第七章，VLAN技术

前言

虚拟局域网

VLAN技术---是通过在交换机上部署，可以将一个大的广播域在逻辑上划分成若干个不同的、规模较小的广播域。----提高网络安全性和减少垃圾流量。

VLAN的特点：一个VLAN就是一个广播域。

VLAN标签---VLAN Tag

IEEE 802.1Q---->虚拟桥接局域网标准，Dot1Q标准。

• PC1发送的时一个传统的以太网数据帧，被称为无标记帧。--->主机的网卡通常只能发送和接收无标记帧。

• SW1会给这个无标记帧，在数据帧头部中插入802.1Q标记。VLAN-ID字段，填充10。--->标记帧。

  • 注意：在交换机内部，所有的数据都是标记帧，原因在于需要区分不同的VLAN数据。

• 交换机在其MAC地址表中查找该数据帧的目的MAC地址（只查询与VLAN 10相关的表项）。

• 数据帧在干道当中传递时，是一个标记帧。

• SW2将数据帧从GE0/0/1接口发出时，会将这个数据帧从802.1Q变为传统的以太网数据帧。去除VLAN标记字段。

VLAN划分方式

• 基于接口的划分方式---根据交换机接口来划分

  • 是目前最常用的VLAN划分方式。不需要关注终端的使用者或者用途。

  • PVID----缺省VLAN ID-----接口上的缺省VLAN---->交换机默认接口的PVID=1

• 基于MAC地址的划分---根据数据帧中的源MAC来划分

  • 需要网络管理员提前在交换机上配置MAC地址与VLAN ID的映射关系。

• 基于IP子网划分----根据数据帧中的源IP地址和子网掩码来划分

  • 需要网络管理员提前在交换机上配置。

• 基于协议的划分----根据数据帧所属的协议类型及封装格式来划分VLAN

  • 最不常用的方式。

  • 将有线数据和无线数据分割，根据802.3和802.11不同协议类型来划分

• 基于策略的划分

  • 实现多种组合的划分

VLAN配置

判断pc是否属于一个vlan：

        arp -a 

         显示当前 ARP（地址解析协议）缓存中的内容，ARP 缓存记录了 IP 地址和 MAC 地址的映射关系。

<Huawei>undo terminal monitor    ----关闭日志

        

        
1、创建VLAN
[Huawei]vlan 2  ---创建VLAN
[Huawei]vlan 3

[Huawei]vlan batch 10 to 20  ---批量创建

2、将接口划入VLAN
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access ---告知设备0/0/1接口的链路类型 
[Huawei-GigabitEthernet0/0/1]port default vlan 2   ---设置该链路类型下的PVID参数

3、配置干道信息
[sw1-GigabitEthernet0/0/5]port link-type trunk 
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

[sw1-GigabitEthernet0/0/5]undo port trunk allow-pass vlan 1----不放通VLAN1

[sw1-GigabitEthernet0/0/5]port trunk pvid vlan 2  ---修改trunk链路中的PVID

[Huawei]display vlan   ---查看交换机上的VLAN标签以及那些接口属于这个VLAN

[Huawei]display port vlan   ---查看端口的链路类型以及PVID参数

[Huawei]display port vlan active  ----查看每一个接口所允许通行的数据帧的类型以及标记

接口类型

Access类型

用于交换机连接用户终端的接口类型。

• 接收数据帧

  • 如果收到一个无标记帧，则为数据帧打上PVID数值

  • 如果收到一个标记帧

    • 数据帧中的VID=接口的PVID，交换机无条件接受该数据帧

    • 数据帧中的VID≠接口的PVID，交换机丢弃该数据帧

• 发送数据帧

  • 该数据帧一定是标记帧，因为在交换机内部数据帧必须携带标记，用以区分广播域

  • 数据帧中的VID=接口的PVID，交换机将802.1Q数据帧中的802.1Q标记摘除，恢复为802.3数据帧向外发送。

  • 数据帧中的VID≠接口的PVID，交换机拒绝从该接口发送数据帧。

Trunk干道在创建时，默认放通vlan 1的数据。且默认PVID=1。

Trunk类型

可以接收或发送多个VLAN的数据帧的接口，一般用于交换机之间连接。

• 接收数据帧

  • 接收一个无标记帧时

    • 交换机先给数据帧打上PVID数值

    • 检查该数值是否存在于该接口的允许列表中，如果存在则接收；反之则丢弃。

  • 接收一个标记帧

    • 判断数据帧中的VID是否存在于允许列表中，如果存在则接收；反之则丢弃。

• 发送数据帧

  • 先判断数据帧中的VID是否存在于允许列表中，如果存在则可以发送，反之则不能发送。

  • 如果可以发送，则将数据帧中的VID与接口的PVID进行判断，如果相同，则摘除标签发送，如果不同，则不摘除标签发送。

Hybrid类型

hybrid链路类型是华为私有设计的接口类型

• PVID----缺省VLAN

• Tagged----接口允许列表，可以携带标签

• Untagged---接口允许列表，不能携带标签

Hybrid接口使用实例

1、创建VLAN
[sw1]vlan batch 2 to 5

        

2、将vlan划入接口
[sw1-GigabitEthernet0/0/2]port link-type hybrid 
[sw1-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[sw1-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 5

        0/0/3同理

interface GigabitEthernet0/0/1
 port hybrid pvid vlan 4
 port hybrid tagged vlan 3 to 5
 port hybrid untagged vlan 2

VLAN间通讯

多臂路由

路由器的正常物理接口无法识别802.1Q数据帧，所以交换机再将数据传输给路由器时，需要发送的时无标记帧。

单臂路由

实际上是将路由器的一个物理接口逻辑上划分为多个逻辑接口（以太网子接口Sub-interface），从而实现多臂路由的功效。

        路由器的子接口是专门为了处理802.1Q数据帧而诞生的报文，且子接口的数据收发是依赖于物理接口的，所以，只有当从物理接口收到报文后，然后对该报文进行区分，然后再将其交于不同的子接口进行数据处理。-----故交换机连接路由器的接口应配置为Trunk接口。

1、创建vlan
[SW1]vlan batch  10 20

        

2、将vlan划入接口中
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
 
3、配置干道
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 10 20
 
4、路由器子接口配置
[r1]interface GigabitEthernet 0/0/1.1  ----创建路由器子接口
[r1-GigabitEthernet0/0/1.1]ip address 192.168.10.254 24
[r1-GigabitEthernet0/0/1.1]dot1q termination vid 10  ---告知子接口可以处理的VLAN标记为10
[r1-GigabitEthernet0/0/1.1]arp broadcast enable ---开启ARP广播功能

        

[r1]interface GigabitEthernet 0/0/1.2
[r1-GigabitEthernet0/0/1.2]ip address 192.168.20.254 24
[r1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[r1-GigabitEthernet0/0/1.2]arp broadcast enable 

注意：

• 华为子接口默认不开启ARP应答

• 子接口默认不能处理802.1Q数据帧，需要手工设置

使用三层交换机解决VLAN间通讯

企业中最常用的方式。

交换机的每一个物理接口仅能处理二层数据报文。SVI---交换机虚拟接口----在华为中被称为VLAN IF接口。能够处理三层报文的接口。

一般情况下，VLAN IF接口的IP地址都是这个VLAN中的默认网关地址。

说明：三层交换机设备也存在MAC地址，但是三层交换机中的所有虚拟三层接口共用一个MAC地址。

配置

SW1：

vlan batch 10 20

interface GigabitEthernet0/0/1

port link-type access port default vlan 10

        

interface GigabitEthernet0/0/2

port link-type access port default vlan 20

        

interface GigabitEthernet0/0/22

port link-type trunk port trunk allow-pass vlan 10 20

SW2：

vlan batch 10 20

interface GigabitEthernet0/0/22

port link-type trunk port trunk allow-pass vlan 10 20

[SW2]interface Vlanif 10 -----创建VLANIF接口，编号为10代表可以处理VLAN 10的数据

[SW2-Vlanif10]ip address 192.168.10.254 24

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

    需求：PC1和PC2可以访问路由器环回
    解决思路：首先需要让三层交换机和路由器通过OSPF协议学习到相应的路由信息。
    故需要保障交换机发送的hello报文可以被路由器处理，并且交换机本身没有接口属于三层接口，需要单独创建一个VLAN IF接口用于连接路由器，而VLAN IF接口的启用需要保障VLAN信息的存在，故需要先创建vlan和划分vlan接口。

[SW2]vlan 99

interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 99
 
interface Vlanif99
 ip address 192.168.99.1 24

补：

        三层交换机配置了vlan-if接口后，就可以telnet了，但是注意交换机是否有路由信息，有的话就可以，没有，则需要先telnet汇聚层的交换机，再在汇聚层交换机telnet接入层。

练习作业