vlan的不同端口转发原则

最新推荐文章于 2024-02-21 10:53:14 发布
最新推荐文章于 2024-02-21 10:53:14 发布
阅读量299 收藏
点赞数
分类专栏: 网络规划 华为认证ia 网络工程师 文章标签: 网络 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44732231/article/details/133210731
版权

不同交换机端口转发原则;

端口类型情况结果
trunk有tag,和端口的pvid vlan一致,列表允许通过剥离tag转发
有tag,和端口的pvid vlan一致,列表不允许通过丢弃
有tag,和端口的pvid vlan不一致,列表允许通过带tag转发
有tag,和端口的pvid vlan不一致,列表不允许通过丢弃
无tag(即此ip的数据包属于端口的pvid vlan),列表允许通过带上端口pvid vlan的tag转发
无tag(即此ip的数据包属于端口的pvid vlan),列表不允许通过丢弃
access有tag,和端口的pvid vlan一致,剥离tag转发
有tag,和端口的pvid vlan不一致,丢弃
无tag(即此ip的数据包属于端口的pvid vlan),带上端口pvid vlan的tag转发
hybrid(华为特有)数据包不带tag,untag列表有和pvid vlan 一致的vlan带pvid 的vlan tag 转发
数据包不带tag,tag列表有和pvid vlan 一致的vlan带pvid 的vlan tag 转发
数据包不带tag,pvid vlan在tag列表和untag列表都没有丢弃
数据包带tag,untag列表(与是否和pvid vlan一致无关)不带tag转发
数据包带tag,tag列表(与是否和pvid vlan一致无关)带tag转发

 

当pc1访问pc3时:

pc1的数据包经过sw1 g0/0/1端口时因为是vlan 10 ,access,允许通过并加上tag,出sw1的g0/0/3端口时,因为是trunk,pvid 为vlan 10 ,allow-pass vlan all ,所以数据包出口时被剥离tag,到达sw2 g0/0/3时,因为数据包无tag,access ,vlan 10,所以数据包允许通过并加上vlan 10 tag ,通过sw2 g0/0/1 时,因为access ,vlan 10,数据包带tag ,所以数据包被剥离vlan 10 tag。转发至主机。

回程:

pc3的数据包通过sw2的g0/0/1端口时,因为vlan 10 ,access ,所以数据包带上vlan 10 的tag,到达sw2 的g0/0/3端口时,因为vlan 10 ,access,数据包带vlan 10 的tag,所以被交换机剥离tag转发,到达sw1的g0/0/3端口时,因为trunk,pvid 为vlan 10 ,allow-pass vlan all ,数据包不带tag,所以数据包被加上vlan 10 tag转发,到达sw1 的g0/0/1,因为vlan 10 ,access ,数据包带tag,所以数据包被剥离tag,转发至主机。

当pc1访问pc4时:

pc1的数据包经过sw1 g0/0/1端口时因为是vlan 10 ,access,所以允许通过并加上vlan 10 tag,出sw1的g0/0/3端口时,因为是trunk,pvid 为vlan 10 ,allow-pass vlan all ,所以数据包出口时被剥离tag,到达sw2 g0/0/3时,因为数据包无tag,access ,vlan 10,所以数据包允许通过并加上vlan 10 tag ,到达sw2 g0/0/2时,因为access, vlan 20 ,数据包带vlan 10 tag,被交换机丢弃。

当pc2访问pc3时:

pc2的数据包经过sw1的g0/0/2端口时,因为vlan 20 ,access ,数据包不带tag,所以允许通过并带上vlan20 的tag,出sw1 的g0/0/3 时因为是trunk,pvid 为vlan 10 ,allow-pass vlan all,所以带着vlan 20

的tag发向sw2交换机,到达sw2 的g0/0/3端口时,因为数据包有vlan 20 tag,access ,vlan 10,所以被交换机直接丢弃。

pc1访问AR1时:

数据包到达sw2 的g0/0/2端口时,因为pvid vlan 为10 ,untag列表有vlan10,数据包不带tag,所以带vlan10 的tag转发,进入sw2的g0/0/1端口时,因为tag列表有vlan10,数据包带vlan 10的tag ,所以允许通过并带vlan10的tag,进入sw1的g0/0/2端口时,因为tag列表有vlan10,数据包带vlan 10的tag ,所以允许通过并带上vlan10 的tag,出sw1的g0/0/1端口时,因为untag列表有vlan 10,数据包带vlan 10 的tag,所以剥离vlan 10 的tag,允许数据包通过。

回程:

数据包到达sw1时,因为数据包不带tag,pvid vlan 30,tag列表有vlan30 ,所以带上tag转发数据包,到达sw1的g0/0/2端口时,因为数据包带vlan 30 的tag,tag列表有vlan30 ,所以允许通过带上vlan 30 的tag,到达sw2 的g0/0/1端口时,因为数据包带vlan 30 tag ,tag列表有vlan 30 ,所以允许通过并带上vlan30 的tag,到达sw2的g0/0/2端口时,因为untag列表有vlan30,数据包带vlan30 的tag,所以剥离vlan30 的tag,允许通过。

pc1访问pc2时:

数据包到达sw2的g0/0/2端口,因为数据包不带tag ,pvid vlan 10,untag列表有vlan10,所以允许通过带上vlan10的tag,到达sw2 的g0/0/3端口时,因为数据包带vlan10 的tag ,tag列表有vlan10,所以数据包允许通过,带上vlan10 的tag,但主机不可读数据包。

潘博裕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows高级技术
04-23
dhcp技术 dhcp功能 能在网络上实现ip地址的动态分发,减少管理员的劳动强度,降低因为ip的配置出错的机率。 实现的原理 此服务建立在c/s模式,通过服务器与客户机相互发送广播实现的,分为以下四个阶段: (1)、dhcpdisconver(发现)此时客户机以0.0.0.0为原地址,以255.255.255.255为目标地址,以自己的67端口向服务器的68端口发送,其中包含客户机的主机名及mac地址; (2)、dhcpoffer(应答)当服务器收到disconver广播时,会以此广播进行回应,其中包含服务器能分配给客户机的地址范围及自己的主机名、mac地址等信息; (3)、dhcprequest(请求)当客户机收到dhcpoffer时,将以先到先得的原则,选择最先发送应答的服务器进行回应;其中包含客户机要求的ip地址等; (4)dhcpack/nack(成功或失败的确认)当服务器收到dhcprequest请求后,将查看客户机所选中的服务器是否是自己,若是自己则回应ack,反之则是nack; *这里有几个注意的地方,服务器给客户机分配地址时有几个工作需要完成: ①检查即将分发的地址是否空闲; ②进行冲突检测,若条件满足则进行分发并做好标记; dhvp中继的功能及实现的原理 (1)、功能:前面讲过,dhcp实现地址分发的全过程都是广播进行的,所以不同网段的地址是不可能被路由到其他网段的;因此dhcp中继具备以下功能: ①、接收本网段的dhcp广播,并将广播转化为单播(以自己的ip地址为原地址,发送给dhcp服务器);并将收到的dhcp服务器的广播转发给客户机; ②、实现不同网段的dhcp广播能正常发送和接收; (2)、实现的原理 把广播都进行转换,4个广播变为8个步骤; 配置dhcp的过程及其意义 配置的基本要求:128内存;133hz cpu;20m硬盘空间; (1)、安装dhcp服务 ---基本条件网络服务中 (2)、授权---在域环境中起到安全作用,在工作组中不需授权 (3)、创建作用域---写入分发的地址空间、保留项、其他tcp/ip资源;ip及掩码是基本条件 (4)、激活作用域 (5)、配置中继代理需要用到“路由和远程访问”功能;在ip选项中的常规中增加“dhcp中继协议”并在此协议上新增端口,指向客户端连接;并在属性中配置服务器的ip地址; 注:配置选项的优先级 按照作用范围大小依次为:服务器选项﹥作用域选项﹥保留选项(按照作用优先级则相反) dhcp相关命令及解释 ipconfig /renew ---重新从当前dhcp服务器申请ip等信息;默认租约到达50%时自动进行(租约默认8天);此命令可立即以单播进行申请;如果失败则继续沿用当前地址; ipconfig /release -----重新向网络中所有的dhvp服务器进行dhcpdisconver广播的发送;(默认客户机在租约到达87.5%时自动发送);若全部服务器都不响应则暂时用169.254.0.0,b类网段;并以5分钟为间隔进行dhcpdisconver包的发送; 其他内容 (1)、dhcp备份 (2)、当处于地址自动获得时可配置备用地址;当处于静态网络中,动态无法获得时,备用配置将自动生效; (3)、超级作用域的作用:从逻辑上将多个作用域捆绑为一个作用域;在多网段的地址需要分发时,超级作用域将按照先后顺序进行分发;(停止一个域,另一个域将继续分发) (4)、dhcp打开时可在选择打开方式中,选择其他用户登陆;
什么是VLAN
10-23
   IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现,使得管理员根据 Vlan网卡 Intel82573    实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络安全性。    交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据交换机的端口来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。    VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。    VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络不同部门、不同站点之间的互相访问。    VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 编辑本段VLAN的目的    VLAN(Virtual Local Area Network,虚拟局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。    第一,要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段,都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。    第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。    下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。    比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网VLAN。    这是在路由器的层次上阐述了VLAN的目的。    第三,将在交换机的层次上阐述VLAN的目的。    在现实中,由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN.然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN.    同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。    综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。 编辑本段VLAN的优点 广播风暴防范    限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。 安全    增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。 成本降低    成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。 性能提高    将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。 提高IT员工效率    VLAN网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。 应用管理    VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。 增加网络连接的灵活性    借助VLAN技术,能将不同地点、不同网络不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。 编辑本段组建VLAN的条件    VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,同时还严格限制了用户数量。 编辑本段VLAN的划分 根据端口来划分VLAN    许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。    第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN不同交换机上的若干个端口可以组成同一个虚拟网。    以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 根据MAC地址划分VLAN    这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。 根据网络层划分VLAN    这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。    这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。    这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。 根据IP组播划分VLAN    IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。 基于规则的VLAN    也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。    采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。 按用户划分VLAN    基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。    * 以上划分VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和IP广播方式建立在第三层上。 编辑本段VLAN的标准    对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。    · 802.10VLAN标准    在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。    · 802.1Q    在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Frame-Tagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。    802.1q帧格式:    · Cisco ISL 标签    ISL(Inter-Switch Link)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络VLAN分配和配置。 编辑本段划分VLAN的基本策略    从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法: 基于端口    这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。 基于MAC地址    MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 基于路由    路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。    就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。 编辑本段VLAN技术简单谈    局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。    局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。图1所示即为使用路由器构建的典型的局域网环境。    随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。    但这样做存在两个缺陷:    首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。    其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。 编辑本段VLAN的定义及特点    虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:    ● 网络设备的移动、添加和修改的管理开销减少;    ●可以控制广播活动;    ●可提高网络安全性。 编辑本段VLAN的分类及优缺点    定义VLAN成员的方法有很多,由此也就分成了几种不同类型的VLAN。 1. 基于端口的VLAN    基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况: 多交换机端口定义VLAN    如图3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。 单交换机端口定义VLAN    如图2所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。    基于端口的VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对VLAN成员进行重新配置。 2. 基于MAC地址的VLAN    基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 3. 基于路由的VLAN    路由协议工作在7层协议的第3层—网络层,比如基于IP和IPX的路由协议,这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。 4. 基于策略的VLAN    基于策略的VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。 编辑本段常见的应用VLAN    Port vlanTag vlan    port vlan 基于端口的VLAN,处于同一VLAN端口之间才能相互通信。    tag vlan 基于IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同VLAN 基于端口的VLAN优缺点    基于端口的VLAN,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为:由于一个端口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。 静态VLAN的优缺点    可以说静态VLAN与基于端口的VLAN有一丝相似之处,用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。 动态VLAN的优缺点    与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。 编辑本段VLAN发展趋势    目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(Class of Service)标准,这使网络通信优先级控制机制有了参考。 编辑本段VLAN的基本配置命令    1、创建vlan方法一:从VLAN配置模式建立VLAN    switch# vlan database (进入VLAN配置模式)    switch(vlan)# vlan 10 name wz (声明VLAN 10,并命名WX)    switch(vlan)#exit (退出VALN配置模式)    2、创建vlan方法二:从全局配置模式建立VLAN    switch# configure terminal (进入全局配置模式)    switch(config)# vlan 10 (声明VLAN 10)    switch(config-vlan)# name wz (命名WX)    3、删除vlan方法一:从VALN配置模式删除VLAN    switch(vlan)# no vlan 10 (删除VLAN 10)    switch(vlan)# exit (退出VLAN配置模式)    4、删除vlan方法二:从全局配置模式删除VLAN    switch(config)# no interface vlan 10 (将所有属于VLAN 10的接口删除)    switch(config)# no vlan 10 (删除VLAN 10)    5、删除vlan方法三:从配置文件中删除VLAN.DAT文件    switch# delete vlan.dat (从配置文件中删除DAT文件,可以彻底删除VLAN信息)    6、将端口加入到vlan中    switch(config-if)# switchport access vlan 10    7、将一组连续的端口加入到vlan中    switch(config)# interface range f0/1 –5    switch(config)# interface range f0/6-8,0/9-11,0/22 (将不连续多个端口加入到Vlan中)    switch(config-if-range)# switchport access vlan 10    8、将端口从vlan中删除    switch(config-if)# no switchport access vlan 10    switch(config-if)# switchport access vlan 1    switch(config-if-range)# no switchport access vlan 10    switch(config-if-range)# switchport access vlan 1    9、查看所有vlan的摘要信息    switch# show vlan brief    10、查看指定vlan的信息    switch# show vlan id 10 (查看指定VLAN号为10的信息)    11、指定端口成为trunk    switch(config-if)# switchport mode trunk (配置接口为TRUNK模式)    12、Trunk的自动协商    switch(config-if)#switchport mode dynamic desirable     switch(config-if)#switchport mode dynamic auto    注意:如果中继链路两端都设置成auto将不能成为trunk    13、查看端口状态    switch# show interface f0/2 switchport    14、在trunk上移出vlan    switch(config-if)# switchport trunk allowed vlan remove 20    15、在trunk上添加vlan    switch(config-if)# switchport trunk allowed vlan add 20 编辑本段VLAN的划分实例    对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的VLAN的实例,这样也可以成为我们以后为公司划分VLAN的依据。    某公司现在有工程部、销售部、财务部。VLAN的划分:工程部VLAN10,销售部VLAN20,财务部VLAN30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器,Cisco Catalyst 2924交换机一台,二级交换机若干台。    交换机配置文件中的部分代码如下:    ……    !    interface vlan10    ip address 192.168.0.1    !    interface vlan20    ip address 192.168.1.1    !    interface vlan30    ip address 192.168.2.1    !    ……    路由器配置文件中的部分代码如下:    ……    interface FastEthernet 1/0.1    encapsulation isl 10    ip address 192.168.0.2    !    interface FastEthernet 1/0.2    encapsulation isl 20    ip address 192.168.1.2    !    interface FastEthernet 1/0.3    encapsulation isl 30    ip address 192.168.2.2    !    ……    !    router rip    network 192.168.0.0    !    【交换机的端口工作模式的利用】    交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通计算机的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接收多个VLAN的数据报文,通常使用在交换机之间的级联端口上;multi模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口,所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台交换机中,不过Trunk模式的交换端口和multi模式的交换端口相互之间不能直接切换,往往只能先将交换端口设置为Access模式,之后再设置为其他模式。 编辑本段vlan拓扑试验    实验: 划分VLAN 1. 实验目的    通过本实验,读者可以掌握如下技能:    (1)熟悉VLAN 的创建    (2)把交换机接口划分到特定VLAN 2. 实验拓扑 vlan试验拓扑图(1张)    实验拓扑图 3. 实验步骤    要配置VLAN,首先要先创建VLAN,然后才把交换机的端口划分到特定的端口上:    (1) 步骤1:在划分VLAN 前,配置R1 和R2 路由器的g0/0 接口,从R1ping192.168.12.2。    默认时,交换机的全部接口都在VLAN1 上,R1 和R2 应该能够通信    (2) 步骤2:在S1 上创建VLAN    S1#vlan database    //进入到VLAN 配置模式    S1(vlan)#vlan 2 name VLAN2    VLAN 2 added:    Name: VLAN2    //以上创建vlan,2 就是vlan 的编号,VLAN 号的范围为1~1001,VLAN2 是该VLAN 的名字:    S1(vlan)#vlan 3 name VLAN3    VLAN 3 added:    Name: VLAN3    S1(vlan)#exit    APPLY completed.    Exiting….    //退出VLAN模式,创建的VLAN立即生效:    【提示】交换机中的VLAN 信息存放在单独的文件中flash:vlan.dat,因此如果要完全清除    交换机的配置,除了使用“erase starting-config”命令外,还要使用“delete    flash:vlan.dat”命令把VLAN 数据删除。    【提示】新的IOS 版本中,可以在全局配置模式中创建VLAN,如下:    S1(config)#vlan 2    S1(config-vlan)#name VLAN2    S1(config-vlan)#exit    S1(config)#vlan 3    S1(config-vlan)#name VLAN3    (3)步骤3:把端口划分在VLAN 中    S1(config)#interface f0/1    S1(config-if)#switch mode access    //以上把交换机端口的模式改为access 模式,说明该端口是用于连接计算机的,而不是用    于trunk    S1(config-if)#switch access vlan 2    //然后把该端口f0/1 划分到VLAN 2 中    S1(config)#interface f0/2    S1(config-if)#switch mode access    S1(config-if)#switch access vlan 3    【提示】默认时,所有交换机接口都在VLAN 1 上,VLAN 1 是不能删除的。如果有多个接口    需要划分到同一VLAN 下,也可以采用如下方式以节约时间,注意破折号前后的空格:    S1(config)#interface range f0/2 -3    S1(config-rang-if)#switch mode access    S1(config-rang-if)#switch access vlan 2    【提示】如果要删除VLAN,使用“no vlan 2”命令即可。删除某一VLAN后,要记得把该VLAN    上的端口重新划分到别的VLAN上,否则将导致端口的“消失”。 4. 实验调试    (1)查看VLAN    使用“show vlan”或者“show vlan brief”命令可以查看VLAN 的信息,以及每个    VLAN 上有什么端口。要注意这里只能看到的是本交换机上哪个端口在VLAN 上,而不能看到    其他交换机的端口在什么VLAN 上。如下:    SW1#show vlan    VLAN Name Status Ports    ---- -------------------------------- --------- -------------------------------    1.default active Fa0/1,Fa0/2,Fa0/3,Fa0/4    Fa0/5,Fa0/6,Fa0/7,Fa0/8    Fa0/9,Fa0/10,Fa0/11,Fa0/12    Fa0/13,Fa0/14,Fa0/16,Fa0/17    Fa0/18,Fa0/19,Fa0/20,Fa0/21    Fa0/22,Fa0/23,Fa0/24,Gi0/1    Gi0/2    2.VLAN2 active    3.VLAN3 active    1002 fddi-default act/unsup    1003 token-ring-default act/unsup    1004 fddinet-default act/unsup    (此处省略)    //在交换上,VLAN1是默认VLAN,不能删除,也不能改名。此外还有1002、1003等VLAN的存    在。    (2)VLAN 间的通信    由于f0/1 和f0/2 属于不同VLAN,从R1 ping 192.168.12.2 应该不能成功了。 编辑本段互联方式    (1)边界路由。    (2)“独臂”路由。    (3)MPOA路由。    
网络安全运维部分.pptx
06-10
运行维护 网络安全运维部分全文共36页,当前为第1页。 目 录 交换机、路由器访问控制策略配置 VLAN划分和访问控制策略配置 防火墙、IDS、IPS策略配置 网络安全运维部分全文共36页,当前为第2页。 交换机、路由器访问控制策略配置 交换机、路由器访问控制策略配置 1. 交换机的访问控制 2. 什么是ACL 3. ACL的作用 4. ACL的执行规则 5. ACL的分类 6. ACL的配置原则 网络安全运维部分全文共36页,当前为第3页。 交换机、路由器访问控制策略配置 交换机的访问控制 交换机通过进入端口配置IP、划分VLAN进行控制,依靠配置端口状态进行访问。 交换机的端口状态: 1、Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口。 2、Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。 网络安全运维部分全文共36页,当前为第4页。 交换机、路由器访问控制策略配置 什么是ACL 主要提供网络访问的基本安全和流量控制等方面,通过读取网络第3层和第4层包头中的信息,根据预先定义好的规则,对包进行过滤,从而到达访问控制的目的。 网络安全运维部分全文共36页,当前为第5页。 交换机、路由器访问控制策略配置 ACL的作用 ACL可以限制网络流量、提高网络性能。 ACL提供对通信流量的控制手段。 ACL是提供网络安全访问的基本手段。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 网络安全运维部分全文共36页,当前为第6页。 交换机、路由器访问控制策略配置 ACL的执行规则 1. 自上而下(先比较第一条,再比较第二条,第三条……) 2. 优先匹配(不断比较,直到满足条件为止) 3. 末尾隐含拒绝(如果不满足ACL中任何条件,分组将被丢弃)。 网络安全运维部分全文共36页,当前为第7页。 交换机、路由器访问控制策略配置 ACL的执行规则 ACL匹配流程图 网络安全运维部分全文共36页,当前为第8页。 交换机、路由器访问控制策略配置 ACL的分类 根据过滤字段(元素)可将访问控制列表分为以下两类: (1)标准访问控制列表:只能根据数据包的源IP地址进行过滤;编号范围:1~99。 配置:access-list 1~99 permit/deny 源IP 通配符 (2)扩展访问控制列表:可以根据协议、源/目的IP地址、源/目的端口号进行包过滤。编号范围:100~199。 配置:access-list 100~199 permit/deny 协议 源IP 掩码 目的IP 掩码 eq 服务端口号 网络安全运维部分全文共36页,当前为第9页。 交换机、路由器访问控制策略配置 ACL的配置原则 1.在接口的特定方向上,每种协议只能有一个ACL。 2.在ACL中,将具体的测试条件放在前面。 3.新增语句将放在ACL列表的末尾。 4.不能删除ACL中的一行,只能删除整个ACL列表。 5.除非ACL以permit any(允许所有)结尾,否则不满足任何条件的分组都将被丢弃(ACL至少应包含一条permit,否则它将拒绝所有)。 6.创建ACL后,必须应用于接口上。 7.ACL过滤穿过路由器的数据流,不会对始发于当前路由器的数据进行过滤。 8.将标准ACL放在离目的地尽可能近的地方。(根据源地址过滤) 9.将扩展ACL放在离源尽可能近的地方。 网络安全运维部分全文共36页,当前为第10页。 VLAN划分和访问控制策略配置 VLAN划分和访问控制策略配置 1. 什么是VLAN 2. 划分VLAN的目的 3. VLAN划分的方法 网络安全运维部分全文共36页,当前为第11页。 VLAN划分和访问控制策略配置 什么是VLAN 把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。 网络安全运维部分全文共36页,当前为第12页。 VLAN划分和访问控制策略配置 划分VLAN的目的 1.减少广播风暴 限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。 2.提高网络安全性 增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。 网络安全运维部分全文共36页,当前为第13页。 VLAN划分和访问控制策略配置 划分VLAN的目的 3.成本降低 成本高昂的网络升级需求减少,现有带宽和上行链路的利
某公司局域网分析与设计.doc
04-02
成果书(论文)完整版,字数6650 第一章 课题介绍 3 1.1 项目背景 3 1.2 项目需求 4 1.3 网络管理要求 5 1.4 服务应用分析 5 1.5 服务器需求分析 6 第二章 网络系统设计 7 2.1 网络设计要求 7 2.2 网络设计原则 7 2.3 企业网络网拓扑结构图 8 2.4 VLAN端口划分及配置 9 第三章 企业设备选型 10 3.1 设备选型原则 10 3.2 核心层交换机选型 10 3.3 接入层设备选型 11 第四章 交换机和路由器的配置 12 4.1 路由器与交换机的配置 12 4.1.1 路由器的配置 12 4.1.2 核心层交换机的配置 13 4.1.3汇聚层交换机的配置 17 第五章 测试 20 5.1 方案测试 20 总 结 21 参考文献 22 网络系统建设设计主要实现以下功能: 1.系统主干采用百兆以太网交换,下属子网采用百兆以太网,采用TCP/IP协议,提供标准化的高速度主干网连接,实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由,实现数据的快速转发; 2.企业网络内部资源的共享,包括文件共享,硬件共享,软件共享等; 3.文件传输能快速地,在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝; 4.能通过内部网络高速接入Internet进行工作,浏览网页查找资料; 5.交换机采用主流、成熟和售后服务均佳的产品,具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。
交换与虚拟局域网.doc
01-08
第四章 交换与虚拟局域网 一、选择题 1、下列哪种说法是错误的?( ) A.以太网交换机可以对通过的信息进行过滤 B.以太网交换机中端口的速率可能不同 C.在交换式以太网中可以划分VLAN D.利用多个以太网交换机组成的局域网不能出现环 2、具有24个10M端口的交换机的总带宽可以达到( ) A.10M B.100M C.240M D.10/24 M 3、具有5个10M端口的集线器的总带宽可以达到() A.50M B.10M C.2M D.5M 4、在交换式以太网中,下列哪种描述是正确的() A.连接于两个端口的两台计算机同时发送,仍会发生冲突。 B.计算机的发送和接受仍采用CSMA/CD方式。 C.当交换机的端口数增多时,交换机的系统总吞吐率下降。 D.交换式以太网消除信息传输的回路。 5、 能完成VLAN之间数据传递的设备是 ( ) A. 中继器 B. 交换器 C. 集线器 D. 路由器 6、对于用交换机互连的没有划分VLAN的交换式以太网,哪种描述是错误的?( ) A.交换机将信息帧只发送给目的端口。 B.交换机中所有端口属于一个冲突域。 C.交换机中所有端口属于一个广播域。 D.交换机各端口可以并发工作。 7、对于已经划分了VLAN后的交换式以太网,下列哪种说法是错误的?( ) A.交换机的每个端口自己是一个冲突域。 B.位于一个VLAN的各端口属于一个冲突域。 C.位于一个VLAN的各端口属于一个广播域。 D.属于不同VLAN的各端口的计算机之间,不用路由器不能连通。 8、以太网交换机中的端口/MAC地址映射表() A.是由交换机的生产厂商建立的 B.是交换机在数据转发过程中通过学习动态建立的 C.是由网络管理员建立的 D.是由网络用户利用特殊的命令建立的 二、填空题 1、以太网交换机的数据转发方式可以分为________、________和________。 2、交换式以太网有________、________、________和________四项功能。 3、交换式局域网的核心设备是________。 4、以太网交换机主要有数据转发、________、________和________等四个主要功能。 5、动态VLAN分配原则以________、________或________为基础。 三、填下表: "网络设备 "工作于OSI参考模型的哪层 " "中继器 " " "集线器 " " "二层交换机 " " "三层交换机 " " "路由器 " " "网关 " " "调制解调器 " " 四、问答题 1、请简述共享以太网和交换以太网的区别? 2、请简述以太网交换机的工作过程? 3、什么是虚拟局域网? ----------------------- 交换与虚拟局域网全文共1页,当前为第1页。
交换机的转发原理 |VLAN详解·图解 |VLAN间通信 |华为,思科配置
qq_47480932的博客
11-24 3051
VLAN(Virtual Local Area Network,虚拟局域网) (1)虚拟局域网VLAN可以隔离广播域 特点:不受地域限制;同一VLAN内的设备才能直接进行二层(二层即数据链路层)通信。 (2)虚拟交换机:进行数据隔离 任何交换机接口收到数据: (1)都会打上TAG——VLAN ID/标签/TAG/802.1Q/VID (2)PVID ——根据PVID打标签,默认情况下PVID为1 (3)交换机收到带TAG的数据时,需要判断能否识别(本地存不存在VLAN
交换机划分VLAN端口转发规则
weixin_44816922的博客
06-27 1485
【实验题目】交换机划分VLAN端口转发规则 【实验目的】掌握交换机access和trunk端口转发VLAN数据包规则。 【实验命令】 华为交换机: [QUIDWAY]vlan 10 [QUIDWAY-vlan10]port Ethernet 0/0/5 [QUIDWAY]interface Ethernet 0/0/24 //进入端口24的配置模式 [QUIDWAY-Ethernet0/0/24]undo port default vlan //删除该端口缺省VLAN配置 [QUI
VLAN中access接口、trunk接口、hybrid接口打标签和剥离标签过程
最新发布
UnFeiE的博客
02-21 996
换机的hybrid接口收到了不带标签的报文,打上pvid1的标签,然后看其他接口有没有同属于pvid 1的,有的话发送 当交换机另一接口的hybrid接口收到了要它发送的报文是,发送时因为是untagged属性,所以剥去标签然后转发给另一个交换机 另一个交换机收到后,同样是收到了不带标签的报文,打上pvid1的标签 然后继续看其他接口有没有同属于pvid 1的,有的话发送 然后发给最后主机报文时,同样发送时因为是untagged属性,所以剥去标签然后转发给最后主机
交换机的access、trunk、hybrid端口
zdl244的博客
11-21 1424
交换机的几种端口类型 access端口:端口接收以太网帧后会打上vlan标签,转发出端口时会剥离vlan标签,只允许缺省vlan帧通过。 trunk端口:端口收发数据帧不会做任何处理,但是发送缺省vlan帧时,trunk端口会剥离标签,收到不带标签的数据帧会打上缺省vlan标签,只允许缺省vlan帧不带标签通过。可以允许多个vlan帧通过。 hybrid端口:端口是access和trunk端口结合...
VLAN端口转发原则
是猛男|二次元|玩原神|含盐量极高|不是GAY|不玩币|不接单
09-13 1926
VLAN端口转发原则 1.Access端口转发原则 ·当Access端口收到帧时 如果该帧不包含802.1Q tag header,将打上端口的PVID; 如果该帧包含802.1Q tag header,交换机不作处理,直接丢弃。 ·当Access端口发送帧时 剥离802.1Q tag header,发出的帧为普通以太网帧。 2.Trunk端口转发原则 ² 当Trunk端口收到帧时 如果该帧不包含802.1Q tag header,将打上端口的PVID; 如果该帧包含802.1Q tag header,
HCIP笔记(15)
m0_59054137的博客
07-29 399
笔记
华为交换机配置不同模式接口流表分析
背锅神童的博客
01-17 1700
网络VLAN、Hybird、交换机
Access、Trunk、Hybrid接口接收发送数据帧标签剥离区分
weixin_60415234的博客
01-09 474
VLAN原理最全最详细讲解!彻底搞懂VLAN打和摘tag过程。
Trunk的精解,分析tagged和untagged
私_有_云
06-19 4815
在接触其他厂商设备的时候无疑都使用cisco的头脑来思考,当然以前刚入行的时候我也是如此,不能排除这个方式有助于思考,可是有些地方会让你误入歧途。写出这些东西,希望能对这些朋友有所帮助。例如,cisco的干道端口叫做trunk,而其他的厂商并不是如此,他们叫tagged port,而cisco的访问端口叫做access port,而其他厂家叫做untagged port。所以当您遇到命令行或者菜单
交换机trunk接口发送数据时,数据帧tag和pvid相同和不相同时的区别
lehe99的专栏
08-15 5118
1.当转发vlan 10的数据帧时,GE 0/0/2端口的默认pvid为1,和vlan 10数据帧中的tag值10不相同,GE 0/0/2端口允许vlan 10的数据通过,则数据帧不剥离tag直接发送;2.如果将GE 0/0/2端口的默认pvid改为10,转发vlan 10的数据帧时,GE 0/0/2端口的pvid和vlan 10数据帧中的tag值10相同,则数据帧剥离tag后再发送。...............
Trunk、Hybrid、Access、Tag、Untag、Pvid的关系
02-19 2249
一、概念   1、Trunk口,Trunk口上可以同时传送多个VLAN的包,一般用于交换机之间的链接。   2、Hybrid口,Hybrid口上可以同时传送多个VLAN的包,一般用于交换机之间的链接或交换机于服务器的链接。   3、Access口,Access口只能属于1个VLAN,一般用于连接计算机的端口。   4、Tag和Untagtag是指vlan的标签,即vlan的id,用于指名
【交换】VLAN转发原理详解
impossible-access
08-16 4156
VLAN转发原理概述1、Untagged帧和Tagged帧:2、VID和PVID:3、Access端口的转发原理:4、Trunk端口转发原理: 1、Untagged帧和Tagged帧: Untagged:在一条Access链路上运动的帧只能是(或者说应该是)Untagged帧,并且这些帧只能属于某个特定的VLANTagged帧:在一条Trunk链路上运动的帧只能是(或者说应该是)Tagged帧,并且这些帧可以属于不同VLAN。 2、VID和PVID: VID:VLAN ID,表示端口所处的VLAN编号
Access、Hybrid和Trunk三种模式的理解
hljqfl的专栏
11-04 1778
tag报文结构是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,普通的PC网卡是不能识别 的。 Access端口只属于1个VLAN,一般用于连接计算机端口。 Trunk类型的端口可用于多VLAN通信。 Hybrid类型的端口允许多VLAN通过,可以接收发送多VLAN报文,可用于交换机与交换机的连接,也可用于交换机和计算机的连接。 Hybrid类型的端口和trunk端口在处理数据包时,方法是一样的。唯一不同之处在于发送数据包时,hybrid端口..
数通笔记2Trunk
ReGeaRed的博客
09-24 493
trunk背景:如果两边有多个vlan的时候,交换机与交换机之间会存链路浪费。就开发一个(dtp dynamic trunk protocols))技术-----trunk. 配置位置:交换机与交换机之间相连的接口 命令: Switch3 Switch(config)#interface f0/4 Switch(config-if)#switchport mode trunk Switch4 S...
ensp交换机vlan划分端口
07-29
在ENSP交换机中,可以通过以下步骤来划分端口的VLAN: 1. 首先,确定要划分的VLAN编号,比如VLAN 10。 2. 进入交换机的配置模式,使用命令`system-view`。 3. 使用命令`vlan 10`创建VLAN 10。 4. 使用命令`port interface GigabitEthernet 0/0/1`进入端口配置模式,其中GigabitEthernet 0/0/1是要划分的端口。 5. 使用命令`port link-type access`将端口设置为access模式。 6. 使用命令`port default vlan 10`将端口划分到VLAN 10。 7. 使用命令`quit`退出端口配置模式。 8. 重复步骤4-7,将其他需要划分的端口配置到相应的VLAN中。 9. 使用命令`display vlan`查看VLAN配置信息,确认端口已经成功划分到相应的VLAN中。 请注意,以上步骤仅适用于ENSP交换机,不同型号的交换机可能有略微不同的命令和配置方式。 #### 引用[.reference_title] - *1* *2* *3* [ensp交换机vlan配置](https://blog.csdn.net/m0_74412260/article/details/129592170)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

潘博裕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值