文章详细介绍了VLAN在减少广播域和提高网络安全中的作用,以及如何通过配置VLAN与MAC地址绑定、access接口、trunk接口和hybrid接口来管理VLAN流量。access接口主要用于终端设备,trunk接口用于交换机互联,而hybrid接口则是华为私有的混合模式,能同时处理多个VLAN标签。
在典型的交换网络中,当一台pc发送广播帧或者未知单播帧时,交换机就会把该帧泛洪到该广播域内的所有pc,当网络中的广播域越大则网络安全问题,垃圾流量问题就会越严重
vlan特点:一个vlan就是一个单独的广播域,只有同属于一个vlan内的设备才能进行二层通信,而处于其它vlan的设备,只能同过三层才能进行不同vlan之间的访问
当管理员在交换机上给末端设备配置(pc/服务器)vlan(例如配置了vlan10),则pc发送的二层信息都会被打上vlan 10这个标签,当携带vlan 10标签的信息去访问其它pc时,交换机会检测该携带的标签是否跟被访问的pc标签一致,如果一致则放行,不一致则丢弃
1.基于MAC地址
就是vlan跟MAC的绑定,做了该绑定的设备,不管在该网络如何变动(接口的变动),vlan是不变的
配置命令:
[Huawei]vlan 10 创建vlan
[Huawei -vlan10]mac-vlan mac-address 5489-98AD-0470 绑定pc的MAC地址
[Huawei]int g0/0/1 进入接口
[Huawei-GigabitEthernet0/0/1]mac-vlan enable 关联MAC跟vlan
2.基于接口
access接口:
当access接收不带标签的数据帧时,则打上自己接口PVID的标签,接口PVID是多少,该数据帧就属于VLAN多少
当access接收到带标签的数据帧时,则查看该数据帧中VLAN ID和自身接口的PVID是否一致,如果一致则收入交换机如果不一致则丢弃
access只能发送不带标签的数据帧。当数据帧中携带的VLAN ID和接口的PVID一致时,才会剥离标签发出如果不一致则丢弃
access接口通常用于连接终端设备以及路由器防火墙等,因为终端设备无法识别带标签的数据帧
interface GigabitEthernet0/0/1
port link-type access 将接口类型修改为access接口
port default vlan 10 将接口的PVID修改为VLAN 10(将该接口加入VLAN 10)
trunk接口:
干道链路,用于交换机之间互联,在一条链路上可以传输多个VLAN的数据
当trunk接口接收不带标签的数据帧时,首先打上接口的PVID,然后看是否允许通行,如果允许则从该接口收入,如果不允许则丢弃
当trunk接口接收到带标签的数据帧时,只看该VLAN ID是否允许通行,如果允许通行,则放入。
当trunk接口发送数据帧时,先看是否允许通行,如果允许则发送,如果不允许则丢弃。
在允许通行的前提下,如果数据帧VLAN ID和接口的PVID一致,则剥离标签发出。如果不一致,直接发trunk接口核心在允许通行列表,只要允许通行必定能被接收/发送
interface GigabitEthernet0/0/2
port link-type trunk 将接口类型修改为trunk
port trunk pvid vlan 10 将接口PVID修改为VLAN 10
port trunk allow-pass vlan 10 20(all) 允许放行VLAN 10和20(放行所有VLAN)
hybrid:
混合接口,华为私有,仅在华为设备上能够配置。
当hybrid接口接收数据帧时,和trunk接口行为一致。
当hybrid接口发送数据帧时,先看是否允许通行,如果允许通行,在看是否保留标签。
如果保留,则直接带标签发出。剥离或者保留由管理员手动配置决定。
此时,该接口可以同时剥离多个VLAN 标签。发送数据帧时,和接口的PVID没有关系
interface GigabitEthernet0/0/1
port link-type hybrid 将接口链路类型修改为hybrid接口
port hybrid pvid vlan 10 将接口PVID修改为VLAN 10
port hybrid tagged vlan 10 20 允许放行VLAN 10和20,并且在发送数据帧时保留标签发送
port hybrid untagged vlan 30 40 允许放行VLAN 30和40,并且在发送数据帧时剥离标签发送
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
