通常情况下,公司对内网的使用远远高于对外网的使用。公司的内部网络是由二层交换网络构建的,所以二层网络设计的好坏直接影响公司的正常业务。好的设计不仅使 功能得到体现,还可以应对一些未知的隐患,如线路损坏、设备损坏等。下面我们主要对华为的二层设备进行了解,不过首先要了解的就是二层设备(交换机)主要的就是——VLAN。
一、VLAN的基本概念
在传统的交换机以太网中,所有的用户都在同一个广播域中,当网络规模较大时,广播包的数量会急剧增加,当广播包的数量占到总量的30%时,网络的传输的效率会明显的下降,特别是当某网络设备出现故障时,也会不停的想网络发送广播,从而导致广播风暴的产生,是网络通信陷于瘫痪状态,那么怎么解决这个问题呢?
我们可以使用分隔广播域的方法来解决这个问题,分隔广播域有两种方法:
- 物理分隔:将网络从物理上划分为若干个小网络,再使用能隔离广播的路由设备将不同的网络连接起来实现通信;
- 逻辑分隔,将网络从逻辑上划分为若干个小的虚拟网络,即VLAN。VLAN工作在数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在同一个广播域中,使各VLAN通过路由设备连接实现通信;
使用物理分隔会有很多缺点,它会使局域网的设计缺乏灵活性。例如:连接在同一台交换机上的用户只能划分在同一个网络中,而不能划分在多个不同的网络中。
VLAN的产生给局域网的设计增加了灵活性,使得网络管理员在划分工作组时,不再受限于用户所处的地理位置。VLAN可以在一个交换机上实现,也可以跨交换机实现。它可以根据网络用户的位置、作用或部门进行划分,如图:
VLAN具有灵活性和可扩展性等特点,使用VLAN技术有以下好处:
(1)控制广播:
每个VLAN都是一个独立的广播域,这样就减少了广播对网络带宽的占用,提高了网络传输效率,并且每一个VLAN出现广播风暴不会影响到其他的VLAN;
(2)增强网络安全性:
由于只能在同一VLAN内的端口之间交换数据,不同VLAN的端口之间不能直接访问,因此VLAN可以限制个别主机访问服务器等资源。因此,通过划分VLAN可以提高网络的安全性;
(3)简化网络管理:
对于交换式以太网,如果对某些用户进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,这样会增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组会应用将不同地理位置的用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护的费用;
根据VLAN使用和管理的不同,VLAN分为两种:
(1)静态VLAN
静态VLAN也称为基于端口的VLAN,是目前最常见的VLAN实现方式。
静态VLAN即明确指定交换机的端口属于哪个VLAN,这需要网络管理员手动配置,当用户主机连接到交换机端口是,也就被分配到了相应的VLAN中;
(2)动态VLAN
动态VLAN的实现方式有很多种,目前最普遍的实现方式时基于MAC地址的动态VLAN。
基于MAC地址的动态VLAN是根据主机的MAC地址自动将其分配到相应的VLNA中,这种VLAN的划分方式优点:当用户物理位置移动时,不会重新分配VLAN,缺点:初始化时所有的用户都必须进行配置,配置任务非常繁重!
VLAN的范围,如图:
还有一些VLAN的封装过程,这里就不详细介绍了!
二、Hybrid接口的特点
按照VLAN接口封装类型,华为交换机的接口主要有三种模式:Access、Trunk和Hybrid。其中Access、Trunk接口和Cisco技术并无差异,Hybrid接口是华为设备特有的接口模式。Hybrid接口和Trunk接口的相同之处是都可以允许多个VLAN的流量通过并打标签,不同之处在于Hybrid接口可以允许多个VLAN的报文发送时不打标签。主要介绍华为交换机的Hybrid接口!
Hybrid接口作为华为交换机的特有属性接口,主要特点有:
- 华为交换机接口默认为Hybrid模式;
- 既可以实现Access接口的功能,也可以实现Trunk接口的功能;
- 不借助三层设备即可实现跨VLAN通信和访问控制;
- 相对于Access接口和Trunk接口具有更高的灵活性与可控性;
Hybrid接口的作用主要体现在:
- 流量隔离:Hybrid接口本身拥有强大的访问控制能力,通过对接口的配置可以隔离来自同一个VLAN的流量,也可以隔离来自不同VLAN的流量;
- 流量互通:Hybrid接口可以使不同的VLAN之间在二层实现通信;
注意:二层的解决方案永远比三层的解决方案要好,因为二层的效率要高于三层。事实上,所涉及的层次越高,效率越低!
三、Hybrid接口的工作原理
Hybrid接口能够灵活地控制一个接口上数据帧VLAN标签的添加和移除。例如:在接口对端的设备是交换机的情况下,可以配置接口允许某一些VLAN的数据帧携带VLAN标签通过该接口,而另外一些VLAN则不携带VLAN的标签发出。在接口对端设备是主机的情况下,可以配置发送到这些接口的数据帧不携带任何VLAN标签。
Hybrid接口的工作原理涉及到接口的三个属性,分别是:
- untag列表:只在接口发送数据帧时起作用,如果需要发送的数据的VLAN标签在接口的untag列表中,那么将去除标签发送数据;
- tag列表:作用与接收被标记的数据帧和发送数据帧。其作用类似于一个允许的VLAN标识列表。当接口接收到带有VLAN标签的数据帧时,该接口的tag列表相当于VLAN的允许列表,不在列表中的数据帧将被丢弃;当接口发送数据时,数据的VLAN标签在接口的tag列表中。将保持标签发送数据帧,否则将丢弃数据帧。
- PVID:接口默认的PVID为VLAN1,PVID只在接收未标记的帧时才起作用。PVID用于在接收未标记数据帧时会给数据帧打上当前的PVID标识;
从功能特性上来说,Hybrid接口中的untag列表和PVID用于实现Access特性,而tag列表用于实现Trunk特性。但又不仅仅是这样,因为Hybrid接口相比于Access接口和Trunk接口可以更加灵活,适用于各种场景。
(1)根据PVID封装802.1Q
在网络通过VLAN隔离的情况下,可以将流量分为两种类型:
- 一种是标记流量,即通过802.1Q打了标签的数据帧;
- 另一种是未标记流量,也就是原始的以太网帧。
PVID工作原理:通常情况下由终端设备发送和接收的流量为未标记流量。当交换机接收到一个标记流量时,将通过其802.1Q标签来识别其VLAN ID,但是当交换机接收到一个未标记的流量时,将根据接口PVID对流量进行802.1Q封装。
在华为设备中,各种类型的接口都有默认的PVID,如图:
任何进入交换机的流量都应该被标记。如果进入交换机的流量携带VLAN标签,那么它本身是就可以标识VLAN信息的,如果进入交换机的流量未被标记,经将通过接口的PVID进行标记,而标记的目的则是为了后续转发时使用!
PVID标记进入交换机的数据帧的示意图如下:
(2)根据untag列表和tag列表进行转发
交换机的Hybrid接口基于untag列表和tag列表接收或发送数据,其工作原理如下:
- 每个Hybrid接口默认都有一个untag列表,其中包含一个或多个VLAN编号,默认值为VLAN1;
- 每个接口都有一个tag列表,默认值为空,也可以设置包含一个或多个VLAN编号;
- Hybrid接口收到数据帧后,首先检查该数据帧是否携带标签,如果携带标签,则检查本接口的tag列表。若tag列表中存在数据帧封装的VLAN ID,则接收,否则将丢弃;如果不携带标签,那么根据Hybrid接口的PVID进行标记;
- Hybrid接口发送数据帧之前,检查本接口的untag和tag列表,若数据帧封装的VLAN ID存在于untag列表中,则去掉802.1Q封装发送原始数据帧;若存在于tag列表中,则保留802.1Q封装并发送带标签的数据帧;若两个列表中均无数据帧的VLAN ID,则不发送;
数据发送时untag列表的作用,如图:
数据发送时tag列表的作用,如图:
Hybrid接口发送数据帧的基本原则,其对应的处理流程图如下:
Hybrid接口和Trunk接口都可以给不同的VLAN打标签,也可以传输多个VLAN的流量;但是Hybrid接口可以允许多个不同VLAN的报文发送时不打标签,而Trunk接口只允许默认VLAN的报文发送时不打标签。
三种类型的接口可以共存在一台以太网交换机上,但Trunk接口和Hybrid接口之间不能直接切换,指能先设为Access接口,再设置为其他类型的接口。
四、Hybrid接口的应用场景
Hybrid接口基于三个属性收发数据,在了解其工作原理的基础上,分析其工作过程。通过对Hybrid接口的配置,实现如下需求:
- PC1和PC2之间可以相互访问,且只能访问PC4;
- PC3不能与PC1和PC2之间不可以相互通信,只能访问PC5;
实验图,如下:
看到实验需求、实验拓补图,应首先规划好untag列表中、tag列表中应该添加哪些VLAN信息来实现功能!
如果对PVID、untag列表、tag列表的工作明白的情况下,关于untag列表与tag列表中填写哪些VLAN,可以自行添加,这是其中一种方法。
注意:通常情况下,接口默认的PVID为1,默认untag列表中包含VLAN1.如果额外给接口设置PVID编号,那么一定要同时将编号放到tag列表或者untag列表中,否则将不能通信。
(1)Hybrid的配置
1.配置终端设备的IP地址
略!
2.在交换机S1、交换机S2上分别创建VLAN2、VLAN3和VLAN10
[S1]vlan batch 2 3 10[S2]vlan batch 2 3 103.在交换机S1和S2上配置Hybrid接口
S1交换机的配置如下:
[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid
//配置接口模式为Hybrid(默认就是Hybrid接口)
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
//配置接口的PVID为1(默认也是)
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
//将VLAN1、VLAN2加入untag列表
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/4]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
//将VLAN3、VLAN10添加到tag列表中S2交换机的配置如下:
[S2-GigabitEthernet0/0/3]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 104.验证网络通信
PC1的测试如下:
PC3的测试如下:
实验需求已经满足!
还有好多方法可以实现这样的需求,比如:
第一种:
按照图中方法自行配置即可!
第二种:
按照图中自行配置亦可!不过是对于交换机之间接口没有特殊要求的情况下!
———————— 本文至此结束,感谢阅读 ————————
原文地址:https://blog.51cto.com/14157628/2443392