前言

• 以太网是一种基于CSMA/CD的数据网络通信技术，其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。

• 在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。

交换网络基础

交换机的转发行为：

1. 泛洪：

   • 交换机从一个接口收到数据帧，又从其余所有接口发出
   • 收到一个未知单播帧：目的mac地址在mac地址表中没有找到
   • 收到组播数据帧、广播数据帧

2. 转发：

   • 从一个接口收到数据，通过查找MAC地址表，将数据从另一个接口发出
   • 收到一个已知单播帧：目的mac地址在mac地址表中能够找到

3. 丢弃：

   • 数据帧字节范围不在64-1518字节范围以内或者超出接口MTU（MTU是接口允许的最大传输单元）
   • 数据从该接口收到，又从该接口发出（连接HUB的情况）

交换机学习MAC地址表的方式：

MAC地址表依赖于源MAC地址进行学习构建，根据目的MAC地址转发

MAC地址组成：

<Huawei>dis mac-address

动态学习：

• MAC地址300S老化时间，会被覆盖，后学习到的MAC地址被覆盖原有的
• 一个MAC地址只能存在一个接口，一个接口可以有多个MAC地址记录

静态配置：
永不老化，不会被覆盖

[SW1]mac-address static 5489-986B-2C2D g0/0/2 vlan 1

VLAN (Virtual Local Area Network) 虚拟局域网

作用与好处

作用：

• 隔离广播域

好处：

• 限制广播域报文的传播范围
• 提高安全性
• 保障一定的隐私

VLAN实现：

核心：通过给数据帧打上tag标记实现，相同标记的主机可以互通，不同标记的主机默认不能互通

1. VLAN帧格式（802.1Q）：tag

   • TPID（标签协议标识符）：标识数据帧的类型，值为0x8100时表示802.1Q帧，即携带tag。
   • PRI（优先级 priority）：标识帧的优先级，主要用于QoS，范围0-7
   • CFI（标准格式指示符）：在以太网环境中，该字段的值为0。
   • VLAN ID（VLAN标识符）：标识该帧所属的VLAN，目前可用的vlan 1- 4094 （默认为vlan 1 ）

2. 创建Vlan:

   [SW1]vlan 10 //创建vlan 10 [SW1]vlan batch 5 10 200 //创建Vlan 5 10 200 [SW2]vlan batch 5 10 200 301 to 305 //创建Vlan 5 10 200 301 302 303 304 305 [SW2]dis vlan summary //查看创建了哪些vlan

   

VLAN的划分方式

以太网二层接口类型

PVID(端口VLAN ID):

• 表示端口在缺省情况下所属的VLAN，每个端口都有PVID，默认为1；
• 如果端口收到没有带TAG的数据时，会带上PVID。

一、Access端口（接入端口）:

连接主机、路由器、服务器、防火墙等终端的接口

原理：

• 收数据：收到一个不带标签tag的数据帧，根据端口的pvid ，为其打上标签，放入交换机内部
• 发数据：将tag与端口的pvid对比，一致，则剥离标签发送，不一致，则丢弃
• 注意:
  • 主机、路由器、服务器都不能识别标签tag，所以交换机在发送给他们的时候，需要剥离标签
  • ACCESS端口，一个端口只能属于一个VLAN，也就是一个端口只能允许一个VLAN的数据通过

//1. 创建Vlan:
[SW1]vlan batch  5 10 200  

//2. 将接口端口类型（链路类型）改为access: 
[SW1-GigabitEthernet0/0/11]port link-type  access  

[SW2]port-group group-member g0/0/10 to g0/0/14 //先将几个接口放在一个组合里面
[SW2-port-group]port link-type  access  //针对这个组的成员端口，修改链路类型为access


//3. 划分端口vlan：
方法一：
[SW1-GigabitEthernet0/0/11]port default vlan 5  //这个也叫做access端口的修改pvid，修改端口所属Vlan
[SW2-port-group]port default vlan 5
方法二：
[SW2]vlan 10
[SW2-vlan10]port g0/0/15

二、Trunk端口（干道链路）：

在交换机连接交换机的接口配置

原理：

• 允许多个Vlan 的数据同时通过
• 发数据：带tag 标记的数帧，如果在允许列表中，则先查看端口pvid，不同则保留tag发送；tag标记如果与端口Pvid相同，则交换机剥离tag发送该数据给对端
• 收数据：
  • 带tag标记的数据，在允许列表中，则保留接收放在交换机内部
  • 不带tag标记，根据自己的端口pvid ,为其打上标记，在允许列表中，则接收放入交换机内部

//1. 创建需要用到的Vlan: 
[SW1]vlan batch  5 10 200

//2. 修改链路类型为trunk: 
[SW1-GigabitEthernet0/0/24]port default vlan 5

//3. 构建允许列表：
[SW1-GigabitEthernet0/0/24]port trunk  allow-pass  vlan  5 10 200   //允许Vlan 5 10 200 1 通过（vlan 1 默认允许）
[SW2-GigabitEthernet0/0/23]port trunk  allow-pass  vlan  all    //允许所有vlan 通过

[SW2-GigabitEthernet0/0/23]undo port trunk allow-pass  vlan 30 50   //删除错误配置
       
//配置Vlanif
[SW3]int Vlanif  1 
[SW3-Vlanif1]ip address 192.168.1.5 24

[SW1-GigabitEthernet0/0/24]port trunk pvid vlan 5   //修改端口Pvid 为5 
[SW2-GigabitEthernet0/0/23]port trunk pvid vlan 5   //两端同时修改

Hybrid端口：

混杂端口，可以在连接主机、路由器、服务器、防火墙、交换机的接口配置

//1. 创建需要用到的Vlan: 
[SW1]vlan batch  5 100 200

//2. 将端口类型改为hybrid: 
[SW1-GigabitEthernet0/0/11]port link-type  hybrid

//3. 划分端口vlan：
[SW1-GigabitEthernet0/0/11]port hybrid pvid vlan 5 //修改端口所属Vlan 

//4. 构建允许列表：
[SW1-GigabitEthernet0/0/11]port hybrid  untagged vlan 5 100 //允许Vlan 5 100 不带tag标记发送（连接终端的接口都选择
untagged）
[SW1-GigabitEthernet0/0/24]port hybrid tagged vlan 100 200  //允许vlan 100 200 带标记发送

VLAN间通信

使用路由器物理接口

• 一个vlan 一条链路，路由器物理链路不够多，成本高

使用路由器子接口

• 解决了路由器链路不够多的缺点
• 存在风险，一旦该链路产生故障，则整个网络崩溃
• 所有的Vlan 都需要该链路进行tag的封装与剥离，对该链路负担较大

三层交换机和VLANIF接口

• 逻辑接口,理论上可以创建1-4094 个接口
• 注意：
  • 一定要有对应的vlan存在
  • Vlanif 对应的Vlan 必须有接口承载
  • 只有当没有一个接口承载该Vlan 时，该vlanif接口才会down

[SW2]int Vlanif 10
[SW2-Vlanif10]ip address 192.168.20.254 24
[SW2]display ip interface brief

END