day5 VLAN原理与配置
1.交换机冲突域&广播域
1、冲突域
在以太网中,如果某个CSMA/CD网络上的两台计算机在同时通信时会发生冲突,那么这个CSMA/CD网络就是一个冲突域。
2、广播域
网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域。
如果广播域过大可能带来的问题:
1. 在某台设备发出广播的时候,会消耗大量的带宽资源 以及 计算机的计算资源的浪费
2. 如果攻击者在广播报文中封装了带有攻击载荷的数据,则会对整个网络造成安全威胁
3. 不易管理
这时可引入vlan技术解决广播过大的问题
解决方案:
把广播域尽可能的减小,主要是为了减小广播报文的传递范围。
在交换机上,使用“逻辑”的方式,来划分局域网 【VLAN技术】
2.VLAN技术
2.1 概念
VLAN(Virtual Local Area Network),又称“虚拟局域网”,其作用是从逻辑上给交换机划分更多的广播域。
2.2 VLAN技术原理
1、VLAN是逻辑隔离的虚拟局域网。
2、VLAN能隔离广播域,提高安全性,简化管理。
3、VLAN分为动态VLAN和静态VLAN。
4、静态VLAN有两种配置方式:VLAN数据库和全局配置。
VLAN数据库:在交换机上划分好VLAN,会将不同的接口加入到不同的VLAN。
5、MAC地址表:交换机依靠MAC地址表转发数据,MAC地址表被VLAN分割,不同VLAN的MAC地址表的数据相互独立。
2.3 VLAN的特点
- 基于逻辑的分组
- 不受物理位置限制
- 在同一VLAN内和真实局域网相同
用途和优点:
1.控制不必要的广播报文的扩散
2.提高网络带宽利用率,减少资源浪费
3.划分不同的用户组,对组之间的访问进行限制
4.增加安全性
5.不受物理位置限制,减少移动和改变的代价
2.4 VLAN编码范围
用来表示 vlan 编号的位是 12位,所以 vlan的范围 0 -2^12-1 即 0-4095。
0,4095不能使用
交换机默认的vlan,就是 vlan1 ,不能被删除
2-4094 为常规的vlan,都可以被用户定义、使用和删除
在华为交换机设备上,可以进行操作的vlan范围是 1-4094
[Huawei]vlan ?
INTEGER<1-4094> VLAN ID
2.5 VLAN的划分
- 基于接口*
- 基于MAC地址
- 基于网络层
- 基于组播
2.6 VLAN的配置(增删改查)
- 增加vlan
# 单独增加一个vlan,范围是多少?
[SW1]vlan ?
INTEGER<1-4094> VLAN ID
batch Batch process
[Huawei]vlan 2 # 在交换机上创建了一个 vlan2
[Huawei-vlan2] # 可以单独对这个vlan做操作
[Huawei-vlan2]description Market # 给vlan添加相应的描述信息
[Huawei-vlan2]quit # 退出这个vlan的视图 ,quit可以简写为 q
[Huawei]
# 批量创建vlan batch
# 批量创建指定的vlan
[Huawei]vlan batch 3 4 5 6
# 创建一个范围的vlan
[Huawei]vlan batch 7 to 20
# 把接口划分到vlan2下
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access # 先将接口类型修改成 access
[SW1-GigabitEthernet0/0/1]port default vlan 2 # 再把这个接口,添加到相应的vlan
- 删除vlan
# 单独删除某个vlan
[Huawei]undo vlan 2
# 批量删除 指定的vlan
[Huawei]undo vlan batch 1001 1002
Warning: The configurations of the VLAN will be deleted. Continue?[Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment...done.
# 批量删除一个范围的vlan
[Huawei]undo vlan batch 6 to 20
Warning: The configurations of the VLAN will be deleted. Continue?[Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment...done.
如果一个vlan下有成员接口,当vlan被删除时,这些接口会被重新加入 vlan 1
- 修改vlan
# 修改 vlan下的端口
# 如 Eth0/0/2原来在 vlan 2下,将这个接口修改到vlan3下: 接口类型不变,原来对Eth0/0/2的配置不需要删除,只需要覆盖即可。
[Huawei]interface Eth0/0/2
[Huawei-Ethernet0/0/2]port default vlan 3 【port default vlan2,实际上这个命令会被覆盖】
- 查看vlan
[SW1]display vlan
The total number of vlans is : 2
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) GE0/0/5(D)
GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) GE0/0/9(D)
GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) GE0/0/13(D)
GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) GE0/0/17(D)
GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) GE0/0/21(D)
GE0/0/22(D) GE0/0/23(D) GE0/0/24(D)
2 common UT:GE0/0/1(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable yt
3.相关理论知识
- PVID
pvid是access端口的属性,端口加入哪个vlan,它的PVID就是几。
Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同。
- access接口
Access端口是交换机上用来连接用户主机的端口。
Access端口只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。
Access端口收发数据帧的规则如下:
1. 数据帧不带tag:
如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
2. 数据帧带tag:
如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。
当VLAN ID与该端口的PVID相同时,接收该报文。
当VLAN ID与该端口的PVID不同时,丢弃该报文。
Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送;Access端口发往对端设备的以太网帧永远是
不带标签的帧
!](C:\Users\于大鱼\AppData\Roaming\Typora\typora-user-images\image-20230321114505577.png)
[外链图片转存中…(img-Sp6ZsgMy-1679378397926)]
[外链图片转存中…(img-NC9704sS-1679378397926)]
[外链图片转存中…(img-8U0nJJ4g-1679378397927)]
[外链图片转存中…(img-TyNyn91e-1679378397927)]!](C:\Users\于大鱼\AppData\Roaming\Typora\typora-user-images\image-20230321114505577.png)
1181
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
