系列文章目录
一、前言
从软件测试工程师转型网络安全工程师的小菜鸟,欢迎批评指正~欢迎一起交流~
二、术语解释
VLAN:VLAN(Virtual Local Area Network)是一种虚拟局域网技术,用于在物理网络基础上逻辑上划分不同的广播域。通过VLAN,可以将不同的网络设备划分到不同的虚拟网络中,实现逻辑隔离和灵活的网络管理。
三、操作步骤
1、绘制拓扑图
本次教程的目标:PC1能访问PC3,无法访问PC2和PC4。
使用技术:通过VLAN技术实现。
选择S5700路由器,参考下图画出拓扑图,并启动所有设备。
2、配置PC
3、配置交换机
2个交换机的命令是一样的,下面仅贴一个交换机的配置命令:
4、结果验证
四、知识拓展——PVID和Vlan ID的关系
1、VLAN原理
VLAN的原理是通过在网络交换机上进行逻辑划分,将一个局域网(LAN)划分成多个虚拟局域网(VLAN)。每个VLAN被视为一个独立的广播域,可以有不同的网络设备和主机。交换机通过在数据帧中添加VLAN标签来标识不同的VLAN成员,从而实现逻辑上的隔离和分离。
2、VLAN标签
IEEE 802.1q是虚拟局域网(VLAN)协议的标准。它主要规定了VLAN的实现方法,为标识带有VLAN成员信息的以太帧建立了一种标准方法。它在传统以太网帧中插入
4个字节的802.1q tag字段,如下截图,分别是传统以太网帧格式和插入802.1q标签后的数据帧格式:
802.1q tag字段所包括的4个字段含义如下:
1)TPID:Tag Protocol Identifier,标签协议标识符,占2个字节,表明这是一个添加了IEEE802.1q标签的帧,其值=0x8100,表示封装了IEEE802.1q VLAN协议。
2)PRI:Priority,优先级,占3位,表示0~7,一共8个优先级,其值越大,优先级越高。
3)CFI:Canonical Format Idicator,标准格式指示器,占1位,用来兼容以太网和令牌环网。
4)VID:VLAN Identified,VLAN标识,占12位,指明VLAN的ID,取值范围为0~4095,共4096个,但由于0和4095为协议保留取值,所以VLAN ID的实际有效取值范围是1~4094。每个进入支持802.1q协议的交换机发送出来的数据包都会含这个域,以指明自己属于哪一个VLAN。
3、VLAN的划分方式
VLAN的划分有以下5种方法,如下表:
VLAN划分方式 | VLAN 10 | VLAN 20 |
|---|---|---|
| 基于接口 | GE0/0/1、GE0/0/2 | GE0/0/3、GE0/0/4 |
| 基于MAC地址 | MAC1、MAC2 | MAC3、MAC4 |
| 基于IP地址 | 10.10.1.* | 10.10.2.* |
| 基于协议 | IP | IPv6 |
| 基于策略 | 10.10.1.*+GE0/0/1+MAC1 | 10.10.2.*+GE0/0/2+MAC2 |
4、什么是PVID和VID
PVID:即Port Default VLAN ID,端口缺省VLAN ID,即一个端口缺省属于的VLAN。也就是缺省VLAN就是PVID。当一个数据帧进入交换机端口时,如果没有带VLAN标签,则该数据帧会被打上端口的PVID,如果进入的帧已经带有VLAN标签,那么交换机不会再增加VLAN标签,即使端口已经配置了PVID,对VLAN帧的接收处理由二层端口类型来决定。
VID:即VLAN ID,VLAN标识。
在ENSP模拟器拖入一个交换机并启动,不用配置,通过dis port vlan命令查看:
可以看出,缺省情况下,所有端口的PVID=1,
同时,用dis vlan命令查看:
可以看出,缺省情况下,所有端口都属于VLAN1,即VLAN0001,**VID=1**,所有端口都处于untag状态。
下面在交换机上划分2个VLAN,分别设置1和2号口为access口,然后24口设为trunk口。然后查看PVID的变化情况:
可以看出:
GigabitEthernet0/0/1为access口,PVID=10
GigabitEthernet0/0/2为access口,只允许VLAN20通过,PVID=20
GigabitEthernet0/0/24为trunk口,允许通过的VLAN为1-4094,PVID=1
总结如下:
| 比较项 | 内容 |
|---|---|
PVID | 每个端口所属的VLAN。对于一个端口,它只能有一个 PVID,但可以属于多个VLAN。当接收到一个不带 tag头的数据包时,交换机将根据PVID为该数据包添加相应的VLAN标签。 |
VLAN ID | VLAN ID是用于标识VLAN的标识符,用于在交换机上将端口分配给特定的VLAN。每个 VLAN都需要一个唯一的VLAN ID,以便在网络中区分不同的VLAN。VLAN ID通常在创建VLAN时分配给每个VLAN,并且可以根据需要进行更改。 |
另外,PVID的值可以修改,一般是用于AP本地转发时需要配置。
5、以太网二层交换机接口类型
这里通过接口类型说明PVID、VID及什么时候打标签,什么时候去标签。
1.Access接口
Access接口口主要是用来连接用户主机的二层以太网端口,它有一种最主要的特性是仅允许一个VLAN的帧通过,反过来也就是Access端口仅可以加入一个VLAN中,且Access端口发送的以太网帧永远是Untagged(不带标签)的。
进入该接口的数据帧处理方式如下:
| 接口类型 | 接收前的帧 | 处理方式 | 接收后的帧 |
|---|---|---|---|
Access | 无标记帧 (untagged) | 接收该帧,并打上该接口PVID的tag | 带该接口的PVID |
Access | 有标记帧 (tagged) | 当VID=PVID时,接收当 VID≠PVID时,丢弃 | 只有带VID=PVID的帧 |
从该接口发出的数据帧处理方式如下:
| 接口类型 | 发送前的帧 | 处理方式 | 接收后的帧 |
|---|---|---|---|
Access | 帧的VID=PVID | 先剥离tag,再发出 | 无tag的数据帧 |
Access | 帧的VID≠PVID | 禁止从该接口发出 | 无数据帧 |
2.Trunk接口
Trunk接口是用来连接与其他交换机的二层以太网端口。它的最主要特性是允许多个VLAN的帧通过,并且所发送的以太网帧都是带标签的,除了发送VLANID与PVID一致的VLAN帧。
进入该接口的数据帧处理方式如下:
| 接口类型 | 接收前的帧 | 处理方式 | 接收后的帧 |
|---|---|---|---|
Trunk | 无标记帧 (untagged) | 打上端口PVID:当 PVID在允许通过的VLAN中时,接收当 PVID不在允许通过的VLAN时,丢弃 | 带该接口的PVID |
Trunk | 有标记帧 (tagged) | 当VID∈[可通过VLAN]时,接收当 VID不∈[可通过VLAN]时,丢弃 | 带原VLAN tag的帧 |
从该接口发出的数据帧处理方式如下:
| 接口类型 | 发送前的帧 | 处理方式 | 接收后的帧 |
|---|---|---|---|
| Trunk | 帧的VID=PVID且VID允许通过 | 先剥离tag,再发出 | 无tag的数据帧 |
| Trunk | 帧的VID≠PVID | VID允许通过,则保留tag发送VID不允许通过,则禁止 | 带原VLAN tag的帧 |
3.Hybrid接口
Hybrid接口是以上端口和Trunk端口的混合体,它们具有共同的特性,是一种特殊的二层以太网端口。所以该端口既可以连接用户主机,又可以连接其他交换机、路由器设备。同时Hybrid端口又允许一个或多个VLAN的帧通过,并可选择以带标签或者不带标签的方式发送数据帧。
4852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
