進階-中小型網絡構建-二層VLAN技術詳解配實驗步驟

進階-中小型網絡構建-二層VLAN技術詳解配實驗步驟

爲何講 VLAN ？

    在傳統的交換網絡中，爲了隔離衝突域，咱們引入了交換機。

交換機的每個端口都是一個不一樣的隔離域。

可是交換機沒法隔離廣播域，

因此，若是網絡中有一個惡意的主機發送廣播的惡意流量，

那麼處於同一個交換網路中的全部設備都會受到影響。

此時，若是咱們想進行故障主機的定位或者控制惡意廣播流量的

影響範圍，是很是困難的。

爲了解決這個問題，咱們的方案是：隔離廣播域。

   即將一個大的廣播域，經過「技術」分割成不少不一樣的小廣播域。

   那麼惡意的廣播流量，僅僅會被控制在一個有限的範圍內，

   如此一來，對於故障主機的定位以及惡意流量的影響均可以實現

   很好的控制。

   這種技術，咱們稱之爲 --  vlan  ，virtual lan 虛擬局域網。

VLAN的定義：

    VLAN指的是具備一樣功能的一些設備所處於一個的廣播域/網段；

可是位於同一個 VLAN 中的設備與物理位置沒有關係。

即屬於同一個 VLAN 的成員主機，能夠位於同一個物理位置，

也能夠位於不一樣的物理位置。

所謂的「虛」，指的就是「物理位置的」的「虛擬」。

是相對於「傳統的LAN」而言的，在傳統的 LAN 中，只有屬於同一個物理

範圍內的設備，纔是屬於同一個 LAN 的。

而 VLAN 就是打破了這種物理位置的限制。

    在交換機上經過 VLAN 技術，實現廣播域的隔離。屬於 OSI 2層的技術。

VLAN的做用：

    在交換機上劃分不一樣的廣播域，

每個 VLAN 都是屬於一個不一樣的廣播域；

【不一樣的 VLAN 就是屬於不一樣的網段；】

VLAN的表示：

    # 經過 ID 來表示，好比 vlan 1 , vlan 2 ..... 

  ID取值範圍： 0 - 4095

Access 與 Trunk 鏈路的區別：

     #鏈接的設備不一樣；

              access ，通常鏈接的是終端設備；

                    trunk ， 通常鏈接的是交換機設備；

     #支持的VLAN不一樣；

              access， 永遠只能屬於一個 VLAN ；

                    trunk ， 能夠同時支持多個VLAN ；

     #對數據的操做不一樣    

         access ：

            對於出向數據而言，是不打標籤的；

            對於入向數據而言，是不打標籤的；

         trunk :

            對於出向數據而言，確定是須要打標籤的；

            對於入向數據而言，

                    #若是接收到的數據是攜帶標籤的，

                          &若是該接收端口是容許該vlan的，則直接接收；

                          &若是該接收端口不容許該vlan的，則直接丟棄；

                    #若是接受到的數據是不攜帶標籤的，      

                          就會使用該 trunk 端口上的 PVID 表示的

                          vlan 號，爲數據打一個標籤；

                          注意：

                            trunk 鏈路上的默認的 PVID 是 1 ；                                                        

--------------------------------------------------------------------

 

經過以上的 access  與  trunk 鏈路對 tag 標籤的操做的理解，

之後咱們在排查交換網絡中的故障的時候，

應該在「數據轉發的路徑上的每一個交換機上，依次使用下列命令進行排查」：

 

1.當交換機收到一個數據幀的時候，咱們使用下面的命令查看：

   display port vlan ---> 爲的是肯定該數據幀的入端口的 PVID ；

  

2.查看交換機上的入端口的 PVID 表示的 VLAN 的 MAC-address 表；

    display mac-address vlan {pvid}

             #在該 vlan 的 mac-address 表的顯示中，存在對應的 mac-address

                    條目，則將數據幀從對應的端口中發送出去；

                   #在該 vlan 的 mac-address 表的顯示中，不存在對應的 mac-address

                    條目，則進行「第3步」

 

3.經過如下命令進一步肯定「數據幀的出端口」：

   display vlan [pvid] --> 首先查看與該 vlan 對應的 「出端口」。

                           同時，肯定數據在該端口上出去的時候，

                                 對標籤的處理動做：

                                             UT - 不打標籤；

                                             TG - 打標籤；

                                                     其實打的標籤的值

                                                     是PVID；

下面就以一組實驗來驗證

實驗名稱：同一個VLAN內的主機互通

實驗需求：

    PC-1/PC-2/PC-5 屬於 VLAN 10 ，IP地址：192.168.10.X/24，X是PC號；

         PC-3/PC-4屬於 VLAN 30 ，IP地址：192.168.30.X/24，X 是 PC 號；

    同一個 VLAN 內部的主機之間互相 ping 通；

實驗步驟：

   1.配置終端主機；

       PC-1 : 192.168.10.1/24

            PC-2 ：192.168.10.2/24

            PC-5 ：192.168.30.5/24

            PC-3 : 192.168.30.3/24

            PC-4 ：192.168.30.4/24

   2.配置網絡設備

        # 建立 VLAN ,並驗證 VLAN 信息；

                      SW1:

                        [SW1]vlan 10 -->建立 VLAN 10 ；

                             [SW1-vlan 10] quit

                             

                             [SW1]vlan 30 -->建立 VLAN 30

                             [SW1-vlan 30] quit

                             

                             [SW1] display vlan --> 查看交換機上建立好的 vlan 10 和 30

                             

                      SW2:

                        [SW1]vlan 10

                             [SW1-vlan 10] quit

                             

                             [SW1]vlan 30

                             [SW1-vlan 30] quit

                             

                             [SW1] display vlan --> 查看交換機上建立好的 vlan 10 和 30

                             

                   # 將鏈接 PC 的端口配置爲 Acess ，並放入特定的 VLAN ；

                  

                   SW1;

                      interface gi0/0/1 -->該端口鏈接的是 PC-1

                         port link-type access --> 設置端口模式爲 access ；

                              port default vlan 10  --> 設備端口屬於 vlan 10 ;

                  

                      interface gi0/0/2 -->該端口鏈接的是 PC-2

                         port link-type access --> 設置端口模式爲 access ；

                              port default vlan 10  --> 設備端口屬於 vlan 10 ;

 

                      interface gi0/0/3 -->該端口鏈接的是 PC-3

                         port link-type access --> 設置端口模式爲 access ；

                              port default vlan 30  --> 設備端口屬於 vlan 30 ;                       

                  

                   SW2;

                      interface gi0/0/4 -->該端口鏈接的是 PC-4

                         port link-type access --> 設置端口模式爲 access ；

                              port default vlan 30  --> 設備端口屬於 vlan 30 ;            

                  

                      interface gi0/0/5 -->該端口鏈接的是 PC-5

                         port link-type access --> 設置端口模式爲 access ；

                              port default vlan 10  --> 設備端口屬於 vlan 10 ;  

 

        驗證 VLAN 與 端口的從屬關係：

            [SW1]display vlan -->查看對應的 VLAN 後面有關聯的端口；

            [SW2]display vlan -->查看對應的 VLAN 後面有關聯的端口；                                    

                  

                   # 配置交換機之間的互聯鏈路爲 Trunk，並容許全部的 VLAN 經過；

 

          SW1：

                       interface gi0/0/24 --> 鏈接 SW2 ；

                                 port link-type trunk  -->將端口設置爲 trunk 模式；

                                      port trunk allow-pass vlan all -->配置端口容許全部的VLAN

 

          SW2：

                       interface gi0/0/24 --> 鏈接 SW1 ；

                                 port link-type trunk  -->將端口設置爲 trunk 模式；

                                      port trunk allow-pass vlan all -->配置端口容許全部的VLAN

 

         驗證鏈路的 Trunk 模式以及 Trunk 端口容許的 VLAN ：

                       [SW1] display port vlan --> 查看端口模式以及容許的 VLAN ;

                       [SW2] display port vlan --> 查看端口模式以及容許的 VLAN ;

Trunk：幹道

    爲了節省交換機設備之間的互聯鏈路，

         咱們開發了 Trunk 技術，如此一來，就能夠大大的節省設備之間的

         鏈接端口。爲啥？由於：

                    能夠同時傳輸多個 VLAN 的數據的鏈路/端口；

                         通常應用於交換機與交換機之間的互聯鏈路；

        

         配置命令：

             interface gi0/0/24

                       port link-type trunk -->將端口配置爲 Trunk 模式；

                            port trunk allow-pass vlan all -> 在該端口上容許全部的VLAN

                                                              經過；

                                                                                                         默認狀況下，僅容許VLAN 1；

若是出現配錯命令也能夠進行刪除

刪除 VLAN ：

  [SW1] undo vlan 10 -->刪除 VLAN 10 之後，曾經屬於 vlan 10

                        的端口自動的迴歸到 vlan 1 ；

 

將端口從 access 配置爲 hybrid :

   1.首先刪除該端口上的「配置 vlan 」的命令；

   2.其次直接修改該端口的 link-type ;

 

將端口從 trunk 配置爲 access ：

   1.首先刪除該 trunk 端口上的：port trunk allow-pass vlan all

   2.其次配置該端口僅僅容許 VLAN 1 經過：

         port trunk allow-pass vlan 1 

   3.其次直接修改該端口的 link-type ;  

 

注意：

   在同一個 trunk 鏈路上先後使用的「 port trunk allow-pass vlan x "

   命令是相互疊加的，不是相互覆蓋的；

   爲了安全着想，在企業中，咱們建議，僅僅在交換機之間的 Trunk 鏈路

   上容許」企業中存在的那些 VLAN 「。

最後對GVRP作以講解

GVRP ： generic vlan register protocol , 通用 vlan 註冊 協議；

 

     該協議的做用，就是在不一樣的交換機之間，自動的同步 VLAN 信息的；

 

注意：

   爲了保證整個交換網絡的互通，咱們必須確保在網絡中的全部交換機

   擁有」徹底相同的 VLAN 數據庫「。

  

   而且， GVRP 在華爲設備上，默認是關閉的。該協議是」公有標準協議「。

   【在思科上實現一樣的功能的協議，叫作 VTP，這是思科私有的】

 

配置：

   display gvrp status --> 查看當前交換機上的 GVRP 的運行狀態；

 

  1.在系統模式下開啓 GVRP 功能：

      [SW1] gvrp --->爲整個設備開啓 GVRP 功能；

          

  2.在交換機之間的互聯鏈路上開啓 GVRP ，即在 Trunk 上開啓；

      [SW1]interface gi0/0/24

           [SW1-gi0/0/24] gvrp ---> 在端口上開啓 GVRP 功能，

                                    從而該端口就能夠正常的發送和接收

                                                                    GVRP的報文；

    

 

 注意：

    GVRP 命令，必須在 Trunk 鏈路配置。若是是其餘類型的鏈路，該命令

         沒法輸入；