快速配置vlan方式,vlan主干道(mux-vlan)、端口隔离、ARP代理(路由式、vlan内、vlan间)

已于 2024-09-28 11:06:50 修改
阅读量1.5k 收藏 21
点赞数 46
文章标签: 网络 智能路由器
于 2024-08-31 17:09:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hzhile/article/details/141681515
版权

vlan主干道、隔离型子vlan、互通型子vlan

[SW1]vlan batch 10 200 300 400
[SW1-vlan10]mux-vlan	//进入vlan10,开启mux-vlan功能,此时vlan10将作为主vlan
[SW1-vlan10]subordinate separate 200//将vlan200配置为隔离型子vlan(隔离vlan有且只能存在一个)	vlan200是vlan10的子vlan
[Sw1-vlan10]subordinate group 300 400 //将v1an300 400配置为互通型子vlan(互通型vlan可以有多个)

separate:隔离型vlan:隔离vlan和其他子v1an不通,隔离vlan内也不能互通
group:互通型vlan:正常的vlan

[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 200
[SW1-GigabitEthernet0/0/1]port mux-vlan enable
//接口开启mux-vlan功能

如果流量经过的两个接口都启用了mux-vlan功能,那么会使用display mux-vlan表项作为控制选项;
如果流量经过的两个接口有一个没有启用mux-vlan功能,那么会使用display port vlan表项作为控制选项

**端口隔离(用于相同vlan间的隔离)**为二层隔离,配置相同隔离组的接口二层不能互通

//进出接口配置这条命令时,就会把该流量在出接口截止(二层隔离)
[SW1-GigabitEthernet0/0/1]port-isolate enable group 1	

[SW1]display port-isolate group all //查看隔离组分配情况

//快速配置一样的vlan模式
//搞一个组,配置一个就会把组的其他也配置上了
[SW1]port-group 1
[SW1-port-group-1]group-member g0/0/1 to g0/0/4

[SW1-port-group-l]port link-type access
[SW1-port-group-l]port default vlan 10

相同网段只能走二层转发,是不能走三层的(不会触发路由功能)
源目ip都在一个网关里
pc1 ping pc2
在ip头部封装的时候,源目ip一个网段,不触发路由功能
二层在封装目的mac地址时,直接封装目的ip的mac地址
如果在不同网段,则是二层封装网关的mac地址
在这里插入图片描述

3、ARP代理:

3.1 路由式ARP代理-----用于解决相同网段的终端被路由器隔离的场景
3.2 VLAN内的ARP代理-----相同网段的终端被交换机二层隔离的场景
3.3 VLAN间的ARP代理-----

下面这个是相同网段ping的!!!!!

3.1 路由式ARP代理

疑问:为什么相同网段的终端被路由器隔离后,就需要我们去开启arp代理呢?不是默认开启arp代理的吗?如果不是,那其他是时候也都是默认开启的呀
答:ARP代理跟ARP协议是两码事,默认的是有ARP协议而不是默认开启ARP代理

网络隔离:
当两个终端位于同一网段但被路由器隔离在不同的广播域时,它们无法直接通过ARP来相互发现对方。这是因为ARP请求和响应通常局限于单个广播域。因为R1两个接口不在同一个广播域下,所以无法通过R1的g0/0/1接口
ARP代理作用:
ARP代理允许路由器或交换机代表另一个设备(通常是位于不同广播域的设备)来响应ARP请求。这使得不同广播域的设备能够通信,就好像它们在同一个广播域一样。
在这里插入图片描述

{AR1-GigabitEthernet0/0/0]ip address 192.168.0.254 255.255.255.0
[AR1-GigabitEthernet0/0/1]ip address 192.168.1.254 255.255.255.0

[AR1-GigabitEthernet0/0/0]arp-proxy enable		//开启ARP代理功能
[AR1-GigabitEthernet0/0/1]arp-proxy enable		//开启ARP代理功能

解析:

  1. 主机5发送ARP请求
    目的:主机5需要知道路由器接口的MAC地址,以便将数据包发送到路由器。
    过程:主机5发送一个ARP请求,询问其默认网关(路由器接口)的MAC地址。
  2. 路由器响应ARP请求
    目的:路由器收到ARP请求后,识别到请求中的IP地址是自己接口的IP地址。
    过程:路由器发送一个ARP响应,提供其接口的MAC地址。
  3. 主机5封装ICMP请求
    目的:主机5已经知道如何到达路由器,现在需要发送ICMP请求到主机6。
    过程:
    以太网帧:主机5封装一个以太网帧,源MAC地址是主机5的MAC地址,目的MAC地址是路由器接口的MAC地址(从ARP响应中获得)。
    IP数据包:在以太网帧中,主机5封装一个IP数据包,源IP地址是主机5的IP地址,目的IP地址是主机6的IP地址。
    ICMP数据:在IP数据包中,主机5封装ICMP请求数据,如ping请求。
  4. 路由器接收并处理ICMP请求
    目的:路由器接收来自主机5的ICMP请求,并决定如何转发它。
    过程:
    检查目的IP:路由器检查IP数据包的目的IP地址,发现它与主机6在同一网段。
    路由决策:路由器根据路由表决定如何到达主机6。
  5. 路由器封装ICMP请求
    目的:路由器需要将ICMP请求转发到主机6。
    过程:
    ARP请求:如果路由器不知道主机6的MAC地址,它会发送一个ARP请求。
    ARP响应:收到ARP响应后,路由器知道主机6的MAC地址。
    以太网帧:路由器封装一个新的以太网帧,源MAC地址是路由器接口的MAC地址,目的MAC地址是主机6的MAC地址。
    IP数据包:在新的以太网帧中,路由器封装相同的IP数据包,源IP地址是主机5的IP地址,目的IP地址是主机6的IP地址。
    ICMP数据:ICMP请求数据保持不变。
  6. 主机6接收ICMP请求并响应
    目的:主机6接收到ICMP请求后,发送一个ICMP响应回主机5。
    过程:
    以太网帧:主机6封装一个以太网帧,源MAC地址是主机6的MAC地址,目的MAC地址是路由器接口的MAC地址(因为它需要将响应发送回路由器)。
    IP数据包:在以太网帧中,主机6封装一个IP数据包,源IP地址是主机6的IP地址,目的IP地址是主机5的IP地址。
    ICMP数据:在IP数据包中,主机6封装ICMP响应数据。
    接下来回去也是一个道理

需要在两个接口开启arp代理模式:因为泛洪需要在同一个广播域下才可以,而这里是划分为两个广播域的。所以需要开启代理给他传到R1才行。

刚开始:
arp-request报文组成:
1、报文类型:请求
2、SIP:0.100
3、DIP:1.100
4、SMAC: PC5
5、DMAC:未知
接着:
arp-request报文组成:
1、报文类型:请求
2、SIP:1.254
3、DIP:1.100
4、SMAC: AR1 g0/0/1
5、DMAC:未知

g0/0/1的报文:
在这里插入图片描述
g0/0/0的报文:
在这里插入图片描述

3.2:VLAN内的ARP代理

在这里插入图片描述

[LSW2-GigabitEthernet0/0/1] port link-type access
[LSW2-GigabitEthernet0/0/1] port default vlan 10
//进行二层隔离
[LSW2-GigabitEthernet0/0/1] port-isolate enable group 1
[LSW2-GigabitEthernet0/0/2] port link-type access
[LSW2-GigabitEthernet0/0/2] port default vlan 10
[LSW2-GigabitEthernet0/0/2] port-isolate enable group 1


[LSW2]interface Vlanif10
[LSW2-Vlanif10]ip address 192.168.2.254 255.255.255.0
//二层隔离还想通信的话需要进行vlan内的arp代理,走vlanif接口
[LSW2-Vlanif10]arp-proxy inner-sub-vlan-proxy enable	//vlan内

解析:
pc3封装源目IP地址,源mac地址,发现没有目的mac地址,所以进行arp请求,进行广播发送。本来处于同一个vlan10广播域下泛洪,但是由于做了二层的端口隔离,泛洪不过去,所以无法发送到pc4。所以配置一个vlanif 10接口(同属于一个广播域),这时候去处理arp-request请求(因为开启了vlanif内的arp代理),把帧头拆掉,漏出arp-request的目的ip,去查找路由表,看看有没有去往该网段的ip地址,有的话封装自己vlanif的源ip、mac地址进行代理发送arp-request给pc4(同时tag值为vlanif10)经过g0/0/2,就会剥离vlan10的标签,发送给pc4。

pc4回包也是一个道理,不过是发送arp-reply回包了,且是回给LSW2,因为pc4觉得是LSW2找它要的。所以回包发给它,然后由LSW2再发还给PC2

隔离的是g1口的接口到g2口的接口
最后arp发送回来后,交换机给的也是vlanif的mac地址给主机1

3.3 VLAN间的ARP代理:

(使用聚合vlan的原因是为了节省ip地址)
在这里插入图片描述

[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]vlan 30

//配置上子vlan才能通交换机,没放在聚合vlan里面的是不可以通的
[LSW1-vlan30]aggregate-vlan				//主vlan(聚合vlan的意思)
[LSW1-vlan30]access-vlan 10 20			//子vlan
[LSW1-vlan30]int vlanif 30
[LSW1-Vlanif30]ip ad 192.168.1.254 24
//开启vlan间的arp代理,不然无法通往pc2
[LSW1-Vlanif30]arp-proxy inter-sub-vlan-proxy enable

#由于PC1和PC2网段相同,互访时只能二层转发,但由于vlan不同,因此不通。在聚合vlanif30下开启vlan间的ARP代理后,即可访问。

Hzhile
关注
eNSP——交换机高级特性(MUX-VLAN端口隔离ARP代理、super-vlan、QinQ、端口镜像)
scy1034446395的博客
01-03 906
eNSP——交换机高级特性(MUX-VLAN端口隔离ARP代理、super-vlan、QinQ、端口镜像)
端口隔离ARP代理
weixin_51620249的博客
05-28 730
ARP代理:实现同一VLAN内端口之的隔离•交换机端口之的一种访问控制安全控制机制。•配置端口隔离后,无论是哪个VLAN,都不能互相通信。
vlan端口隔离配置
qq_40907977的博客
07-27 5743
对于大型网络来说,vlan是一种不错的解决办法,但对于有些项目,项目本身不需要不同vlan进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了,用户如果还将不同的端口划入不同的VLAN,那么有些浪费成本或资源,怎么办呢?可以采用端口隔离。 采用端口隔离功能,可以实现同一VLAN内端口之的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之二层数据的隔离。 端口隔离一般用于内网中,端口隔离的端口之无法相互通信,所以端口隔离功能为用户提供了更安全的方案。 一、端口隔离如何
HCIP-端口隔离arp代理、聚合vlan、QinQ
qq_52655865的博客
01-05 1484
IPv4私有地址:A类:10.0.0.0-10.255.255.255 /8B类:172.16.0.0. - 172.31.255.255/12C类:192.168.0.0 - 192.168.255.255/16。
MUX VLAN
热门推荐
曹世宏的博客
05-21 3万+
MUX VLAN简介: 产生背景: MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。 例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之可以互相交流,而企业客户之是隔离的,不能够互相访问。 为了实现所有用户都可访问企业服务器,可通过配置VLAN通信实现。如果企业规模很大,拥有大量的用户,那么就...
VLAN隔离
wangyuxiang946的博客
11-16 1万+
欢迎关注微信公众号:新网工李白 “免费获取华为认证学习资料培训机构视频、软考学习资料和求职简历模板。” VLAN隔离 一、场景及实现方式二、端口隔离1、配置案例 三、MUX VLAN:Multiplex VLAN1、配置案例 四、...
端口隔离VLANARP代理
weixin_38018494的博客
10-11 1146
端口隔离功能可以实现同一VLAN内端口之的隔离 不同隔离组之是可以互访的,只是隔离组内部是不可以相互访问的 关键配置: interface Vlanif1 # interface Vlanif10 ip address 10.0.0.1 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 port-isolate enable group 1 # interf...
隔离vlan
weixin_34221276的博客
04-10 266
Cisco交换机实现隔离访问 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置: Switch(conf...
隔离VLAN----mux vlan
一只眠羊的博客
12-04 322
目的: vlan 10里的 PC1与 PC2 不可以通信 vlan 20里的 PC3可以与 PC4通信 配置命令: system-view vlan batch 10 20 100 vlan 100 mux-vlan subordinate separate 10 subordinate group 20 interface ethernet0/0/1 port link-type access port default vlan 10 port mux-vlan enable quit interfac.
网络笔记_端口隔离代理ARPMUX VLAN
大嘴先生
04-08 1453
目录 端口隔离 配置命令 代理ARP MUXVLAN MUXVLAN技术术语 MUX-VLAN实验 要求 拓扑图 端口隔离 实现同一VLAN内端口之的隔离 交换机端口之的一种访问控制安全控制机制 配置端口隔离后,无论是哪个VLAN,都不能互相通信 配置命令 命令 备注 解释 port-isolate enable group 5 开启端口隔离功能,默...
MUX VLAN配置
weixin_34082177的博客
11-03 1136
7.1 MUX VLAN简介产生背景MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之可以互相交流,而企业客户之是隔离的,不能够互相访问。为了实现所有用户都可访问企业服务器,可通过配置VLAN通信实现。如果企业规模很大,拥有大量的用...
mux-vlan配置
qq_47529104的博客
02-13 2594
mux-vlan中的概念: 主vlan,组vlan,分离vlanvlan只能和主vlan或者同组的vlan通信,比如一个主vlan100,它有一个从属的组vlan101,那么vlan101的主机只能和vlan100或者vlan101主机通信 分离vlan只能和主vlan通信,不能和其他vlan通信 vlan视图:mux-vlan :在vlan视图中输入mux-vlan,将该vlan设置为主vlan subordinate group 101 102 :设置vlan101,102为vlan1
Mux VLAN配置
我的博客
08-07 1178
MUX VLAN 提供了一种在VLAN的端口进行二层流量隔离的机制 group 可以互访 separate不能互访 先配置好每个设备的ip地址 进入交换机配置 [Huawei]vlan bat 10 20 100 [Huawei]vlan 100 [Huawei-vlan100]subordinate group 10 [Huawei-vlan100]subordinate separate...
MUX VLAN配置
weixin_46648541的博客
05-31 521
MUX VLAN配置 实验拓扑图 实验要求 如图所示,VLAN10、20、99为公司内部网络,30为访客网络。 1.测试所有PC和服务器能否通信?(YES) 2.在S1上完成配置,使得VLAN10、20内部能够通信且能够访问服务器所在网络VLAN99(不考虑10和20之互相通信),VLAN30作为访客网络仅能访问服务器所在网络VLAN99,VLAN30内部成员也不能互相访问。 3.测试VLAN10、20、30、99之通信状况。(VLAN10、20、99内部均能够通信,VLAN30内部不能通信
Mux VLAN
太阳了文哥的博客
08-04 741
什么是Mux VLAN 简单来说就是通过Mux VLAN来做到VLAN内的隔离。把一个VLAN拆分成主VLAN与子VLANVLAN principole Vlan ,这个是对外显示的VLAN,类似于BGP联邦的概念 mux vlan 不支持创建svi接口 子VLAN 通过子vlan可以把主vlan划分为若干个vlan,这若干vlan彼此隔离,但都能与主vlan的成员互通 子vlan又分为Group vlan与separate vlan Group vlan----组VLAN 可以与主vlan
vlan运行了mux-vlan就不能配置vlanif
最新发布
06-21
当在一个网络中使用Mux VLAN(Multiplex VLAN)功能后,通常情况下就不再直接配置传统的VLAN IF接口。Mux VLAN提供了一种在同一个物理接口下创建多个VLAN子接口的方法,这些子接口共享同一个物理媒介但各自独立工作。 VLAN IF(Virtual Local Area Network Interface)是传统VLAN配置方式,每个VLAN会有一个独立的接口,用于承载该VLAN的数据流量。但在Mux VLAN下,VLANIF接口的设置不再是必需的,因为每个VLAN都被映射到一个主接口上,这个主接口充当所有子VLAN的汇聚点。 因此,当你启用Mux VLAN时,你不需要为每个子VLAN创建单独的VLANIF接口,而是通过配置主接口和子VLAN的关联关系来实现VLAN的隔离。Mux VLAN简化了配置,并且可能提高管理效率,尤其是在物理设备资源有限的情况下。 相关问题: 1. Mux VLAN如何替代VLANIF接口? 2. Mux VLAN的主要优势是什么? 3. 在启用Mux VLAN后,如何配置VLAN与主接口的关联?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值