资源:
基于接口划分VLAN的ensp组网拓扑资源下载
基于MAC地址划分VLAN的ensp组网拓扑资源下载
1、vlan作用
逻辑上对局域网划分广播域,归属同一VLAN的PC可直接通信,归属不同VLAN的PC不能直接互通。
2、帧格式
以太网帧格式:
IEEE 802.1Q是VLAN的正式标准,对以太网帧格式进行了修改,加入了4字节的802.1Q标记(Tag)
- TPID:帧类型。0X8100表示为802.1Q帧,如果不支持该802.1Q的设备收到这样的帧,会将其丢弃。
- PRI:帧的优先级。取值0~7.
- CFI:表示MAC地址是否为经典格式。
- VID:VLAN ID,即VLAN编号。12位(bit),所以取值0~4095,其中0、4095为协议保留取值,所以VLAN ID有效值为1-4094。
3、基于接口类型划分VLAN
- Access:一般用于直连PC,仅能通过一个VLAN,当VLAN与缺省VLAN相同,发送至对端设备的以太网帧不带标记,即剥离VLAN标记。
- Trunk:允许多个VLAN通过,并携带VLAN标记。
- Hybrid:既可以允许多个VLAN通过,也可以剥离VLAN标记。
- QinQ:顾名思义,802.1Q-in-802.1Q。使用QinQ协议,可以给帧加上双重VLAN,所以支持4094*4094个VLAN。通常,外层VLAN用作公网标记,内层VLAN用作私网标记。
4、不同类型接口对帧的处理
- 缺省VLAN:又称PVID( Port Default VLANID)。默认为VLAN1,当Access口透传了某个VLAN(如VLAN10),则该接口缺省VLAN被修改为该VLAN(10)。
例:两台交换机,两台PC,交换机与PC直连接口为Access,透传VLAN10,交换机互联接口为Trunk,透传VLAN10,解析数据帧流向。
SW1配置:
- 1、创建vlan
vlan batch 10 20
- 2、端口配置
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 20
SW2配置:
- 1、创建VLAN
vlan batch 10
- 2、端口配置
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
假设PC1已知PC2的IP及MAC,PC1发送数据给PC2,数据帧过程如下:
- 1)PC1发送的数据帧为普通以太网帧,此帧无VLAN标记。
- 2)SW1的Eth 0/0/1为Access口,因此给PC1发送来的数据帧添加VLAN标记,VID=10。
- 3)SW1查询自己的MAC地址表,根据目的MAC发现需要将数据帧从Eth 0/0/2口发送出去。 Eth
0/0/2为Trunk口,默认PVID=1,由Eth 0/0/1发送过来的帧是携带VLAN 10的,因此数据帧携带VLAN != 缺省VLAN,且该VLAN在接口允许通过的VLAN列表,保持原有VLAN发送,于是在SW1和SW2之间的Trunk链路上出现了携带VLAN标记10的数据帧。 - 4)SW2的Eth 0/0/2接口收到该数据帧,且VLAN在接口允许通过的VLAN 列表,接收。
- 5)SW2查询自己的MAC地址表,根据目的MAC发现需要将数据帧从Eth 0/0/1口发送出去。
- 6)SW2的Eth 0/0/1为Access口,发现数据帧携带VLAN = 缺省VLAN,接收。然后剥离VLAN,发送给PC2。
注:本次组网为二层交换机组网,因此PC间互相通信需要保持VLAN一致
Ping测
PC1 Ping PC2,通;
PC1 Ping PC3 ,不通。
PC2 Ping PC3 ,不通。
5、基于MAC地址划分VLAN
例:公司A、B两部门,通过SW1接入公司网络,且接入的交换机端口不固定;
两台打印机Print1和Print2,通过SW2接入公司网络,且接入的交换机端口固定。
要求:通过设置VLAN,使Print1仅能被A部门访问,Print2仅能被B部门访问。
分析:
- 1)PC-A与Print1划为同VLAN,PC-B与Print2划为同VLAN;
- 2)PC-A与PC-B接入SW1的端口不固定,因此需要基于MAC地址划分VLAN
PC-A的MAC地址:00-00-00-00-00-A1
PC-B的MAC地址:00-00-00-00-00-B1
PC-C的MAC地址:00-00-00-00-00-C1
SW1配置:
由于PC-A及PC-B接入位置不固定,因此不做配置。
SW2配置:
- 1、创建VLAN
vlan batch 10 20
- 2、端口配置
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
SW3配置:
- 1、创建VLAN
vlan batch 10 20
- 2、将MAC地址与VLAN对应绑定
vlan 10
mac-vlan mac-address 0000-0000-00a1 priority 0
vlan 20
mac-vlan mac-address 0000-0000-00b1 priority 0
- 3、端口配置
interface GigabitEthernet0/0/1
port hybrid untagged vlan 10 20
mac-vlan enable
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
gig 0/0/1
**mac-vlan enable:**
使能基于MAC地址划分VLAN功能。即:普通帧进入本接口后,会根据MAC-VLAN对应表,为该帧加上相应VLAN标记。
也就是说:
当源MAC为0000-0000-000A1的数据帧到达该接口后会为其添加VLAN10的标记;
同理,源MAC为0000-0000-000B1添加VLAN20标记;
而源MAC为0000-0000-000C1的则为其添加缺省VLAN的标记,即VLAN1。
**port hybrid untagged vlan 10 20:**
允许vlan 10 和 20的帧通过,并且将帧从该接口发出时,剥离VLAN标记。
Ping测
PC-A Ping Print1,通;
PC-A Ping Print2,不通;
PC-B Ping Print1,不通;
PC-B Ping Print2,通;
PC-C Ping Print1,不通;
PC-C Ping Print2,不通;
当PC-C的数据帧到达SW3的gig 0/0/1时,为其添加缺省VLAN的标记,即VLAN1,但是缺省VLAN不在gig 0/0/1允许通过的VLAN列表,所以该数据帧被丢弃。
540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
