一:一些模型
二:mac地址的认识
1.单播mac地址:用于唯一标识一台设备的某个接口,第一个字节的最低比特位为02.
组播mac地址:标识了一组设备,这种mac地址的第一个字节的最低比特位为1
3.广播mac地址的所有比特位全为1
注意:只有单播mac地址才能够被分配给以一个一台接口,组播或广播mac地址是不能被分配给任何一个以太网接口的,换句话说,这两种类型的mac地址不能作为数据帧的源mac地址,而只能作为目的mac地址
三:以太网数据帧
四: VLAN的接口和链路类型和转发原理以及优点
1.链路类型:
①:接入链路:access连理
②:干道链路:trunk链路
2.接口类型:
①: Access接口
Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同
VLAN成员时使用。它只能收发 Untagged帧且只能为 Untagged帧添加唯一VLAN的Tag。
②:trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发 Tagged帧和 Untagged帧的语音终端
它可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。
③:Hybrid接口
Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等)和网络设备(如Hub,
傻瓜交换机),也可以用于连接交换机、路由器以及可同时收发 Tagged帧和 Untagged帧的语音终端、AP
④:QinQ接口
QinQ(802.1Q-in-802.1Q)接口是使用QinQ协议的接口,一般用于私网与公网之间的连接。它可以给帧加上双层Tag,即在原来Tag的基础上,给帧加上一个新的Tag,从而可以支持多达4094×4094个VLAN满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag,用来标识公网的VLAN;内层Tag通常被称作私网Tag,用来标识私网的VLAN。
3.转发原理
4.优点:
VLAN技术是二层交换领域中非常重要也是非常基础的技术,它能给网络带来诸多利好,例如:
-
·隔绝广播:当交换机部署VLAN后,广播数据的泛洪被限制在 VLAN内。利用VLAN技术可以将网络从原来的一个大的广播域切割成多个较小的广播域,从而减少了泛洪带来的带宽资源及设备性能的损耗。
-
·提高网络组建的灵活度:VLAN技术使得网络设计和部署更加灵活。同一个工作组的用户不再需要局限在同一个地理位置。
-
·提高网络的可管理性:通过将不同的业务规划到不同的VLAN,并且分配不同的IP网段,从而将每个业务划分成独立的单元,极大地方便了网络管理和维护。
-
·提高网络的安全性:利用VLAN技术可以将不同的业务进行二层隔离。由于不同VLAN之间相互隔离,因此当一个VLAN发生故障,例如某个VLAN内发生ARP欺骗行为,不会影响到其他 VLAN。
5.交换机与路由器相连的情况
如果此时路由器没有子接口,那么我们将该路由器与该交换机的链路设置为access,但是如果路由器配置了子接口,那么此时我们就要配置为trunk或者Hybrid链路,两者的区别就是子接口需要处理带tag的帧
6.VLAN的种类
转存失败重新上传取消
7.一些基本配置
1.配置VlAN内与VLAN间Proxy ARP
①.VLAN内:
当VLAN内配置了端口隔离时,属于相同VLAN的用户间无法实现互通。在关联了VLAN的接口上使能VLAN内Proxy ARP功能,可以实现用户间三层互通。
//配置命令行c interface vlanif 10 //进入接口视图 arp-proxy inner-sub-vlan-procy enable //使能VLAN内Proxy ARP
②.VLAN间:
当属于同一网段但属于不同VLAN的用户间要实现三层互通时,可以在关联了VLAN的接口上使能VLAN间Proxy ARP功能。例如在Super-VLAN对应的VLANIF接口上使能VLAN间Proxy ARP功能,实现Sub-VLAN间用户互通。
//配置命令行c interface vlanif 10 //进入接口视图 arp-proxy inter-sub-vlan-procy enable //使能VLAN内Proxy ARP
2.配置基于ip地址划分的vlan
在 Switch 上配置 VLAN100与 IP 地址 192.168.1.2 关联,优先级为 2。
[Quidway] vlan 100
[Quidway-vlan100] ip-subnet-vlan 100 ip 192.168.1.2 24 priority 2
//执行该命令,用于将192.168.1.2 24这个ip网段与vlan 100 进行关联,使得该网段发出的报文能够在vlan100内传输
[Quidway-vlan100] quit
[Quidway-GigabitEtherner0/0/0] ip-subnet-vlan enable
//该命令用于激活基于ip地址划分vlan的功能,该命令只能用于Hybrid类型的接口上应用
3.一定要注意在交换机上创建对应的vlan,如果不创建对应的vlan,就会导致携带有该vlan id的帧在交换机上不能进行转发
8.MUX VLAN
1.背景:
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
2.基本概念:
MUX VLAN分为主VLAN和从VLAN,从VLAN又分为隔离型从VLAN和互通型从VLAN
①:主vlan
主VLAN(Principal VLAN):Principal port可以和MUX VLAN内的所有接口进行通信。
②:从vlan
1)隔离型从VLAN(Separate VLAN):Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
每个隔离型从VLAN必须绑定一个主VLAN。
2)互通型从VLAN(Group VLAN):Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个互通型从VLAN必须绑定一个主VLAN。
3.配置:
①:注意事项:
-
如果指定VLAN已经用于主VLAN或从VLAN,那么该VLAN不能再用于创建VLANIF接口,或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。
-
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。
-
不能在同一接口上配置MUX VLAN和接口安全功能。
-
不能在同一接口上配置MUX VLAN和MAC认证功能。
-
不能在同一接口上配置MUX VLAN和802.1x认证功能。
-
当同时配置DHCP Snooping和MUX VLAN时,如果DHCP Server在MUX VLAN的从VLAN侧,而DHCP Client在主VLAN侧,则会导致DHCP Client不能正常获取IP地址。因此请将DHCP Server配置在主VLAN侧。
-
接口使能MUX VLAN功能后,该接口不可再配置VLAN Mapping、VLAN Stacking。
②:配置命令
<SW>dis current-configuration
#
sysname SW
#
vlan batch 10 20 30
#
vlan 10
mux-vlan //配置vlan10位 MUX valn
subordinate separate 30 //配置隔离型从VLAN
subordinate group 20 //配置互通型从VLAN
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
port mux-vlan enable //使能接口的MUX VLAN功能。
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
port mux-vlan enable
#
③:注意事项
注意:ensp模拟器上暂时不支持port mux-vlan enable vlan 3,该命令。当mux vlan跨设备是,需要在交换机互联接口trunk上配置,port mux-vlan enable vlan 3 。开启trunk上的mux vlan。一般部署在汇聚层。
上面的实验中,不能配置这条命令。所以跨设备的隔离vlan也是可以通信的。例如PC3和PC7可以通信。
9.VLAN聚合
1.概述:
VLAN聚合(VLAN Aggregation,也称Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关。
通过引入Super-VLAN和Sub-VLAN的概念,使每个Sub-VLAN对应一个广播域,并让多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP子网,所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。
这样,多个Sub-VLAN共享一个网关地址,节约了子网号、子网定向广播地址、子网缺省网关地址,且各Sub-VLAN间的界线也不再是从前的子网界线了,它们可以根据各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围,从而即保证了各个Sub-VLAN作为一个独立广播域实现广播隔离,又节省了IP地址资源,提高了编址的灵活性。
2.原理:
VLAN聚合通过定义Super-VLAN和Sub-VLAN,使Sub-VLAN只包含物理接口,负责保留各自独立的广播域;Super-VLAN不包含物理接口,只用来建立三层VLANIF接口。然后再通过建立Super-VLAN和Sub-VLAN间的映射关系,把三层VLANIF接口和物理接口两部分有机的结合起来,实现所有Sub-VLAN共用一个网关与外部网络通信,并用ARP Proxy实现Sub-VLAN间的三层通信,从而在实现普通VLAN的隔离广播域的同时,达到节省IP地址的目的。
-
Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
-
Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同的是,它的VLANIF接口的Up不依赖于自身物理接口的Up,而是只要它所含Sub-VLAN中存在Up的物理接口就Up。
一个Super-VLAN可以包含一个或多个Sub-VLAN。Sub-VLAN不再占用一个独立的子网网段。在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN对应的子网网段内。
3.sun-vlan之间的通信
VLAN聚合在实现不同VLAN共用同一子网网段地址的同时,也给Sub-VLAN间的三层转发带来了问题。普通VLAN中,不同VLAN内的主机可以通过各自不同的网关进行三层互通。但是Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发。即实际上,不同Sub-VLAN的主机在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题。
解决这一问题的方法就是使用Proxy ARP。
4.配置:
①:注意事项:
-
VLAN1不能配置为Super-VLAN。
-
配置某VLAN为Super-VLAN后,该VLAN类型改变为super,不允许任何物理接口加入该VLAN。
-
流策略只有在Super-vlan的所有Sub-vlan下配置才能生效,在Super-vlan下配置不生效。
-
配置某个VLAN为子接口的终结VLAN后,该VLAN不能再配置为Super-VLAN或Sub-VLAN。
-
Super-VLAN对应的VLANIF接口配置IP地址后Proxy ARP才能生效。
②:命令:
[SW]dis current-configuration
#
sysname SW
#
vlan batch 10 20 100
//批量创建VLAN
#
vlan 100
aggregate-vlan//创建聚合VLAN
access-vlan 10 20//将valn10 20 添加进聚合和VLAN
#
interface Vlanif100
ip address 10.0.100.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
//开启VLAN间ARP代理,实现VLAN间通信
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#