012-A 交換機及VLAN

交換機3種行爲

參見：HCNA網絡技術學習指南 第3.3以太網交換機，比較詳細

常見的以太網設備包括Hub、交換機等。交換機工作在數據鏈路層，轉發數據幀，它有效地隔離了以太網中的衝突域，極大地提升了以太網的性能

交換機的每個接口是一個衝突域
交換機的3種行爲

• 泛洪(flooding)
• 轉發(forwarding)
• 丟棄(discarding)

交換機進行轉發，泛洪，丟棄
廣播，未知單播，組播(沒有啓用互聯網協議)都是泛洪的一種

初始狀態下，交換機MAC地址表爲空
交換機將收到的數據幀的源MAC地址和對應接口記錄到MAC地址表中。

當數據幀的目的MAC地址不在MAC表中，或者目的MAC地址爲廣播地址時，交換機會泛洪該幀。

交換機根據MAC地址表將目標主機的回覆信息單播轉發給源主機

VLAN

VLAN（Virtual Local Area Network）的中文名爲"虛擬局域網"

VLAN的工作原理實際是對MAC地址表的劃分,每一個VLAN都會對應一張MAC地址表,通過將物理端口劃分到不同的VLAN中,實現廣播域(MAC地址表)的隔離。默認情況下交換機的所有端口都屬於VLAN1,在同一VIAN內部,那麼交換機上連接的所有主機也就都屬於VLAN1,屬於同一個廣播域。這樣的結果當然是廣播域過大,所以在現網中多個VLAN的實施用於使得廣播域變小,以便於管理,

VLAN技術可以將一個物理局域網在邏輯上劃分成多播域,也就是多個VLAN, VLAN技術部署在數據鏈路層,用於隔離二層流量個VLAN內的主機共享同一個廣播域,它們之間可以直接進行二層通信。而VLAN間的主機屬於不同的廣播域,不能直接實現二層互通。這樣,廣播報文就被限制在各個相應的VLAN內,同時也提高了網絡安全性。

VLAN不是爲了隔離用戶,而是讓用戶可以通信的同時完成管理
一個VLAN即一個廣播域VAN內部的主機可以直接在二層互相通信,而VLAN間主機的通信可以通過三 層(路由)通信
經典情況下:用戶主機和交換機之間的鏈路爲接入鏈路,交換機與交換機之間的鏈路爲幹道鏈路 這兩種鏈路類型是通用類型。在不同的組網解決方案中可以實施不同的技術,最本質的內容爲是否需要多個VLAN ID的流量經過接口轉發。

接入模式可以用於不同交換機之間

使用VLAN的好處

• 通過減少每個廣播域的設備數量,減少每個設備上的CPU開銷,提高主機性能
• 通過減少接收交換機泛洪的幀的副本(廣播,多播和未知單播)的主機數量來降低安全風險
• 通過每個VLAN應用不同的安全策略來提高主機的安全性
• 更靈活的設計,按部門或按工作組將用戶分組
• 更快地定位和解決問題,因爲許多問題的故障域與同一廣播域中的設備組相同
• 通過將VLAN限制在單個接入層交換機來減少生成樹協議(STP)的工作量

默認vlan

當前，802.1Q更加流行（請忽略ISL，當然它還是稍微有點用處的）
VLAN的範圍（802.1Q的標記字段使用12bit標識VLAN編號，1-4094）
正常範圍VLAN——所有交換機支持（1-1005）
擴展範圍VLAN ——高級一些的交換機支持（1006-4094，受VTP影響）

VLAN幀格式

通過tag區分不同的vlan，tag內部識別標記
VLAN數目：2的12次方 即1-4094。vlan0-4095，0和4095不能用 →VXLAN(16000)

概念：一個特殊的VLAN ID，默認爲1 (華爲叫做默認vlan。cisco叫做本徵vlan,也寫作native vlan)
規則：802.1Q根本不向Native VLAN中的幀添加802.1Q標頭
用途：主要用於兼容那些不支持802.1Q 的設備
DOT1Q（802.1Q）

PVID（端口vlan id），幀進入交換機時被增加的標記---->接入模式端口有關

數據VLAN：與access端口上的VLAN相同的概念和配置。
語音VLAN：用於轉發電話流量。 此VLAN中的流量通常使用802.1Q標頭標記。

華爲交換機端口類型

[Huawei-GigabitEthernet0/0/1]port link-type ?
  access        Access port    #接入
  dot1q-tunnel  QinQ port      #QinQ
  hybrid        Hybrid port    #混雜
  trunk         Trunk port     #幹道

如何判斷應使用何種類型？如何處理數據幀(獨享、共享、交叉)

Access
工作原理：以太幀出入(交換機)方向都是唯一的一個VLAN ID 。獨享
vlan list：端口允許一個vlan通過
access端口在收到數據後會添加vlan tag，vlan id和端口的pvid相同
access端口在轉發數據前會移除vlan tag

Trunk
工作原理：以太幀出入(交換機)方向多一個VLAN ID 。共享

交換機沒有vlan是不會轉發數據的

1.用戶模式下，創建VLAN
[SW1]vlan batch 8 9 10 11 12 99
2.接口模式下，指定端口爲何種端口類型(access,trunk,hybird)
[SW1-GigabitEthernet0/0/1]port link-type access
3.接口模式下，將改端口指派到創建的VLAN
[SW1-GigabitEthernet0/0/1]port default vlan 10
2步驟在3步驟前面，不能反過來

[SW1-GigabitEthernet0/0/1]display port vlan active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             access       10      U: 10
GE0/0/2             hybrid       1       U: 1
GE0/0/3             hybrid       1       U: 1

HCNA網絡技術學習指南-5.5鏈路類型和端口類型

(1) Access端口

當 Access 口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag.然後對得到的Tagged 頓進行轉發操作(泛洪,點到點轉發丟棄)。

當Access端口從鏈路(線路)上收到一個Tagged幀後,交換機會檢查這個幀的Tag中VID是否與PVID相同。如果相同,則對這個Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不同,則直接丟棄這個Tagged幀。

當一個Tagged幀從本交換機的其他端口到達一個Access端口後,交換機會檢查這個幀的Tag中的VID是否與PVID相同,如果相同,則將這個Tagged 的Tag進行剝離,然後將得到的Untagged幀從鏈路(線路)上發送出去:如果不同,則直接丟棄這個Tagged幀。

(2) Trunk端口

對於每一個Trunk端口,除了要配置PVID之外,還必須配置允許通過的VLAN ID列表。

當Trunk端口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag,然後查看PVID是否在允許通過的VLANID列表中,如果在,則對得到Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不在,則直接丟棄得到的Tagged幀。

當Trunk端口從鏈路(線路)上收到一個Taged幀後,交換機會查看這個幀的Tag中的VID是否在允許通過的VLAN ID列表中,如果在,則對該Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄),如果不在,則直接丟棄該taged幀。

當一個Tagged幀從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID不在允許通過的VLANID列表中,則該Taged幀會被直接丟棄

當一個Tagged領從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID在允許通過的VLAN ID列表中,且VID與PVID相同,則交換機會對這個Tagged幀的Tag進行剝離,然後將得到的Untagged幀從鏈路(線路)上發送出去。

當一個Tagged以從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID在允許通過的VLAN ID列表中,但VID 與PVID不相同,則交換機不會對這個Tagged鎮的Tag進行剝離,而是直接將它從鏈路(線路)上發送出去.

以上是對Access端口和Trunk端口的工作機制的描述,在實際的VLAN技術實現中,還常常會定義並配置另外一種類型的端口,稱爲Hybrid端口,既可以將交換機上與終端計算機相連的端口配置爲Hybrid端口,也可以將交換機上與其他交換機相連的接口配置Hybrid端口。

(3) Hybrid端口

Hybrid端口除了需要配置PVID外,還需要配置兩個VLAN ID列表,一個Untagged VLAN ID列表,另一個是Tagged VLAN ID列表,這兩個VLAN ID列表中的所有VLAN的幀都是允許通過這個Hybrid端口的。

當Hybrid端口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag,然後查看PVID是否在Untagged VLAN ID列表或Tagged VLANID列表中。如果在,則對得到的Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不在,則直接丟棄得到的Tagged幀。

當Hybrid端口從鏈路(線路)上收到一個Tagged幀後,交換機會查看這個幀的Tag中的VID是否在Untagged VLAN ID列表或Tagged VLAN ID列表中。如果在,則對該Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄):如果不在,則直接丟棄該Tagged幀。

當一個Tagged幀從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID既不在Untagged VLAN ID列表中,也不在Tagged VLAN ID列表中,則該Tagged幀會被直接丟棄。

當一個Tagged幀從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID在Untagged VLAN ID列表中,則交換機會對這個Tagged幀的Tag進行剝離,然後將得到的Unagged幀從鏈路(線路)上發送出去

當一個Tagged從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID在Tagged VLAN ID列表中,則交換機不會對這個Tagged幀的Tag進行剝離,而是直接將它從鏈路(線路)上發送出去

Hybrid端口的工作機制比Trunk端口和Access端口更爲豐富而靈活: Trunk端口和Access 口可以看成是Hybrid端口的特例。當Hybrid端口配置中的Unagged VLAN I列表中有且只有PVID時, Hybrid端口就等效於一個Trunk端口;當Hybrid端口配置中的Untagged VLAN ID列表中只有PVID,並且Tagged VLAN ID列表爲空時, Hybrid端口就等效於一個Access端口

[SW1-GigabitEthernet0/0/3]port hybrid ?
  pvid      Specify current port's PVID VLAN characteristics  #入交換機端口
  tagged    Tagged                   #端口轉發
  untagged  Untagged                 #端口轉發及出接口
  vlan      Virtual LAN