vlan-1

园区网概念:

通是指大学的校园网及企业的内部网（intranet) 。主要特征是路由结构完全由一个机构来管理。园区网主要由计算机、路由器、三层交换机组成。

园区网的特点：

模块化：网络模块，路由交换；
层次化：针对于网络模块，用户层，接入层，汇入层，核心层
高可靠性 ：链路冗余，线路的冗余。

为什么需要Vlan？

交换网路（交换机组成的网络）是平面网络构成（在同一个广播域下），必须依赖广播
【广播是一种信息的传播方式，指网络中的某一设备同时向网络中所有的其它设备发送数
据，这个数据所能广播到的范围即为广播域(Broadcast Domain)。】
1 广播域过大会导致带宽浪费：计算机收到数据都会进行处理，过多会占用计算机的资源
2 安全性降低：当有kali攻击时，不安全
3 不易管理：需要划分多个，并且没部分使用的功能不相同则，不便于管理。

分割广播域的方法：

*使用路由器连接多个子网，路由器天然分割广播域，但是缺点是路由器的接口太少了
*使用虚拟局域网VLAN

VLAN的实现原理：

1 目的：减小广播域
2 虚拟局域网：位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上他们分布在不同的局域网段中。

CAM表

交换机的工作原理：

1 交换机工作在数据链路层，里面含有MAC地址（源MAC地址、目的MAC地址）
2 交换机收到一个数据帧
2.1 解封装 数据链路层，还要查看源MAC地址，学习源MAC地址
将MAC地址和接收数据帧的接口对应起来（AAA=G0/0/1）
2.2 查看目标MAC地址，查询MAC地址表（CAM表，查询BBB=对应哪个接口？）将
数据帧从目标MAC对应的接口转发出去。
2.3 如果目标MAC地址没有对应的 （收到一个未知的单播帧）出口，交换机将这个数
据包泛洪。（泛洪：发送给除接收这个帧的接口以外的所有接口。当前 广播域）

二层交换机的寻址及数据交换：

1 初始情况下交换机的MAC地址表是空的
2 PC1发送一个数据帧给PC4 ，假设PC1已经指定PC4的MAC地址；封装数据链路层，封装源
mac地址和目的mac
3 交换机在收到数据帧后，将数据帧的源MAC地址学习到MAC地址表中，并与收到该帧的接口
FE0/1口关联，
4 交换机在MAC地址表中，查询数据帧的目的MAC地址，发现没有匹配的表项，因此将数据帧从
除了入站接口之外的所有接口泛洪出去。
5 PC2及PC3收到数据帧后将其丢弃，因为这些数据帧并非发送给自己，PC4则收下数据帧，现
在PC4要回复数据给PC1
6 交换机收到的数据帧，将帧头的源MAC地址学习到MAC表中，并与接口F0/4关联
7 随后交换机在MAC表中查找到数据帧的目的MAC地址，发现有一个匹配的表项，出接口是
Fa0/1，于是将数据帧转发到Fa0/1口。

VLAN的特点：

基于逻辑的分组：通过虚拟的方式把广播域分开，
不受物理位置限制
在同一VLAN内和真实局域网相同
不同VLAN内用户要通信需要借助三层设备

VLAN的用途：

控制不必要的广播报文的扩散
提高网络带宽利用率，减少资源浪费
划分不同的用户组，对组之间的访问进行限制
增加安全性

VLAN的配置：

实操：
VLAN配置：增删改查
增：
○[Switch]vlan 2 # 添加一个vlan 2
○[Switch]vlan batch 2 3 4 # 添加vlan 2 3 4
○[Switch]vlan batch 10-20 #一次批量创建多个vlan
○[Switch- vlan id]description manger #描述vlan是给谁用的
删：
○[Switch]undo vlan 2 #删除vlan2
○[Switch]undo vlan bacth 10 to 15 #删除vlan10-15
改：
○[Sw itch-GigabitEthernet0/0/1]port default vlan 10 #将接口重新划分给vlan 15，
上条命令就被覆盖
查：
○[Switch]display vlan
将端口分配给一个vlan:
○[Switch]interface g0/0/1 # 进入到接口[默认接口类型：hybird 混杂接口 ]
○[Switch-GigabitEthernet0/0/1]port link-type access #设置链路类型
○[Sw itch-GigabitEthernet0/0/1]port default vlan 10 # 划分接口到vlan 10 下
将接口划入vlan后查看vlan：
○ display vlan
○ display port vlan

交换机的通信原理：

PVID：port virtual id 端口属性，会将从这个接口接收的数据帧打上和pvid值相同的标记
Access端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。
Access端口在转发数据前会移除VLAN Tag。
【主机是不认识带有标签的数据帧】

PVID 和access接口的关系：

1 Access端口是交换机上用来连接用户主机终端设备的端口；它只能连接接入链路，并且只能允
许唯一的VLAN ID通过本端口。
2 Access端口收发数据帧的规则如下：
如果该端口收到对端设备发送的帧是untagged（不带VLA N标签），交换机将强制加上该端口的PVID。
如果该端口收到对端设备发送的帧是tagged（带VLAN标签），交换机会检查该标签内的VLAN ID。
当VLAN ID与该端口的PVID相同时，接收该报文。
当VLAN ID与该端口的PVID不同时，丢弃该报文。
3 Access端口发送数据帧时，总是先剥离帧的Tag，然后再发送，发送给主机，主机不认识带标
签的
4 Access端口发往对端设备的以太网帧永远是不带标签的帧。