1.什么是VLAN
传统以太网的问题
在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。
广播域越大,产生的网络安全问题、垃圾流量问题,就越严重。
虚拟局域网 (VLAN, Virtual LAN)
虚拟局域网VLAN可以隔离广播域。
特点: 不受地域限制。 同一VLAN内的设备才能直接进行二层通信。
2.VLAN的基本概念
如何实现VLAN
Switch1与Switch2同属一个企业,该企业统一规划了网络中的VLAN。其中VLAN10用于A部门,VLAN20用于B部门。A、B部门的员工在Switch1和Switch2上都有接入。
PC1发出的数据经过Switch1和Switch2之间的链路到达了Switch2。如果不加处理,后者无法判断该数据所属的VLAN,也不知道应该将这个数据输出到本地哪个VLAN中。
VLAN标签 (VLAN Tag)
交换机如何识别接收到的数据帧属于哪个VLAN?
VLAN数据帧
VLAN:缩小广播域,隔离广播域
交换机配置VLAN,使用VLAN ID进行区分不同的VLAN,
如果VLAN ID相同,则说明处于同一个广播域中,可以直接通信;如果不同,则说明处于不同的广播域中,此时如果想要通信,需要借助三层设备进行互通(二层隔离,三层互通)。
VLAN ID的取值范围0-4095,0和4095保留不用,所以VLAN范围为1-4094,一般情况下不要使用VLAN 1。
VLAN隔离不同的广播域本质上利用VLAN标签不同,对数据进行隔离区分。
VLAN的实现
Switch1和Switch2之间的链路要承载多个VLAN的数据,需要一种基于VLAN的数据“标记”手段,以便对不同VLAN的数据帧进行区分。
IEEE 802.1Q标准(也被称为Dot1Q)定义了该“标记”方法。该标准对传统的以太网数据帧进行修改,在帧头中插入802.1Q Tag,而在该Tag中,便可以写入VLAN信息。
VLAN的划分方式
整个网络是如何划分VLAN的?
基于接口的VLAN划分
以太网二层接口类型
Access接口
access接口:
当access接受不带标签的数据时,则打上自己接口PVID的标签,接口PDIV是多少,该数据帧就属于VLAN 多少;
当access接收到带标签的数据帧时,则查看该数据帧中VLAN ID和自身接口的PVID是否一致,如果一致则收入交换机,如果不一致则丢弃。
access只能发送不带标签的数据帧,当数据帧中携带的VLAN ID和接口的PVID一致时,才会剥离标签发出,如果不一致则丢弃
access接口通常用于连接终端设备以及路由器防火墙等,因为终端设备无法识别带标签的数据帧
[sw1]vlan 10 创建VLAN 10
[sw1]vlan batch 10 20 创建VLAN 10和VLAN 20
[sw1]vlan batch 10 to 20 创建VLAN 10到VLAN 20
interface GigabitEthernet0/0/1
port link-type access 将接口类型修改为access接口
port default vlan 10 将接口的PVID修改为VLAN 10(将该接口加入VLAN 10)
Trunk接口
trunk接口:干道链路,用于交换机之间互联,在一条链路上可以传输多个VLAN的数据。
当trunk接口接收不带标签的数据帧时,首先打上接口的PVID,然后看是否允许通行,如果允许通行则从该接口收入,否则丢弃;
当trunk接口接收到带标签的数据帧时,只看该VLAN ID是否允许通行,如果允许通行则收入,否则丢弃;
当trunk接口发送数据帧时,先看是否允许通行,如果允许则发送,否则丢弃;在允许通行的前提下,如果数据帧VLAN ID和接口的PVID一致,则剥离标签发出,如果不一致则直接发出。
trunk接口核心在允许通行列表,只要允许通行必定能发送。
interface GigabitEthernet0/0/2
port link-type trunk 将接口类型修改为trunk
port trunk pvid vlan 10 将接口PVID修改为VLAN 10
port trunk allow-pass vlan 10 20(all) 允许放行VLAN 10和20(放行所有VLAN)
Access接口与Trunk接口举例
请描述主机之间数据访问的全流程。
对交换机1的所有配置如下所示:
[sw1]vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10interface GigabitEthernet0/0/2
port link-type access
port default vlan 20interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
对交换机2的所有配置如下所示:
[sw2]vlan batch 10 20
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20interface GigabitEthernet0/0/2
port link-type access
port default vlan 20interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
Hybrid接口
hybrid:混合接口,华为私有,仅在华为设备上能够配置。
当hybrid接口接受数据帧时,和trunk接口行为一致。
当hybrid接口发送数据帧时,先看是否允许通行,如果允许通行,再看是否保留标签,如果保留则直接带标签发出,剥离或者保留由管理员手动配置决定。
此时,该接口可以同时剥离多个VLAN标签。发送数据帧时,和接口的PVID没有关系。
interface GigabitEthernet0/0/1
port link-type hybrid 将接口链路类型修改为hybrid接口
port hybrid pvid vlan 10 将接口PVID修改为VLAN 10
port hybrid tagged vlan 10 20 允许放行VLAN 10和20,并且在发送数据帧时保留标签发送
port hybrid untagged vlan 30 40 允许放行VLAN 30和40,并且在发送数据帧时剥离标签发送
Hybrid接口举例
请描述主机访问服务器的全流程。
小结
基于MAC地址的VLAN划分
vlan 10
mac-vlan mac-address 5489-98c3-6850 48 基于MAC地址的VLAN,将MAC地址和VLAN进行手动关联
interface GigabitEthernet0/0/2
port hybrid untagged vlan 10
mac-vlan enable 开启MAC VLAN功能
3.VLAN的应用
VLAN的规划
应用场景 - 基于接口的VLAN划分
应用场景: 某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问Internet。
VLAN划分: 为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的“虚拟路由器”,每个VLAN就是一个“虚拟工作组”。
应用场景 - 基于MAC的VLAN划分
应用场景: 某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的主机才可以访问特定网络资源。
VLAN划分: 为了保证非本部门员工不能访问网络资源,可在SW1上配置基于MAC地址划分VLAN。这样,新的主机接入网络,就无法访问公司的网络资源。
4.VLAN的配置示例
VLAN的基础配置命令
Access接口的基础配置命令
Trunk接口的基础配置命令
Hybrid接口的基础配置命令
案例1:基于接口划分VLAN
组网需求:
某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。为了通信的安全性,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
创建VLAN
配置Access接口和Trunk接口
验证配置
案例2:基于接口划分VLAN
组网需求:
某企业的交换机连接有很多用户,且不同部门的用户都需要访问公司服务器。但是为了通信的安全性,企业希望不同部门的用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,并配置Hybrid接口,使得不同部门的用户不能直接进行二层通信,但都可以直接访问公司服务器。
Hybrid接口的基础配置
验证配置
VLAN的基础配置命令
案例:基于MAC地址划分VLAN
组网需求:
某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的主机才可以访问公司网络。
主机1、主机2、主机3为本部门员工的主机,要求这几台主机可以通过SW1访问公司网络,如换成其他主机则不能访问。
可以配置基于MAC地址划分VLAN,将本部门员工主机的MAC地址与VLAN绑定,从而实现该需求。
创建VLAN,并关联MAC地址和VLAN
加入VLAN,并使能MAC VLAN功能
验证配置
思考题
1.(多选) 下列关于VLAN的描述中,错误的是?( AC )
A.VLAN技术可以将一个规模较大的冲突域隔离成若干个规模较小的冲突域
B.VLAN技术可以将一个规模较大的二层广播域隔离成若干个规模较小的二层广播域
C.位于不同VLAN的计算机之间无法进行通信
D.位于同一VLAN中的计算机之间可以进行二层通信
2.如果一个Trunk接口的PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么哪些VLAN的流量可以通过该Trunk接口进行传输?
答:1,2,3,5不能通行是因为没放行,而vlan 1是默认的,可以通行文章来源:https://www.toymoban.com/news/detail-403231.html
----以上内容为誉天教育培训过程中所记,如有雷同纯属巧合----文章来源地址https://www.toymoban.com/news/detail-403231.html
到了这里,关于HCIA~VLAN原理与配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!