目录
- 一、交换基础
- 二、VLAN背景
- 三、VLAN优点
- 四、VLAN Virtual LAN 虚拟局域网概述
- 五、VLAN范围
- 六、802.1q帧结构
- 七、VLAN链路类型
- 八、PVID
- 九、VLAN端口类型
- 十、VLAN转发流程
- 十一、VLAN规划:基于端口最为常见
- 十二、VLAN配置
- 十三、VLAN间路由背景
- 十四、VLAN间通讯方法(路由)
- 十五、单臂路由配置
- 十六、三层交换(MLS Multi Layer Switching)
- 十七、VLAN动态注册背景
- 十八、VLAN动态注册
- 十九、GARP 通用属性注册协议
- 二十、GARP消息类型
- 二十一、GVRP VLAN注册协议
- 二十二、GVRP的应用
- 二十三、GVRP注册模式
- 二十四、VLAN隔离技术背景
- 二十五、VLAN隔离技术1-端口隔离
- 二十六、端口隔离配置
- 二十七、VLAN隔离技术2-MUX VLAN
- 二十八、MUX VLAN配置
- 二十九、Proxy ARP 代理ARP
- 三十、Super VLAN背景
- 三十一、Super VLAN概述
- 三十二、Super VLAN通信规则
- 三十三、Super VLAN配置
一、交换基础
随着企业网络的发展 越来越多的用户需要接入到网络 交换机提供的大量的接入端口能够很好地满足这种需求
同时 交换机也彻底解决了困扰早期以太网的冲突问题
极大地提升了以太网的性能,同时也提高了以太网的安全性
交换机工作在数据链路层 对数据帧进行操作 在收到数据帧后
交换机会根据数据帧的头部信息对数据帧进行转发
交换机工作在数据链路层 转发数据帧
不关心IP 只注意MAC
要求配置在同一网段 发送ARP请求报文才能接收到
路由器-检查路由表-路由表中没有就丢包
交换机-检查MAC表-MAC表没有就泛洪 不会丢包
路由表中-记录永远存在
MAC表中-每条记录保存300s
查看老化时间:dis mac-address aging-time 默认300s
二、VLAN背景
随着网络中计算机的数量越来越多 传统的以太网面临广播泛滥以及安全性无法保障等问题
VLAN(Virtual Local Area Network) 即虚拟局域网 是将一个物理的局域网在逻辑上划分成多个广播域的技术
通过交换机上配置VLAN 可以实现在同一个VLAN内的用户可以进行二层互访
而不同VLAN间的用户被二层隔离 这样既能够隔离广播域 又能够提升网络的安全性
交换机起始配置有VLAN1
放在不同VLAN就是放在不同的广播域
VLAN是二层技术!数据链路层!
不同VLAN是不同网段
多个交换机间也可以划分VLAN
三、VLAN优点
有效控制广播域范围
增强局域网安全性
灵活构建虚拟工作组
简化网络管理
四、VLAN Virtual LAN 虚拟局域网概述
将一个物理局域网在逻辑上划分成多个广播域
1 VLAN = 1 广播域 = 1 子网
子网是三层概念 VLAN是二层概念
广播不会在VLAN之间转发 而是被限制在各自的VLAN中
如果要泛洪是基于VLAN泛洪的
不同的VLAN间的设备默认无法通信 需要第三层设备才能实现互通
五、VLAN范围
0~4095 共4096个(0和4095为保留 1为默认)
命令:vlan ?
显示:1-4094
其实可用的只有4094个
VLAN ID 12bit 故VLAN范围为2^12=4096
六、802.1q帧结构
Tag标记 VLANID字段-12bit
212 = 4096个VLAN
原始数据帧:无标记帧 untagged frame
源MAC 目标MAC 类型 数据
新的数据帧:有标记帧 tagged frame
为区别不同的VLAN 在源MAC和类型Type间插入了Tag字段 -4B
Tag字段中 VLAN ID为12b 正好可以表示212=4096个VLAN
IEEE 802.1q:又称dot1q(dot是点,意为点1q),是VLAN的正式标准,对Ethernet帧格式进行修改,在源地址和类型字段中插入了4字节的802.1q Tag
每台支持802.1q协议的交换机发送的数据帧都会包含VLAN ID,以指明数据帧属于哪一个VLAN。因此,在一个VLAN交换网络中,以太网帧有以下两种格式
七、VLAN链路类型
八、PVID
即Port VLAN ID 代表端口的缺省VLAN
X7系列交换机每个接口PVID = 1
查看PVID:[SW]dis port vlan
九、VLAN端口类型
十、VLAN转发流程
1 本地VLAN
2 跨交换机VLAN
十一、VLAN规划:基于端口最为常见
十二、VLAN配置
十三、VLAN间路由背景
部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发 因此必须引入路由技术来实现不同VLAN间的通信
VLAN间路由可以通过二层交换机配合路由器来实现 也可以通过三层交换机来实现
纯二层实现不了
十四、VLAN间通讯方法(路由)
十五、单臂路由配置
十六、三层交换(MLS Multi Layer Switching)
解决了单臂路由的瓶颈(中继链路)
三层交换=二层交换+三层转发
相当于一个二层交换机上连接一个三层路由器
只不过三层交换机中包含着路由器
十七、VLAN动态注册背景
动态注册-GVRP
GARP(Generic Attribute Registration Protocol)通用属性注册协议
是一种技术标准 抓包时显示GVRP
它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息(VLAN属性、组播地址等)的手段
GVRP(Generic VLAN Registration Protocol)VLAN注册协议
是GARP的一种具体应用或实现 主要用于维护设备动态VLAN属性
通过GVRP协议 一台交换机上的VLAN信息会迅速传播到整个交换网络
GVRP实现了LAN属性的动态分发 注册和传播 从而减少了网络管理员的工作量 也能保证VLAN配置的正确性
十八、VLAN动态注册
华为-GVRP
Cisco- VTP
H3C- NVRP
同步交换机上的VLAN
十九、GARP 通用属性注册协议
GARP Generic Attribute Registration Protocol
在交换机间分发 传播 注册某种信息(VLAN属性、组播地址等)
主要用于大中型网络中 用来提升交换机的管理效率
一种协议规范
二十、GARP消息类型
二十一、GVRP VLAN注册协议
GVRP Generic VLAN Registration Protocol
GVRP基于GARP的工作机制 是GARP的一种应用 传递VLAN信息
二十二、GVRP的应用
接收来自其他交换机的VLAN注册信息 并动态更新本地的VLAN注册信息 包括当前的VLAN VLAN成员等
将本地的VLAN注册信息向其他交换机传播 以便同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致
手动配置的VLAN是静态VLAN -Common
通过GVRP创建的VLAN是动态VLAN -Dynamic
GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其他交换机的动态注册信息
二十三、GVRP注册模式
查看GVRP注册模式:gvrp registration ?
查看GVRP状态:dis gvrp status
查看GVRP统计信息:dis gvrp statistics
二十四、VLAN隔离技术背景
单向访问需求:有一台主机正在进行攻击广播或欺骗 对该台主机进行隔离
ACL可以实现
但是不够灵活+方便
地址可能是分散的
可能要写很多ACL
调用时接口也很多 还要选择方向
二十五、VLAN隔离技术1-端口隔离
实现同一VLAN内端口之间的隔离
交换机端口之间的一种访问控制安全控制机制
配置端口隔离后 无论是哪个VLAN 都不能互相通信
不影响访问公共资源
但不能互访
是可以通过QQ通信的 因为数据先发给外网的服务器 再回到内网 不受端口隔离的限制
!Destination host unreachable主机不可达 发送ARP广播 对方接收到但回不来 即原主机拿不到目的主机的MAC 无法封装数据包
!Request timeout请求超时 ARP缓存中有目的主机的MAC 但是ARP没有被目的主机接收到
二十六、端口隔离配置
二十七、VLAN隔离技术2-MUX VLAN
部分VLAN间可以互通 部分VLAN间隔离 VALN内用户隔离
Multiplex VLAN
一种通过VLAN进行网络资源控制的机制
只适用于二层网络中 对同一网段的用户进行互通和隔离
实现处于相同网段的设备划入不同VLAN后 虽然二层通信是隔离的 但还可以和指定VLAN通信 还可以实现禁止相同VLAN内的不同设备间的通信
二十八、MUX VLAN配置
企业员工可以访问服务器 也可以互相通信
企业客户可以访问服务器 但不能互相通信
企业员工和企业客户不能互相通信
二十九、Proxy ARP 代理ARP
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机 那么连接它们的具有代理ARP功能的设备就可以回答该请求 这个过程称作代理ARP(Proxy ARP)
屏蔽了分离的物理网络 使用户使用起来 好像在同一个物理网络上
分为普通代理ARP和本地代理ARP
1 普通代理ARP
想要互通的主机分别连接到设备的不同三层接口上 且这些主机不在同一个广播域中
这里路由器需要先判断自己是否有能力到达对应网段 只要有路由可以到达
就可以代理
2 本地代理ARP
想要互通的主机连接到设备的同一个三层接口上 且这些主机不在同一个广播域中
相当于有个中间人 来使隔离的两个端口互相通信
代理-有第三方 如代理律师 代理机构等
这里就引申到配置静态路由是 下一跳的位置写出站接口还是写下一跳
ip route-static 2.2.2.2 32 12.0.0.2
ip route-static 2.2.2.2 32 g0/0/0
如果是以太网接口 不要用出站接口作为下一跳
如果是串行接口 可以用出站接口作为下一跳
写为下一跳 是可以ping通的
ping 则原路由将包发给目的路由
在路由表中 找到目的路由的IP是与原路由直连的
但要发送ARP
让路由器封装下一跳的MAC
那为什么以太网写出站接口就不通呢?
路由器会认为 直接把包从这个接口发出去 找到2.2.2.2的MAC 但问不到
因为2.2.2.2与原路由根本不在同一个广播域中(一个物理地址 一个逻辑地址)
所以无法通信
如何解决呢?就是在目的路由的import方向开启代理ARP
三十、Super VLAN背景
传统VLAN部署中 一个VLAN对应一个网段和一个VLANIF三层接口实现不同VLAN间通信
但这样的部署很容易导致IP地址的浪费
三十一、Super VLAN概述
又称VLAN Aggregation VLAN聚合
实现位于相同网段但不同VLAN间的用户通信
只需一个VLANIF接口作为不同VLAN的共同网关
引入了Super-VLAN和Sub-VLAN概念
Super VLAN可以实现不同VLAN用同一个子网 同一个网关
目的就是缓解地址浪费问题 节约地址
即最终是多个Sub-VLAN组成一个Super-VLAN
只需Super-VLAN接口上配置IP地址 所有Sub-VLAN共用一个IP网段
解决了IP地址资源浪费的问题
默认情况下两个Sub VLAN不能通信 发ARP广播接收不到
在Super-VLAN接口开启代理ARP即可
这里属于VLAN间的通信
arp-proxy inter-sub-vlan-proxy enable
不同Sub-VLAN下的主机默认不能互通 如果想要互通 需要在Super-VLAN的VLANIF接口上开启Proxy-ARP
三十二、Super VLAN通信规则
1 Super VLAN间的三层互通
2 Super VLAN与外部的二层通信
Super-VLAN只是起一个三层网关的作用 并不会打上标签
3 Super VLAN与外部的三层通信
三十三、Super VLAN配置
先创建和配置Sub VLAN 在创建和配置Super VLAN
755
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
