进阶-中小型网络构建-二层VLAN技术详解配实验步骤

为什么讲 VLAN ?

在传统的交换网络中,为了隔离冲突域,我们引入了交换机。

交换机的每一个端口都是一个不同的隔离域。

但是交换机无法隔离广播域,

所以,如果网络中有一个恶意的主机发送广播的恶意流量,

那么处于同一个交换网路中的所有设备都会受到影响。

此时,如果我们想进行故障主机的定位或者控制恶意广播流量的

影响范围,是非常困难的。

为了解决这个问题,我们的方案是:隔离广播域。

即将一个大的广播域,通过“技术”分割成很多不同的小广播域。

那么恶意的广播流量,仅仅会被控制在一个有限的范围内,

如此一来,对于故障主机的定位以及恶意流量的影响都可以实现

很好的控制。

这种技术,我们称之为 --  vlan  ,virtual lan 虚拟局域网。

VLAN的定义:

VLAN指的是具有同样功能的一些设备所处于一个的广播域/网段;

但是位于同一个 VLAN 中的设备与物理位置没有关系。

即属于同一个 VLAN 的成员主机,可以位于同一个物理位置,

也可以位于不同的物理位置。

所谓的“虚”,指的就是“物理位置的”的“虚拟”。

是相对于“传统的LAN”而言的,在传统的 LAN 中,只有属于同一个物理

范围内的设备,才是属于同一个 LAN 的。

而 VLAN 就是打破了这种物理位置的限制。

在交换机上通过 VLAN 技术,实现广播域的隔离。属于 OSI 2层的技术。

VLAN的作用:

在交换机上划分不同的广播域,

每一个 VLAN 都是属于一个不同的广播域;

【不同的 VLAN 就是属于不同的网段;】

VLAN的表示:

# 通过 ID 来表示,比如 vlan 1 , vlan 2 .....

ID取值范围: 0 - 4095

Access 与 Trunk 链路的区别:

#连接的设备不同;

access ,一般连接的是终端设备;

trunk , 一般连接的是交换机设备;

#支持的VLAN不同;

access, 永远只能属于一个 VLAN ;

trunk , 可以同时支持多个VLAN ;

#对数据的操作不同

access :

对于出向数据而言,是不打标签的;

对于入向数据而言,是不打标签的;

trunk :

对于出向数据而言,肯定是需要打标签的;

对于入向数据而言,

#如果接收到的数据是携带标签的,

&如果该接收端口是允许该vlan的,则直接接收;

&如果该接收端口不允许该vlan的,则直接丢弃;

#如果接受到的数据是不携带标签的,

就会使用该 trunk 端口上的 PVID 表示的

vlan 号,为数据打一个标签;

注意:

trunk 链路上的默认的 PVID 是 1 ;

--------------------------------------------------------------------

通过以上的 access  与  trunk 链路对 tag 标签的操作的理解,

以后我们在排查交换网络中的故障的时候,

应该在“数据转发的路径上的每个交换机上,依次使用下列命令进行排查”:

1.当交换机收到一个数据帧的时候,我们使用下面的命令查看:

display port vlan ---> 为的是确定该数据帧的入端口的 PVID ;

2.查看交换机上的入端口的 PVID 表示的 VLAN 的 MAC-address 表;

display mac-address vlan {pvid}

#在该 vlan 的 mac-address 表的显示中,存在对应的 mac-address

条目,则将数据帧从对应的端口中发送出去;

#在该 vlan 的 mac-address 表的显示中,不存在对应的 mac-address

条目,则进行“第3步”

3.通过以下命令进一步确定“数据帧的出端口”:

display vlan [pvid] --> 首先查看与该 vlan 对应的 “出端口”。

同时,确定数据在该端口上出去的时候,

对标签的处理动作:

UT - 不打标签;

TG - 打标签;

其实打的标签的值

是PVID;

下面就以一组实验来验证

实验名称:同一个VLAN内的主机互通

实验需求:

PC-1/PC-2/PC-5 属于 VLAN 10 ,IP地址:192.168.10.X/24,X是PC号;

PC-3/PC-4属于 VLAN 30 ,IP地址:192.168.30.X/24,X 是 PC 号;

同一个 VLAN 内部的主机之间互相 ping 通;

实验步骤:

1.配置终端主机;

PC-1 : 192.168.10.1/24

PC-2 :192.168.10.2/24

PC-5 :192.168.30.5/24

PC-3 : 192.168.30.3/24

PC-4 :192.168.30.4/24

2.配置网络设备

# 创建 VLAN ,并验证 VLAN 信息;

SW1:

[SW1]vlan 10 -->创建 VLAN 10 ;

[SW1-vlan 10] quit

[SW1]vlan 30 -->创建 VLAN 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交换机上创建好的 vlan 10 和 30

SW2:

[SW1]vlan 10

[SW1-vlan 10] quit

[SW1]vlan 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交换机上创建好的 vlan 10 和 30

# 将连接 PC 的端口配置为 Acess ,并放入特定的 VLAN ;

SW1;

interface gi0/0/1 -->该端口连接的是 PC-1

port link-type access --> 设置端口模式为 access ;

port default vlan 10  --> 设备端口属于 vlan 10 ;

interface gi0/0/2 -->该端口连接的是 PC-2

port link-type access --> 设置端口模式为 access ;

port default vlan 10  --> 设备端口属于 vlan 10 ;

interface gi0/0/3 -->该端口连接的是 PC-3

port link-type access --> 设置端口模式为 access ;

port default vlan 30  --> 设备端口属于 vlan 30 ;

SW2;

interface gi0/0/4 -->该端口连接的是 PC-4

port link-type access --> 设置端口模式为 access ;

port default vlan 30  --> 设备端口属于 vlan 30 ;

interface gi0/0/5 -->该端口连接的是 PC-5

port link-type access --> 设置端口模式为 access ;

port default vlan 10  --> 设备端口属于 vlan 10 ;

验证 VLAN 与 端口的从属关系:

[SW1]display vlan -->查看对应的 VLAN 后面有关联的端口;

[SW2]display vlan -->查看对应的 VLAN 后面有关联的端口;

# 配置交换机之间的互联链路为 Trunk,并允许所有的 VLAN 通过;

SW1:

interface gi0/0/24 --> 连接 SW2 ;

port link-type trunk  -->将端口设置为 trunk 模式;

port trunk allow-pass vlan all -->配置端口允许所有的VLAN

SW2:

interface gi0/0/24 --> 连接 SW1 ;

port link-type trunk  -->将端口设置为 trunk 模式;

port trunk allow-pass vlan all -->配置端口允许所有的VLAN

验证链路的 Trunk 模式以及 Trunk 端口允许的 VLAN :

[SW1] display port vlan --> 查看端口模式以及允许的 VLAN ;

[SW2] display port vlan --> 查看端口模式以及允许的 VLAN ;

Trunk:干道

为了节省交换机设备之间的互联链路,

我们开发了 Trunk 技术,如此一来,就可以大大的节省设备之间的

连接端口。为啥?因为:

可以同时传输多个 VLAN 的数据的链路/端口;

一般应用于交换机与交换机之间的互联链路;

配置命令:

interface gi0/0/24

port link-type trunk -->将端口配置为 Trunk 模式;

port trunk allow-pass vlan all -> 在该端口上允许所有的VLAN

通过;

默认情况下,仅允许VLAN 1;

如果出现配错命令也可以进行删除

删除 VLAN :

[SW1] undo vlan 10 -->删除 VLAN 10 以后,曾经属于 vlan 10

的端口自动的回归到 vlan 1 ;

将端口从 access 配置为 hybrid :

1.首先删除该端口上的“配置 vlan ”的命令;

2.其次直接修改该端口的 link-type ;

将端口从 trunk 配置为 access :

1.首先删除该 trunk 端口上的:port trunk allow-pass vlan all

2.其次配置该端口仅仅允许 VLAN 1 通过:

port trunk allow-pass vlan 1

3.其次直接修改该端口的 link-type ;

注意:

在同一个 trunk 链路上前后使用的“ port trunk allow-pass vlan x "

命令是相互叠加的,不是相互覆盖的;

为了安全着想,在企业中,我们建议,仅仅在交换机之间的 Trunk 链路

上允许”企业中存在的那些 VLAN “。

最后对GVRP做以讲解

GVRP : generic vlan register protocol , 通用 vlan 注册 协议;

该协议的作用,就是在不同的交换机之间,自动的同步 VLAN 信息的;

注意:

为了保证整个交换网络的互通,我们必须确保在网络中的所有交换机

拥有”完全相同的 VLAN 数据库“。

并且, GVRP 在华为设备上,默认是关闭的。该协议是”公有标准协议“。

【在思科上实现同样的功能的协议,叫做 VTP,这是思科私有的】

配置:

display gvrp status --> 查看当前交换机上的 GVRP 的运行状态;

1.在系统模式下开启 GVRP 功能:

[SW1] gvrp --->为整个设备开启 GVRP 功能;

2.在交换机之间的互联链路上开启 GVRP ,即在 Trunk 上开启;

[SW1]interface gi0/0/24

[SW1-gi0/0/24] gvrp ---> 在端口上开启 GVRP 功能,

从而该端口就可以正常的发送和接收

GVRP的报文;

注意:

GVRP 命令,必须在 Trunk 链路配置。如果是其他类型的链路,该命令

无法输入;

原文地址:http://blog.51cto.com/13698450/2114532

时间: 2024-11-06 03:46:54

进阶-中小型网络构建-二层VLAN技术详解配实验步骤的相关文章

大型企业网络构建——OSPF路由原理详解(一)

**OSPF的基本概念:** OSPF区域:为了适应大型网络,OSPF在AS内划分多个区域, 每个OSPF 路由器只维护所在区域的完整链路状态信息. 区域ID:可以表示成一个十进制的数字,也可以表示成一个IP. 骨干区域的Area 0:负责区域间路由信息的和传播 非骨干区域:必须通过骨干区域0 才能通信. **OSPF的工作原理:** 1. 建立邻居表 a) 链路互通 b) 正常发送报文--确保启用了OSPF,报文比较(hello) 2. 同步数据库(邻居的状态如果是 full ,就表示数据库同

中小型网络构建案例——防火墙的应用

今天带来一个中小型网络构建案例,在一个中型企业网络中,必不可少的一个设备就是防火墙,在昨天的文章中,已经简单给大家介绍了一下防火墙的概述与作用,如果大家还有什么疑问,可以在文章下方提问,小编一定使出我的九牛二虎之力,为您解决问题,废话就不多说了,接下来开始操作您就都懂了!!! 项目名称: 小型网络构建案例--防火墙的应用 项目拓扑: 项目需求: 1. vlan互通2. 配置VRRP实现虚拟网关冗余备份3. 内网PAT访问外网4. 发布WEB服务器提供外网访问 地址规划: 端口链路模式规划: 涉及

53 kvm及libvirt、使用virsh管理kvm虚拟机、网络虚拟化技术基础、网络名称空间netns用法详解

01 kvm及libvirt [[email protected] ~]# yum install libvirt libvirt-client python-virtinst virt-manager virt-install -y [[email protected] ~]# yum -y install qemu-kvm [[email protected] ~]# systemctl start libvirtd.service #创建桥 [[email protected] ~]# v

中小型网络构建-RIP协议

中小型网络构建-RIP协议 路由类型:路由器获得路由条目的方式 直连 非直连 静态 动态 IGP:internal gateway protocol , DV - distance vector ,距离矢量路由协议 RIP IGRP EIGRP LS - link state ,链路状态路由协议 ISIS OSPF EGP:external gateway protocol , RIP: routing information protocol ,路由信息协议 -概述: RIP 是一种距离矢量路

[转] VLAN原理详解

VLAN原理详解 标签: VLANAccess-LinkTrunk-Link802.1QISL 2013-07-26 18:05 27901人阅读 评论(15) 收藏 举报  分类: 网络通信/流媒体(30)  目录(?)[+] 1.为什么需要VLAN 1.1 什么是VLAN? VLAN(Virtual LAN),翻译成中文是“虚拟局域网”.LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络.VLAN所指的LAN特指使用路由器分割的网络——也就是广播域. 在此让我

【转】VLAN原理详解

1.为什么需要VLAN 1.1 什么是VLAN? VLAN(Virtual LAN),翻译成中文是“虚拟局域网”.LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络.VLAN所指的LAN特指使用路由器分割的网络——也就是广播域. 在此让我们先复习一下广播域的概念.广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围.严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicas

VLAN原理详解[转载] 网桥--交换机---路由器

来自:http://blog.csdn.net/phunxm/article/details/9498829 一.什么是桥接   桥接工作在OSI网络参考模型的第二层数据链路层,是一种以MAC地址来作为判断依据来将网络划分成两个不同物理段的技术,其被广泛应用于早期的计算机网络当中. 我们都知道,以太网是一种共享网络传输介质的技术,在这种技术下,如果一台计算机发送数据的时候,在同一物理网络介质上的计算机都需要接收,在接收后分析目的MAC地址,如果是属于目的MAC地址和自己的MAC地址相同便进行封装

Protocol Buffer技术详解(语言规范)

Protocol Buffer技术详解(语言规范) 该系列Blog的内容主体主要源自于Protocol Buffer的官方文档,而代码示例则抽取于当前正在开发的一个公司内部项目的Demo.这样做的目的主要在于不仅可以保持Google文档的良好风格和系统性,同时再结合一些比较实用和通用的用例,这样就更加便于公司内部的培训,以及和广大网友的技术交流.需要说明的是,Blog的内容并非line by line的翻译,其中包含一些经验性总结,与此同时,对于一些不是非常常用的功能并未予以说明,有兴趣的开发者

Comet技术详解:基于HTTP长连接的Web端实时通信技术

前言 一般来说,Web端即时通讯技术因受限于浏览器的设计限制,一直以来实现起来并不容易,主流的Web端即时通讯方案大致有4种:传统Ajax短轮询.Comet技术.WebSocket技术.SSE(Server-sent Events). 关于这4种技术方式的优缺点,请参考<Web端即时通讯技术盘点:短轮询.Comet.Websocket.SSE>.本文将专门讲解Comet技术.(本文同步发布于:http://www.52im.net/thread-334-1-1.html) 学习交流 - 即时通