1、為什么會(huì)有vlan的存在

• 交換機(jī)不能隔離廣播域，如果廣播域特別大的話，交換機(jī)泛洪的，就會(huì)傳播到整個(gè)廣播域

• 廣播域越大，產(chǎn)生的網(wǎng)絡(luò)安全問題，垃圾流量問題就越嚴(yán)重

• 因此就會(huì)有隔離廣播域，路由器可以隔離，但是為了實(shí)現(xiàn)廣播域的隔離，會(huì)增加很多的路由器，因此的話，不方便，就會(huì)在交換機(jī)上面實(shí)現(xiàn)廣播域的隔離，不同的廣播域在二層設(shè)備上面是不同的，這樣泛洪的話，就不會(huì)泛洪到其他的廣播域尚敏，這樣的話就減少了廣播域的規(guī)模

2、vlan(虛擬局域網(wǎng))

1、vlan原理

• 最常見的劃分就是將交換機(jī)不同的端口劃分到不同的vlan中

1. 為什么這樣劃分了

# mac地址表中就會(huì)記錄mac，port,vlan# 不同的vlan的區(qū)域的話，在vlan10中發(fā)送了一個(gè)廣播的話，就只會(huì)在vlan10中泛洪，不會(huì)泛洪到vlan20中，這樣的話，在通信的時(shí)候，首先發(fā)送的是arp請(qǐng)求是一個(gè)廣播，但是不會(huì)泛洪到vlan20中，因此的話在默認(rèn)的情況下，不同的vlan是無(wú)法進(jìn)行通信的# 交換機(jī)就實(shí)現(xiàn)了廣播域的隔離

2、如何實(shí)現(xiàn)不同交換機(jī)相同的vlan實(shí)現(xiàn)互訪呢

# 在vlan10中新添加一個(gè)端口也劃分在vlan10中，然后另外一個(gè)交換機(jī)也配置一個(gè)端口在vlan10中，連接起來(lái)，從而實(shí)現(xiàn)了不同交換機(jī)中的相同vlan通信了# 但是這個(gè)方法非常費(fèi)端口# 因此就有了下面的解決方法

3、最優(yōu)化的解決方法，vlan不同交換機(jī)

# 就是在這個(gè)2個(gè)交換機(jī)上面打上2個(gè)口子,用于連接2個(gè)交換機(jī)的通信，這個(gè)線路vlan10和vlan20都可以在這個(gè)線路上面進(jìn)行傳輸# 比如A交換機(jī)發(fā)送一個(gè)數(shù)據(jù)，攜帶了vlan10這個(gè)數(shù)據(jù)，然后傳輸?shù)紹交換機(jī)，根據(jù)這個(gè)vlan信息的話，傳輸?shù)絭lan10里面去，這樣的話，vlan20的標(biāo)簽也可以了# 這樣的端口稱為trunk# 在數(shù)據(jù)幀中添加vlan信息，可以跨交換機(jī)部署vlan# 在邏輯上不同交換機(jī)上面相同的vlan是在連接在一個(gè)交換機(jī)上面

4、vlan標(biāo)簽和vlan數(shù)據(jù)幀

• vlan標(biāo)簽就是能夠使交換機(jī)分辨不同vlan的報(bào)文，需要在報(bào)文中添加vlan信息字段

• vlan數(shù)據(jù)幀就是在幀上面的源mac地址后面添加vlan信息(802.1Q tag)

• vlan標(biāo)簽上面詳細(xì)的介紹

5、vlan實(shí)現(xiàn)

• PC1發(fā)送數(shù)據(jù)，然后交換機(jī)打上標(biāo)簽，連接2個(gè)交換機(jī)的鏈路要承載多個(gè)vlan數(shù)據(jù)，所以需要基于vlan數(shù)據(jù)的標(biāo)記，以便對(duì)不同的vlan數(shù)據(jù)幀進(jìn)行區(qū)分

• 就是在幀頭插入802.1Q Tag

2、基于vlan的劃分方式

• 交換機(jī)打上tag的方法不一樣

1、基于接口的vlan劃分方式

• 根據(jù)交換機(jī)的接口來(lái)劃分vlan

• 每個(gè)接口配置不同的pvid(port vlan id ),在接口劃入到對(duì)應(yīng)的vlan

• vlan id 取值 1~4094

• 每個(gè)端口默認(rèn)的情況下是1

• 數(shù)據(jù)幀會(huì)被打上pvid的tag

• 主機(jī)移動(dòng)的話，主機(jī)接入的接口就需要重新配置pvid

2、基于mac地址劃分

• mac和vlan id的映射關(guān)系

• 主機(jī)移動(dòng)，不需要重新配置vlan了，跟端口沒有關(guān)系了

3、以太網(wǎng)二層接口類型

• 都可以，圖中的接口都可以改的

• access 接口通常用于連接用戶PC，服務(wù)器等終端設(shè)備接口，access接口連接的往往是收發(fā)無(wú)標(biāo)記幀，access接口只能加入一個(gè)vlan中，也就是特定的vlan

1、Access接口

• 接收幀

  • 當(dāng)一個(gè)沒有標(biāo)簽的數(shù)據(jù)幀進(jìn)入這個(gè)接口，就會(huì)被vlan10打上標(biāo)簽

  • 如果數(shù)據(jù)幀的vlan10與接口的vlan10相同的話，直接進(jìn)行交換機(jī)內(nèi)部，接收該幀

  • 如果vlan20的數(shù)據(jù)幀的話，交換機(jī)不會(huì)接受這個(gè)數(shù)據(jù)幀，直接進(jìn)行丟棄

• 發(fā)送幀

  • 幀的vlan id與接口的vlan id相同的話，出交換機(jī)的時(shí)候，去掉vlan標(biāo)簽，然后從這個(gè)接口發(fā)送出去

  • 幀的vlan id 與 接口的 vlan id不同的話，禁止發(fā)送出去

2、trunk接口

• 這個(gè)是一個(gè)干道口

• vlan 1是默認(rèn)的存在的

• trunk這個(gè)通道相當(dāng)于是一個(gè)控制規(guī)則，允許多個(gè)vlan通過(guò)

• 發(fā)送幀

  • 接口接收到了數(shù)據(jù)，然后打上pvid,如果這pvid 在vlan列表中允許通過(guò)的話，就接收，不允許的話，就丟棄

  • 相同的vlan10發(fā)送的話，vlan id列表允許的這個(gè)vlan id的話，就通過(guò)，不允許就丟棄

• 發(fā)送幀

  • 當(dāng)vlan id相同的話，并且在vlan 列表的話，直接去掉vlan 標(biāo)簽，從這個(gè)接口發(fā)送出去

  • 數(shù)據(jù)幀的vlan id 與 接口的vlan id不同的話，但是在vlan 列表中的話，不去掉vlan 標(biāo)簽

  • 不在vlan 列表的話，不允許通過(guò)，禁止發(fā)送數(shù)據(jù)

3、Access和trunk接口

4、hybrid接口

• 接收幀與trunk接口是一樣的，但是了發(fā)送幀的話就不一樣了，管理員能夠決定這個(gè)數(shù)據(jù)幀發(fā)送出去的時(shí)候是保留這個(gè)vlan 信息還是去掉了，這個(gè)是由管理員進(jìn)行決定的

• 如果是untag類型的話，就是數(shù)據(jù)幀發(fā)送出去的時(shí)候需要去掉這個(gè)標(biāo)簽

• tag類型的話，數(shù)據(jù)幀發(fā)送出去的時(shí)候不需要去掉這個(gè)標(biāo)簽

4、vlan基礎(chǔ)配置命令

1、創(chuàng)建vlan

vlan 10
# 就直接進(jìn)入了這個(gè)vlan視圖了# vlan id 取值范圍是1~4094# 創(chuàng)建多個(gè)vlan
vlan batch 20 30 40# 批量創(chuàng)建vlan
vlan batch 20 to 30

1、Access接口配置

interface GigabitEthernet0/0/1port link-type access # 設(shè)置 access接口類型port default vlan 10  # 設(shè)置接口的vlan # 可以通過(guò)查看接口的pvid,也就是數(shù)據(jù)幀發(fā)送過(guò)來(lái)的時(shí)候，會(huì)被打上這個(gè)vlan 10的標(biāo)簽
[j1]display  interface g0/0/1

2、Trunk接口配置

interface GigabitEthernet0/0/2port link-type trunk  # 設(shè)置接口類型port trunk pvid vlan 10  # 設(shè)置pvid，也就是將這個(gè)接口加入到vlan中port trunk allow-pass vlan 10 20  # 主干通道允許 10 20 vlan 通過(guò)

3、hybrid接口配置

interface GigabitEthernet0/0/2port link-type hybrid # 默認(rèn)就是這樣類型的端口port hybrid pvid vlan 20   # 將接口加入到vlan 20中port hybrid untagged vlan 20 30  # 允許 vlan 20 30 通過(guò)

# 端口的類型
[j1]display  port vlan  active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             hybrid       10      U: 1 10 30   # 10,30vlan標(biāo)簽，去掉標(biāo)簽，允許10 20 通過(guò)
GE0/0/2             hybrid       20      U: 1 20 30
GE0/0/3             hybrid       30      U: 1 10 20T: 30 # 出去的時(shí)候不需要去掉標(biāo)簽，允許10 20 30vlan出去# vlan list
u 和 t 就是放行的vlan , u就是發(fā)出去去掉這個(gè)vlan 標(biāo)簽

4、總結(jié)vlan端口

# 總而言之，就是這個(gè)三個(gè)類型# access接口 只能允許一種vlan通過(guò)，比較vid(數(shù)據(jù)攜帶的vlan id ) 和 pvid# trunk接口 允許多種vlan通過(guò),如果vid和pvid相同的哈，去掉標(biāo)簽，否則不去掉(vid在vlan 允許的情況下)，不在話丟棄# hybrid接口 允許多種vlan通過(guò)，可以自己控制是否去掉標(biāo)簽，在untag列表中，去掉標(biāo)簽，在tag列表中，攜帶標(biāo)簽發(fā)送，不在的列表中，丟棄

5、實(shí)驗(yàn)

1、access和trunk接口

# 實(shí)驗(yàn)?zāi)康?/span># 實(shí)現(xiàn)相同vlan主機(jī)訪問# 劃分2個(gè)vlan# 最上面的2個(gè)主機(jī)，通過(guò)pvid 1 來(lái)進(jìn)行通信，什么都不用配置

• 通信的原理

  • 首先ping 1.1.1.3

  # 攜帶的信息為 Dip 1.1.1.3 Sip 1.1.1.1 Dmac ffff Smac 有 
  

  • 通過(guò)s3上面的g2口，打上一個(gè)vlan10 的標(biāo)簽，然后通過(guò)查詢規(guī)則，vlan 10 20都允許放行，arp會(huì)進(jìn)行泛洪，但是g3口只允許vlan 20 通過(guò)，因此只能走 g1 口 到達(dá)下一個(gè)交換機(jī) s1 上面

  • 然后繼續(xù)到達(dá)s2交換機(jī)上面，通過(guò)查詢vlan規(guī)則，走 g2 口到達(dá) 目標(biāo)主機(jī)，記錄了Dmac地址

  • 然后目標(biāo)主機(jī)發(fā)送一個(gè)arp 應(yīng)答，里面包含了

  DIp 1.1.1.1 Sip 1.1.1.3 Dmc 有 Smac 有

  • 然后這個(gè)交換機(jī)就會(huì)記錄這一來(lái)一回的信息，也就是mac地址和port對(duì)應(yīng)關(guān)系

  • 下一次就直接發(fā)送icmp包，進(jìn)行通信即可

2、對(duì)上面的實(shí)驗(yàn)的補(bǔ)充(不同vlan之間主機(jī)的通信)

1、路由器物理接口

• 實(shí)現(xiàn)不同vlan主機(jī)互訪

• 添加一個(gè)路由器，然后配置一個(gè)網(wǎng)關(guān),充當(dāng)一個(gè)網(wǎng)關(guān)，訪問網(wǎng)關(guān)就相當(dāng)于是訪問同一個(gè)網(wǎng)段即可

• 實(shí)現(xiàn)PC1與PC2或者PC4通信即可

• 流程

# 訪問不同的網(wǎng)段的時(shí)候，先要去尋找網(wǎng)關(guān)，arp解析網(wǎng)關(guān)mac地址,就有能力將數(shù)據(jù)送給網(wǎng)關(guān)，然后根據(jù)路由表尋找通往不同網(wǎng)段的ip地址，這樣的話，就能尋找到不同的網(wǎng)段，實(shí)現(xiàn)了通信的效果

2、路由器上面配置虛擬接口

• 當(dāng)然上面的這種做法，容易費(fèi)接口

• 一個(gè)接口上面配置虛擬接口 .10 .20這樣的，實(shí)現(xiàn)了邏輯口配置，綁定vlan ,只有虛擬接口才能實(shí)現(xiàn)vlan 標(biāo)簽，物理接口不能實(shí)現(xiàn)vlan 的綁定

• dot1q ter vid 10,然后配置ip地址

• 子接口不會(huì)開啟arp服務(wù)，所以要開啟arp br enable，物理接口默認(rèn)是開啟arp解析的

• 路由器接收后，從對(duì)應(yīng)的接口就發(fā)送一個(gè)數(shù)據(jù)幀，帶有vlan 標(biāo)簽的

# 路由器r2配置文件
[r2-GigabitEthernet0/0/0.20]display  this
[V200R003C00]
#
interface GigabitEthernet0/0/0.20dot1q termination vid 20   # 通過(guò)綁定子接口vlan 10,來(lái)實(shí)現(xiàn)區(qū)分ip address 2.2.2.254 255.255.255.0 arp broadcast enable
#
return# s1交換機(jī)的配置
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20
#
return

• 缺點(diǎn)，這個(gè)路由器的線，非常的消耗帶寬，性能上面的不足

• 這個(gè)路由器上面的g0口的話，也可以作為一個(gè)網(wǎng)關(guān)，如果發(fā)送了一個(gè)數(shù)據(jù)沒有攜帶vlan的話，g0口也可以作為一個(gè)網(wǎng)關(guān)，如果攜帶了vlan 1標(biāo)簽的數(shù)據(jù)的話，需要在g0口上面再來(lái)配置一個(gè)虛擬接口即可

3、交換機(jī)實(shí)現(xiàn)路由功能(三層交換機(jī)這個(gè)就是，配置網(wǎng)關(guān))-就解決掉了上面的問題了

• 具有路由功能就是一個(gè)三層交換機(jī)

• 在交換機(jī)上面配置網(wǎng)關(guān)，使用的是vlanif ,抽象的邏輯接口

• vlanif 后，就相當(dāng)于路由功能

• 配置一個(gè)vlanif 后，然后配置2個(gè)不同網(wǎng)段的網(wǎng)關(guān)即可

• 這個(gè)S1就是一個(gè)匯聚層，S3和S2就是一個(gè)接入層

[s1]int Vlanif 10
[s1-Vlanif10]disp	
[s1-Vlanif10]display  this
#
interface Vlanif10ip address 1.1.1.254 255.255.255.0
#
return[s1]int Vlanif 10
[s1-Vlanif20]disp	
[s1-Vlanif20]display  this
#
interface Vlanif20ip address 2.2.2.254 255.255.255.0
#
return

6、vlanif(虛擬局域網(wǎng)接口)

• vlanif就相當(dāng)于是一個(gè)路由功能，配置網(wǎng)關(guān)即可實(shí)現(xiàn)通信了

• 實(shí)現(xiàn)了不同vlan之間的通信即可

1、vlanif實(shí)驗(yàn)和通信流程

# 首先2個(gè)交換機(jī)之間配置access接口,vlanif100 實(shí)現(xiàn)2個(gè)交換機(jī)之間的三層通信# 然后ospf的配置，這樣的話路由也都配置好了# 通信的流程vlan標(biāo)簽的變化# PC7與PC1之間的通信# 首先PC7發(fā)送一個(gè)arp到網(wǎng)關(guān)解析到了網(wǎng)關(guān)mac地址，然后ping 1.1.1.1 經(jīng)過(guò)g1口打上vlan 7的標(biāo)簽，然后S4解析發(fā)現(xiàn)不是自己的，發(fā)送到路由模塊中去尋找，這個(gè)時(shí)候，發(fā)送與vlanif 100相匹配，去掉之前的標(biāo)簽，打上vlan 100標(biāo)簽發(fā)送出去，# 到達(dá)了S1交換機(jī)，然后去掉自己vlan 100標(biāo)簽，匹配到了vlan if 10的路由了，打上vlan 10的標(biāo)簽，然后到了S3交換機(jī)上面了，達(dá)到出接口G2的時(shí)候去掉vlan 10的標(biāo)簽，到達(dá)了目標(biāo)主機(jī)PC1# 回包的時(shí)候也是這樣的流程

2、補(bǔ)充

• 加上了PC9，vlan10

# 這個(gè)時(shí)候交換機(jī)之間就不能使用access接口了，需要配置trunk接口# 2個(gè)交換機(jī)配置這樣的配置
# vlan 10用于二層的通信，100用于三層的通信
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 100
#
return# S4交換機(jī)上面的G3口的配置即可
[s4-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10
#
return

7、實(shí)驗(yàn)圖片

# 2個(gè)交換機(jī)上面配置ospf
# 如果2個(gè)交換機(jī)ospf中的范圍不同的話，可能不會(huì)交換LSA信息# 比如一個(gè)配置S1 1.1.1.1 0.0.0.0 另外一個(gè)配置S2 2.2.2.0 0.0.255# 這樣的話就是S1 是/32的，所以就會(huì)讀取LSA，但是S2是/24，不會(huì)進(jìn)行交換，這個(gè)就是范圍不同導(dǎo)致的

8、總結(jié)

交換機(jī)通信原理
就是mac表
廣播域等

1、關(guān)于同網(wǎng)段的通信

• 發(fā)送arp請(qǐng)求解析mac地址后，開始通信

2、不同網(wǎng)段通信

• 1.1.1.1 訪問 2.2.2.2，先要去找1.1.1.1的網(wǎng)關(guān)做一個(gè)arp請(qǐng)求，解析到mac地址，不同網(wǎng)段需要網(wǎng)關(guān)，因此需要路由器，但是arp請(qǐng)求是廣播域，路由器不接受，因此的話，在路由器上面配置網(wǎng)關(guān)，這樣的話，就能訪問到了網(wǎng)關(guān)，查找路由表，這個(gè)2個(gè)網(wǎng)段在不同的廣播域中

• 但是有特殊情況，2個(gè)不同的網(wǎng)關(guān)在同一個(gè)廣播域中，這樣的話，可以不設(shè)置網(wǎng)關(guān)，對(duì)目標(biāo)ip發(fā)送一個(gè)arp請(qǐng)求，實(shí)現(xiàn)通信了

3、vlan

• 交換機(jī)不能隔離廣播域，因此設(shè)置vlan

• 就是在接口上面配置vlan id 然后發(fā)送的數(shù)據(jù)經(jīng)過(guò)這個(gè)接口就會(huì)被打上vlan標(biāo)簽，然后再來(lái)考慮放行

• access接口類型的話，只能允許一個(gè)vlan通過(guò)，vlan丟棄

• trunk接口類型的話，允許多個(gè)vlan通過(guò)，vlan ID 和 pvid一樣的話，出去時(shí)去掉標(biāo)簽，不一樣則不丟棄

• hybrid接口類型的話，允許多個(gè)vlan通過(guò)，但是可以自己設(shè)置丟棄和不丟棄標(biāo)簽

4、vlanif

• 交換機(jī)沒有三層的能力，因此設(shè)置vlanif

• 實(shí)現(xiàn)了路由的功能呢

• vlan 100 vlanif 100對(duì)應(yīng)的編號(hào)相同的