前言
之前的提到了交换机的概念和实验。不过交换机的一些功能还没有说完,我们的实验也仅仅是阻止相同地址段的IP地址互通,也没有用到子接口和路由器。显然,那样的配置过于简单。
文章来源:https://www.toymoban.com/news/detail-720117.html
端口安全
Port Security(端口安全)的功能会通过MAC表项记录连接到交换机端口的以太网MAC地址,我们可以设置交换机允许哪些MAC地址通过本端口通信。而未知的设备(也就是未知的MAC)发来的数据会被阻止通信。
因为使用端口安全功能可以防止未经允许的设备访问网络,所以增强了安全性。另外,端口安全功能也可用于防止MAC地址泛洪造成的MAC地址表填满。这就意味着我们可以设置最大的设备访问数量。
总而言之有两个优点:
通过MAC表项绑定设备以拒绝外来电脑访问公司网络,以保障安全;
通过设置最大可学习的MAC数量防止设备过多导致的MAC地址泛洪从而造成地址表填满。
端口安全实验
我们构建如下拓扑,并配置好Access的用户接入和到设备的Trunk功能:
我在此默认划分到Vlan 1可放行所有设备通过
下面,我们开始配置端口安全:
接着我们为路由器配置好相应的网关后,ping以下路由器网关查看结果:
可以发现能够连通
此时我们更换设备,将PC1换成PC4,将其划分到Vlan 1后再次ping路由器:
可以发现无法Ping通
这个是因为我们换了设备以后,虽然仍然使用的是交换机曾划分过VLAN的接口,但是MAC地址变更了,且交换机该接口限制学习的MAC表项数量为1个,且与该MAC绑定了。因此设备从PC1换成PC4以后,原交换机int g0/0/2接口的Mac地址表与PC1的Mac地址绑定了,且学习接口限制为1个已经无法继续学习其它Mac表项了。这才导致无法Ping通。
VLAN间通信
我们知道交换机隔离冲突域;路由器隔离冲突域和广播域;而VLAN也是可以隔离广播域和冲突域的技术。VLAN可以减小广播域或冲突域的范围,提高网络通信能力。我们上述的通信一直是以同一IP段的方式进行Vlan间通信。那么不同Vlan之间可以通信吗?当然能,不同的Vlan间通信是可以实现的。这也是Vlan技术的另一大特点。其中有两种配置方式:VLAN IF接口或者单臂路由。
子接口
如果一个网络中需要很多VLAN,路由器不可能有无数的物理接口提供给交换机,交换机也不具备如此多的物理接口连接设备。子接口是为了打破了物理接口的局限性,路由器可以把物理接口通过划分为多个子接口的方式,从而实现多个VLAN间的路由与通信。
VlAN IF接口就是虚拟接口,我们也可以管它叫子接口。子接口是逻辑链路,它需要物理接口作为承载,一个物理接口可以创建4096个子接口。如果物理接口断了,其通过该物理接口创建的子接口也会消失。
子接口的优缺点
优点:打破物理接口的数量限制,一个接口实现多个VLAN间的通信。
缺点:子接口太多会导致争抢带宽,导致数据传输效率受到抑制。
因此,建议不要把子接口全部配置在一条物理接口上面,尽量把子接口分布在不同的物理接口上,以避免传输效率问题。
二层交换机和三层交换机
二层交换机主要用于网络接入层和汇聚层,而三层交换机主要用于网络核心层,但是也可以在汇聚层应用。
二层交换机支持物理层和数据链路层协议,而三层交换机支持物理层、数据链路层及网络层协议。
二层交换机查找MAC表,通过MAC地址表跟ARP协议进行二层转发;三层交换机的原理也是如此,只不过在二层无法通信时,三层交换机会判断是否需要进行三层通信,就将数据交给网络层,进行三层处理,最终一般是将数据发到网关来完成三层通信的。
因此我们可以得知,三层交换机是可以配置IP地址的——在vlanif(子接口)配置不同vlan的IP地址,使得不同vlan之间可通过三层路由实现通讯。但是二层交换机无法配置IP地址。不过实际上,在交换机看来,只是让它们三层(网络)互通了而已、它的二层仍然是隔离的。
配置VLAN IF接口
VLAN IF口可以配置IP地址,三层交换机的VLAN IF接口会自动生成对应网段的直连路由。只需在终端将网关设置为VLAN IF接口地址,就能在隔离广播域的同时,通过三层实现通信。接下来我们就完成三层交换实验的配置。
准备好下列拓扑,并配置相应IP地址和网关(注意线和接口的选择):
随后创建Access并划分VLAN:
随后,我们为相应VLAN的接口地址作为VLAN主机的网关地址:
最后发现我们可以ping通:
重点
[Huawei-GigabitEthernet0/0/2]int vlanif 10
[Huawei-Vlanif10]ip add 10.1.1.2 24
[Huawei-Vlanif10]int vlanif 20
[Huawei-Vlanif20]ip add 20.1.1.2 24
配置单臂路由
二层设备不像三层设备,无法配置vlanif接口。那么可以使用单臂路由。
我们在路由器连接交换机的那个接口上开启子接口,并为每一个子接口配置对应的IP地址和dot1q vid。随后把终端的子接口地址设置为网关之后就能实现和vlanif相同的效果。
注:dot1q就是802.1q,是vlan的一种封装方式。dot为点,就是“.1q”
下面我们开始配置,构建一下拓扑及信息:
之后我们配置好交换机的Access和Trunk,这块儿配置就省略了 。
接下来配置路由器的子接口(注:华为的子接口没有开启ARP请求,需要开启ARP请求获取对端MAC后才能通信)以子接口int g0/0/0.1为例 :
此时,我们可以看到PC1对网关和地址都能Ping通:
重点
[Huawei]int g0/0/0.1 //进入子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10 //允许为802.1q的Vlan 10流量通行
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[Huawei-GigabitEthernet0/0/0.1]ip add 10.1.1.2 24 //添加IP网关
后续
基本上就这样,熟悉指令背后的原理后,就是多打命令,不敲手太生了文章来源地址https://www.toymoban.com/news/detail-720117.html
到了这里,关于HCIA数据通信——交换机(Vlan间的通信与安全)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
