• HCIP---VLAN

    前言

    VLAN技术是现代企业网络和数据中心网络的核心技术之一。本文将重点针对VLAN技术进行详解。

    一.VLAN概述

       VLAN(Virtual Local Area Network,虚拟局域网)是一种基于交换机和网络设备的划分技术,可以将不同区域的计算机、服务器和网络设备分成逻辑上的“虚拟”子网,使得不同的虚拟子网在物理上可以处于同一局域网中,但彼此之间相互隔离,从而增强网络的安全性、可管理性和灵活性。   

        VLAN技术可以通过交换机的端口配置、MAC地址、IP地址、协议类型等多种方式进行划分,从而为网络管理员提供更加细致和灵活的网络管理方式。

    作用: 

    • 隔离广播域,让每个节点(比如电脑、手机)不需要收到太多无关的广播包,从而减少计算性能和网络带宽的无谓消耗。从而保证局域网的性能。
    • 隔离常见病毒与攻击,这样即使某个主机感染了arp攻击病毒、dhcp攻击病毒等常见局域网病毒,影响的范围也只限于本vlan,不会影响到其他vlan,可以将故障限制在比较小的范围。一来造成的影响小,二来排查故障也更加容易。

     二.VLAN基础认识

     ​​​

     VLAN ID:     

    1. #查看vlan信息
    2. [Huawei]display vlan

     

    •  VID--VLAN ID

     IEEE组织将VLAN技术颁布在 802.1Q标准中,该标准中中定义了VID由12位二进制数构成。

     其中0和4095不可用于VID ,因此VID的取值范围为:1-4094,设备默认存在 VLAN 1 。

    VLAN 执行表格 

    • 查看 VLAN 执行表格 
    [LSW1]display port vlan active

     

     VLAN端口类别

    •  交换机的转发原理:

        当数据通过交换机的接口进入交换机时,交换机首先查看数据包中的源MAC地址和接口的映射关系 ,同时,记录接口对应的VID。若目标MAC地址在地址表中映射的VID 和源MAC 映射的VID 相同,则进行单播转发,否则,交换机将通过VID 和源MAC地址映射的VID相同的接口泛洪。 

    •  一层VLAN (物理VLAN):给对应的接口和VLAN ID 作映射 
    • 二层VLAN:将MAC地址和VLAN ID 作映射
    • 三层VLAN;基于数据帧中的类型字段和VID 作映射(例:IPv4属于VID2 IPv6属于VID3)

    如上图,LSW 2 为了区分 LSW 1 发送的数据包并将数据包发送到对应的vlan 中(例如:将LSW1 vlan1中的数据传送到 LSW2 中的vlan1),需要将数据帧打上标签Tag

    •  未打标签的数据帧为以太网二进制帧(untagged帧)

    •  在以太网二进制帧的源MAC和Type之间打上Tag标签的帧为802.1Q帧(Tag帧)

     Tag帧用于交换机之间区分数据来源,而交换机与电脑之间数据帧格式为以太网二进制帧帧格式无需使用Tag帧来区分数据,根据此特点,将交换机的接口分为以下几种类型:

    •  PVID

    接口的VID,反应的接口所属的VLAN ID,PVID默认为1

    华为·体系下,所有进入交换机的数据帧必须是tagged帧,因此数据帧在进入交换机之前必须打上进入接口的PVID标签。 

    •  VLAN List

    当数据通过该端口进入/出去访问其它VLAN 时,如果该端口的VLAN List 的值中有对应VLAN的VID,则允许访问。

    • Access接口

     交换机和电脑之间的链路称为Access链路,Access链路对应的交换机接口为Access接口。

    特点:

         只允许发送和接收未打标记的数据帧,Access端口只属于一个Vlan,且仅向Vid = access端口PVid的VLAN 转发数据帧,故Vlan内所有端口都处于untagged状态。Access端口在从主机接收帧时,给帧加上Tag标签;在向主机发送帧时,将帧中的Tag标签剥掉。 

         Access接口可以修改PVID,可以修改执行列表中的 VLAN List  ,无法修改封装类型

    • Trunk接口

    交换机和交换机之间的链路称为Trunk链路,Trunk链路对应的交换机接口为Trunk接口。 

    特点:

        Trunk端口允许多个Vlan的带标签帧通过,在收发帧时保留Tag标签。在它所属的这些Vlan中,对于报文中Vid = 转发报文的trunk端口PVid,它处于Untagged port状态,此时针对报文中Tag标签值和Trunk接口PVID相同的,trunk端口发出该报文时将剥离标签转发;对于Vid ≠ 端口PVid的报文,它处于Tagged port状态,不会剥离标签。

     Access接口可以修改PVID,可以修改执行列表中的 VLAN List  ,Trunk端口对应的执行列表中VLAN List可以存在多个VLAN,但无法修改封装类型 。

    • Hybrid接口

        交换机上既可连接用户主机又可连接其他交换机的端口,它既可连接接入链路又可连接汇聚链路。Hybrid 端口允许多个Vlan的帧通过,并可在出端口方向将某些Vlan帧的Tag标签剥掉。

      Hybrid 接口可以修改PVID,可以修改执行列表中的 VLAN List  ,Trunk端口对应的执行列表中VLAN List可以存在多个VLAN,可以修改封装类型 。

    案例分析: 

    判断PC7是否可以正常访问PC8

     分析:

       当PC7访问PC8时,报文来到LSW 4 的0/0/2 接口时,access类型的端口会给主机发送过来的报文打上标签Tag 2,当报文进入交换机来到LSW4 的0/0/1 接口时,Trunk类型的端口会检查Tag标签值是否和PVID相等,图中Tag=PVID,则剥离标签。

       当数据包来到LSW5 的0/0/1接口时,Trunk类型的端口会打上标签Tag=3,数据包进入交换机LSW 5来到接口 0/0/2 时,首先查看VLAN List允许通过的VLAN,接着access类型的端口会将Tag值和PVID比较,相等则剥离标签转发,上图相同,则PC7的数据包可以发送给PC8。

    配置命令:

     

     配置要求:

    在路由器上配置虚拟接口,子接口0.1允许VLAN 3 流量通过,子接口0.2允许VLAN 2流量通过

    其余配置如上图所示,全网可达。

    •  关闭配置命令的提示信息
    [LSW1]undo info-center enable
    •  创建VLAN:
    [LSW1]vlan 2
    •  将接口划入VLAN
    1. [LSW1]interface Gigabitethernet 0/0/3
    2. #选择链路类型
    3. [LSW1-GigabitEthernet0/0/3]port link-type access
    4.  
    5. #上一步已已将0/0/1接口对应的链路设定为access链路
    6. #将0/0/1接口对应的链路划入指定VLAN,指定该链路允许通过的VLAN数据
    7. #原因:access链路仅向指定的VLAN发送数据
    8. [LSW1-GigabitEthernet0/0/3]port default vlan 2
    9.  
    10. 其余配置如上
    •  创建子接口管理不同VLAN
    1. #创建虚拟接口
    2. [R1]interface GigabitEthernet 0/0/0.1
    3. [R1-GigabitEthernet-0/0/0.1]ip address 192.168.1.254 24
    4. #只有交换机可以识别标签,因此需要设置使子接口能够识别标签
    5. [R1-GigabitEthernet-0/0/0.1]dot1q termination vid 2
    6. #子接口并非真实接口无法回复ARP应答包,需要开启ARP广播
    7. [R1-GigabitEthernet-0/0/0.1]arp broadcast enable
    8.  
    9. 子接口0.2配置如上图
    •  配置trunk接口
    1. [sw1-GigabitEthernet0/0/2]port link-type trunk
    2. #设置允许通过的VLAN
    3. [sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
    4. [sw1-GigabitEthernet0/0/2]port trunk allow-pass vlan 3
    •  拓展配置
    1. #批量创建VLAN 1-vlan 5
    2. [LSW1]vlan bantch 1 to 5
    3. #单独创建vlan 1 3 5
    4. [LSW1]vlan batch 1 3 5
    5. #批量删除
    6. [LSW1]undo vlan bantch 1 to 5
    7.  
    8. #为了提高效率批量配置,可以创建一个临时接口组,将接口划入到接口组中
    9. [LSW1]port-group group-member GIgabitEthernet 0/0/1 GIgabitEthernet 0/0/2
    10. #进入接口组视图进行批量创建,将0/0/10/0/2 接口同时划入vlan 2
    11. [LSW1-port-group]port link-type access
    12. [LSW1-port-group]port default vlan 2
    13.  
    14. #修改PVID
    15. [LSW1-GigabitEthernet0/0/2]port hybrid pvid vlan 2
    16. #设置接口转发数据到指定VLAN时不带标签且修改VLAN List允许指定VLAN的流量通过
    17. [LSW1-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 4

     三.三层交换机

    VLANIF接口(交换机虚拟接口)

    作用:

      VLANIF接口是一种逻辑接口,用于连接VLAN和物理接口。在华为交换机上,VLANIF接口是通过VLANIF概念来实现的,一般用于VLAN间的通信或者子网间的路由,也可以用于配置VLANIF IP地址和VLANIF的QoS策略。VLANIF接口是通过vlanif命令来创建和配置的,也可以通过web界面或其他管理工具进行配置。在使用VLANIF接口时,需要注意的是,要在物理接口上启用相应的VLAN,并在VLANIF接口上配置IP地址和子网掩码。

       VLANIF接口是虚拟局域网(VLAN)接口,它主要用于实现VLAN的隔离和交换,可以将不同的VLAN划分成不同的广播域,通过路由器连接实现互联通信。VLANIF接口可以配置IP地址、子网掩码等网络参数,使得连接在不同VLAN中的主机可以互相通信。同时,它也可以配置各种网络服务,如DHCP、NAT等,为不同VLAN中的主机提供相应的网络服务。因此,VLANIF接口在实现企业网络分层和隔离、提高网络安全性、优化网络性能等方面具有重要作用。

    •  创建VLANIF

    每个VLAN都可以创建一个VLANIF接口 

    [LSW1]interface vlanif 2

    总结

  • 相关阅读:
    黑马笔记---常见数据结构
    Oracle通过局域网进行连接访问的设置
    关于硬件原理图
    通常用哪些软件做数据可视化大屏?
    【华为OD机试真题 python】 跳格子【2022 Q4 | 200分】
    HTML简介
    我的创作纪念日
    nginx的负载均衡包括哪些策略配置?Java如何结合nginx实现负载均衡?
    Vue 之 父组件给子组件的传参的另类方式实现自定义弹窗组件
    火车头采集怎么使用GPT等AI原创文章
  • 原文地址:https://blog.csdn.net/zhoutong2323/article/details/134298291