表(但是PVID和允许列表必须相同且只能允
许一个VLAN的流量通过),出口的封装方式只能时不带标签封装。
Trunk接口
交换机和交换机之间的链路称为trunk链路(trunk干道),trunk链路中交换机侧接口被称为trunk接口,trunk链路中可以通过tagged帧,并且这些帧可以属于多个VLAN。
- 当trunk接口从链路上接口到一个untagged帧,交换机首先会在数据帧中添加VID为PVID的标签,之后,查看允许列表,如果允许列表中有该数据帧标签中的VID号,则转发,如果没有,则丢弃;
- 当一个tagged帧从交换机的其他接口到达一个trunk接口后,如果这个tag中的VID不在trunk接口的允许列表则直接丢弃,如果在,则转发,如果VID和trunk接口的PVID相同,则剥离标签后发出,如果不相同,则不剥离标签,直接发出。
- 如果trunk接口在链路上收到一个tagged帧,交换机将先查看这个tagged帧中的VID是否在允许列表中,如果在,则转发,如果不在,则丢弃;
Trunk — 可以修改PVID,可以修改允许列表,而且允许列表中可以通过多个VLAN的流
量,出口封装方式仅为带标签封装(PVID若在允许列表中,则默认为封装不带标签)
Hybrid接口
在不做任何配置的情况下,华为交换机默认的接口类型为Hybrid类型
- PVID:代表接口所属的VID,华为设备规定,所有接口没有做配置的情况下,其PID为1,即其默认属于vlan 1。
- 华为设备规定,所有通过接口进入到交换机的数据都必须携带标签,如果没有标签,则需要打上进入接口的PVID的标签
实验:
要求:
PC1属于vlan 10,PC2属于vlan 20,PC3属于vlan 30,PC1 可以与PC3通信,PC2可以与PC通信,PC1不能与PC2通信,PC1、2、3属于同一网段
配置:
创建Vlan
[sw1]vlan batch 10 20 30
[sw2]vlan batch 10 20 30
修改接口的PVID及vlan list
MUX VLAN
定义主从VLAN
从VLAN 分为:组VLAN 和 隔离VLAN
规则: 主VLAN 可以和所有的从VLAN 通信,从VLAN 之间不能通信,组VLAN 之内可以通信 ,隔离VLAN 之内不能通信
创建vlan:[sw1]vlan batch 10 21 22
在主vlan中开启MUX-VLAN功能,同时关联自身所有的vlan
[sw1]vlan 10
[sw1-vlan10]mux-vlan
[sw1-vlan10]subordinate separate 22
[sw1-vlan10]subordinate group 21
接口划入vlan中
[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 10
[sw1-GigabitEthernet0/0/1]port mux-vlan enable
[sw1]port-group group-member g0/0/2 g 0/0/3
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 21
[sw1-port-group]port mux-vlan enable
[sw1]port-group group-member G 0/0/4 g0/0/5
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 22
[sw1-port-group]port mux-vlan enable
VLAN mapping
VLAN 映射 ,在数据的传输过程中迚行VLAN 标记的改变,一般被用于城域网中
交换机sw3、sw4上分别创建vlan10 ,20,分别将PC1、3划入vlan10,PC2、4划入vlan 20,将与三层交换机相连的接口类型修改trunk
在三层交换机sw1、sw2上创建vlan 100、200,在ISP交换机连接客户端的交换机上配置:
1.定义为trunk链路
2.启用QINQ 的VLAN 转换能力
3.定义VLAN 的映射列表
4.定义VLAN 的允许列表
[sw1]vlan batch 100 200
[sw1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type trunk
[sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]qinq vlan-translation enable
[sw1-GigabitEthernet0/0/1]port vlan-mapping vlan 10 map-vlan 100
[sw1-GigabitEthernet0/0/1]port vlan-mapping vlan 20 map-vlan 200
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
QINQ技术
双层或多层VLAN 标记来穿越二层的ISP技术。
接口配置802.1Q 隧道技术:
1.接口封装为802.1Q的隧道模式
2.端口的PVID 为 500(接口接收到的所有数据帧都增加802.1Q的新标记)
交换机sw3、sw4上分别创建vlan10 ,20,分别将PC1、3划入vlan10,PC2、4划入vlan 20,将与三层交换机相连的接口类型修改trunk
在三层交换机上创建vlan 100,将两个三层交换机相连的接口类型修改为trunk,连接客户端的交换机上的接口类型为dot1q-tunnel ,并加入vlan 100
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type dot1q-tunnel
[sw2-GigabitEthernet0/0/1]port default vlan 100
802.1Q隧道技术 堆叠VLAN
交换机sw3、sw4上分别创建vlan10 ,20,分别将PC1、3划入vlan10,PC2、4划入vlan 20,将与三层交换机相连的接口类型修改trunk
[sw2]vlan batch 100 200
[sw2-GigabitEthernet0/0/1]qinq vlan-translation enable
[sw2-GigabitEthernet0/0/1]port vlan-stacking vlan 10 stack-vlan 100
[sw2-GigabitEthernet0/0/1]port vlan-stacking vlan 20 stack-vlan 200
[sw2-GigabitEthernet0/0/1]port hybrid untagged vlan 100 200
[sw2-GigabitEthernet0/0/1]int g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type trunk
[sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
SVI
SVI : 交换机虚拟接口 — 在华为体系中被称为VLAN IF接口,这个接口是针对VLAN来进行
配置的虚拟的三层接口。
这个接口对于二层交换机来说,其主要目的是为了方便远程管理,所以,这个接口只需要一
个,并且其属于哪个VLAN都可以
管理VLAN : 二层交换机只能存在一个SVI接口,其作用仅仅是为了满足远程登陆控制,所
以,他的SVI只能属于一个VLAN,这个所属的VLAN就是管理VLAN
而在三层交换机中,所有VLAN均可以创建一个VLAN IF接口,并且,三层交换机本身具备三
层转发功能,所以,这个接口在三层交换机中除了可以完成远程登陆控制以外还可以用来承担
网关的角色。
创建VLAN IF接口
[sw1]interface Vlanif 2
[sw1-Vlanif2]ip address 192.168.1.1 24