1、虚拟局域网(VLAN)概述
(1)VLAN的产生——主要原因是因为广播风暴
传统局域网使用HUB,只有一根总线,一个局域网属于同一个冲突域,任何一台主机发送的报文都会被同一个冲突域中的所有其他机器接收到。后来组网使用网桥(二层交换机),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,但网络中所有端口仍然处于同一个广播域,网桥在传递广播报文的时候依然要将广播报文复制多分,发送到网络的各个角落。由于网桥二层网络工作原理的限制,网桥对广播风暴无能为力,为了提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个小的广播域。过去往往通过路由器对LAN进行分段。问题是网络规划复杂,组网方式不灵活。
(2)通过VLAN划分广播域
虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定原则进行划分,一个物理上实际的网络划分成许多小的逻辑网络;虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网,在功能和操作上与传统LAN基本相同,VLAN与传统LAN相比,具有以下优势:
1)减少移动和改变的代价,即动态管理网络
2)虚拟工作组
3)限制广播包,提高带宽利用率
4)增强通讯的安全性
5)增强网络的健壮性
2、VLAN的类型
(1)基于端口的VLAN,根据以太网交换机的端口来划分
如果有多个交换机的话,可以指定交换机1的1~4口和交换机2的7~10口为同一个VLAN,即同一VLAN可以跨越数个以太网交换机,
(2)基于MAC地址的VLAN
这种划分根据每个主机的MAC地址来划分,即对所有主机都根据它的MAC地址分配属于哪一个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系。缺点是初始化时所有用户都必须进行配置,工作量大。;另外每一个交换机端口都可能存在很多歌VLAN组成员,无法限制广播包。
(3)基于协议的VLAN,是根据二层数据帧中的协议字段进行VLAN划分,如IP协议或者是IPX协议等。
(4)基于子网的VLAN
基于IP子网的VLAN根据报文中的IP地址决定报文属于哪一个VLAN;同一个IP子网的所有报文同属于一个VLAN。
利用IP子网定义VLAN的优势:
1)这种方式可以按传输协议划分网段。 2)用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。
这种方式的缺点是效率,因为检查每一个数据包的网络层地址是很费时的。同时由于一个端口也可能存在多个VLAN的成员,对广播报文也无法有效抑制。
3、IEEE802.1Q协议
(1)协议概述:IEEE802.1Q是虚拟桥接局域网的正式标准,定义了一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式(MAC帧),为识别帧属于哪个VLAN提供了一个标准的方法,这个格式统一了标识VLAN的方法,有利于保证不同厂家的设备配置的VLAN可以互通。
IEEE802.1Q定义了如下内容:VLAN的架构 ; VLAN中所提供的服务 ; VLAN实施中涉及的协议和算法。
(2)VLAN帧格式:
VLAN帧在标准以太网帧基础上加上了一个tag,四个字节的的802.1Q标签,标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
TPID(Tag Protocol Indentifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定值0x8100.
TCI是包含了帧的控制信息,包含以下一些元素:
1)Priority:这3位指明帧的优先级。一共8种优先级,0~7.IEEE802.1Q标准使用这三位信息。
2)Canonical Format Indicator(CFI):CFI共1位,值为0说明是规范格式,1为非规范格式。他被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
3)VLAN Identifier(VLAN ID):这是一个12位的域,指明VLAN的ID,共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。
在一个交换网络环境中,以太网的帧有两种格式:有些帧没有加上这四个字节tag标志的,称为为标记的帧(ungtagged frame),有些帧加上了这四个字节标志,称为带有标记的帧(tagged frame)。
(3)VLAN链路的类型:Access Link 和Trunk Link
接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。
接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其他VLN的信息,也不能直接向其他VLAN发送信息,不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。
干路链路是可以承载多个不同VLAN数据的链路。干路链路通常用于交换机间的互联,或者用于交换机和路由器之间的连接。干路链路——trunk link
数据帧在干路链路上传输时,交换机必须用一种方法来识别数据帧是属于哪个VLAN的,IEEE802.1Q定义了VLAN帧格式,所有在干路链路上传输的帧都是打上标记的帧(tagged frame)。通过这些标记,交换机就可以确定哪些帧分别属于哪些VLAN。
和接入链路不同,干路链路是用来在不同的网络设备之间(交换机之间或交换机和路由器之间)承载VLAN数据的,因此干路链路不属于任何一个具体的VLAN。通过配置,干路链路可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的数据。
干路链路虽然不属于任何一个具体的VLAN,当时可以给干路链路配置一个pvid(port VLAN ID)。当干路链路不论因为什么原因,trunk链路上出现了没有带标记的帧,交换机就给这个帧增加带有pvid的VLAN标记,然后进行处理。
(4)VLAN帧在网络中的通信
帧在网络通信中的变化
上图表示一个局域网环境,主机和交换机之间的链路是接入链路,交换机之间是干道链路互相连接。对于主机不需要知道VLAN的存在,主机发送的报文都是untagged的报文;交换机接收这样的报文后,根据配置规则(如端口信息)判断出报文所属VLAN进行处理,如报文需通过另一台交换机发送,则报文必须通过干道链路传输到另一台交换机上,在干道链路上发送的报文都带上了VLAN标记;当交换机最终确定报文发送端口后,将报文发送给主机前,将VLAN的标记从以太网帧中删除,这样主机接收到的报文都是不带VLAN标记的以太网帧。
一般情况下,干道链路上传送的都是tagged fram,接入链路上传送的都是Untagged frame,这样做的最终结果是:网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息。
(5)Trunk 和 VLAN
无论一个网络由多少交换机构成,无论一个VLAN跨越多少交换机,一个VLAN就确定了一个广播域,一个广播报文必须包发送到一个VLAN的所有端口。为了保证同属一个VLAN的所有主机都能收到这个广播报文,交换机必须按照如下原则将报文进行转发:
1)发送给本交换机中同一个VLAN中的其他端口;
2)将这个报文发送给本交换机的包含这个VLAN的所有干道链路,以便让其他交换机上的同一个VLAN端口也发送该报文。
一个规模比较大的网络可能包含多个VLAN,导致根据网络的拓扑结构逐个交换机配置trunk端口过于复杂,这个问题可以由GVRP协议来解决;GVRP协议根据网络情况动态配置干道链路。
4、GARP和GVRP协议简介
(1)GARP/GVRP基础
GARP基础:
GARP全称是通用属性注册协议(Generic Attribute Registration Protocol),他为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的手段。如VLAN、组播地址等,通过GARP一个GARP成员上的配置信息会迅速传播到整个交换网。
GARP仅是一个协议规范,遵循GARP协议的应用实体称为GARP应用,目前主要为GVRP和GMRP,当GARP应用实体存在于交换机的莫个端口上时,每个端口对应一个GARP应用实体。GARP成员可以是终端工作站或网桥,GARP成员通过声明或回收声明通知其他GARP成员注册或注销自己的属性信息,并根据其他GARP成员的声明或回收声明注册或注销对方的属性信息。
GARP成员之间的信息交换借助消息完成,GARP消息类型有五种,分别为JionIn、Leave、Empty、JoinEmpty和LeaveAll。当一个GARP应用实体希望注册某种属性信息时,将对外发送JoinIn消息,当希望注销某种属性信息,将对外发送Leave消息。每个GARP实体启动后,将同时启动LeaveAll定时器,超时后对外发送LeaveAll消息。JoinEmpty消息与Leave消息配合确保消息的注销或重新注册。通过消息交互,所有待注册的属性信息传播到同一交换网的所有交换机上。
GARP应用实体的协议数据报文都有特定的目的MAC地址,在支持GARP特性的交换机中,接收到FARP应用实体的报文时,根据MAC地址加以区分后,交由不同的应用处理(如GVRP或GMRP)。
GVRP是VLAN注册协议,英文全称是GARP VLAN Registration Protocol。GVRP维护交换机中的VLAN动态注册信息并传播该信息到其他的交换机中。所有支持GVRP特性的交换机能够接收来自其他交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其他交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息一致。GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其他switch的动态注册信息。
根据VLAN注册信息,交换机了解到干路链路对端有哪些VLAN,自动匹配干道链路,只允许对端交换机需要的VLAN在干道链路上传输。
(2)GVRP裁剪
5、VLAN的配置
(1)VLAN的基本配置
进入VLAN视图及创建/删除VLAN,在系统视图下:
vlan vlan_id :进入vlan视图,如果指定的vlan没有创建则先创建它。vlan_id是要进入或要创建的VLAN的VLAN_ID,取值范围1~4000
undo vlan vlan_id : 删除已创建的vlan,不能删除不存在的VLAN以及缺省VLAN1,否则给出“不能删除”提示。
如果已经在某个VLAN视图下,如vlan 2,在键入vlan 6,等同于在系统视图下键入valn 6.
(2)给VLAN指定端口:作用,给指定的vlan增加/删除以太网接口
命令格式:在vlan视图下
port interface_list
undo port interface_list
interface_list={interface_type interface_num | interface_name} [ to {interface_type interface_num | interface_name} ]&<1-10>,interface_type在S3526系列交换机中只有Ehernet和GigabitEthernet;interface_num采用槽位编号/端口编号的格式。interface_name为端口类型+端口编号(槽位编号/端口编号)。&<1-10>:表示参数可重复的次数。所输入的端口中不能包含Trunk类型的端口。
(3)给端口指定VLAN,作用:给指定vlan增加/删除以太网接口
命令格式:在端口视图下
port access vlan vlan_id
undo port access vlan vlan_id
vlan_id:VLAN的ID,取值范围1~4000.此命令的使用条件是:当前以太网端口不能是Trunk端口而且vlan_id所指VLAN不是缺省VLAN且必须存在。
(4)设置/取消接口为VLAN Trunk,作用:打开/关闭以太网接口的vlan trunk功能,基于IEEE802.1Q标准
命令格式:端口视图下
port link-type {access | trunk | hybrid } ,缺省值为关闭vlan trunk功能
access:设置端口为untagged,即为非trunk端口; trunk:设置端口为tagged,即为trunk端口; hybrid:设置端口为hybrid端口。使用port link-type命令把端口设置为Trunk端口和非Trunk端口,设为trunk后只允许valn 1通过,要想改变允许通过的VLAN范围使用 port trunk permit valn 命令。注意:把一个端口设置为Trunk端口后,默认允许valn1 通过,即pvid为1.
(5)设置/取消Trunk端口中允许通过的VLAN,作用:该命令用来设置或取消Trunk端口中允许通过的VLAN
命令格式:端口视图下
[undo] port trunk permit valn {valn_id_list | all} ,缺省值:端口为非Trunk端口,不具备trunk功能
vlan_list:=[valn_id1 [to valn_id2] ] &<1-10>,为允许通过此trunk端口的VLAN的范围,可以是离散的,vlan_id范围是2~4000。
(6)设置Trunk端口的缺省VLAN ID(pvid),用途:用来设置trunk端口的缺省VLAN ID(pvid),此命令的undo形式来恢复端口的缺省VALN ID
命令格式:
port trunk pvid vlan valn_id
undo port trunk pvid vlan_id缺省值为1.
只有Trunk端口才能配置该命令,trunk端口不能和PVLAN结合使用。正确配置trunk端口的缺省VLAN ID的条件:该VALN必须已经存在,trunk端口上必须已经加入该VLAN,同时本trunk端口的缺省值VLAN ID和相连的对端交换机的trunk端口的缺省VLAN ID必须一致。
(7)其他常用命令
指定/删除VLAN描述字符:VLAN视图下
description string ,字符串长度1~200字符。
undo description
查看VALN设置
display valn [valn_id] ,显示全部或指定vlan相关信息,包括:VLAN_ID、VALN是否启动了路由功能(即是否有route interface,如果是,显示IP地址及掩码)、VLAN的描述信息、VALN包含的接口。
开启/关闭VALN接口
down 用来关闭VALN接口
up 用来打开VALN接口
缺省情况下,当VLAN接口下所有以太网口状态为DOWN时,VALN接口为DOWN状态,即关闭状态;VLAN接口下有一个或一个以上的以太网端口处于UP状态,VALN接口处于UP状态。
6、GVRP的配置
开启/关闭GVRP协议:
gvrp
undo gvrp
设置每个干道链路的GVRP注册类型:
GVRP启动后,用户还可以设置GVRP的注册类型。此命令必须在trunk端口操作。开启端口GVRP后,使用此命令指定该端口的注册类型。
gvrp registration {normal | fixed | forbidden}
normal:允许该接口动态创建、注册和注销VLAN。normal是接口的缺省注册模式; fixed:允许手工创建或注册VALN,并且防止VLAN的注销和在其他trunk接口注册此接口所知的VLAN; forbidden:将注销除VLAN1之外的所有VLAN,并且禁止在该接口上创建和注册任何其他的VLAN。
undo gvrp registration
在系统视图下执行该命令是开始/关闭全局GVRP;在以太网端口视图下执行该命令是开启/关闭端口GVRP。必须先启动全局GVRP,才能开始端口GVRP,而GVRP注册类型在启动了端口GVRP以后才能生效。GVRP必须在遵循IEEE802.1Q标准的Trunk链路的两端都开启,才能正常工作。
注意,VLAN1的注册类型必须是fixed,且不可以更改。(???不明白)
GVRP监控和维护
显示GVRP统计信息
display gvrp statistics [ports_list]
显示GVRP全局状态信息
display gvrp status
开启/关闭GVRP的数据包或事件调试开关
[undo] debug gvrp {packet | event }
display命令可以在系统视图、以太网接口视图下进行。
7、GVRP配置案例:
(一)
(1)将所有与其它交换机相连的端口均设置为trunk端口,并且设置允许添加所有的VLAN到这些trunk端口。
(2)在各交换机上手工创建静态VLAN:switchA:VLAN5~VLAN10;switchC:VLAN5~VLAN10;switchD:VLAN15~VLAN20;wwitchE:VLAN15~VLAN20;switchF:VLAN25~VLAN30
(3)在个交换机全局启动GVRP,分别启动各个相连trunk端口的GVRP,设置各个端口的GVRP注册类型为缺省值normal。
VLAN在个端口的注册情况:
A-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
A-port2:VLAN1,VALN5~VAN10
A-port3:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port2:VLAN1,VLAN15~VLAN20
B-port3:VLAN1,VLAN25~VLAN30
C-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
D-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
E-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
F-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
(二)
A~F交换机静态VLAN:switchA:VLAN5~VLAN10;switchC:VLAN5~VLAN10;switchD:VLAN15~VLAN20;wwitchE:VLAN15~VLAN20;switchF:VLAN25~VLAN30
将所有与其它交换机相连的端口均设置为trunk端口,并且设置允许添加所有的VLAN到这些trunk端口。配置交换机A-port1的GVRP注册模式为Fixed,其他都为normal,
VLAN在个端口的注册情况:
A-port1:VLAN1,VALN5~VAN10(因为其GVRP注册模式为fixed,仅switchA上的静态VLAN可以通过)
A-port2:VLAN1,VALN5~VAN10
A-port3:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port1:VLAN1,VALN5~VAN10
B-port2:VLAN1,VLAN15~VLAN20
B-port3:VLAN1,VLAN25~VLAN30
C-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
D-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
E-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
F-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20,VLAN25~VLAN30
(三)
A~F交换机静态VLAN:switchA:VLAN5~VLAN10;switchC:VLAN5~VLAN10;switchD:VLAN15~VLAN20;wwitchE:VLAN15~VLAN20;switchF:VLAN25~VLAN30
将所有与其它交换机相连的端口均设置为trunk端口,并且设置允许添加所有的VLAN到这些trunk端口。配置交换机F-port1的GVRP注册模式为forbidden,其他都为normal,
VLAN在个端口的注册情况:
A-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
A-port2:VLAN1,VALN5~VAN10
A-port3:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port2:VLAN1,VLAN15~VLAN20
B-port3:VLAN1
C-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
D-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
E-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
F-port1:VLAN1
(四)
A~F交换机静态VLAN:switchA:VLAN5~VLAN10;switchC:VLAN5~VLAN10;switchD:VLAN15~VLAN20;wwitchE:VLAN15~VLAN20;switchF:VLAN25~VLAN30
将所有与其它交换机相连的端口均设置为trunk端口,其中A-port1配置为仅允许VLAN15~VLAN24通过,其他端口仍然配置为允许所有通过,交换机A~Ftrunk端口GVRP注册模式都为normal。
VLAN在个端口的注册情况:
A-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
A-port2:VLAN1,VALN5~VAN10
A-port3:VLAN1,VALN5~VAN10,VLAN15~VLAN20
B-port1:VLAN1,VLAN15~VLAN20
B-port2:VLAN1,VLAN15~VLAN20
B-port3:VLAN1,VLAN25~VLAN30
C-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
D-port1:VLAN1,VALN5~VAN10,VLAN15~VLAN20
E-port1:VLAN1,VLAN15~VLAN20,VLAN25~VLAN30
F-port1:VLAN1,VLAN15~VLAN20,VLAN25~VLAN30
(五)
S3526A:
配置以太网端口Ethernet0/10为trunk端口,并允许所有VLAN通过
[Quidway] interface ethernet0/10
[Quidway- Ethernet0/10] port link-type trunk
[Quidway- Ethernet0/10] port trunk permit vlan all
创建VLAN
[Quidway] valn 3
[Quidway- vlan3]vlan 4
开启全局GVRP
[Quidway]gvrp
在trunk端口上开启端口GBRP
[Quidway]interface ethernet0/10
[Quidway- Ethernet0/10]gvrp
配置S3526B:
[Quidway] interface ethernet0/11
[Quidway- Ethernet0/11] port link-type trunk
[Quidway- Ethernet0/11] port trunk permit vlan all
开启全局GVRP
[Quidway]gvrp
在trunk端口上开启端口GBRP
[Quidway]interface ethernet0/11
[Quidway- Ethernet0/11]gvrp
8、VLAN的新特性
(1)PVLAN:PVLAN的引入
现实应用中有这样的需求,实现几层设备级联,上层设备可以识别的VLAN数目有限,要求尽可能节省VLAN资源,而又要求下层设备端口能实现二层报文隔离。许多交换机在实现二层报文隔离的同时在上行口只能使用trunk命令,实现VLAN的透传,下面有多少VLAN,上层设备当中就要求识别多少VLAN,数目庞大。
PVLAN(Primary-vlan)的功能是在小区接入中,通过将用户划分入不同的VLAN,实现用户之间二层报文的隔离,PVLAN采用二层VLAN结构,在一个以太网交换机上存在一个或多个primary-vlan和多个secondary-vlan,一个primary-vlan可以包括多个secondary-vlan中包含的端口和上行端口,这样对上层交换机来说,可以认为下层交换机中只有几个primary-vlan,而不必关心primaryVLAN中的端口实际所属的VLAN。
如上图,3026下面级联了2016,要求2016下的各端口互相隔离,即给每一个端口划分一个vlan,由于上层设备3026VLAN数有限,不允许下层设备(2016)将VLAN透传上来,即2016的上行端口要设为access方式。但是在2016上一个access端口不能同时属于多个VLAN,这时就要使用PVLAN功能。
(2)PVLAN的配置
配置primary VLAN
isolate-user-vlan enable
undo isolate-user-vlan enable
配置secondary VLAN
vlan vlan_id
设置primaryVLAN和secondary VLAN的映射关系
isolate-user-vlan primary_vlan_num secondary secondary_vlan_numlist
undo isolate-user-vlan primary_vlan_num [secondary secondary_vlan_numlist]
(3)PVLAN的配置举例
组网需求:S3526以太网交换机通过端口Ethernet0/7和Ethernet0/8下接两台S2008以太网交换机,S2208A上VLAN5为primary VLAN,包含上行端口Ethernet0/9和两个secondary VLAN:VLAN1(包含Ethernet0/1)和VLAN2(Ethernet0/2),S2008B上VLAN6为primary VLAN,包含上行端口Ethernet0/9和两个secondary VLAN:VLAN3(包含Ethernet0/3)和VLAN4(Ethernet0/4),从S3526看,下接的两个S2008都只有一个VLAN,S2008A的VLAN5,S2208B的VLAN6
配置步骤:
S2008A:
配置primary VLAN
[S2008A]vlan 5
[S2008A-vlan5]isolate-user-vlan enable
[S2008A-vlan5]port ethernet0/9
配置secondary VLAN
[S2008A]vlan 1
[S2008A-vlan1]port ethernet0/1
[S2008A-vlan1]vlan 2
[S2008A-vlan2]port ethernet0/2
配置primary VLAN和secondaryVLAN间的映射关系
[S2008A]isolate-user-vlan 5 secondary 1-2
S2008B:
配置primary VLAN
[S2008B]vlan 6
[S2008B-vlan6]isolate-user-vlan enable
[S2008B-vlan6]port ethernet0/9
配置secondary VLAN
[S2008B]vlan 3
[S2008B-vlan3]port ethernet0/3
[S2008B-vlan3]vlan 4
[S2008B-vlan4]port ethernet0/4
配置primary VLAN和secondaryVLAN间的映射关系
[S2008B]isolate-user-vlan 6 secondary 3-4
PVLAN的注意事项:
1)配置映射关系前,primary vlan和secondary vlan中必须已经包含了端口。执行映射的具体操作是:将primary VLAN中的上行端口加入到每个secondary VLAN中,同时把secondary vlan中的端口加入到primary vlan中。
2)建立映射关系后,不可以向primaryVLAN和secondary VLAN执行添加和删除端口的操作,也不可以执行删除vlan操作。
3)要重新建立映射关系必须先解除原有的映射关系。
4)primary vlan中的所有端口都不是802.1Q的trunk端口,包括与其它交换机相连的uplink口。每个port的PVID就是他所属secondary vlan的ID;uplink端口的PVID是primary vlan的ID。
primary-VLAN port的定义:可以属于多个VLAN的端口;
原则1:primary-VLAN的端口可以属于多个VLAN
原则2:在交换机中primary-VLAN port和access port可以共存,access port和trunk port可以共存,但是primary-VLAN port和trunk port不可以存在以一个交换机中;
原则3:primary-VLAN port不可以是mirror口;
原则4:不支持GVRP协议,不可以有动态的VLAN成员;
原则5:支持IGMP snooping;
原则6:交换机中只可以配置一个primary VLAN
9、Hybrid端口
(1)Hybrid端口的配置
设置以太网端口的工作模式
port link-type {access | trunk | hybrid}
undo port link-type
设置Hybrid端口的缺省ID
port hybrid pvid vlan vlan_id
undo port hybrid pvid
将Hybrid端口加入到指定的已经存在的VLAN
port hybrid vlan vlan_id_list {tagged | untagged}
undo port hybrid vlan vlan_id_list
以太网端口有三种模式:acccess、hybrid、trunk。端口在access模式下只能属于1个VLAN,一般用于接用户计算机的端口;在trunk模式下可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;端口在hybrid模式下可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于接用户的计算机。hybrid端口和trunk端口的不同之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在同一个交换机上hybrid端口和trunk端口不能并存。不能直接把trunk端口设置为hybrid端口,只有先将trunk端口设置为access端口,然后在设置为hybrid端口。缺省情况下,端口缺省为access端口。
access端口只属于1个VLAN,所以他的缺省VLAN就是他所在的VLAN,不用设置;Hybrid和trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。
再重新设置hybrid端口缺省VLAN ID时请注意:如果原缺省VLAN是在PVLAN配置中建立映射的VLAN,则不允许重新进行设置,系统会给出提示;只有在解除原缺省VLAN在PVLAN中建立的映射后才能进行配置。
正确配置Hybrid端口的缺省VLAN ID的条件是:本hybrid端口的缺省VLAN ID和相连的对端交换机的hybrid端口的缺省VLAN ID必须一致。
缺省情况下,hybrid端口和trunk端口的缺省VLAN为VLAN 1,access端口的缺省VLAN是本身所属于的VLAN。
(2)Hybrid端口配置实例:
实例一:
S3026A:
[S3026A]vlan 2
[S3026A]interface Ethernet0/1
[S3026A-Ethernet0/1]port link-type hybrid
[S3026A-Ethernet0/1]port hybrid vlan 2 tagged
[S3026A-Ethernet0/1]port hybrid vlan 1 untagged
[S3026A]interface Ethernet0/2
[S3026A-Ethernet0/2]port access vlan 2
S3026B:
[S3026B]vlan 2
[S3026B]interface Ethernet0/1
[S3026B-Ethernet0/1]port link-type hybrid
[S3026B-Ethernet0/1]port hybrid vlan 2 tagged
[S3026B-Ethernet0/1]port hybrid vlan 1 untagged
[S3026B]interface Ethernet0/2
[S3026B-Ethernet0/2]port access vlan 2
实例二:
S3026A:
[S3026A]vlan 2
[S3026A]interface Ethernet0/1
[S3026A-Ethernet0/1]port link-type hybrid
[S3026A-Ethernet0/1]port hybrid vlan 1 to 2 untagged
[S3026A-Ethernet0/1]port hybrid pvid vlan 2
[S3026A]interface Ethernet0/2
[S3026A-Ethernet0/2]port access vlan 2
S3026B:
[S3026B]vlan 2
[S3026B]interface Ethernet0/1
[S3026B-Ethernet0/1]port link-type hybrid
[S3026B-Ethernet0/1]port hybrid vlan 1 to 2 untagged
[S3026B-Ethernet0/1]port hybrid pvid vlan 2
[S3026B]interface Ethernet0/2
[S3026B-Ethernet0/2]port access vlan 2
hybrid端口两端对于属于VLAN2的帧都不添加tag头直接发送出去。但由于配置hybrid端口的PVID为2,所以接收时将默认该帧属于VLAN2,所以同属于VLAN2的两台PC机之间实现通讯没有问题。
如果不修改hybrid端口的PVID,即默认的1,则接受时不会认为untagged的帧属于VLAN2,而是认为属于VLAN1,所以同属于VLAN2的两台PC机之间将不能实现互通。
10、Vlan Disable
所谓Vlan Disable功能就是指让交换机不对Vlan Tag信息做任何处理。当交换机启动了Vlan Disable功能之后,交换机的功能就相当于一个存储转发式的HUB。存储转发就是指当端口收全了一个帧的所有信息,并校验无误后才会向其他所有端口转发。
对应的,交换机默认Vlan Enable,就是指交换机会对vlan tag信息作相应的处理,根据需要达到二层隔离的目的。vlan disable功能是为了实现交换机能够透传更多的Vlan数目而产生的。在vlan enable模式下,由于硬件本身的限制,目前S3026/2016/2008本身只能支持32个Vlan,作为接入汇聚设备,只能透传32个vlan远远不够,为了解决这个问题,vlan disable产生。
组网需求:S3026下挂的两台2403F每个端口在二层进行两两隔离,并要求2403F上所有的VLAN ID都要透传到S3526上。
2403F-1和2403F-2各通过24个接口接用户并要求两两隔离,这样共需48个VLAN要上行,而S3026只支持32个VLAN,无法实现所有VLAN透传,这时就需要启动S3026的vlan disable功能,这种模式下,S3026可以透传4096个VLAN。
VLAN Disable的配置
在系统视图下,使能vlan disable功能:
[S3026]vlan disable
使能Vlan Enable功能:
[S3026]vlan enable
需注意:(1)配置了vlan disable后,相当于一个存储转发式的HUB,每个端口接受到的报文都会向其他端口转发,业务量大的时候会导致网络拥塞
(2)配置了vlan disable功能后,仍然可以对S3026配置管理IP地址,配制方法与在vlan enable模式下一样,如在S3026的valn1上配置管理IP:172.168.45.9
[S3026] vlan 1
[S3026-vlan1]interface vlan-interface 1
[S3026-vlan-interface1]ip address 172.168.45.9 255.255.255.0
配置了管理IP地址之后,在对S3026进行管理的时候,PC一定要连接在配置了IP地址的vlan所包含的端口上,否则无法ping通S3026的管理IP,也就是说,虽然S3026工作在vlan disable模式下,但涉及到交换机本身IP地址操作的时候(如ping、telnet),vlan还是起作用的。
2444
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
