第一部分:VLAN的基础知识点
OSI中各层传输的基本单位(协议数据单元PDU):
物理层——比特流 数据链路层——数据帧 网络层——数据包 传输层——数据段 应用层——数据
二层交换机的工作原理:
数据帧进入交换机之后,首先交换机会记录数据帧进入的接口,并且交换机基于数据帧中的目标MAC地址,来查询本地的MAC地址表,若有记录,基于表中的记录单播转发到对应的接口;若转出时没有记录,要进想洪泛-----除流量进入接口外其他所有接口转出.
MAC地址表—CAM 表(VLAN ID+MAC地址+接口编号进行哈希运算后二进制显示)
洪泛的三种情况:
1.广播 目标mac的地址为全F MAC地址的第一位为广播位
2.组播(可能单播,在无组播部署时)
3.未知的单播----电脑ARP保存2h,交换机缓存5MIN,所以交换机在5分钟到2小时之间收到单播包后,还是会进行洪泛
思科逻辑配置思路:
1、 交换机上创建VLAN
2、 接口划入VLAN
3、 Trunk干道
4、 VLAN间路由—路由器子接口 多层交换机svi
实现VLAN间通信的几种方法:
1. 通过路由器的不同物理接口与交换机上的每个VLAN分别连接
2. 通过路由器的逻辑子接口与交换机的各个VLAN相连
一个VLAN就是一个广播域,是逻辑上的设备和用户,VLAN可以提高网络的安全性,提高网络的性能
广播域和冲突域:
广播域就是网络中所有能接收到同样广播消息的集合,通常来说一个局域网就是一个广播域
冲突域是连接在同一导线上的所有工作站的集合,或者说是同一物理网段上所有节点的集合
Cisco下交换机的接口只有 接入和中继模式
华为交换机接口存在三个模式-----介入模式,中继模式,混杂模式
[sw1]display port vlan active
转发规则:
当数据帧从一个接口进入交换机时,若该数据帧已经存在标签,将查询该接口的允许列表是否允许该VLAN进入,若该数据帧没有标签,将标记该接口的PVID,作为其VLAN号,当流量从一个接口离开交换机,将查询该接口的允许列表是否允许该VLAN出去,同时关注在出去时是否继续携带标签。
接口模式之间的区别: 配置权限不同
接入模式:只能定义该接口的PVID;不能修改允许列表
中继模式:可以修改PVID,也可以定义允许列表,但不能定义在允许列表中,流量在离开时是否可以携带标签
混杂模式:(默认所有接口的模式):可以修改PVID,可以定义允许列表,可以定义是否标记
注:除ACCESS模式外,其他两个模式一定会允许VLAN1通过;PC接收到的数据帧中若存在标签将丢弃该流量。
第二部分 实验(华为设备)
实验要求及拓扑如上图所示
实验要求:
1:PC1、3所在接口为access接口,Pvlan为vlan2。
2:PC2、4、5、6处于同一网段;PC2可以访问PC4、5、6;PC4可以访问PC5,但不能访问PC6.
3:PC5不能访问PC6.
配置思路:
1:由于PC4可以访问PC5,不能访问PC6,故PC4、5处于同一VLAN4中。
2:PC2可以访问PC4、5、6,故PC2不能和PC4、5或PC6处于同一VLAN,将PC2划入VLAN3.
3:根据上面的思路,将PC6单独分在一个VLAN5中去。
最终方案:
VLAN3拒绝VLAN2.
VLAN4拒绝VLAN2、5.
VLAN5拒绝VLAN2、4.
实现:
一、IP地址规划
1.PC1、3–192.168.2.0/24
2.PC2、4、5、6—192.168.1.0/24
二、在交换机上创建VLAN
SW1:
[SW1]vlan batch 2 to 5
SW2:
[SW1]vlan batch 2 to 5
SW3:
[SW1]vlan batch 2 to 5
三、将接口划入对应的VLAN中并通过混杂模式对标签的控制来实现VLAN通信的隔离。
SW1:
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 5
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
[SW1-GigabitEthernet0/0/3]quit
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port hybrid pvid vlan 3
[SW1-GigabitEthernet0/0/4]port hybrid untagged vlan 3 to 5
[SW1-GigabitEthernet0/0/4]quit
[SW1]
SW2:
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 5
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 2
[SW2-GigabitEthernet0/0/3]quit
[SW2]interface GigabitEthernet 0/0/4
[SW2-GigabitEthernet0/0/4]port hybrid pvid vlan 4
[SW2-GigabitEthernet0/0/4]port hybrid untagged vlan 3 to 4
[SW2-GigabitEthernet0/0/4]quit
[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type trunk
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 5
[SW2-GigabitEthernet0/0/2]quit
[SW2]
SW3:
[SW3]interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 5
[SW3-GigabitEthernet0/0/1]quit
[SW3]interface GigabitEthernet 0/0/2
[SW3-GigabitEthernet0/0/2]port hybrid pvid vlan 4
[SW3-GigabitEthernet0/0/2]port hybrid untagged vlan 3 to 4
[SW3-GigabitEthernet0/0/2]quit
[SW3]interface GigabitEthernet 0/0/3
[SW3-GigabitEthernet0/0/3]port hybrid pvid vlan 5
[SW3-GigabitEthernet0/0/3]port hybrid untagged vlan 3 5
[SW3-GigabitEthernet0/0/3]quit
[SW3]
SW1:
SW2:
SW3: