- Vlan基础
1.1 共享式以太网中,所有的终端主机都处于同一个冲突域中,局域网中的所有接入终端共享总线的带宽(半双工)。交换式以太网中,交换机的每个接口处于独立的冲突域中,终端主机独占接口带宽(2层转发表)。
1.2 路由器或者三层交换机三层接口处于独立的广播域中,终端主机发出的广播帧在三层接口被终止 (广播域)。vlan1,特殊vlan,默认vlan(所有接口默认都属于vlan1),不能删除,尽量避免使用vlan1。
1.3 Vlan,虚拟局域网,是将一个物理的局域网在逻辑上划分为多个广播域的技术,通过在交换机上配置vlan,可以实现在同一个vlan内的用户进行二层互访,而不同vlan之间的用户被二层隔离。既能够隔离广播域,又能够提升网络安全性。Vlan不是为了隔离用户,而是为了让用户可以通信的同时完成管理。一个vlan是一个广播域,vlan内部的主机可以直接在二层相互通信,而vlan间的主机通信可以通过三层(vlan间路由)通信。
1.4 创建vlan
# >>>>思科
# SW1,SW2,SW3
vlan 8,9,10,11,12,99
show vlan brief
# 删除vlan18
no vlan 18
# >>>>华为
# SW1,SW2,SW3
vlan batch 8 9 10 11 12 99 # 或者vlan batch 8 to 12 99
dis vlan summary
# 删除vlan18
undo vlan 18
- Access模式
2.1 帧格式
交换机处理不同VLAN的帧,需要通过VlanID(Tag)去区分。
- Priority:3bit,表示帧的优先级,取值0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧
- VlanID:12bit,可用值为1~4094
2.2 链路类型(接口类型)和链路类型的选择
一般情况下,用户主机和交换机之间的链路为接入模式,交换机与交换机之间的链路为干道链路。华为和华三设备上的hybrid混杂模式可以灵活的使用VlanID。
- **access(接入):**独享模式,只能允许唯一的VlanID帧通过本接口。在流量的入方向上,收到untagged(不带VlanID标签),交换机将强制加上该接口的PVID;在流量的出方向上,必须从允许通过的接口上转发出去,同时去掉帧的tag,access端口发往对端设备的以太帧永远是不带标签的。优点,Vlan内流量独占链路;缺点,随着Vlan数目增加,占用的接口随之增加。
- **trunk(干道):**共享模式,允许多个vlan流量在同一链路上转发,trunk上可以转发不同的vlan的帧,通过帧中的tag指定vlan流量的归属。trunk接口收到帧时,如果该帧不包含tag,将打上接口的PVID(本征VLAN,默认vlan1),如果该帧包含tag,则不改变任何标识;trunk接口发送帧时,该帧的vlanid在trunk的允许发送列表中(不在列表中的不发送),如果与接口的PVID相同则剥离tag之后发送(本征vlan或者发送个客户端PC,工作原理类似access模式),否则直接发送(透传)。
- **dot1q-tunnel(QinQ,干道中的干道):**trunk模式的标准为dot1q
- private-vlan(思科,私有vlan)
- **hybrid(华为,混杂模式):**在入方向增加一个PVID(类似access),在出方向允许多个Vlan的数据帧转发出去并移除多个PVID。华为设备接口的默认模式,即可以连接终端,也可以连接交换机。hybrid接口可以以tagged或者Untagged方式加入Vlan。
#......................................................实施Access和Trunk模式
# >>>>华为
# Access模式
# sw3,将10-12接口划入vlan8,同时pc1的IP为10.1.10.1/28、pc2的IP为10.1.10.2/28、pc3的IP为10.1.10.2/28(255.255.255.240)
int g0/0/10
port link-type access
port default vlan 8
int g0/0/11
port link-type access
port default vlan 9
int g0/0/12
port link-type access
port default vlan 8
dis port vlan active # 查看vlan情况
# 实现PC1和R1通信
# 方案一:沿途所有接口均接入vlan8
# sw3
int g0/0/3
port link-type access
port default vlan 8
# sw1
int g0/0/3
port link-type access
port default vlan 8
int g0/0/1
port link-type access
port default vlan 8
# AR1
int g0/0/1
ip address 10.1.10.4 255.255.255.240
# 方案二:将sw3的接口3和10改为vlan9
# sw3(此实验需要关闭sw2,原因是stp)
int g0/0/3
port default vlan 9
int g0/0/10
port default vlan 9
# Trunk模式
# 实现PC1和R1通信
# 华为接口修改为trunk模式之前需要先将接口恢复为vlan1,否则无法修改
# 方案一:交换机sw1和sw3之间的数据帧携带tag(透传)
# sw1
int g0/0/3
port default vlan 1
port link-type trunk
port trunk allow-pass vlan all # 允许vlan1-4094通过
int g0/0/1
port default vlan 8
# sw3
clear configuration int g0/0/3
int g0/0/3
port link-type trunk
undo shutdown
port trunk allow-pass vlan all
int g0/0/10
port default vlan 8
# 方案二:交换机sw1和sw3之间的数据帧不携带tag(非透传,本征vlan)
# 将方案一中的sw1和sw3的交换机互联接口设置本征vlan为vlan8
# sw1,设置本征vlan
int g0/0/3
port trunk pvid vlan 8
# sw3
int g0/0/3
port trunk pvid vlan 8
# 实现vlan10和vlan8通信(违背了vlan在2层隔离的本意,这不是我们想要看到的)
# sw3
int g0/0/3
port trunk pvid vlan 10
int g0/0/10
port trunk pvid vlan 10
# >>>>思科(部分实验)
# access
int e0/0
switchport mode access
switchport access vlan 8
int e0/1
switchport mode access
switchport access vlan 8
int e0/2
switchport mode access
switchport access vlan 8
# trunk
# sw1
int e0/3
switchport trunk encapsulation dot1q
switchport mode trunk
do sh run i # 查看本接口配置
# sw3
int e0/3
switchport trunk encapsulation dot1q # 交换机接口的封装模式为dot1q(思科某些交换机除了支持dot1q,还支持思科自身的ISL,所以需要先指定工作标准)
switchport mode trunk
show int trunk # 思科默认允许所有vlan通过trunk
# 设置本征vlan(实现vlan8和vlan9的通信,违背了vlan在2层隔离的本意,这不是我们想要看到的)
# sw1
int e0/1
switchport trunk native vlan 8
int e0/3
switchport trunk native vlan 8
# sw3
int e0/3
switchport trunk native vlan 9
int e0/0
switchport access vlan 9