1.vlan ---- 虚拟局域网
作用:将规模较大的广播域在逻辑上划分成若干个不同的、规模小的广播域。
特点:同一VLAN内的主机可以通信,不同VLAN内的主机不能通过二层交换机通信,只能借助三层设备通信
bash
dispiay vlan ---查看vlan信息2.创建vlan
bash
vlan 1 创建vlan1
vlan batch 1 to 10 创建1到10
共有 1--4094可用
删除 undo vlan barch 1 to 10 3.划分vlan
(1)基于接口划分:
VLAN的范围:0-4095,其中0和4095为系统保留,1-4094用户可用
PVID:缺省VLAN,默认VLAN 1
优点:划分方式简单,容易实现
缺点:主机移动,需要重新配置VLAN
(2)基于IP地址划分:
建立IP地址与VLANID的映射关系
优点:易于主机移动
(3)基于MAC地址划分:
建立MAC地址与VLANID的映射关系
缺点:配置易出错,主机不易移动
(4)基于协议划分:
建立协议簇类型和VLAN id的映射关系
(5)基于策略的划分:
多种方式的组合,需要管理员预先设置策略
注意:VLAN划分方式排序优先级:MAC>IP>协议>端口
802.1Q帧-tagged帧---在原先的以太网I型帧源MAC和类型字段之间添加了4个字节的tag(里面包含12位的VID)
我们将交换机和电脑之间的链路称为Access链路,交换机侧的接口我们称为Access接口。Access链路只能通过untagged帧,并且,这些数据帧都来自于某一个VLAN。交换机和交换机之间链路,我们称为trunk链路(trunk干道),交换机侧接口为trunk接口,trunk链路中可以通过tagged帧,并且,这些帧可以属于多个不同的vlan
交换机接口类型
1、access:
(1)定义:一般连接PC、服务器等终端设备,一个接口只能加入一个VLAN。
(2)特点:
接收帧:
收到untagged的数据帧,打上该接口PVID的标签,并接收;
收到tagged数据帧,与该接口PVID比较,相同则接受,不同则丢弃;
发送帧:
剥离标签发送
2、trunk:
(1)定义:一般用于交换机间互连、路由器、防火墙等设备的子接口;
可以允许多个VLAN的数据帧通过;
(2)特点:
接收帧
untagged数据帧,打上该接口的PVID的标签,同时看下该接口的PVID是否在接口允许列表中,如果在就并接收,否则丢弃;
tagged数据帧,查看VID是否在该接口允许列表中,如果在则接收,反之则丢弃;
发送帧
VID在允许列表中,且VID与PVID一致,则剥离标签发送;
VID在允许列表中,但VID与PVID不一致,则直接带标签发送;
不在允许列表中,则直接丢弃;
3、hybird:
(1)定义:既可连接pc或者路由器,能来连接交换机,可以允许多个VLAN的数据通过;
可以手动配置hybrid端口发出的数据帧,哪个VLAN保留标签,哪个VLAN撕掉标签;(必须定义,否则数据没法传输)
(2)特点:
接收帧
untagged数据帧:接口会为数据帧打上PVID作为标签,然后检查该VLAN是否在接口允许通过的VLAN列表中如果在则接收,否则丢弃
tagged数据帧:直接检查数据帧中的VLAN ID是否在接口允许通过的VLAN列表中,如果在则接收,否则丢弃
发送帧
Tag中的VLAN ID与pvid一致,则剥离tag并发送;
Tag中的VLAN ID与pvid不一致:
Tag中的VLAN ID出现在tagged表中,则保留tag发送;
Tag中的VLAN ID出现在untagged表中,则剥离tag发送;
如果VLAN ID既不在untagged也不在tagged列表中,数据帧将被丢弃
(3)hybird应用(每个PC都能和服务器通信,但PC之间不互通)
实现vlan重复使用,节约vlan数量
bash
接口划入access
[D5]int g 0/0/1
[D5-GigabitEthernet0/0/1]port link-type access
[D5-GigabitEthernet0/0/1]port default vlan 1
批量进入端口配置
[D5]port-group group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2 GigabitE
thernet 0/0/3 创建接口组
方法1:[SW2]int range g0/0/1 to g0/0/4
方法2:[SW2]port-group group-member GigabitEthernet 0/0/2 to GigabitEthernet 0/0/4
bash
接口划入trunk
[D5]int g 0/0/1
[D5-GigabitEthernet0/0/1]port link-type trunk
[D5-GigabitEthernet0/0/1]port trunk allow-pass vlan 1 2VLAN间通信背景
同一VLAN内通信,可以通过二层交换机实现;
VLAN间的通信,只能依靠三层设备(路由器、三层交换机)
(1)使用路由器物理接口
特点:在路由器上配接口IP,作为主机网关。但这需要路由器与每个VLAN建立一条物理连接,路由器接口很少,浪费路由器接口。
发送端:
目的IP:20.2 源IP:10.2 目的MAC:B 源MAC:A+VLAN 10 +数据
接收端:
目的IP:20.2 源IP:10.2 目的MAC:D 源MAC:C +VLAN 20+数据
(2)使用路由器子接口(单臂路由)
特点:一旦出故障,网络就瘫痪了。
发送端:
目的IP:20.2 源IP:10.2 目的MAC:B 源MAC:A +VLAN 10+数据
接收端:
目的IP:20.2 源IP:10.2 目的MAC:D 源MAC:C +VLAN 20+数据
bash
配置命令
[r1]int g0/0/0.1 创建子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 封装802.1q格式
[r1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播(3)使用三层交换机的VLANIF接口
目标MAC:MAC2:源MAC:MAC1+vlan 10+ 目标IP:192.168.20.2 源IP:192.168.10.2/24+传输层+应用层+数据
目标MAC:MAC3:源MAC:MAC2+vlan 20 +目标IP:192.168.20.2 源IP:192.168.10.2/24+传输层+应用层+数据
bash
路由模块:
[sw1]int vlanif 2 进入VLAN 2的VLANif接口
[sw1-Vlanif2]ip add 192.168.1.254 24