网络基础(九):VLAN的概述及配置
目录
前言
一、分割广播域的方法
二、VLAN
1、VLAN的概述及优势
1.1VLAN的概述
1.2VLAN的优势
2、VLAN的种类
3、VLAN的三种端口类型
4、VLAN 的工作原理
4.1VLAN数据帧
4.2VLAN的范围
4.2VLAN的access类型工作原理
4.3VLAN的trunk类型工作原理
4.4VLAN的Hybird类型工作原理(了解)
5、配置静态VLAN的步骤(使用eNSP软件配置)
三、VLAN间通讯之单臂路由
1、单臂路由的概述
2、单臂路由的缺陷
3、单臂路由的工作原理
4、配置单臂路由的步骤
4.1案例一
4.2案例二
四、VLAN间通讯之三层交换技术
1、三层交换概念
2、三层交换机的优势
3、VLANIF虚拟接口概念
4、VLAN间三层通信原理
5、配置三层交换的步骤
前言
以太网是一种基于CSMA/CD的数据网络通信技术,其特征是共享通信介质。在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。广播域越大,产生的网络安全问题、垃圾流量问题就越严重
在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题,本文介绍了VLAN技术的相关概念,介绍VIAN的应用及其数据转发原理和相关配置,以及实现VLAN间通信的单臂路由和三层交换技术的工作原理和配置
一、分割广播域的方法
- 物理分割:将网络从物理上划分为若干个小网络,再使用能隔离广播的路由设备将不同的网络连接起来实现通信,如加入多个路由器
- 逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN。VLAN 工作在OSI参考模型的数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在同一个广播域中,各 VLAN 通过路由设备连接实现通信
二、VLAN
1、VLAN的概述及优势
1.1VLAN的概述
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN之间不能直接通信,从而将广播报文限制在一个VLAN内
1.2VLAN的优势
- 控制广播
- 增强网络安全性
- 简化网络管理
2、VLAN的种类
- 静态VLAN:基于端口划分,是目前最常见的vlan实现方式,在交换机的接口处需要管理员手动配置vlan,当用户主机连接到该交换机接口上时,就被划分到对应的vlan
- 动态VLAN:基于MAC地址划分,将设备的mac地址上添加到vlan,该设备就属于该vlan
3、VLAN的三种端口类型
- access:交换机与PC主机连接,数据进入交换机时打上vlan标签,出交换机脱掉vlan标签
- trunk:交换机与交换机连接,用于识别可放行的VLAN标签
- Hybird:混杂模式,手动控制了解(华为特有模式)
4、VLAN 的工作原理
4.1VLAN数据帧
4.2VLAN的范围
| VLAN ID | 范围 | 用途 |
|---|---|---|
| 0~4095 | 保留 | 仅限系统使用,用户不能查看和使用这些vlan |
| 1 | 正常 | 默认vlan用户能够使用但不能删除 |
| 2~1001 | 正常 | 用于FDDI和令牌环的,默认vlan用户不能删除 |
| 1002~1005 | 正常 | 用于以太网的vlan用户可以创建,使用和删除这些vlan |
| 1006~1024 | 保留 | 仅限系统使用,用户不能查看和使用这些vlan编婚 |
| 1025~4096 | 扩展 | 仅用于以太网的vlan |
4.2VLAN的access类型工作原理
①如果收到一个没有vlan标签的数据帧,会接收数据,并打上自己端口的vlan标签
②如果收到一个带有vlan标签的数据帧,会和自己的vlan标签比较,如果一样放行并且脱掉标签,如果不一样则拒收
4.3VLAN的trunk类型工作原理
①如果收到一个没有vlan标签的数据帧,会接收数据,并打上自己端口的vlan标签:vlan 1
②如果收到一个带有vlan标签的数据帧,会对比vlan list(vlan通行列表)在list中放行,并且不脱掉标签,如果不在list中就直接拒收
4.4VLAN的Hybird类型工作原理(了解)
5、配置静态VLAN的步骤(使用eNSP软件配置)
5.1新建拓扑,添加两个交换机、四个PC端,两个服务端,再连接它们对应的接口,最后开启这些设备。
根据vlan原理,需要实现的要求:
①蓝色方框区域的财务部内的设备可以互相通信
②橙色方框区域的人事部内的设备可以互相通信
③但蓝色方框区域的财务部内的设备与橙色方框区域的人事部内的设备不可以实现通信
5.2设置所有PC机和所有服务端处于同一网段,这样更方便测试处于不同vlan的设备能否实现互相通信。再分别添加他们的IP地址以及子网掩码
PC1:192.168.11.1/24 PC2:192.168.11.2/24 PC3:192.168.11.3/24
PC4:192.168.11.4/24 server1:192.168.11.100/24 server2:192.168.11.200/24
5.3更改交换机LSW1的名称和交换机LSW2的名称,并建立vlan10、vlan20
5.4交换机端口配置vlan
为交换机LSW1的端口e1、e2配置access类型的vlan10,端口e3、e4配置access类型的vlan20。为交换机LSW1的端口e5配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
为交换机LSW2的端口e1配置access类型的vlan10,端口e2配置access类型的vlan20。为交换机LSW2的端口e3配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
5.5如果配置trunk、vlan出错,可用以下代码删除trunk、vlan再重新配置
5.6查看PC1与PC3、PC1与PC2、PC1与sever1、PC1与sever2能否ping通,如果PC1与PC3、PC1与sever2ping不通,如果PC1与PC2、PC1与sever2能ping通,则成功配置好静态vlan,也验证了vlan的工作原理
5.7抓包验证
三、VLAN间通讯之单臂路由
1、单臂路由的概述
单臂路由实现不同VLAN间通信
链路类型:
- 交换机连接主机的端口为access链路
- 交换机连接路由器的端口为Trunk链路
子接口:
- 路由器的物理接口可以被划分成多个逻辑接口
- 每个子接口对应一个VLAN网段的网关
2、单臂路由的缺陷
- “单臂”为网络骨干链路,容易形成网络瓶颈
- 子接口依然依托于物理接口,应用不灵活
- VLAN间转发需要查看路由表,严重浪费设备资源
3、单臂路由的工作原理
①pc1 和 pc2 通信由于不在同一个网段
②pc 会生成一个不带vlan标签的报文(源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac: aaaa、目的mac: 111111)
③到达交换机后:交换机f0/1口是 access链路,收到不带vlan标签的数据包,会打上自己端口vlan10的标签,然后从f0/24口出去,f0/24是trunk链路肯定允许所有链路通过, 所以数据会携带vlan标签发往路由器(vlan-id: 10、源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac:aaaa、目的mac: 111111)
④路由器 f0/0.1口收到数据,因为它是van10的网关 10.0.0.1,拆包分析发现你要去往20网段,查找路由表发现是直连路由。从f0/0.2口转发还发现这个端口属于van 20,所以重新封装数据包。把vlan-id改成20,再发arp广播得到pc2的mac,所以最后数据包(vlan-id: 20、源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac:111111、目的mac: bbbbbb)
4、配置单臂路由的步骤
4.1案例一
4.1.1新建拓扑,添加一个路由器、两个PC端、一个交换机,再连接它们对应的接口,最后开启这些设备。
4.1.2设置PC7和PC8不同网络区域的IP地址和网关以及子网掩码
4.1.3为交换机LSW3的端口g1配置access类型的vlan10,端口g2配置access类型的vlan20。为交换机LSW3的端口g3配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
4.1.4为路由器AR1设置单臂路由
4.1.5检测PC7能否ping通PC8,可以则说明单臂路由设置成功,可以实现跨网络区域跨vlan的通讯
4.2案例二
4.2.1在配置静态vlan的基础上添加一个路由器AR2,来配置单臂路由,实现全设备之间的通讯
修改蓝色方框区域的财务部内的设备的ip地址,使之与橙色方框区域的人事部内的设备的ip地址不在同一网络区域,再给方框内的所有设备上配置网关
如PC1:
4.2.2为路由器AR2设置单臂路由
4.2.3为交换机LSW2的e4端口添加vlan的trunk类型,允许所有的vlan通过
4.2.3检测PC1与PC3、PC1与PC2、PC1与server1、PC1与server2能否ping通,如果全部ping通就说明单臂路由配置成功,可以实现跨网络区域跨vlan的通讯
四、VLAN间通讯之三层交换技术
1、三层交换概念
三层交换=二层交换+三层转发
二层交换机:指的是只具备二层交换功能的交换机
三层交换机:除了具备二层交换机的功能,还支持通过三层接口(如VLANIF接口)实现路由转发功能
2、三层交换机的优势
- 省略了路由器物理设备,节省了成本
- 解决了单臂带来的带宽瓶颈问题
3、VLANIF虚拟接口概念
- VLANIF是一种虚拟接口,用于实现VLAN(虚拟局域网)的隔离和路由
- VLANIF接口位于交换机上,与VLAN相关联,实现VLAN的隔离和通信
- VLANIF接口可以配置为三层接口,用于实现VLAN的路由和互联
- VLANIF接口可以配置IP地址和子网掩码,提供了与其他网络设备通信的能力
- 在交换机上创建VLAN后,可以为每个VLAN创建一个VLANIF接口。每个VLANIF接口都有一个唯一的IP地址和子网掩码,用于与其他网络设备通信。通过VLANIF接口,可以实现VLAN间的通信,也可以实现不同VLAN和其他网络设备的通信
注:
VLANIF接口只能在三层交换机上使用,而在二层交换机上无法配置VLANIF接口。另外,VLANIF接口与物理接口不同,它是一种虚拟接口。使用VLANIF接口可以轻松实现VLAN的隔离和路由
4、VLAN间三层通信原理
①当PC1发送第一个数据包给PCB时:
②当PCB回复数据包给PCA时:
注:
在第一个数据包转发完成后,在硬件中创建一个MLS条目用于后续的数据包由硬件执行的重新封装和快速转发。2层数据帧会被重新封装为需要转发的下一个网段的帧格式。 这就是MLS“一次路由,多次交换"的原理
基于CEF (一种基于拓扑转发的模型)的MLS,其关键是两张转发信息表,转发信息库(FIB)与路由表一一对应,是路由表的一个镜像。路由表更新时,FIB随之变化,其中FIB包含邻接主机的IP地址与VLANID的对应关系。而邻接关系表包含邻接主机和交换机MAC地址的对应关系用来提供二层重写信息
基于CEF的MLS转发过程,即发送单播数据包,通过查找FIB和邻接关系表,重新封装数据帧,从相应端口进行转发
5、配置三层交换的步骤
5.1新建拓扑,添加一个二层交换机、一个三层交换机、三个PC端,再连接它们对应的接口,最后开启这些设备
5.2设置PC1、PC2、PC3不同网络区域的IP地址和网关以及子网掩码
5.3为二层交换机LSW2的端口e1配置access类型的vlan10,端口e2配置access类型的vlan20,端口e3配置access类型的vlan30,端口e4配置trunk类型允许所有的vlan通过。
输入“display vlan”,查看上述设置的vlan信息是否正确
5.4为三层交换机LSW1的端口g1配置trunk类型允许所有的vlan通过,且在端口g1上配置虚拟接口vlan10、vlan20、vlan30,并添加对应的网关和子网掩码
5.5检测PC1与PC2、PC1与PC3能否ping通
如果PC1与PC2、PC1与PC3能ping通,则说明配置三层交换机成功,检验了三层交换机可以实现路由转发,能联通不同网络区域的设备的功能
5.6拓展
5.6.1添加一个路由器和一个PC端,进一步验证三层交换机可以实现路由转发,能联通不同网络区域的设备的功能
5.6.2配置新添加的PC4的ip地址、网关和子网掩码,使之与PC1、PC2、PC3不在同一网段
5.6.3创建三层交换机LSW1的虚拟接口vlan 100,且配置接口g2的access类型的vlan 100,并配置静态路由
5.6.4配置路由器AR1的两个接口ip地址和子网掩码,并配置默认路由
5.6.5检测PC4与PC1、PC4与PC2、PC4与PC3能否ping通
如果PC4与PC1、PC4与PC2、PC4与PC3能ping通,则说明三层交换机和路由器配置成功,进一步检验了三层交换机可以实现路由转发,能联通不同网络区域的设备的功能
