VLAN与三层交换机

1 VLAN的概念及优势

1.1 什么是VLAN

• VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。
• VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

1.2 广播与广播域

1.2.1 广播

• 广播是一种信息的传播方式，指网络中的某一设备同时向网络中所有的其它设备发送数据。

1.2.2 广播域

• 广播发送数据所能广播到的范围即为广播域(Broadcast Domain)。
• 通常来说一个局域网就是一个广播域。
• 同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去。
• 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。
• 网络管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

1.3 广播风暴

• 广播风暴（broadcast storm）简单的讲是指当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。
• 一个数据帧或包被传输到本地网段（由广播域定义）上的每个节点就是广播。
• 由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

1.3.1 示例

这是一个由5台二层交换机（交换机1～5）连接了大量客户机构成的网络。

• 当计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARPRequest）信息”，来尝试获取计算机B的MAC地址。
• 交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是泛滥了。接着，交换机2收到广播帧后也会泛滥。交换机3、4、5也还会泛滥。
• 最终ARP请求会被转发到同一网络中的所有客户机上，这也就是网络风暴。
  • 一方面广播信息消耗了网络整体的带宽
  • 另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗，可能会造成网络瘫痪。

1.4 VLAN的优势

• 为什么需要分割VLAN(广播域）呢？因为如果仅有一个广播域，有可能会影响到网络整体的传输性能。
• 在传统的交换式以太网中，所有的用户都在同一个广播域中，当网络规模较大时，广播包的数量会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，就会不停地向网络发送广播，从而导致广播风暴，使网络通信陷于瘫痪。
• 可以使用分隔广播域的方法来解决这一问题，分隔广播域有两种方法。
  • 物理分隔：将网络从物理上划分为若干个小网络，再使用能隔离广播的路由设备将不同的网络连接起来实现通信。
  • 逻辑分隔：将网络从逻辑上划分为若干个小的虚拟网络，即VLAN。VLAN工作在OSI参考模型的数据链路层，一个 VLAN 就是一个交换网络，其中的所有用户都在同一个广播域中，各 VLAN 通过路由设备连接实现通信。
• 使用物理分隔有很多缺点，它会使得局域网的设计缺乏灵活性。例如，连接在同一台交换机上的用户只能划分在同一个网络中，而不能划分在多个不同的网络中。
• VLAN 的产生给局域网的设计增加了灵活性，使得网络管理员在划分工作组时，不再受限于用户所处的物理位置。
• VLAN 可以在一个交换机上实现，也可以跨交换机实现。它可以根据网络用户的位置、作用或部门等进行划分。

1.5 VLAN技术的优势

1. 控制广播
   每个 VLAN 都是一个独立的广播域，这样就减少了广播对网络带宽的占用，提高了网络传输效率，并且一个VLAN 出现了广播风暴不会影响其他的VLAN。
2. 增强网络安全性
   由于只能在同一VLAN 内的端口之间交换数据，不同VLAN 的端口之间不能直接访问，因此VLAN可以限制个别主机访问服务器等资源，提高网络的安全性。
3. 简化网络管理
   • 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，这样会增大网络管理的工作量。
   • 而对于采用 VLAN 技术的网络来说，一个VLAN可以根据部门职能、对象组或应用将不同地理位置的用户划分为一个逻辑网段，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
   • 利用 VLAN 技术，大大减轻了网络管理和维护工作的负担，降低了网络维护的费用。

1.6 实现VLAN的机制

了解交换机是如何使用VLAN分割广播域的。

1.6.1 示例

• 在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口上泛滥。例如，计算机A发送广播信息后，会被转发给端口2、3、4。
• 在交换机上生成红、蓝两个VLAN，同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。
• 从A发出广播帧，交换机只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。
• C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。
• VLAN通过限制广播帧转发的范围分割了广播域。
• 为了便于说明，以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN的ID”来区分的。

1.6.2 VLAN间通信

• VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。
• VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间来往的数据包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。
• VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。

2 VLAN的种类

根据 VLAN 使用和管理的不同，VLAN分为两种：

• 静态VLAN
• 动态VLAN

2.1 静态VLAN

• 静态VLAN也叫做基于端口的VLAN。它是固定不变的，就是明确指定交换机各端口属于哪个VLAN的设定方法。
• 这需要网络管理员手动配置。当用户主机连接到交换机端口上时，就被分配到了对应的VLAN中。
• 这种端口和 VLAN 的映射只在本地有效，交换机之间不能共享这一信息。
• 优点：
  • 定议vlan的成员很简单明了，思路清楚，直接针对交换机现有的端口设置vlan
• 缺点：
  • 由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。
  • 计算机每次变更所连端口，都必须同时更改该端口所属VLAN的设定——显然静态VLAN不适合那些需要频繁改变拓补结构的网络和大型网络。

2.2 动态VLAN

动态VLAN是根据每个端口所连的计算机，随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。
动态VLAN可以大致分为3类：

• 基于MAC地址的VLAN（MAC BasedVLAN）
• 基于子网的VLAN（Subnet Based VLAN）
• 基于用户的VLAN（User Based VLAN）

2.2.1 基于MAC地址的VLAN

• 通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。
• 假定有一个计算机的MAC地址为“A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A”这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。

2.2.2 基于子网的VLAN

• 基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。
• 只要电脑ip地址不变，那么它的vlan就不变。

2.2.3 基于用户的VLAN

• 基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。
• 这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。

2.3 VLAN的范围

• VLAN的ID范围是从0到4095，一共4096个。
  • 0和4095是保留的
  • 1是默认VLAN
  • 实际可用的VLANID范围是1到4094
    

3 静态VLAN的配置

3.1 静态VLAN常见配置命令

3.1.1 VLAN的创建与删除

• 格式：vlan 命令
• 命令说明：vlan命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。undo vlan用来删除指定VLAN。 缺省情况下，将所有接口都加入到一个缺省的VLAN中，该VLAN标识为1。
• 命令视图：系统视图。在系统试图下才能够执行操作该命令。

<!-- 创建单个VLAN -->
vlan VLAN编号
<!-- 创建多个VLAN -->
vlan batch VLAN编号1 VLAN编号2
<!-- 删除单个VLAN -->
undo vlan VLAN编号
<!-- 删除多个VLAN -->
undo vlan batch VLAN编号1 VLAN编号2

3.1.2 查看VLAN

• 格式：display vlan 命令
• 命令说明：用来查看VLAN的相关信息
• 命令视图：所有视图。在所有视图下都能够操作该命令

<!-- 查看所有已经创建的VLAN基本信息 -->
display vlan
<!-- 查看指定的VLAN基本信息 -->
display vlan VLAN编号

3.1.3 查看VLAN接口

• 格式：display port vlan 命令
• 命令说明：用来查看令用来查看VLAN中包含的接口信息。
• 命令视图：所有视图。在所有视图下都能够操作该命令。

<!-- 查看设备上所有VLAN包含的接口信息 -->
display port vlan
<!-- 查看设备上所有动态表项信息 -->
display port vlan static

3.1.4 配置端口VLAN

• 格式：port link-type 命令
• 命令说明：port link-type命令用来配置端口的链路类型。undo port link-type命令用来恢复端口的链路类型为缺省值。
• 命令视图：端口视图。
• 配置端口类型：access、trunk、hybrid等。

<!-- 配置端口类型 -->
port link-type 端口类型

• 格式：port default vlan 命令
• 命令说明：配置端口缺省VLAN并加入该VLAN当中。
• 视图模式：端口视图。

<!-- 将端口加入指定VLAN -->
port default vlan VLAN编号

3.1.5 配置端口VLAN步骤

1. 创建VLAN
2. 配置端口类型
3. 将交换机的端口加入对应的VLAN中
4. 验证VLAN配置

3.2 实验一

有一台交换机LSW1，该交换机连接着两个部门的四台终端PC。人事部拥有终端PC1、PC2，财务部拥有终端PC3、PC4。要求通过划分VLAN来实现部门内部的终端可以通信，而两个部门间的终端无法通信。

3.2.1 拓扑图

3.2.2 交换机的VLAN配置

<Huawei>sys
[LSW]sys lsw
<!-- 关闭提示 -->
[lsw]undo info-center enable
<!-- 创建两个vlan -->
[lsw]vlan batch 10 20

<!-- 接口1配置 -->
[lsw]int e0/0/1
<!-- 选择类型 -->
[lsw-Ethernet0/0/1]port link-type access
<!-- 设置当前接口的vlan -->
[lsw-Ethernet0/0/1]port default vlan 10
<!-- 显示当前接口信息 -->
[lsw-Ethernet0/0/1]display this

<!-- 接口2配置 -->
[lsw-Ethernet0/0/1]int e0/0/2
[lsw-Ethernet0/0/2]port link-type access
[lsw-Ethernet0/0/2]port default vlan 20
[lsw-Ethernet0/0/2]port default vlan 10
[lsw-Ethernet0/0/2]display this

<!-- 接口3配置 -->
[lsw-Ethernet0/0/2]int e0/0/3
[lsw-Ethernet0/0/3]port link-type access
[lsw-Ethernet0/0/3]port default vlan 20
[lsw-Ethernet0/0/3]display this

<!-- 接口4配置 -->
[lsw-Ethernet0/0/3]int e0/0/4
[lsw-Ethernet0/0/4]port link-type access
[lsw-Ethernet0/0/4]port default vlan 20
[lsw-Ethernet0/0/4]display this

<!-- 查看vlan划分 -->
[lsw]display vlan

3.2.3 测试

4 Trunk介绍与配置

4.1 Trunk介绍

• VLAN 划分好以后，实现了部门或组之间的逻辑隔离，保证了安全。但多个交换机的同一个VLAN仍然有通讯的需求。这种不同交换机间同一VLAN内的计算机相互通讯，就需要用到trunk(中继)技术。
• VLAN Trunk目前有两种标准，ISL和802.1q。前者是Cisco专有技术，后者则是IEEE的国际标准，除了Cisco两者都支持外，其它厂商都只支持后者。
• VLAN Trunk(虚拟局域网中继技术)即端口汇聚，是一种通过软件配置将两个或多个物理端口组合成一条逻辑路径的技术,能让连接在不同交换机上的相同VLAN中的主机互通。
• 有了 trunk 技术，即使交换机间只有一条物理链路，也可保证跨交换机，同一VLAN内的各计算机间相互通讯。
  
• Trunk功能主要用于将交换机的多个物理端口汇聚成一个逻辑端口，增加带宽并提高连接的可靠性。具体应用包括：
  • 交换机与服务器之间的连接，为服务器提供高带宽。
  • 交换机之间的级联，提升数据传输能力，突破网络瓶颈，提高整体网络性能。

4.2 Trunk原理

• A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。
• 交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。
  • 这时的转发是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。

4.3 实验2

将网络扩展为由交换机LSW1和交换机LSW2构成的小型网络。LSW2除了与LSW1连接，还连接着人事部的服务器和财务部的服务器。p要求通过VLAN实现部门终端可以访问对应的部门服务器，而不能访问其他部门的服务器。

4.3.1 网络拓扑图

4.3.2 LSW1配置

<Huawei>sys
[Huawei]sys LSW1
[LSW1]undo info-center enable
[LSW1]vlan batch 10 20

<!-- 接口1配置 -->
[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access
[LSW1-Ethernet0/0/1]port default vlan 10

<!-- 接口2配置 -->
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 10

<!-- 接口3配置 -->
[LSW1-Ethernet0/0/2]int e0/0/3
[LSW1-Ethernet0/0/3]port link-type access
[LSW1-Ethernet0/0/3]port default vlan 20

<!-- 接口4配置 -->
[LSW1-Ethernet0/0/3]int e0/0/4
[LSW1-Ethernet0/0/4]port link-type access
[LSW1-Ethernet0/0/4]port default vlan 20

<!-- 接口5配置 -->
[LSW1-Ethernet0/0/4]int e0/0/5
<!-- 接口类型为Trunk -->
[LSW1-Ethernet0/0/5]port link-type trunk
<!-- 运行所有的vlan通过当前接口 -->
[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all

4.3.3 LSW2配置

<Huawei>sys
<Huawei>sys LSW2
[LSW2]undo info-center enable
[LSW2]vlan batch 10 20

<!-- 接口1配置 -->
[LSW2]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/1]port default vlan 10

<!-- 接口2配置 -->
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 20

<!-- 接口3配置 -->
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type trunk
[LSW2-Ethernet0/0/3]port trunk allow-pass vlan all

4.3.3 测试

5 三层交换机概述

5.1 三层交换技术

• 三层交换技术就是：二层交换技术+三层转发技术。
• 它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

5.2 三层交换机

• 三层交换机（Layer 3 Switch），也称为多层交换机，是一种集交换和路由功能于一体的网络设备。
• 它不仅具有二层交换机的帧转发功能，还能进行基于IP地址的数据包路由。
• 三层交换机工作在OSI模型的第三层——网络层，能够根据IP地址进行路由选择，实现在VLAN之间或不同子网之间的数据转发。
• 传统的二层交换机工作在数据链路层，依据MAC地址来转发数据帧，虽然转发速度快，但缺乏对不同网络间通信的有效处理。
• 路由器工作在网络层，基于IP 地址进行路由选择，但处理速度相对较慢。
• 三层交换技术融合了二层交换的快速转发能力和三层路由的智能路径选择能力。
• 从原理上讲，三层交换机内部有硬件芯片用于快速处理IP 数据包。
• 当数据包进入三层交换机时，它首先会检查目的IP地址。如果目的 IP 地址在其缓存中的MAC-IP映射表内，就可以直接进行二层转发，这种基于硬件的快速转发极大地提高了效率。
• 若没有匹配的信息，它会像路由器一样进行路由计算，确定转发路径，并且将新的信息记录在缓存中。
• 数据包在三层交换机中的传输过程：
  • 帧的接收：三层交换机接收来自某个端口的数据帧。
  • MAC地址表查询：交换机首先查找目标MAC地址对应的端口。
  • 路由选择：如果目标MAC地址在本地网络中不可达，交换机会查找路由表，根据目标IP地址选择合适的路由。
  • 数据包的转发：根据路由选择结果，交换机将数据包转发到下一个跳点或最终目的地。

5.3 三层交换机的主要功能

• 路由表的建立与维护
  • 三层交换机通过动态路由协议（如RIP、OSPF）或静态路由配置建立和维护路由表。
  • 路由表记录了网络中的所有可达路径，以及每条路径的下一跳信息。交换机通过定期更新路由表，确保路由信息的准确性和及时性。
• 路由协议的基本概念与配置
  • RIP（Routing Information Protocol）：一种基于距离向量的路由协议，使用跳数作为度量标准，适用于小型网络。配置简单，但收敛速度慢。
  • OSPF（Open Shortest Path First）：一种链路状态路由协议，使用Dijkstra算法计算最短路径，适用于大型和复杂网络。收敛速度快，支持多区域。
  • BGP（Border Gateway Protocol）：一种用于自治系统之间的路径向量路由协议，主要用于互联网和大规模企业网络。具有灵活的策略控制能力。
• VLAN间路由的实现
  • 三层交换机支持VLAN间路由，能够在不同VLAN之间转发数据包。
  • 通过配置三层交换机的SVI（Switch Virtual Interface），每个VLAN都有一个逻辑接口，具有独立的IP地址。
  • 三层交换机根据SVI接口的配置，实现VLAN之间的数据转发。

5.4 三层交换机的特点

• 执行静态路由，以在不同VLAN之间传输数据。而二层设备只能在同一VLAN网络之间传输数据。
• 以与路由器相同的方式执行动态路由，这种动态路由技术允许交换机执行最佳数据包路由。
• 根据网络的实时场景提供一组多路径来传递数据包。交换机可以选择最可行的路径来路由数据包，目前流行的路由技术包括RIP和OSPF。
• 有能能够根据子网划分或VLAN流量标记部署QoS分类，而不是像二层交换机那样手动配置交换机端口。
• 需要更多的功率来运行，并在交换机之间提供更高带宽的链路，这些链路几乎超过10Gbits。
• 为数据交换提供高度安全的路径。

5.5 三层交换机的应用

在企业网络中，三层交换机的应用非常广泛。
例如，在一个大型企业园区网中，不同部门可能分布在不同的子网中，三层交换机可以快速准确地在这些子网间转发数据，保障部门间的通信。
它能够同时处理大量的数据包，避免了因使用传统路由器而产生的网络瓶颈问题，从而提升了整个网络的性能。

6 三层交换机配置

6.1 网络拓扑图

6.2 两层交换机配置

<Huawei>sys
[Huawei]sys LSW2
[LSW2]vlan batch 10 20 30

<!-- 接口1配置 -->
[LSW2]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/1]port default vlan 10
<!-- 打开接口 -->
[LSW2-Ethernet0/0/1]undo shutdown

<!-- 接口2配置 -->
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 20

<!-- 接口3配置 -->
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type access
[LSW2-Ethernet0/0/3]port default vlan 30

<!-- 接口4配置 -->
[LSW2-Ethernet0/0/3]int e0/0/4
[LSW2-Ethernet0/0/4]port link-type trunk
[LSW2-Ethernet0/0/4]port trunk allow-pass vlan all

6.3 三层交换机配置

在三层交换机中分别创建vlan10、vlan20、vlan30，并配置其虚接口的ip地址（即三台主机分别对应的网关地址）。

<Huawei>sys
[Huawei]sys LSW1
[LSW1]undo info-center enable

<!-- 接口1配置 -->
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

<!-- 配置虚拟接口 -->
[LSW1]vlan batch 10 20 30
[LSW1]int vlanif 10
[LSW1-Vlanif10]ip address 192.168.1.1 24
[LSW1-Vlanif10]int vlanif 20
[LSW1-Vlanif20]ip address 192.168.2.1 24
[LSW1-Vlanif20]int vlanif 30
[LSW1-Vlanif30]ip address 192.168.3.1 24

6.4 测试