二层vlan隔离下跨vlan互访配置和原理

已于 2024-07-02 17:17:37 修改
阅读量1.1k 收藏 3
点赞数
文章标签: 网络 网络协议
于 2023-08-07 15:01:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzy0124wd/article/details/132146125
版权

实现二层不同vlan互通

  1. 通过配置同网段不同vlan实现PC1仅与PC2互通

网络拓扑

Tag字段

TPID(0x8100)

PRI

CFI

VID

1. TPID:这是一个2字节的字段,用于标识以太网帧中存在标签信息。在IEEE 802.1Q中,TPID的值为0x8100。

2. PRI:这是一个3位的字段,用于指定数据帧的优先级。它用于QoS(Quality of Service)机制,对数据进行不同级别的处理和传输。

3. CFI:这是一个1位的字段,用于标识VLAN标签中MAC地址的格式。它指示是否遵循IEEE 802.3规范的MAC地址规范性。

4. VID:这是一个12位的字段,用于指定数据帧所属的VLAN标识。它可以表示从1到4094之间的VLAN标识,其中1保留用于默认VLAN,而4094保留用于一些特殊目的。

VLAN ID作为VLAN的唯一标识符,用于划分和区分不同的虚拟局域网。通过VLAN ID,可以提供更好的隔离、管理和控制,同时优化网络性能和安全性。

业务vlan和管理vlan:管理vlan可远程管理设备灵活可靠,与设备安全技术结合使用。

方案一:用混和接口进行配置

Hybrid具有在同一个网段实现不同vlan通信可以使用混合接口的配置那些接口剥离标记tag,那些接口不剥离tag。具有access和trunk口的功能。

配置

[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 10

[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10

[SW1-GigabitEthernet0/0/1]undo port hybrid untagged vlan 20

[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20

[SW3-GigabitEthernet0/0/2]port hybrid pvid vlan 20

[SW3-GigabitEthernet0/0/2]port hybrid tagged vlan 20

[SW3-GigabitEthernet0/0/2]undo port hybrid untagged vlan 10

[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20

实现同网段不同vlan互访。

验证过程: 无标签数据帧进入SW时,被打上端口对应的vlan id ,在交换机中带标签传输,在离开时untagged。应为混合接口控制了tag标签的剥离与添加。

方案二:用Access口配置,添加和玻璃tag

实现原理:终端发送的数据帧untagged进入交换机的Access接口后,会被加上一个标记tag,这个标记用于表示当前端口号的PVID的所属的VLAN号,默认情况下交换机所有端口都属于VLAN 1,被加上这个标记的数据只会向被允许这个VLAN号通过的端口去转发,如果它的VLAN ID与端口的PVID不同时,数据帧会被丢弃,而当这个数据帧到达它的目标端口号后,这个标记就会被剥离,避免将打了标记的数据包传给终端。

将两交换机之间端口用Access类型。

Access口上的数据帧通常不会打上802.1Q的VLAN标签,只有在进入或离开交换机时,数据帧的VLAN标签才会被添加或移除。

配置方法:将交换机sw1,sw2 g0/0/1,g0/0/2 接口类型设为access,并划分到对应的vlan中,创建vlan10 20

[SW1-GigabitEthernet0/0/1]dis this

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

[SW3-GigabitEthernet0/0/2]dis this

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

[SW1-GigabitEthernet0/0/2]dis this

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 10

#

[SW3-GigabitEthernet0/0/1]dis this

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 20

#

验证:tag标签在进入和离开时,被添加和剥离,全配置为access口数据帧在离开时就会不带标签。最终pc1与pc2互通。

方案三:修改pvid vlan id,把vlan标识去掉

原理:

1.Pvid用于描述一个交换机端口默认所属的VLAN标识。

2.pvid 是用来标识端口接收到的未标记的帧。

也就是说,当端口收到一个未标记的帧时,就把该帧打上vlan id标识,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。

3.帧从端口出去时,如果帧头中的VID和端口的PVID值相同一样,就把这个标识去掉,再送出去。

4.trunk角度,首先将Trunk接口对端交换机也做同样的VLAN配置,允许带指定VLAN ID的标记的数据帧通过,修改默认PVID等,与Access接口不同的是Trunk接口允许多个VLAN的数据帧通过,相同的是当数据帧离开交换机时会剥离Trunk接口的PVID对应的VLAN tag,当非Trank接口的PVID的数据帧通过Trunk接口时,标记不会被剥离

配置方法:

[SW1-GigabitEthernet0/0/1]dis this

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

[SW3-GigabitEthernet0/0/2]dis this

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

[SW1-GigabitEthernet0/0/2]dis this

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk pvid vlan 10 #剥掉vlan 10数据标签进行转发

 port trunk allow-pass vlan 2 to 4094

[SW3-GigabitEthernet0/0/1]dis this

#

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk pvid vlan 20 #收到空白数据帧,打上vlan 20标识

 port trunk allow-pass vlan 10 20

#

验证:数据帧离开交换机时,vlan id标签与端口对应的pvid值相等,最终会剥离标签。

在进入时,不带标签的数据帧会被打上与端口pvid对应的标签,实现交换机内部带标签传输。

故河
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置VLAN下ONU的二层互访隔离)问题(解决OLT二层隔离问题)
symstandsun的博客
03-18 2747
问题:OLT的ONU节点之间在同一VLAN下的终端默认隔离,在确实需要互通的场景下如何解决。
想轻松实现VLAN互访,给你两招
SPOTO2021的博客
07-10 781
然后将路由器Router的GE0/0/1口作为VLAN10用户的网关,GE0/0/2作为VLAN20用户的网关,从而利用路由器的路由功能实现两个VLAN之间的互访。子接口GE0/0/1.10对应VLAN10,它能够识别VLAN10的标记,并且能够处理带VLAN10标记的数据帧,同理GE0/0/1.20对应VLAN20。SW1是接入层交换机,只具备二层交换功能。不同VLAN是不同的广播域,一般也是不同的逻辑子网,而且相互隔离,无法直接互访,这样能起到隔绝广播的作用,如上图所示。
详细介绍下VLAN隔离VLAN之间互联
qq_33471732的博客
09-20 1741
性能优化:通过将网络流量分割到不同的VLAN中,可以减少广播和多播流量的影响,并提供更好的网络性能和带宽管理。防火墙和安全配置:根据需要,在路由器上配置适当的防火墙规则和访问控制列表(ACL),以控制 VLAN 间的流量和访问权限。虚拟机管理:在虚拟化环境中,VLAN可以用于将不同的虚拟机(VM)划分到不同的网络中,实现虚拟机之间的隔离和管理。需要注意的是,VLAN之间的通信通常需要通过路由器或三层交换机进行,以实现VLAN之间的互联和流量转发。不同的路由器型号和品牌可能有不同的配置界面和选项。
同网段,不同VLAN通信
最新发布
qq_44752556的博客
05-30 235
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID, 并进行交换转发;如果有则判断该Hybrid端口是否允许该VLAN的数据进入,如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只是对发送报文时起作用)。比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等,检查是否允许该VLAN通过,是则直接发送,不是则丢弃;收到电脑或者其他设备的一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID, 并进行交换转发;
如何用两台二层交换机实现不同vlan之间的通信
小白垃圾笔记2
03-17 4712
老四留的作业,老师最近狂迷于chatgpt,没办法,我也去问chantgpt。虚拟端口的ip要和对应的虚拟vlan网关相同。pc2的配置如下配置完后记得点应用。老师给的拓扑图是这样的。
二层交换机】静态VLAN配置
陌上花开,静待绽放!
03-19 3929
VLAN是虚拟局域网(Virtual Bridged LocaL Area Network )的简称(IEEE802.1Q协议),它是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层数据链路层。VLAN的划分不受网络端口实际物理位置的限制。注意(1) 两个相邻节点一定是在同一个网段内。(2) 子网划分,能够划分成不同的网段。华为交换机的链路类型有:(华为/H3C默认的链路类型)。TRUNK是通过一条物理链路,实现同VLAN交换互通;
相同网段不同vlan的两台设备如何通信?
qq_53332962的博客
08-05 3380
二、将sw1和sw2的g0/0/1接口改为trunk并修改pvid pvid等于vlan id时,通过trunk链路不带标记
内网网络安全技术
Ddfgxfgg的博客
05-29 1855
端口隔离、MAC地址表安全、端口安全、MAC地址漂移、DHCP Snooping、IPSG。
HC110110021 VLAN原理配置
01-06
通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。 VLAN原理是通过在交换机上配置VLAN,来实现对网络的...
三层交换机作VLAN间路由配置
10-28
三层交换机是具有路由功能的交换机,它不仅具备二层交换机的高速数据交换能力,还能执行第三层的IP路由功能。在VLAN间路由配置中,三层交换机作为VLAN间的“桥梁”,负责转发不同VLAN的数据包。 配置三层交换机进行...
华为H3C-VLAN技术白皮书-综合文档
05-22
VLAN技术还能增强网络的安全性,例如,通过配置VLAN隔离,可以防止未经授权的设备接入;而VLAN的QoS(服务质量)策略则可以保障关键业务的带宽需求。同时,合理的VLAN规划和配置有助于网络性能的优化,避免不必要的...
华为交换机实现不同VLAN之间互访配置.doc
09-21
1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访; 2. Vlan10、vlan20和vlan30的PC均可以访问Server 1; 3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2; 4. vlan 10中的2端口的PC可以访问vlan 30的PC; 5. vlan 20的PC可以访问vlan 30的5端口的PC; 6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。
什么是VLAN
10-23
ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可越交换机进行整个网络VLAN分配和配置。 编辑本段划分VLAN的基本...
VLAN学习笔记
06-21
每个VLAN都有自己的广播域,不同VLAN之间的通信必须通过路由,而不是简单的局域网内的二层交换。这使得网络管理员可以根据功能、部门或安全需求来组织网络流量,而无需物理移动设备。 VLAN配置方法: 1. 基于端口...
华为交换机的端口隔离功能
热门推荐
weixin_45857582的博客
03-10 1万+
华为交换机实现端口隔离功能 端口隔离功能原理:在交换机的接口视图下开启此接口的端口隔离功能,交换机默认是将隔离的端口加入到了一个隔离组中,默认是group 1,处于同一个组中的端口之间是不能互相访问的。不同组之间的端口是可以互相访问的。 interface GigabitEthernet0/0/1 port-isolate enable group 1 interface GigabitEthernet0/0/2 port-isolate enable group 1 默认如果不指定组的话,是gro
Vxlan架构,如何实现同网段不同vlan通信?
12-10 2714
1、纯二层网络,如何实现同网段不同vlan通信? 2、通过代理ARP,如何实现同网段不同vlan通信? 3、Vxlan架构,如何实现同网段不同vlan通信? 关于纯二层网络下和代理ARP如何实现同网段不同vlan通信,之前给大家讲过了,有需要的可以往前面翻翻哦~ 今天要给大家讲的是Vxlan架构,如何实现同网段不同vlan通信!本文会通过一系列场景,分析网络通信的原理~ VxLAN架构实现同网段不同VLAN通信 拓扑如上图 VxLAN技术的本质,是在三层网络上构建一个逻辑的二.
华为网工入门之eNSP小实验(5)--VLAN间相互通信的三种方法
l765692971的博客
12-18 4234
VLAN间需要互访,则需要三层设备
不同vlan之间的通信原理
omgggggggg的博客
08-12 2455
不同vlan之间的通信原理 交换机只能向端口转发相同标记的数据帧,如果要实现不同的vlan之间相互通信,就需要靠路由器的路由表转发,通过查找ip的方式实现路由转发 ,实现不同vlan之间的通信。 单臂路由实现不同vlan之间的通信原理原理 在交换机为每一个vlan分配一个接口,路由器分配一个接口与交换机的trunk口相同,trunk口为中继模式,可以转发所有标签的数据帧, 在路由器的接口下创建子接口,接受不同标签的vlan ,通过查找路由的方式实现通信。 三层交换机实现不同vlan之间的原理 三层交换机可
两层交换机vlan互通
u012846041的专栏
07-08 8336
两层交换机工作在链路层 ,一般请
vlan配置vlan间通信
05-17
VLAN(Virtual Local Area Network)是一种虚拟局域网技术,可以将一个物理网络划分为多个逻辑上的子网络。每个VLAN都是一个独立的广播域,可以在同一物理网络上实现多个逻辑上独立的子网络,提高网络的安全性和灵活性。 VLAN配置一般需要以下几个步骤: 1. 创建VLAN:在交换机上创建VLAN,并给VLAN分配一个唯一的VLAN ID。 2. 配置端口VLAN:将端口与所属的VLAN关联起来。可以通过端口模式(access/trunk)设置端口所属的VLAN。 3. 配置VLAN接口:对于支持三层交换的交换机,需要为每个VLAN配置一个VLAN接口,以便实现VLAN间通信。 4. 配置VLAN间路由:如果需要实现不同VLAN之间的通信,需要在交换机或路由器上配置VLAN间路由。 VLAN间通信可以通过以下两种方式实现: 1. 交换机内部路由:对于支持三层交换的交换机,可以在交换机内部实现VLAN间路由。 2. 路由器外部路由:如果交换机不支持三层交换,可以在路由器上实现VLAN间路由。需要将路由器的接口与不同的VLAN关联起来,并配置路由器的静态路由或动态路由协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值