vlan的学习笔记1

vlan：
1.一般情况下:以下概念意思等同:
                  一个vlan=一个广播域 =一个网段 =一个子网

2.一般情况下:
（1）相同vlan之间可以直接通信，不同vlan之间不能直接通信!

（2）vlan技术属于二层技术，涉及的广播域就是二层广播域。

（3）vlanif(思科定义为SVI)，属于三层技术。

（4）vlan id的取值范围:0-4095 212=4096 其中数值0 4095保留的，vlan 1是默认的(不能删除)

802.1Q=dot1g

3.一般情况下， (以太网vlan传递情景) 交换机内部的数据必须携带vlan tag,交换收到的数据帧和发出的数据帧可以有vlan tag，也可以无!

4.已经打好标记的，去另一个交换机还需要打吗，就直接过去了?

    要发送方以及接收方接口类型 PVID
生成树协议默认在华为交换设备上是开启，两台交换机之间连线N>=2，就是受到生成树影响，逻辑关闭N-1天链路，以免发生环路!
PVID:默认vlan即可，收到一个数据帧没法确定它的tag，使用PVID。
思科本征vlan。
trunk 默认情况下存在一个总开关，总开关只允许vlan i通过!
(相当于路修好了，但是没有通行证不让走)    

SW3-Ethernet0/0/1]display port vlan

5.hybrid混杂端口与access、trunk有何区别?
前提:假设trunk的放行列表放行所有!

（1）access接口发出的数据帧都是纯的(untag没标记的);

（2）trunk发出的数据帧只存在两个场景:
（2.1）数据帧的vlanID与PVID一样，剥离标签，属于纯的数据帧;
（2.2） 数据帧的vlanid 与pVID不同，保留标签，属于有标记的数据帧;
（3）trunk收到的数据帧只存在两个场景:
（3.1）收到是无标记的打上PVID，放出去:
（3.2）收到是有标记的，直接发出去。

（4）hybrid可以做到access和trunk无法做到的事情:
hybrid:
接收数据帧
Untagged数据帧，打上PVID，且VID在允许列表中，则接收;
vID不在允许列表中，则丢弃。
Tagged数据帧，查看vID是否在允许列表中，在允许列表中，则接收:
VID不在允许列表，则丢弃。

发送数据帧
VID不在允许列表中，直接丢弃。
VID在Untagged列表中，剥离标签发送。
VID在Tagged列表中，带标签直接发送。

6.华为交换机默认接口类型为hybrid，但是查看并没有存在port link-type hybrid，则说明是默认，接口默认有以下:
1、port link-type hybrid
2. port hybrid pvid vlan 1
3. port hybrid untagg vlan 1
hybrid接口放行列表指的是:有无明确tagged untagged
为什么交换机没有配置之前，相同网段的主机之间就可以通信，是因为:
1、交换机默认存在3条命令:
2、明确hybrid放行列表(所谓hybrid放行列表指的是有无明确tag或者untag)
3、存在默认pvid
4、结合hybrid收发规则，则可以完成通信!
PVID有且只有一个，且PVID是针对端口而言的。
pvid: 默认vid
vid:自己手工配置:

实验示例：

组网需求：

某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。为了通信的安全性，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于接口划分VLAN，把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

s1上

[czysw1]vlan batch 10 20
[czysw1]inter e0/0/1
[czysw1-Ethernet0/0/1]p d v 10
[czysw1-Ethernet0/0/1]inter e0/0/2
[czysw1-Ethernet0/0/2]p d v 20
[czysw1-Ethernet0/0/2]inter g0/0/1
[czysw1-GigabitEthernet0/0/1]p l t
[czysw1-GigabitEthernet0/0/1]p t p v 1
[czysw1-GigabitEthernet0/0/1]p t a v 10 20

同理在s2上

[czysw2]vlan batch 10 20
[czysw2]inter e0/0/1
[czysw2-Ethernet0/0/1]p l a
[czysw2-Ethernet0/0/1]p d v 10
[czysw2-Ethernet0/0/1]inter e0/0/2
[czysw2-Ethernet0/0/2]p l a
[czysw2-Ethernet0/0/2]p d v 20
[czysw2-Ethernet0/0/2]inter g0/0/1
[czysw2-GigabitEthernet0/0/1]p l t
[czysw2-GigabitEthernet0/0/1]p t a v 10 20
[czysw2-GigabitEthernet0/0/1]p t p v 1

在pc1上验证我们想要的效果

例2：

组网需求：

某企业的交换机连接有很多用户，且不同部门的用户都需要访问公司服务器。但是为了通信的安全性，企业希望不同部门的用户不能直接访问。

可以在交换机上配置基于接口划分VLAN，并配置Hybrid接口，使得不同部门的用户不能直接进行二层通信，但都可以直接访问公司服务器。

SW1上

[czysw1]vlan batch 10 20 100
[czysw1]inter e0/0/1
[czysw1-Ethernet0/0/1]p l h
[czysw1-Ethernet0/0/1]p h  p v 10
[czysw1-Ethernet0/0/1]p h u v 10 100
[czysw1-Ethernet0/0/1]inter e0/0/2
[czysw1-Ethernet0/0/2]p l h
[czysw1-Ethernet0/0/2]p h p v 20
[czysw1-Ethernet0/0/2]p h u v 20 100
[czysw1-Ethernet0/0/2]inter g0/0/1
[czysw1-GigabitEthernet0/0/1]p l h
[czysw1-GigabitEthernet0/0/1]p h t v 10 20 100

SW2上

[czysw2]vlan batch 10 20 100
[czysw2]inter g0/0/1
[czysw2-GigabitEthernet0/0/1]p l h
[czysw2-GigabitEthernet0/0/1]p h t v 10 20 100
[czysw2-GigabitEthernet0/0/1]inter g0/0/2
[czysw2-GigabitEthernet0/0/2]p h p v 100
[czysw2-GigabitEthernet0/0/2]p h u v 10 20 100

在PC1上验证vlan10可以访问服务器但是不能访问不同vlan的主机

服务器可以访问任意的主机