ICND2（笔记1）

 

(1)  VLAN和Trunk

 

     1、差的网络设计 - 单广播域网络

    

 

     2、VLAN简介

     VLAN是一个逻辑广播域，用于划分和组织独立于物理位置的终端站点。VLAN与物理LAN有着相同的属性，不同的是终端站点即使物理不连接也能对其进行组织。将交换机上的端口划分成组，可以限制单播、多播和广播流量泛洪。

     设计VLAN结构终端站点功能相似，或在一个项目组，或独立于用户所在物理位置的一些应用程序。一个VLAN可以存在单个交换机上或跨交换机。如下图示。

   

 

     3、企业网中的VLAN和IP方案                          

  

   

     需要6个VLAN，每个用户社区一个。同时需要6个IP子网。公司决定使用10.0.0.0网络做基准地址。为了方便网络扩充，每个建筑物分配一个IP地址块，如下：

     ■ Building A is allocated 10.1.0.0/16.
     ■ Building B is allocated 10.2.0.0/16.
     ■ Building C is allocated 10.3.0.0/16.

     销售部人数最多，需要102个地址。可以选择/24的子网掩码，这样每个子网能提供多达254个主机地址。表2-2到2-4显示了每个建筑物中VLAN和IP地址的分配情况。

   

     当前没有用到的VLAN和IP子网可以用来管理网络设备。

 

     4、Trunk
     交换机上配置的每个VLAN具有地址学习、数据转发、过滤决策、环路避免功能。交换机端口一般只为它所属的VLAN承载数据，对于跨交换机VLAN，两个交换机之间需要用trunk来连接。trunk能在两个交换机之间单个物理链接上承载多个VLAN的数据。如下图所示。

 

 

　　疑问：

     (1) 以上示例中，已经很好的划分了子网，广播(主要是arp)也只会在各ip子网中发生，为什么还要弄成vlan呢？

     (2) 不同ip子网间通信场景有哪些？人力资源部通过ftp获取IT部的软件，这个算不算？

     (3) 如果没有vlan这个概念，各ip子网之间是怎么通信的？比如IT部的10.2.1.1/24跟人力资源部的10.2.1.2/24之间的通信

     (4) 为了防止二层交换中的广播风暴，vlan应运而生。广播发生在同一网络内，那vlan应该是对某个子网进行进一步划分了，有意义吗？而且上述示例并非如此。

     (5) 如果交换机A上某个端口的链路类型是trunk，说明与这个端口连接的另一交换机B上存在多个vlan，这些vlan在交换机A上也存在。如果不是这种场景，将链路类型设成trunk没有意义

 

 

   

 

 

 

   

 

     以太网trunk接口支持不同的trunk模式，可以将接口配置成trunk或非trunk，或可以配置成与对端协商。每个802.1Q端口加入到一个trunk链路，链路中的所有端口就在一个native VLAN中。native VLAN用来给非802.Q设备发送untagged帧。每个802.1Q端口有一个标志值，这个标志值是基于该端口的native VLAN ID(VID)的（默认是VLAN 1）。

 

     
     交换机收到一个帧时，需要查看帧中的4字节tag来决定将帧运送到哪。0x8100告诉设备这是帧有802.1Q标签。帧的优先级字段PRI在802.1p中有说明。后面的一个bit位表示是否是TokenRing，0表示是以太网帧。剩下的是VID。
     一个802.1Q的Trunk链路和与它相关的trunk端口有一个native VLAN值。对于native VLAN，802.1Q不会为帧打标签。因些，普通的站点能识别native untagged帧，而不能识别任何其他帧。因为其他帧是打了标签的（tagged）。下图显示了从native VLAN出来的untagged帧跨网络trunk链路进行分发。

   

 

 

    (1) 以上示例中，已经很好的划分了子网，广播(主要是arp)也只会在各ip子网中发生，为什么还要弄成vlan呢？

    广播(arp)的转发原则是“转发给同一个vlan中除了接收端口的所有其它端口”。

    下图是显示的是Multilayer Switch0广播的arp也到达了172.16.4.0/24网段：

   

 

    下图表示所有端口默认属于vlan1

    

 

    下图中，fa0/2端口配置为switchport access vlan 2，由于是access属性，所以fa0/2只属于vlan2

   

 

     下图中，fa0/2端口配置为switchport trunk allowed vlan 2，fa0/2端口属于vlan2，由于是trunk属性，所以同时属于默认的vlan1。

   

 

    下图中，配置了vlan3，但还没包括任何端口。arp广播包会从fa0/2出去，因为fa0/1属于默认vlan1，fa0/2的配置为switchport trunk allowed vlan 2，也属于默认vlan1。

   

 

下图中，汇聚层交换机配置为

interface FastEthernet0/1
 switchport trunk allowed vlan 2-3
!
interface FastEthernet0/2
 switchport trunk allowed vlan 2-3

 

接入层交换机配置为：

interface FastEthernet0/1
 switchport access vlan 3
!
interface FastEthernet0/2
 switchport access vlan 3
!
interface FastEthernet0/3
 switchport mode trunk

汇聚与接入层交换机之间的链路类型全配成trunk，汇聚层交换机就会自动生成直接路由。

 

   

 

(2)  生成树协议STP

 

     1、冗余拓扑

     大多数复杂的网络包含冗余设备来避免单点失败。这种冗余拓扑同时也带来了环路问题。STP是一个2层的链路管理协议，提供链路冗余的同时也能防止环路产生。冗余拓扑如下图示。

   

     冗余拓扑加上交换机的洪泛特性。

   

     带来的问题有：

     ■ 广播风暴
     ■ 多份帧传送
     ■ MAC表不稳定

     用图表示如下。

    

 

    

 

    

 

     2、STP基本原理

   

 

     STP的目标

• STP将一些端口置成等待状态，不监听，不转发，不洪泛数据帧。总的效果是到各个网络段只有一条路径。
• 如果某个网络段有连接问题，STP自动激活之前存在的处于未激活状态的路径重建连接。

   

     STP执行三步操作提供一个无环网络拓扑：

• 选择一个交换机做根桥（root bridge）：STP有个选择根桥的进程。在给定网络中，只能有一个根桥。根桥上的所有端口为指派端口（designated port），指派端口处在转发状态，为给定网段转发数据。处于转发状态的端口可以收发数据。图2-22中，交换机X被选为根桥
• 选择非根桥上的根端口（root port）：STP在每个非根桥上建立一个根端口。根端口是从非根桥到根桥的最低代价路径。根端口处在转发状态。
• 选择各段上的指派端口（designated port）：各个段有一个指派端口。指派端口是在桥上选定的，这些桥到根桥的代码必须是最低的。图中，两个段的指派端口是在根桥上的，因为根桥直接与两个段相连。交换机Y上的10BASE-T以太网端口是非指派端口，因为每个段只能有一个指派端口。非指派端口通常处在阻塞状态，从而逻辑上打断了环路拓扑。处于阻塞状态的端口不转发数据但仍能收数据。

 

   

     运行STP算法的交换机与其它交换机或桥用BPDU的多播帧定时交换配置信息。BPDU中有个bridge ID（BID）。STP要求每个交换机或桥都要赋一个唯一的BID。BID由优先级值和MAC地址组成。优先级值默认是32768。根桥是具有最低BID的桥。

    

 

     STP端口的5种状态：

• 阻塞
• 监听
• 学习
• 转发
• 非使能

 

     3、STP操作举例

   

     ■ 根桥是交换机Z，它的BID最低
     ■ 根端口是交换机X和Y上的port0。X和Y上，Port0都是到根桥的最低代价路径。
     ■ 交换机Z上的指派端口是port0和port1。根桥上的所有端口都是指派端口。交换机X上的port1是X与Y之间的网段的指派端口。由于X和Y到根桥的路径代价相同，考虑X的BID比Y小，指派端口被选在X上。
     ■ Y上的port1是网段上的非指派端口，处于阻塞状态
     ■ 所有的指派端口和根端口处于转发状态。

 

     4、重新计算生成树

     在图2-27中，如果交换机Z（根桥）失败，在最大老化时间内没有给交换机Y发BPDU，交换机Y会检测到这一情况。某个时间过后，如还没收到Z的BPDU，Y会重新计算生成树。Y会将处于阻塞状态的port1变成监听状态，然后是学习状态，最后为转发状态。

    

     所有的交换机端口变成转发状态或阻塞状态后，交换机X变成根桥，在网段间转发数据。

 

 

 

 

(3)  VLAN间路由

 

     1、理解VLAN间路由

     从一个VLAN发数据到另一个VLAN需要OSI模型的第3层来处理。通过第3层的路由设备，VLAN间通信就可以在广播域之间进行。

     使用IEEE 802.1Q在一个路由器子接口上使能聚合链路trunk。下图显示的是一个路由器连接到一个核心交换机。

   

 

     为了执行VLAN间路由操作，路由器必须知道怎样才能到达所有的VLAN。每个VLAN必须与路由器进行连接，必须在这些连接上使能802.1Q聚合功能。为了支持802.1Q聚合功能，必须将路由器的快速以太网物理接口划分成多个逻辑上的可配置IP地址的接口，每个接口对应一个VLAN，这种逻辑上的接口叫做子接口。如下图。

   

     不进行划分的话，必须给每个VLAN指定一个单独的物理连接连到路由上。

 

 

     2、配置VLAN间路由

    

 

     上图中，快速以太网接口FastEthernet0/0被划分成多个子接口：FastEthernet0/0.1和FastEthernet0/0.2。

     在子接口上用encapsulation dot1q xxx命令使能802.1Q封装链路功能。子接口数不一定要与802.1Q VLAN数相同，相同主要是方便管理。

     由于802.1Q中的native VLAN帧不带tag，native VLAN子接口用encapsulation dot1Q vlan xxx native xxx来配置。注意的是，要确保给native VLAN子接口的VLAN与子接口连接的交换机的native VLAN一致。每个子接口有唯一的IP地址，用于做与它相连的VLAN中站点的网关。