進階-中小型網絡構建-二層VLAN技術詳解配實驗步驟
進階-中小型網絡構建-二層VLAN技術詳解配實驗步驟
為什么講 VLAN �?
在傳統的交換網絡中�����,為了隔離沖突域����,我們引入了交換機�����。
交換機的每一個端口都是一個不同的隔離域����。
但是交換機無法隔離廣播域���,
所以��,如果網絡中有一個惡意的主機發送廣播的惡意流量����,
那么處于同一個交換網路中的所有設備都會受到影響��。
此時���,如果我們想進行故障主機的定位或者控制惡意廣播流量的
影響范圍�,是非常困難的����。
為了解決這個問題�����,我們的方案是:隔離廣播域��。
即將一個大的廣播域��,通過“技術”分割成很多不同的小廣播域���。
那么惡意的廣播流量����,僅僅會被控制在一個有限的范圍內����,
如此一來�,對于故障主機的定位以及惡意流量的影響都可以實現
很好的控制�����。
這種技術���,我們稱之為 -- vlan ���,virtual lan 虛擬局域網����。
VLAN的定義:
VLAN指的是具有同樣功能的一些設備所處于一個的廣播域/網段�;
但是位于同一個 VLAN 中的設備與物理位置沒有關系���。
即屬于同一個 VLAN 的成員主機����,可以位于同一個物理位置��,
也可以位于不同的物理位置����。
所謂的“虛”���,指的就是“物理位置的”的“虛擬”�。
是相對于“傳統的LAN”而言的����,在傳統的 LAN 中��,只有屬于同一個物理
范圍內的設備�����,才是屬于同一個 LAN 的����。
而 VLAN 就是打破了這種物理位置的限制�。
在交換機上通過 VLAN 技術�����,實現廣播域的隔離�。屬于 OSI 2層的技術�����。
VLAN的作用:
在交換機上劃分不同的廣播域�,
每一個 VLAN 都是屬于一個不同的廣播域���;
【不同的 VLAN 就是屬于不同的網段�����;】
VLAN的表示:
# 通過 ID 來表示����,比如 vlan 1 , vlan 2 .....
ID取值范圍: 0 - 4095
Access 與 Trunk 鏈路的區別:
#連接的設備不同�����;
access ���,一般連接的是終端設備�;
trunk ����, 一般連接的是交換機設備�;
#支持的VLAN不同��;
access����, 永遠只能屬于一個 VLAN �����;
trunk ���, 可以同時支持多個VLAN �;
#對數據的操作不同
access :
對于出向數據而言��,是不打標簽的�����;
對于入向數據而言���,是不打標簽的�����;
trunk :
對于出向數據而言��,肯定是需要打標簽的����;
對于入向數據而言���,
#如果接收到的數據是攜帶標簽的�����,
&如果該接收端口是允許該vlan的�,則直接接收�;
&如果該接收端口不允許該vlan的��,則直接丟棄�;
#如果接受到的數據是不攜帶標簽的�,
就會使用該 trunk 端口上的 PVID 表示的
vlan 號����,為數據打一個標簽�����;
注意:
trunk 鏈路上的默認的 PVID 是 1 �����;
--------------------------------------------------------------------
通過以上的 access 與 trunk 鏈路對 tag 標簽的操作的理解�����,
以后我們在排查交換網絡中的故障的時候�����,
應該在“數據轉發的路徑上的每個交換機上��,依次使用下列命令進行排查”:
1.當交換機收到一個數據幀的時候��,我們使用下面的命令查看:
display port vlan ---> 為的是確定該數據幀的入端口的 PVID �;
2.查看交換機上的入端口的 PVID 表示的 VLAN 的 MAC-address 表����;
display mac-address vlan {pvid}
#在該 vlan 的 mac-address 表的顯示中��,存在對應的 mac-address
條目���,則將數據幀從對應的端口中發送出去���;
#在該 vlan 的 mac-address 表的顯示中��,不存在對應的 mac-address
條目�����,則進行“第3步”
3.通過以下命令進一步確定“數據幀的出端口”:
display vlan [pvid] --> 首先查看與該 vlan 對應的 “出端口”�����。
同時��,確定數據在該端口上出去的時候���,
對標簽的處理動作:
UT - 不打標簽�����;
TG - 打標簽���;
其實打的標簽的值
是PVID�;
下面就以一組實驗來驗證
實驗名稱:同一個VLAN內的主機互通
實驗需求:
PC-1/PC-2/PC-5 屬于 VLAN 10 �,IP地址:192.168.10.X/24���,X是PC號����;
PC-3/PC-4屬于 VLAN 30 ���,IP地址:192.168.30.X/24����,X 是 PC 號��;
同一個 VLAN 內部的主機之間互相 ping 通��;
實驗步驟:
1.配置終端主機����;
PC-1 : 192.168.10.1/24
PC-2 :192.168.10.2/24
PC-5 :192.168.30.5/24
PC-3 : 192.168.30.3/24
PC-4 :192.168.30.4/24
2.配置網絡設備
# 創建 VLAN ,并驗證 VLAN 信息��;
SW1:
[SW1]vlan 10 -->創建 VLAN 10 ���;
[SW1-vlan 10] quit
[SW1]vlan 30 -->創建 VLAN 30
[SW1-vlan 30] quit
[SW1] display vlan --> 查看交換機上創建好的 vlan 10 和 30
SW2:
[SW1]vlan 10
[SW1-vlan 10] quit
[SW1]vlan 30
[SW1-vlan 30] quit
[SW1] display vlan --> 查看交換機上創建好的 vlan 10 和 30
# 將連接 PC 的端口配置為 Acess ���,并放入特定的 VLAN ��;
SW1;
interface gi0/0/1 -->該端口連接的是 PC-1
port link-type access --> 設置端口模式為 access �����;
port default vlan 10 --> 設備端口屬于 vlan 10 ;
interface gi0/0/2 -->該端口連接的是 PC-2
port link-type access --> 設置端口模式為 access ����;
port default vlan 10 --> 設備端口屬于 vlan 10 ;
interface gi0/0/3 -->該端口連接的是 PC-3
port link-type access --> 設置端口模式為 access ���;
port default vlan 30 --> 設備端口屬于 vlan 30 ;
SW2;
interface gi0/0/4 -->該端口連接的是 PC-4
port link-type access --> 設置端口模式為 access �����;
port default vlan 30 --> 設備端口屬于 vlan 30 ;
interface gi0/0/5 -->該端口連接的是 PC-5
port link-type access --> 設置端口模式為 access �;
port default vlan 10 --> 設備端口屬于 vlan 10 ;
驗證 VLAN 與 端口的從屬關系:
[SW1]display vlan -->查看對應的 VLAN 后面有關聯的端口�����;
[SW2]display vlan -->查看對應的 VLAN 后面有關聯的端口����;
# 配置交換機之間的互聯鏈路為 Trunk�,并允許所有的 VLAN 通過��;
SW1:
interface gi0/0/24 --> 連接 SW2 ��;
port link-type trunk -->將端口設置為 trunk 模式���;
port trunk allow-pass vlan all -->配置端口允許所有的VLAN
SW2:
interface gi0/0/24 --> 連接 SW1 �����;
port link-type trunk -->將端口設置為 trunk 模式�����;
port trunk allow-pass vlan all -->配置端口允許所有的VLAN
驗證鏈路的 Trunk 模式以及 Trunk 端口允許的 VLAN :
[SW1] display port vlan --> 查看端口模式以及允許的 VLAN ;
[SW2] display port vlan --> 查看端口模式以及允許的 VLAN ;
Trunk:干道
為了節省交換機設備之間的互聯鏈路�,
我們開發了 Trunk 技術���,如此一來���,就可以大大的節省設備之間的
連接端口����。為啥�����?因為:
可以同時傳輸多個 VLAN 的數據的鏈路/端口����;
一般應用于交換機與交換機之間的互聯鏈路����;
配置命令:
interface gi0/0/24
port link-type trunk -->將端口配置為 Trunk 模式���;
port trunk allow-pass vlan all -> 在該端口上允許所有的VLAN
通過���;
默認情況下��,僅允許VLAN 1�����;
如果出現配錯命令也可以進行刪除
刪除 VLAN :
[SW1] undo vlan 10 -->刪除 VLAN 10 以后����,曾經屬于 vlan 10
的端口自動的回歸到 vlan 1 ���;
將端口從 access 配置為 hybrid :
1.首先刪除該端口上的“配置 vlan ”的命令����;
2.其次直接修改該端口的 link-type ;
將端口從 trunk 配置為 access :
1.首先刪除該 trunk 端口上的:port trunk allow-pass vlan all
2.其次配置該端口僅僅允許 VLAN 1 通過:
port trunk allow-pass vlan 1
3.其次直接修改該端口的 link-type ;
注意:
在同一個 trunk 鏈路上前后使用的“ port trunk allow-pass vlan x "
命令是相互疊加的�����,不是相互覆蓋的���;
為了安全著想���,在企業中����,我們建議����,僅僅在交換機之間的 Trunk 鏈路
上允許”企業中存在的那些 VLAN “���。
最后對GVRP做以講解
GVRP : generic vlan register protocol , 通用 vlan 注冊 協議��;
該協議的作用�,就是在不同的交換機之間�,自動的同步 VLAN 信息的���;
注意:
為了保證整個交換網絡的互通�����,我們必須確保在網絡中的所有交換機
擁有”完全相同的 VLAN 數據庫“�����。
并且��, GVRP 在華為設備上��,默認是關閉的�����。該協議是”公有標準協議“��。
【在思科上實現同樣的功能的協議���,叫做 VTP�����,這是思科私有的】
配置:
display gvrp status --> 查看當前交換機上的 GVRP 的運行狀態����;
1.在系統模式下開啟 GVRP 功能:
[SW1] gvrp --->為整個設備開啟 GVRP 功能��;
2.在交換機之間的互聯鏈路上開啟 GVRP �,即在 Trunk 上開啟�����;
[SW1]interface gi0/0/24
[SW1-gi0/0/24] gvrp ---> 在端口上開啟 GVRP 功能�����,
從而該端口就可以正常的發送和接收
GVRP的報文�����;
注意:
GVRP 命令����,必須在 Trunk 鏈路配置�����。如果是其他類型的鏈路��,該命令
無法輸入���;
