1、為什么會有vlan的存在

• 交換機不能隔離廣播域，如果廣播域特別大的話，交換機泛洪的，就會傳播到整個廣播域

• 廣播域越大，產(chǎn)生的網(wǎng)絡(luò)安全問題，垃圾流量問題就越嚴重

• 因此就會有隔離廣播域，路由器可以隔離，但是為了實現(xiàn)廣播域的隔離，會增加很多的路由器，因此的話，不方便，就會在交換機上面實現(xiàn)廣播域的隔離，不同的廣播域在二層設(shè)備上面是不同的，這樣泛洪的話，就不會泛洪到其他的廣播域尚敏，這樣的話就減少了廣播域的規(guī)模

2、vlan(虛擬局域網(wǎng))

1、vlan原理

• 最常見的劃分就是將交換機不同的端口劃分到不同的vlan中

1. 為什么這樣劃分了

# mac地址表中就會記錄mac，port,vlan# 不同的vlan的區(qū)域的話，在vlan10中發(fā)送了一個廣播的話，就只會在vlan10中泛洪，不會泛洪到vlan20中，這樣的話，在通信的時候，首先發(fā)送的是arp請求是一個廣播，但是不會泛洪到vlan20中，因此的話在默認的情況下，不同的vlan是無法進行通信的# 交換機就實現(xiàn)了廣播域的隔離

2、如何實現(xiàn)不同交換機相同的vlan實現(xiàn)互訪呢

# 在vlan10中新添加一個端口也劃分在vlan10中，然后另外一個交換機也配置一個端口在vlan10中，連接起來，從而實現(xiàn)了不同交換機中的相同vlan通信了# 但是這個方法非常費端口# 因此就有了下面的解決方法

3、最優(yōu)化的解決方法，vlan不同交換機

# 就是在這個2個交換機上面打上2個口子,用于連接2個交換機的通信，這個線路vlan10和vlan20都可以在這個線路上面進行傳輸# 比如A交換機發(fā)送一個數(shù)據(jù)，攜帶了vlan10這個數(shù)據(jù)，然后傳輸?shù)紹交換機，根據(jù)這個vlan信息的話，傳輸?shù)絭lan10里面去，這樣的話，vlan20的標簽也可以了# 這樣的端口稱為trunk# 在數(shù)據(jù)幀中添加vlan信息，可以跨交換機部署vlan# 在邏輯上不同交換機上面相同的vlan是在連接在一個交換機上面

4、vlan標簽和vlan數(shù)據(jù)幀

• vlan標簽就是能夠使交換機分辨不同vlan的報文，需要在報文中添加vlan信息字段

• vlan數(shù)據(jù)幀就是在幀上面的源mac地址后面添加vlan信息(802.1Q tag)

• vlan標簽上面詳細的介紹

5、vlan實現(xiàn)

• PC1發(fā)送數(shù)據(jù)，然后交換機打上標簽，連接2個交換機的鏈路要承載多個vlan數(shù)據(jù)，所以需要基于vlan數(shù)據(jù)的標記，以便對不同的vlan數(shù)據(jù)幀進行區(qū)分

• 就是在幀頭插入802.1Q Tag

2、基于vlan的劃分方式

• 交換機打上tag的方法不一樣

1、基于接口的vlan劃分方式

• 根據(jù)交換機的接口來劃分vlan

• 每個接口配置不同的pvid(port vlan id ),在接口劃入到對應(yīng)的vlan

• vlan id 取值 1~4094

• 每個端口默認的情況下是1

• 數(shù)據(jù)幀會被打上pvid的tag

• 主機移動的話，主機接入的接口就需要重新配置pvid

2、基于mac地址劃分

• mac和vlan id的映射關(guān)系

• 主機移動，不需要重新配置vlan了，跟端口沒有關(guān)系了

3、以太網(wǎng)二層接口類型

• 都可以，圖中的接口都可以改的

• access 接口通常用于連接用戶PC，服務(wù)器等終端設(shè)備接口，access接口連接的往往是收發(fā)無標記幀，access接口只能加入一個vlan中，也就是特定的vlan

1、Access接口

• 接收幀

  • 當一個沒有標簽的數(shù)據(jù)幀進入這個接口，就會被vlan10打上標簽

  • 如果數(shù)據(jù)幀的vlan10與接口的vlan10相同的話，直接進行交換機內(nèi)部，接收該幀

  • 如果vlan20的數(shù)據(jù)幀的話，交換機不會接受這個數(shù)據(jù)幀，直接進行丟棄

• 發(fā)送幀

  • 幀的vlan id與接口的vlan id相同的話，出交換機的時候，去掉vlan標簽，然后從這個接口發(fā)送出去

  • 幀的vlan id 與 接口的 vlan id不同的話，禁止發(fā)送出去

2、trunk接口

• 這個是一個干道口

• vlan 1是默認的存在的

• trunk這個通道相當于是一個控制規(guī)則，允許多個vlan通過

• 發(fā)送幀

  • 接口接收到了數(shù)據(jù)，然后打上pvid,如果這pvid 在vlan列表中允許通過的話，就接收，不允許的話，就丟棄

  • 相同的vlan10發(fā)送的話，vlan id列表允許的這個vlan id的話，就通過，不允許就丟棄

• 發(fā)送幀

  • 當vlan id相同的話，并且在vlan 列表的話，直接去掉vlan 標簽，從這個接口發(fā)送出去

  • 數(shù)據(jù)幀的vlan id 與 接口的vlan id不同的話，但是在vlan 列表中的話，不去掉vlan 標簽

  • 不在vlan 列表的話，不允許通過，禁止發(fā)送數(shù)據(jù)

3、Access和trunk接口

4、hybrid接口

• 接收幀與trunk接口是一樣的，但是了發(fā)送幀的話就不一樣了，管理員能夠決定這個數(shù)據(jù)幀發(fā)送出去的時候是保留這個vlan 信息還是去掉了，這個是由管理員進行決定的

• 如果是untag類型的話，就是數(shù)據(jù)幀發(fā)送出去的時候需要去掉這個標簽

• tag類型的話，數(shù)據(jù)幀發(fā)送出去的時候不需要去掉這個標簽

4、vlan基礎(chǔ)配置命令

1、創(chuàng)建vlan

vlan 10
# 就直接進入了這個vlan視圖了# vlan id 取值范圍是1~4094# 創(chuàng)建多個vlan
vlan batch 20 30 40# 批量創(chuàng)建vlan
vlan batch 20 to 30

1、Access接口配置

interface GigabitEthernet0/0/1port link-type access # 設(shè)置 access接口類型port default vlan 10  # 設(shè)置接口的vlan # 可以通過查看接口的pvid,也就是數(shù)據(jù)幀發(fā)送過來的時候，會被打上這個vlan 10的標簽
[j1]display  interface g0/0/1

2、Trunk接口配置

interface GigabitEthernet0/0/2port link-type trunk  # 設(shè)置接口類型port trunk pvid vlan 10  # 設(shè)置pvid，也就是將這個接口加入到vlan中port trunk allow-pass vlan 10 20  # 主干通道允許 10 20 vlan 通過

3、hybrid接口配置

interface GigabitEthernet0/0/2port link-type hybrid # 默認就是這樣類型的端口port hybrid pvid vlan 20   # 將接口加入到vlan 20中port hybrid untagged vlan 20 30  # 允許 vlan 20 30 通過

# 端口的類型
[j1]display  port vlan  active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             hybrid       10      U: 1 10 30   # 10,30vlan標簽，去掉標簽，允許10 20 通過
GE0/0/2             hybrid       20      U: 1 20 30
GE0/0/3             hybrid       30      U: 1 10 20T: 30 # 出去的時候不需要去掉標簽，允許10 20 30vlan出去# vlan list
u 和 t 就是放行的vlan , u就是發(fā)出去去掉這個vlan 標簽

4、總結(jié)vlan端口

# 總而言之，就是這個三個類型# access接口 只能允許一種vlan通過，比較vid(數(shù)據(jù)攜帶的vlan id ) 和 pvid# trunk接口 允許多種vlan通過,如果vid和pvid相同的哈，去掉標簽，否則不去掉(vid在vlan 允許的情況下)，不在話丟棄# hybrid接口 允許多種vlan通過，可以自己控制是否去掉標簽，在untag列表中，去掉標簽，在tag列表中，攜帶標簽發(fā)送，不在的列表中，丟棄

5、實驗

1、access和trunk接口

# 實驗?zāi)康?/span># 實現(xiàn)相同vlan主機訪問# 劃分2個vlan# 最上面的2個主機，通過pvid 1 來進行通信，什么都不用配置

• 通信的原理

  • 首先ping 1.1.1.3

  # 攜帶的信息為 Dip 1.1.1.3 Sip 1.1.1.1 Dmac ffff Smac 有 
  

  • 通過s3上面的g2口，打上一個vlan10 的標簽，然后通過查詢規(guī)則，vlan 10 20都允許放行，arp會進行泛洪，但是g3口只允許vlan 20 通過，因此只能走 g1 口 到達下一個交換機 s1 上面

  • 然后繼續(xù)到達s2交換機上面，通過查詢vlan規(guī)則，走 g2 口到達 目標主機，記錄了Dmac地址

  • 然后目標主機發(fā)送一個arp 應(yīng)答，里面包含了

  DIp 1.1.1.1 Sip 1.1.1.3 Dmc 有 Smac 有

  • 然后這個交換機就會記錄這一來一回的信息，也就是mac地址和port對應(yīng)關(guān)系

  • 下一次就直接發(fā)送icmp包，進行通信即可

2、對上面的實驗的補充(不同vlan之間主機的通信)

1、路由器物理接口

• 實現(xiàn)不同vlan主機互訪

• 添加一個路由器，然后配置一個網(wǎng)關(guān),充當一個網(wǎng)關(guān)，訪問網(wǎng)關(guān)就相當于是訪問同一個網(wǎng)段即可

• 實現(xiàn)PC1與PC2或者PC4通信即可

• 流程

# 訪問不同的網(wǎng)段的時候，先要去尋找網(wǎng)關(guān)，arp解析網(wǎng)關(guān)mac地址,就有能力將數(shù)據(jù)送給網(wǎng)關(guān)，然后根據(jù)路由表尋找通往不同網(wǎng)段的ip地址，這樣的話，就能尋找到不同的網(wǎng)段，實現(xiàn)了通信的效果

2、路由器上面配置虛擬接口

• 當然上面的這種做法，容易費接口

• 一個接口上面配置虛擬接口 .10 .20這樣的，實現(xiàn)了邏輯口配置，綁定vlan ,只有虛擬接口才能實現(xiàn)vlan 標簽，物理接口不能實現(xiàn)vlan 的綁定

• dot1q ter vid 10,然后配置ip地址

• 子接口不會開啟arp服務(wù)，所以要開啟arp br enable，物理接口默認是開啟arp解析的

• 路由器接收后，從對應(yīng)的接口就發(fā)送一個數(shù)據(jù)幀，帶有vlan 標簽的

# 路由器r2配置文件
[r2-GigabitEthernet0/0/0.20]display  this
[V200R003C00]
#
interface GigabitEthernet0/0/0.20dot1q termination vid 20   # 通過綁定子接口vlan 10,來實現(xiàn)區(qū)分ip address 2.2.2.254 255.255.255.0 arp broadcast enable
#
return# s1交換機的配置
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20
#
return

• 缺點，這個路由器的線，非常的消耗帶寬，性能上面的不足

• 這個路由器上面的g0口的話，也可以作為一個網(wǎng)關(guān)，如果發(fā)送了一個數(shù)據(jù)沒有攜帶vlan的話，g0口也可以作為一個網(wǎng)關(guān)，如果攜帶了vlan 1標簽的數(shù)據(jù)的話，需要在g0口上面再來配置一個虛擬接口即可

3、交換機實現(xiàn)路由功能(三層交換機這個就是，配置網(wǎng)關(guān))-就解決掉了上面的問題了

• 具有路由功能就是一個三層交換機

• 在交換機上面配置網(wǎng)關(guān)，使用的是vlanif ,抽象的邏輯接口

• vlanif 后，就相當于路由功能

• 配置一個vlanif 后，然后配置2個不同網(wǎng)段的網(wǎng)關(guān)即可

• 這個S1就是一個匯聚層，S3和S2就是一個接入層

[s1]int Vlanif 10
[s1-Vlanif10]disp	
[s1-Vlanif10]display  this
#
interface Vlanif10ip address 1.1.1.254 255.255.255.0
#
return[s1]int Vlanif 10
[s1-Vlanif20]disp	
[s1-Vlanif20]display  this
#
interface Vlanif20ip address 2.2.2.254 255.255.255.0
#
return

6、vlanif(虛擬局域網(wǎng)接口)

• vlanif就相當于是一個路由功能，配置網(wǎng)關(guān)即可實現(xiàn)通信了

• 實現(xiàn)了不同vlan之間的通信即可

1、vlanif實驗和通信流程

# 首先2個交換機之間配置access接口,vlanif100 實現(xiàn)2個交換機之間的三層通信# 然后ospf的配置，這樣的話路由也都配置好了# 通信的流程vlan標簽的變化# PC7與PC1之間的通信# 首先PC7發(fā)送一個arp到網(wǎng)關(guān)解析到了網(wǎng)關(guān)mac地址，然后ping 1.1.1.1 經(jīng)過g1口打上vlan 7的標簽，然后S4解析發(fā)現(xiàn)不是自己的，發(fā)送到路由模塊中去尋找，這個時候，發(fā)送與vlanif 100相匹配，去掉之前的標簽，打上vlan 100標簽發(fā)送出去，# 到達了S1交換機，然后去掉自己vlan 100標簽，匹配到了vlan if 10的路由了，打上vlan 10的標簽，然后到了S3交換機上面了，達到出接口G2的時候去掉vlan 10的標簽，到達了目標主機PC1# 回包的時候也是這樣的流程

2、補充

• 加上了PC9，vlan10

# 這個時候交換機之間就不能使用access接口了，需要配置trunk接口# 2個交換機配置這樣的配置
# vlan 10用于二層的通信，100用于三層的通信
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 100
#
return# S4交換機上面的G3口的配置即可
[s4-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10
#
return

7、實驗圖片

# 2個交換機上面配置ospf
# 如果2個交換機ospf中的范圍不同的話，可能不會交換LSA信息# 比如一個配置S1 1.1.1.1 0.0.0.0 另外一個配置S2 2.2.2.0 0.0.255# 這樣的話就是S1 是/32的，所以就會讀取LSA，但是S2是/24，不會進行交換，這個就是范圍不同導(dǎo)致的

8、總結(jié)

交換機通信原理
就是mac表
廣播域等

1、關(guān)于同網(wǎng)段的通信

• 發(fā)送arp請求解析mac地址后，開始通信

2、不同網(wǎng)段通信

• 1.1.1.1 訪問 2.2.2.2，先要去找1.1.1.1的網(wǎng)關(guān)做一個arp請求，解析到mac地址，不同網(wǎng)段需要網(wǎng)關(guān)，因此需要路由器，但是arp請求是廣播域，路由器不接受，因此的話，在路由器上面配置網(wǎng)關(guān)，這樣的話，就能訪問到了網(wǎng)關(guān)，查找路由表，這個2個網(wǎng)段在不同的廣播域中

• 但是有特殊情況，2個不同的網(wǎng)關(guān)在同一個廣播域中，這樣的話，可以不設(shè)置網(wǎng)關(guān)，對目標ip發(fā)送一個arp請求，實現(xiàn)通信了

3、vlan

• 交換機不能隔離廣播域，因此設(shè)置vlan

• 就是在接口上面配置vlan id 然后發(fā)送的數(shù)據(jù)經(jīng)過這個接口就會被打上vlan標簽，然后再來考慮放行

• access接口類型的話，只能允許一個vlan通過，vlan丟棄

• trunk接口類型的話，允許多個vlan通過，vlan ID 和 pvid一樣的話，出去時去掉標簽，不一樣則不丟棄

• hybrid接口類型的話，允許多個vlan通過，但是可以自己設(shè)置丟棄和不丟棄標簽

4、vlanif

• 交換機沒有三層的能力，因此設(shè)置vlanif

• 實現(xiàn)了路由的功能呢

• vlan 100 vlanif 100對應(yīng)的編號相同的