Vlan
V----虚拟
LAN直译为局域网,是地理范围覆盖较小的网络---可以理解为广播域
MAN-----城域网
WAN-----广域网
Vlan直译为虚拟局域网,为交换机和路由器协同工作,将原来的一共广播域逻辑上切分为多个。在vlan情况下判定是否在一个广播域内可以通过ping的方式来验证。也可以通过arp-a地址来判定。
创建过程:
第一步:创建VLAN
<Huawei>display vlan --- 查看交换机VLAN情况
VID就是指VLAN ID, 作用是区分和标定不同VLAN的 ,因为之前的交换机不支持VLAN,所以IEEE组织颁布了802.1Q 标准,专门定义了VLAN技术 ,要求VID由12位2进制构成,取值范围是为4096,从0 -4095中取,其中0和4095为保留值,VID的真实取值范围为1 - 4094,意味着一台设备可以创建4094个虚拟局域网。
[sw1]vlan 2 ; 创建vid为2 的VLAN,然后退出。
[sw1]vlan batch 4 to 100 进行批量创建4-100的VLANID
[sw1]undo vlan batch 4 to 100批量删除4-100的VLANID
第二步:将接口划入VLAN
以上的VID配置是映射到交换机的接口,从而实现了VLAN的划分我们将这种方法称为物理VLAN或者一层VLAN。
而将VID配置映射到数据帧中的MAC地址,从而实现VLAN的划分的方法,我们称为二层 VLAN。
交换机可以在类型数据(type)中看见三层的特征,故而可以通过其进行划分。故VID配置映射到数据帧中的类型字段,从而实现VLAN的划分的方法,我们称为三层VLAN
现在的交换机,也可以通过IP地址进行VLAN范围的划分甚至是通过策 略进行VLAN的划分。但我们最常用的还是第一种,通过接口来进行划分。
设置处于多个交换机的同一VLAN为了能够,是为了能够更自由的配置而不受交换机限制,而为了实现这个功能,IEEE组织在802.1Q标准中规定,在以太网Ⅱ型帧源MAC地址和类型 字段之间,添加4个字节的标签tag,这样的帧我们称为802.1Q 帧或tagged帧,它里面一定会包含一共12为的VLANID。不带标签的帧也可以被称为untagged帧/以太网二型帧。ps:电脑只能识别untagged帧,在接收到tag帧之后会认为是畸形数据,会直接丢弃该数据。
根据这个特性,我们将交换机和电脑之间的链路称为Access链路,交 换机侧的接口称为Access接口,Access链路中只能通过untagged帧,并 且,这些帧一定属于某一种特定的VLAN。交换机和交换机之间的链 路,我们称为trunk链路(trunk干道),交换机侧的接口称为trunk接 口,trunk干道中允许通过tagged帧,并且这些帧可以属于多个VLAN。
第三步:配置trunk干道(SW-SW SW - R)
[sw1-GigabitEthernet0/0/1]port link-type access 确认接口类型[sw1-GigabitEthernet0/0/1]port default vlan 2 默认允许通过的是VLAN2的流量
[sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4
[sw1-port-group] --- 创建接口组,前提是配置的接口完全一致的时候才能够使用。
第三步配置:
[sw1-GigabitEthernet0/0/5]port link-type trunk (trunk允许多种VLAN通过)
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3允许通过VLAN2和VLAN3的流量。
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all允许所有VLAN流量通过。
第四步:VLAN间路由 --- 单臂路由(对路由压力较大)
子接口 ,是将路由器的物理接口在逻辑上进行划分,划分成多个虚拟的子接口
[r1]interface GigabitEthernet 0/0/0.?
<1-4096> GigabitEthernet interface subinterface number 最多创建4096个虚拟接口
[r1]interface GigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]
配置子接口
[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.1 24 --- 配IP地址 (网关)
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 按照802.1Q的标准来管理VLAN2。
[r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP广播(子 接口默认不开启ARP广播应答,通过这个命令开启后将应答对应的物理接口的MAC地址)
NAT --- 网络地址转换
在IP地址空间中,A,B,C三类地址中各有一部分地址,他们被称为私 有地址(私网IP地址),其余的被称为公有地址(公网IP地址)。
A:10.0.0.0 - 10.255.255.255 --- 相当于一个完整的A类网段
B:172.16.0.0 - 172.31.255.255 --- 相当于拿出了16条B类的网段
C:192.168.0.0 - 192.168.255.255 --- 相当于拿出了256条C类的网段
我们一般习惯间使用私网IP地址通信的网络称为私网(私网IP地址具有 可复用性,但是必须保证私网内部的唯一性。),使用公网IP地址通信的 网络,称为公网。
NAT:网络地址转换,他的基本作用就是实现私网IP地址和公网IP 地址之间的转换。
Ps:华为设备所有NAT相关的配置均在边界路由器的出接口上进行配置。
静态NAT:即一对一的NAT ,静态NAT简单来说,就是通过配置,在私网边界路由器上建立、维护一张静态地址映射表。静态地址映射表反映的是公有IP地址和私有IP地址之间一一对应的关系。
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2 12.0.0.3
1、必须是花钱购买的公网IP地址 。
2、必须和出接口在同一个网段
--- 漂浮地址
[r2-GigabitEthernet0/0/2]display nat static --- 查看静态地址映射表动态NAT:即多对多的NAT ,动态NAT在同一时间还是一个公网IP地址对应一个私网IP地址,所以,当上网需求量比较大的时候,便需要排队使用,导致延迟上升。
1、创建公网IP地址组
[r2]nat address-group 1(公网地址组的编号) 12.0.0.4 12.0.0.8 (公网IP地址组的地址必须是连续的,都是花钱向运营商买来 的)
2、通过ACL抓取私网流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3、在出接口配置动态NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
NAPT(PAT):网络地址端口转换,它可以实现多对多的NAPT和一对多的NAPT。
一对多的NAPT即EASY IP
多对多的NAPT配置
1、创建公网IP地址组
[r2]nat address-group 1(公网地址组的编号) 12.0.0.4 12.0.0.8
(公网IP地址组的地址必须是连续的,都是花钱向运营商买来 的)
2、通过ACL抓取私网流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3、在出接口配置多对多的NAPT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
EASY IP的配置方法:
1、通过ACL抓取私网流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2、在出接口做EASY IP
[r2-GigabitEthernet0/0/0]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-
interface 80 ins
ide 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]
1287
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
