VLAN
VLAN(Virtual Local Area Network)——虛擬局域網
虛擬局域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣,由此得名虛擬局域網。
就好比宿舍裏面組建一個本地的局域網VLAN,然後我們就可以一起愉快地玩遊戲了。而我們想要組建這麼一個簡單的局域網,我們只需要一臺交換機即可。
VLAN的作用
簡單來說,同一個VLAN中的用戶間通信就和在一個局域網內一樣,同一個VLAN中的廣播只有VLAN中的 成員才能聽到,而不會傳輸到其他的VLAN中去,從而控制不必要的廣播風暴的產生。同時, 若沒有路由,不同VLAN之間不能相互通信,從而提高了不同工作組之間的信息安全性。網絡管理員可以通過配置VLAN之間的路由來全面管理網絡內部不同工作組之間的信息互訪。
VLAN間通信
VLAN是廣播域。而通常兩個廣播域之間由路由器連接,廣播域之間來往的數據包都是由路由器中繼的。因此,VLAN間的通信也需要路由器提供中繼服務,這被稱作“VLAN間路由”。
VLAN間路由,可以使用普通的路由器,也可以使用三層交換機。大家可以記住不同VLAN間互相通信時需要用到路由功能。
VLAN的劃分方式
1、靜態VALN
靜態VLAN也叫做基於端口的VLAN。從意思也能理解,它是固定不變的,就是明確指定交換機各端口屬於哪個VLAN的設定方法。
基於端口的vlan這種方法,主要的優點就是定議vlan的成員很簡單明瞭,思路清楚,直接針對交換機現有的端口設置vlan,哪些端口屬於同一個vlan,很清楚的理解。
缺點:
由於需要一個個端口地指定,因此當網絡中的計算機數目超過一定數字(比如數百臺)後,設定操作就會變得煩雜無比。並且,計算機每次變更所連端口,都必須同時更改該端口所屬VLAN的設定——這顯然靜態VLAN不適合那些需要頻繁改變拓補結構的網絡和大型網絡。
2、動態VLAN
動態VLAN則是根據每個端口所連的計算機,隨時改變端口所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分爲3類:
● 基於MAC地址的VLAN(MAC Based VLAN)
● 基於子網的VLAN(Subnet Based VLAN)
● 基於用戶的VLAN(User Based VLAN)
1、基於MAC地址的VLAN,就是通過查詢並記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。假定有一個計算機的MAC地址爲“A”被交換機設定爲屬於VLAN“10”,那麼不論MAC地址爲“A”這臺計算機連在交換機哪個端口,該端口都會被劃分到VLAN10中去。
2、基於子網的VLAN,則是通過所連計算機的IP地址,來決定端口所屬VLAN的。不像基於MAC地址的VLAN,即使計算機因爲交換了網卡或是其他原因導致MAC地址改變,只要它的IP地址不變,就仍可以加入原先設定的VLAN。只要電腦ip地址不變,那麼它的vlan就不變,很方便,計算機可以換交換機端口,也可以MAC地址了,都不影響。
3、基於用戶的VLAN,則是根據交換機各端口所連的計算機上當前登錄的用戶,來決定該端口屬於哪個VLAN。這裏的用戶識別信息,一般是計算機操作系統登錄的用戶,比如可以是Windows域中使用的用戶名。這些用戶名信息,屬於OSI第四層以上的信息。
交換機的作用
區別集線器(HUB),HUB爲物理層設備,只能直接轉發發電流;
交換機爲數據鏈路層設備,可以將電流與二進制轉換,實現了以下功能:
1、 無限的傳輸距離
2、 徹底解決了衝突—所有的接口可以同時收發數據
3、 二層單播—物理尋址,在一個交換網絡內,實現一對一通訊,保障了數據的安全,減少了垃圾數據量,降低的轉發延時;
4、 提高端口密度—可以增加更多的接口
VLAN配置思路
1、 交換機上創建vlan
2、 交換機上各個接口劃分到對應的vlan中
3、 trunk幹道
4、 vlan間路由--- 單臂路由(路由器子接口) 三層交換機
MAC表與CAM表
交換機對流量的轉發機制:流量進入交換機後,先識別數據幀中的源MAC地址,然後將該MAC地址與該流量的進入接口進行綁定、記錄,生成MAC地址表—再轉換爲CAM表
之後查看數據幀中的目標MAC地址,在CAM表中尋找對應的記錄,若存在記錄,按記錄接口單播轉發;
若沒有記錄將洪泛該流量; 洪泛—除流量的入口外其他所有出口複製;
默認CAM在一個mac最後出現的後300s將被刪除;
MAC地址表和CAM的區別— CAM是將MAC表中的MAC地址+接口編號+vlanid轉換爲hash值,再轉換爲二進制格式;意義在於識別更快;
VLAN的配置
cisco的vlan配置
1、創建vlan
vlan1 爲默認的native vlan,默認的管理vlan;且所有接口默認處於vlan1;
Switch(config)#vlan 2
Switch(config-vlan)#name classroom1
Switch(config-vlan)#exit
Switch(config)#vlan 3-10,15-20 批量創建
2、接口劃入vlan
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access 必須先將接口定義access模式才能進行劃分
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/3 -4 批量劃分
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
3、trunk幹道
二層交換機手工配置trunk幹道
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk
Cisco的二層交換機僅支持802.1q
三層交換機手工配置trunk幹道—ISL和802.1q均支持 故配置前必須先定義封裝類型
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
華爲vlan配置
1、創建vlan
[SWA]vlan 10
[SWA-vlan10]quit
[SWA]vlan batch 2 to 3 5 10 批量創建vlan2-3,5,10
批量修改爲access
[Huawei]port-group 1
[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access
單個將接口劃分到vlan
[SWA]interface GigabitEthernet0/0/5
[SWA-GigabitEthernet0/0/5]port default vlan 3
Access接口中,劃分的vlan就是pvlan
批量將接口劃分到vlan2
[Huawei]vlan 2
[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2
2、trunk幹道
進入接口後先修改接口類型爲trunk模式;再定義該trunk幹道可以允許通過的vlan;默認trunk幹道的PVLAN-類似cisco的native vlan爲vlan1,默認對vlan1 的流量不標記,且其他添加到允許列表也可正常通過(若接口之前是hybrid模式並且已經配置,需要先刪除混雜模式中的配置,如刪除允許列表的內容,然後更改爲truck)
[SWA-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all 允許所有vlan通過
[Huawei-GigabitEthernet0/0/1]port default vlan 3
3、vlan間路由器
單臂路由—子接口—交換機連接路由器的那個交換機接口修改trunk模式
路由器連接交換機的接口:
[RTA]interface GigabitEthernet0/0/1.1
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable
[RTA]interface GigabitEthernet0/0/1.2
[RTA-GigabitEthernet0/0/1.2]dot1q termination vid 3
[RTA-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24
[RTA-GigabitEthernet0/0/1.2]arp broadcast enable
華爲vlan接口模式
接口規則
1、 只要流量進入華爲的設備將馬上打上標籤;-- 華爲設備內部轉發的流量均存在標籤
2、 華爲設備交換機上所有的接口存在轉發允許列表,只有被轉發允許列表允許的流量,才能從該接口進入或轉出;
3、 從某個接口轉出時,除查看允許列表外,還需要定義是否標記;
4、 若某個流量從交換機某個接口進入時,沒有標籤,將被標記上該接口pvlan id;
5、 若某個流量從交換機的某個接口進入時,存在標籤,將匹配該接口的允許列表,若被允許可以進入,若未被允許將被丟棄;
6、 PC若接收到存在標記的流量,將丟棄;
7、交換機遞給pc的流量會進行剝離標籤;
接入模式
只能允許一個VLAN通過(允許列表無法直接定義);PVLAN就是允許VLAN;且一定爲不標記
[sw1]interface GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 2
中繼模式
所有VLAN均可手動添加到允許列表中,默認僅pvlan在允許列表,且pvlan的出規則爲不標
記,其他VLAN出規則爲標記;
[sw1]interface GigabitEthernet 0/0/6
[sw1-GigabitEthernet0/0/6]port link-type trunk
[sw1-GigabitEthernet0/0/6]port trunk pvid vlan 2
[sw1-GigabitEthernet0/0/6]port trunk allow-pass vlan all
混雜模式
所有VLAN均可手動添加到允許列表中,且可以在允許通過時,定義是否標記;
默認PVLAN 爲VLAN1,出向規則爲不標記;一旦PVLAN被修改,那麼需要手工添加該VLAN到允許列表,同時可以定義是否標記;
[sw1]interface GigabitEthernet 0/0/7
[sw1-GigabitEthernet0/0/7]port hybrid tagged vlan 2 to 3
[sw1-GigabitEthernet0/0/7]port hybrid untagged vlan 4 to 5
[sw1]display port vlan active 查看接口的VLAN轉發規則;