《一名网络工程师的自我修养》-VLAN

最新推荐文章于 2024-03-07 20:00:00 发布
最新推荐文章于 2024-03-07 20:00:00 发布
阅读量433 收藏 1
点赞数
分类专栏: 《一名网络工程师的自我修养》 文章标签: 网关 网络 交换机 思科 路由器 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z3300529971/article/details/116278519
版权

VLAN

VLAN的概念以及定义

使用VLAN的原因:

  • 隔离广播域(所有连接交换机的设备都在同个网络下),导致广播泛滥、占用带宽。

  • 方便对于网络进行管理

  • 安全防护

  • 防止发生故障时全部网络瘫痪

vlan:

二层网络上的隔离技术

一个vlan代表一个广播域

跨VLAN通信:需要用到三层设备(如:三层交换、路由)

VLAN优点:

缩小广播域范围(泛洪小:减少泛洪占用的网络资源)

不同VLAN相互隔离(同部门、不同部门的访问)

VLAN标识

数据包中就有所带所属VLAN的标签

在这里插入图片描述

2^12 = 4096

交换机工作原理:

按照MAC地址表进行转发:VLAN与特定MAC地址相绑定(即交换机为每个VLAN都创建了一个MAC地址表项)

VLAN10发出的数据包只会发送到VLAN10所在网络

交换机的接口:

  • access: 通常连接PC、server等终端设备,只允许一个VLAN通过.(就是这个接口的PVID),相同则通过,不相同则丢弃。

    通过这个接口发送数据时,则去掉该VLAN的标签

  • Trunk: 允许多个VLAN流量通过。

    • 接收数据

    接收到没有标签的数据帧,则打上自己的PVID的标签

    接收到携带标签的数据帧时:检查tag标签,若该标签在允许通过的列表中则通过,反之亦然。

    • 发送数据

    通过Trunk接口向外发送数据时,同上检查tag, 查看允许通信列表来决定是否通过。

    如果在允许通信列表中且这个tag标签与这个接口的PVID相同,则会把这个tag去掉,不一样则直接发送。

  • Hybrid:允许多个VLAN通信

    • 接收数据

      与Trunk相同

    • 发送数据

      同Trunk相同

      不同点:可以选择将发送带tag的数据包,可以剥掉它的VLAN标记,让它不带tag发送。

VLAN 实施

(还有3种:MAC分配、子网分配、策略分配)

接口的VLAN分配:

  • 交换机上必须拥有需要转发的VLAN

  • 终端设备与交换机的接口设置PVID(多个接口时可设置端口组进行配置)

  • 在通过多个VLAN的端口设置 trunk或hybrid

华为VLAN实例:

思科VLAN实施:

在这里插入图片描述

tip:端口安全只能用access口

交换机与交换机之间的端口不能有任何一个端口为access,也不能两个端口同时为Auto,其它情况都可。(如果需要允许让多个VLAN通信)在这里插入图片描述

  • 创建VLAN
    • 思科没有同时创建VLAN的命令,一个一个的创建
  • 查看VLAN
    • do show vlan brief
  • (辅)更换VLAN名称
    • 进入vlan后(config-vlan) name stuff
  • 分配VLAN
    • 进入端口后(config-if) swi mo acc
    • swi acc vl 10
    • 分配玩VLAN后,进行设备自己进行协议,当绿灯亮起时即可正常使用
  • 交换机间的端口设置
    • 在华为中若想让多个VLAN通信,必须都设置为trunk
    • 在思科中:由于上面提到的:只要交换机间的端口不能有任何一个端口为access,也不能两个端口为Auto,其它模式都可。
    • 一般直接都设置为Trunk模式,不必搞复杂
    • 在这里插入图片描述

      • 设置完成后 do show int trunk
        在这里插入图片描述

        • 查看端口模式和状态以及可以通过的VLAN
  • 设置完成后即可VLAN内即可正常通信
端口组(批量对接口进行操作)
s2(config)int range fa0/1-10    // 进入fa0/1  --  fa0/10的端口为一个端口组
s2(config-if-range) swi mod acc
s2(config-if-range) swi access vlan 10
s2(config-if-range) do show vlan brief // 查看得这十个接口都被分配到了VLAN10
本征VLAN

中继接口的VLAN。

与华为的PVID类似:

收到或发送与本征VLAN相同时都不会打上标签

一个链路上的本征VLAN必须完全一致。(不一致时,会报错误原因:Native VLAN mismatch.

设置本征VLAN的命令

MS1(config-if) int g0/1-2
MS1(config-if-range) swi tru native vlan 30
MS1(config-if-range) end // 输入end,可以回到特权命令视图下(#)
MS1 #   
// 查看下本征VLAN
MS1 # show interfaces tru

传统的VLAN间的通信

在这里插入图片描述

原理:

PC1 ping PC2 , PC1会封装数据帧,到第二层时需要封装源目MAC地址,PC1封装时比较发现这是一个跨网段的通信。

发现是跨网通信,则会把数据发送到自己的网关,则会把目的MAC地址改为网关的MAC地址,本例网关就是AR1 g0/0/0。

交换机LSW2知道PC1这边发来的数据是设置为VLAN10的接口,于是打上了VLAN10的标签,然后会根据同VLAN特性(VLAN内部通信)自己发送到所要去的VLAN10内的网络,因为G0/0/0口也是VLAN10。

LSW2会发送携带标签VLAN10的数据发送给LSW1,然后发给AR1。AR1发现数据包里的MAC地址的确是自己,选择收下。收下后进行三层转发(通过查找路由表转发).

查找路由表后知道去往VLAN20网段的地址该往G0/0/1走。

发出不携带标记的标准以太网数据帧,源目MAC地址发生改变。(源MAC地址为AR1,目的MAC地址为PC2)

到达G0/0/2打上VLAN20的标签,再发送给属于VLAN20的PC2。

注意:各交换机需要设置默认网关,才能正常通信。

三层交换实现VLAN间通信

华为设备的三层交换功能(不同网络之间的互访)默认开启。

区别:

  • 传统VLAN间通信:在路由器的接口上配置网关

  • 单臂路由VLAN间通信:在子接口上配置网关

  • 三层交换机实现VLAN通信:

    • 思科在SVI接口配置网关
    • 华为在vlan-if接口配置网关

    让我们做一个小实验来理解:
    在这里插入图片描述

    1.配好IP以及分配好各接口的VLAN
    与设备直连的端口 设为access以及分配VLAN交换机相连的端口设为trunk模式

    当前在LSW1上仅设置了VLAN10的网关,此时pc1 ping pc2 无法Ping通,我们查看LSW1的路由表(因为跨网是通过路由表转发的)

    没有VLAN20的地址,所以无法互访。

单臂路由实现原理

根据VLAN标签的特性,我们在接入层(二层交换机)与汇聚层(路由器的子接口上)都要对vlan 标签进行处理。
交换机的接口都会根据VLAN的标签以及接口类型的处理数据(发送或接受数据)的特性(在每个端口上打上标签或去掉标签),
在这里插入图片描述
G0/0/1口设置接口类型为trunk,并允许VLAN通过,本征PVID为VLAN30。
如果准备发送的数据是带有vlan30标签的,则会去掉标签发送,则数据不带标签。
如果准备发送的数据带有的是非本征VLAN的标签且在允许通信列表中则带标签发送,如路由器没有对其进行拆相应标签的接口,则AR1会将其丢弃。
而单臂路由的实现是通过在真实物理接口上设置一个地址(本例设置本征VLAN30的地址),还在其上创建的逻辑的接口上创建地址,并开启广播功能以及设置要解封装VLAN的ID。

[AR2] int g0/0/1.10进入子接口10作为VLAN10的网关
[AR2-GigabitEthernet0/0/1.10] dot1q termination vid 10设置解封装的VLAN ID,否则无法拆标签则会丢弃数据
[AR2-GigabitEthernet0/0/1.10] arp broadcast enable开启广播功能

如果没有对子接口进行解封装以及开启广播,则他们的 Protocol 为down 状态,此时无法正常通信。
在这里插入图片描述

正常子接口状态,敲完后:
在这里插入图片描述

思科注意事项

思科在用三层交换机做传统VLAN间互访时,需要开启路由功能:

[Switch] ip routing开启路由功能,不然是无法跨网(当然无法跨VLAN )
[Switch] no swithchport三层交换机如要在某个接口上设置IP,必须 关闭交换功能

在这里插入图片描述
在这里插入图片描述

我们现在设置VLAN20的网关,并再次查看,现在应该可以ping通了。

在这里插入图片描述

在这里插入图片描述

在本案例中,我们只把LSW1当做三层路由使用,将LSW2当做二层不作为三层。此时,若我们要LSW2访问PC1该怎么办?

​ 首先在LSW2进入vlan30设置ip地址,然后思考想要Ping通PC1,而PC1属于vlan10且跨网段,所以必须通过网关,交换机自己访问时只能通过自己的路由表,我们查看下:在这里插入图片描述

LSW2不知道VLAN10在哪,自己不能直接访问,所以需要设置网关(通过静态路由):ip route-static 0.0.0.0 0 192.168.30.254 . 后再次查看路由表:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

ping pc 1 成功:在这里插入图片描述

MAC地址

网络地址:网络地址(Network address)是互联网上的节点在网络中具有的逻辑地址。

互联网络是由互相连接的带有连接节点(称为主机和路由器)的LAN组成的。每个设备都有一个物理地址连接到具有MAC层地址的网络,每个节点都有一个逻辑互联网络地址。

MAC地址:MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。

在OSI模型中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC地址。因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。

MAC地址是网卡决定的,是固定的。

笑白君
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
思科命令大全_思科基础命令大全,建议收藏!
weixin_39616090的博客
12-17 6021
思科 基本端口设置命令no ip routing 二层交换关闭路由功能configure terminal (conf t) 进入全局模式interface fastEthernet 1/0 (int f1/0) 进入端口1/0 简写int f1/0speed 100 设置速率为100MBduplex full 设置端口为双工 half 半双工show interfaces f...
实验三 VLAN 的基本配置
qq_54421171的博客
04-21 4312
1 实验目的 (1)了解 vlan 的用途、工作原理和几种实现技术;掌握 vlan 的配置方法。 (2)理解并掌握使用三层交换机的多个以太网口实现 vlan 间通信的方法。 (3)理解并掌握使用路由器的快速以太网接口以及 802.1Q 封装实现 vlan 间通信 2 实验内容 交换机上连接两台主机,测试主机联通性;在交换机上分别创建两个 vlan, 并为它们分配相应的端口;测试 vlan 内连通性和 vlan 间连通性。 3 实验原理 4 实验拓扑 拓扑如图所示 5 实验步骤 分别按图 3_1 和图.
本征vlan
商务合作|种草文章|产品测评
04-12 4715
与本征VLAN有关的知识点 对本征VLAN的一个总结
2、交换机间相同VLAN的通信
计算机系秃头少女的博客
04-20 2463
两台交换机互连的端口是trunk模式,而交换机和主机连接的端口是access模式; Trunk模式的端口允许不同的Vlan通信; “show vlan”命令可以查看端口分配情况; 创建VLAN及端口分配: Switch#conf t //进入全局配置模式 Switch(config)#vlan 10 //创建vlan 10 Switch(config-vlan)#exit //返回全局配置模式 Switch(config)#vlan 20 Switch(config-vlan)#exit
了解华为(PVID VLAN)与思科的(Native VLAN)本征VLAN区别并学习思科网络中二层交换机的三层结构局域网VLAN配置
最新发布
2201_75693008的博客
03-07 2858
本征VLAN(Native VLAN)是在交换机上配置的一个特殊VLAN,用于在trunk链路上传输未标记的数据帧。本征VLAN在trunk链路上传输的数据帧不会被加上VLAN标记,因此可以被接收端设备正确识别和处理。兼容非VLAN设备:允许传输未标记的数据帧,以便与不支持VLAN的设备进行通信。避免VLAN跨越:确保在trunk链路上传输的未标记数据帧被正确识别为属于本征VLAN,避免发生VLAN跨越的情况。
网络中的pvid与native vlan(本征vlan区别以及详解
skate886的博客
06-10 1万+
什么是本征vlan,缺省vlan, pvid
网络工程_Isolate-user-vlan配置.doc
01-26
网络工程_Isolate-user-vlan配置 在网络工程中,Isolate-user-vlan 配置是一个重要的...通过掌握 Isolate-user-vlan 配置的原理、步骤、优点和难点,网络工程师可以更好地设计和实现网络系统,以满足不同网络需求。
网络工程师第三部分-27.9 VLAN实现.mp3
07-05
网络工程师第三部分-27.9 VLAN实现.mp3
网络安全技术- VLAN-02 VLAN的逻辑结构.mp3
07-04
网络安全技术- VLAN-02 VLAN的逻辑结构.mp3
网络安全技术- VLAN-04 配置VLAN间路由.mp3
07-04
网络安全技术- VLAN-04 配置VLAN间路由.mp3
网络安全技术- VLAN-01 划分VLAN的意义.mp3
07-04
网络安全技术- VLAN-01 划分VLAN的意义.mp3
如果理解本征vlan,即native vlan
分享学习网络的点点滴滴
09-09 8413
首先给大家看一张我自己画的图,这是我自己的理解 首先在交换机中被trunk的接口我们一般称之为中继端口,在思科交换机,中继端口是允许带所有VLAN的标签(tag)通过,即permit ...
不同vlan间的通信(vlan,本征vlan,trunk,单臂路由)
qq_57165715的博客
09-25 1459
交换机两端本征vlan 号一定要一致,因为Native vlan的不适当规划会导致网络的安全性和稳定性降低,比如:在trunk链路两头,native vlan不对称,即mismatch,可以使得两边不同vlan可以互相通信,还有,如果把普通用户pc划分到native vlan里的而不采取某些安全措施,这部分用户会很轻易的完成vlan跳跃,对安全产生很打威胁。给各个pc分配好vlan后会发现无法通信,让他们不同交换机下的多个vlan相互通信怎么办?本征vlan:管理vlan,缺省vlan
配置vlan常用命令
热门推荐
m0_65662053的博客
02-09 3万+
1.创建VLAN的方法: 全局配置模式下:(新型号交换机) switch(config)#vlanid switch(config-vlan)#namecaiwu 2.删除VLAN: 全局配置模式下: switch(config)#novlanid 3.(举例)交换机接口加入VLAN: 1)将单个接口加入vlan switch(config)#intf0/1 Switch(config-if)#switchportmodeaccess Switch(config-if)#switc...
网络协议详解】——VLAN技术(学习笔记)
HinsCoder的博客
05-20 5974
VLAN技术把用户划分成多组逻辑的网络,组内可以通信,组间不允许通信。二层转发的单播、组播、广播报文只能在组内转发。为了实现转发控制,在待转发的以太网帧中添加 VLAN标签 ,然后设定交换机端口对该标签和帧的处理方式。方式包括丢弃帧、转发帧、添加标签、移除标签。VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。不同VLAN 之间的流量不能直接跨越VLAN 的边界,需要使用路由,通过路由将报文从一个VLAN 转发到另外一个VLAN
路由与交换(五):虚拟局域网VLAN
weixin_43376075的博客
04-28 1537
VLAN虚拟局域网是逻辑上的局域网,用于隔离广播域,有效控制广播域的范围;增强网络的安全性;减少网络管理开销以及实现组网的灵活性
0基础学RS(十一)VLAN知识点,VLAN的类型,VLAN中继(trunk),本征VLAN
weixin_45816894的博客
04-12 1500
VLAN概述 VLAN定义 VLAN(Virtual Local Area Network):虚拟局域网,在交换网际网络中通过vlan可以灵活地进行分段和组织。VLAN可以将LAN(局域网)中的设备分组,VLAN 中的一组设备通信时就如同这些设备连接到同一条电缆一样。VLAN 基于逻辑连接,而不是物理连接。 VLAN允许管理员根据功能、项目组或应用等因素划分网络,而不考虑用户或设备的物理位置。每个VLAN都被视为一个独立的逻辑网络。 单播、广播、多播数据包,将只被转发或泛红到同一个VLAN的设备,去往其他
华为重启交换机命令_思科认证/华为认证:交换机show命令非常全面的详解,值得收藏...
weixin_39908082的博客
12-09 4188
上篇的路由汇总不知道大家学得怎么样了。今天小武老师又带着新知识来了哦!下面的时间就交给小武老师了。Hello,同学们大家好,我是新盟教育的小武老师,不知道大家是否还remember me上次给大家讲解了一下汇总路由,今天给大家带来一篇关于交换机show命令的详解。交换机show命令有什么用?关于show命令这个东西,相信我们大家都有使用过吧?比如在我们CCNA阶段学过的第一个show versio...
VLAN技术详解:如何使用虚拟局域网优化企业网络架构
weixin_43263566的博客
11-26 1427
VLAN(Virtual LAN)虚拟局域网
虚拟化网络- vlan vxlan macvlan ipvlan对比
09-20
虚拟化网络是一种通过软件技术将物理网络资源划分为多个虚拟网络的方法,可以提供更灵活和高效的网络管理和部署。在虚拟化网络中,常见的技术包括 VLAN、VXLAN、MACVLAN 和 IPVLAN。下面是它们之间的对比: 1. VLAN(Virtual LAN)是一种虚拟化技术,通过标记数据包的 VLAN ID 来将单一物理网络划分为多个逻辑上隔离的虚拟网络。不同的 VLAN 之间可以进行通信,但是需要通过交换机进行数据包的转发。 2. VXLAN(Virtual Extensible LAN)是一种扩展的虚拟化网络技术,通过在数据包中封装一个额外的头部来扩展 VLAN 的数量。VXLAN 使用一个 24 位的 VXLAN Network Identifier (VNI) 来将数据包隔离到不同的虚拟网络中。VXLAN 可以在不同的物理网络之间扩展,并且可以跨越多个物理子网。 3. MACVLAN 是一种将单个物理接口划分为多个逻辑上独立的虚拟接口的技术。每个 MACVLAN 接口都有自己的 MAC 地址,并且可以与其他 MACVLAN 接口或物理接口进行通信。MACVLAN 可以实现主机级别的虚拟网络隔离。 4. IPVLAN 是一种将单个物理接口划分为多个逻辑上独立的虚拟接口的技术,每个 IPVLAN 接口都有自己的 IP 地址。IPVLAN 可以实现更高级别的虚拟网络隔离,并且可以与其他 IPVLAN 接口或物理接口进行通信。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值