HCIA第五天的笔记整理

没有讲交换之前，默认一台交换机属于一个广播域
Vlan 虚拟局域网
路由器和交换机协同工作，之后将原来的一个广播域逻辑的切分为多个；
配置思路：
1、交换机上创建vlan
2、交换机上各个接口划分到对应的vlan中
3、TRUNK干道----中继干道 SW-SW SW-ROUTER
4、Vlan间路由-----单臂路由（子接口）、多层交换机

基本原理

传统的以太网交换机在转发数据时，采用源地址学习的方式，自动学习各个端口连接的主机的MAC地址，形成MAC地址表，然后依据此表进行以太网帧的转发。整个转发的过程自动完成，所有端口都可以互访，维护人员无法控制端口之间的转发，例如B主机不能访问A主机就无法实现。该网络存在如下缺陷：
1.网络的安全性差。由于各个端口之间可以直接互访，降低了网络的安全性。
2.网络效率低。用户可能收到大量不需要的报文，例如不必要的广播报文，这些报文同时消耗网络带宽资源和客户主机CPU资源。
3.业务扩展能力差。网络设备平等的对待每台主机的报文，无法实现有差别的服务，例如无法优先转发用于网络管理的以太网帧。

VLAN技术把用户划分成多个逻辑的网络（group），组内可以通信，组间不允许通信，二层转发的单播、组播、广播报文只能在组内转发。同时，VLAN技术可以很容易地实现组成员的添加或删除。
即VLAN技术提供了一种管理手段，控制终端之间的互通。如上图，组1和组2的PC无法相互通信。

为了实现转发控制，在待转发的以太网帧中添加VLAN标签，然后设定交换机端口对该帧和标签的处理方式，包括丢弃帧、转发帧、添加标签、移除标签。
转发帧时，检查以太网报文中携带的VLAN标签，是否为该端口允许通过的标签，判断出该以太网帧是否能够从端口转发出去。上图中，假设有一种方法，SWA将主机A发出的所有以太网帧都加上标签5，此后查询二层转发表，根据目的MAC地址将该帧转发到SWB连接的端口。由于在该端口配置了仅允许VLAN 1通过，主机A发的帧将被丢弃。
即支持VLAN技术的交换机，转发以太网帧时不再仅仅依据目的MAC地址，同时还要考虑该端口的VLAN配置情况，从而实现对二层转发的控制。

DA：Destination address
SA：Source Address
TAG：VLAN TAG

TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。Dot1q

TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下：
1.Priority：3比特，表示以太网帧的优先级。一共有8种优先级，0－7，用于提供有差别的转发服务（用于QOS，在802.1p标准里定义的）

2.CFI：Canonical Format Indicator，1比特。用于令牌环/源路由FDDI介质访问中指示地址信息的比特次序信息，即先传送的是低比特位还是高比特位。
老的FDDI和令牌环中使用，现在的以太网中都不使用这个bit

3.VLAN Identified：VLAN ID，12比特，总共可以提供4096个数值，取值从0到4095。
vlan号：0-4095
其中0、4095为保留
可以配置的vlan号为：1-4094，共4094个，其中vlan1为默认vlan

交换机针对vlan的划分方式

所有以太网帧在交换机内部都是以tagged frame的形式流动的，即某端口从对端设备收到的帧，有可能是untagged的，但是从本交换机其它端口转发来的帧，一定是tagged的。如果收到的是tagged frame，则进入转发过程，如果该端口收到的是untagged frame，则必须加上标签。以下几种方法可以确定标签中的VLAN ID取值：
（1）基于端口：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN。如果收到的是untagged帧，则VLAN ID的取值为PVID。
（2）基于MAC地址：网络管理员配置好MAC地址和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。
（3）基于协议：网络管理员配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。
（4）基于子网：根据报文中的IP地址信息，确定添加的VLAN ID。
（5）基于策略：根据上面几种划分依据组合进行划分。
如果设备同时支持多种方式，一般情况下，优先使用顺序为：基于策略－基于子网－基于协议－基于MAC地址－基于端口。目前常用的是基于端口的方式。

交换机上的基本操作命令