進階-中小型網絡構建-二層VLAN技術詳解配實驗步驟數據庫
爲何講 VLAN ?安全
在傳統的交換網絡中,爲了隔離衝突域,咱們引入了交換機。網絡
交換機的每個端口都是一個不一樣的隔離域。ide
可是交換機沒法隔離廣播域,ui
因此,若是網絡中有一個惡意的主機發送廣播的惡意流量,spa
那麼處於同一個交換網路中的全部設備都會受到影響。blog
此時,若是咱們想進行故障主機的定位或者控制惡意廣播流量的開發
影響範圍,是很是困難的。同步
爲了解決這個問題,咱們的方案是:隔離廣播域。it
即將一個大的廣播域,經過「技術」分割成不少不一樣的小廣播域。
那麼惡意的廣播流量,僅僅會被控制在一個有限的範圍內,
如此一來,對於故障主機的定位以及惡意流量的影響均可以實現
很好的控制。
這種技術,咱們稱之爲 -- vlan ,virtual lan 虛擬局域網。
VLAN的定義:
VLAN指的是具備一樣功能的一些設備所處於一個的廣播域/網段;
可是位於同一個 VLAN 中的設備與物理位置沒有關係。
即屬於同一個 VLAN 的成員主機,能夠位於同一個物理位置,
也能夠位於不一樣的物理位置。
所謂的「虛」,指的就是「物理位置的」的「虛擬」。
是相對於「傳統的LAN」而言的,在傳統的 LAN 中,只有屬於同一個物理
範圍內的設備,纔是屬於同一個 LAN 的。
而 VLAN 就是打破了這種物理位置的限制。
在交換機上經過 VLAN 技術,實現廣播域的隔離。屬於 OSI 2層的技術。
VLAN的做用:
在交換機上劃分不一樣的廣播域,
每個 VLAN 都是屬於一個不一樣的廣播域;
【不一樣的 VLAN 就是屬於不一樣的網段;】
VLAN的表示:
# 經過 ID 來表示,好比 vlan 1 , vlan 2 .....
ID取值範圍: 0 - 4095
Access 與 Trunk 鏈路的區別:
#鏈接的設備不一樣;
access ,通常鏈接的是終端設備;
trunk , 通常鏈接的是交換機設備;
#支持的VLAN不一樣;
access, 永遠只能屬於一個 VLAN ;
trunk , 能夠同時支持多個VLAN ;
#對數據的操做不一樣
access :
對於出向數據而言,是不打標籤的;
對於入向數據而言,是不打標籤的;
trunk :
對於出向數據而言,確定是須要打標籤的;
對於入向數據而言,
#若是接收到的數據是攜帶標籤的,
&若是該接收端口是容許該vlan的,則直接接收;
&若是該接收端口不容許該vlan的,則直接丟棄;
#若是接受到的數據是不攜帶標籤的,
就會使用該 trunk 端口上的 PVID 表示的
vlan 號,爲數據打一個標籤;
注意:
trunk 鏈路上的默認的 PVID 是 1 ;
--------------------------------------------------------------------
經過以上的 access 與 trunk 鏈路對 tag 標籤的操做的理解,
之後咱們在排查交換網絡中的故障的時候,
應該在「數據轉發的路徑上的每一個交換機上,依次使用下列命令進行排查」:
1.當交換機收到一個數據幀的時候,咱們使用下面的命令查看:
display port vlan ---> 爲的是肯定該數據幀的入端口的 PVID ;
2.查看交換機上的入端口的 PVID 表示的 VLAN 的 MAC-address 表;
display mac-address vlan {pvid}
#在該 vlan 的 mac-address 表的顯示中,存在對應的 mac-address
條目,則將數據幀從對應的端口中發送出去;
#在該 vlan 的 mac-address 表的顯示中,不存在對應的 mac-address
條目,則進行「第3步」
3.經過如下命令進一步肯定「數據幀的出端口」:
display vlan [pvid] --> 首先查看與該 vlan 對應的 「出端口」。
同時,肯定數據在該端口上出去的時候,
對標籤的處理動做:
UT - 不打標籤;
TG - 打標籤;
其實打的標籤的值
是PVID;
下面就以一組實驗來驗證
實驗名稱:同一個VLAN內的主機互通
實驗需求:
PC-1/PC-2/PC-5 屬於 VLAN 10 ,IP地址:192.168.10.X/24,X是PC號;
PC-3/PC-4屬於 VLAN 30 ,IP地址:192.168.30.X/24,X 是 PC 號;
同一個 VLAN 內部的主機之間互相 ping 通;
實驗步驟:
1.配置終端主機;
PC-1 : 192.168.10.1/24
PC-2 :192.168.10.2/24
PC-5 :192.168.30.5/24
PC-3 : 192.168.30.3/24
PC-4 :192.168.30.4/24
2.配置網絡設備
# 建立 VLAN ,並驗證 VLAN 信息;
SW1:
[SW1]vlan 10 -->建立 VLAN 10 ;
[SW1-vlan 10] quit
[SW1]vlan 30 -->建立 VLAN 30
[SW1-vlan 30] quit
[SW1] display vlan --> 查看交換機上建立好的 vlan 10 和 30
SW2:
[SW1]vlan 10
[SW1-vlan 10] quit
[SW1]vlan 30
[SW1-vlan 30] quit
[SW1] display vlan --> 查看交換機上建立好的 vlan 10 和 30
# 將鏈接 PC 的端口配置爲 Acess ,並放入特定的 VLAN ;
SW1;
interface gi0/0/1 -->該端口鏈接的是 PC-1
port link-type access --> 設置端口模式爲 access ;
port default vlan 10 --> 設備端口屬於 vlan 10 ;
interface gi0/0/2 -->該端口鏈接的是 PC-2
port link-type access --> 設置端口模式爲 access ;
port default vlan 10 --> 設備端口屬於 vlan 10 ;
interface gi0/0/3 -->該端口鏈接的是 PC-3
port link-type access --> 設置端口模式爲 access ;
port default vlan 30 --> 設備端口屬於 vlan 30 ;
SW2;
interface gi0/0/4 -->該端口鏈接的是 PC-4
port link-type access --> 設置端口模式爲 access ;
port default vlan 30 --> 設備端口屬於 vlan 30 ;
interface gi0/0/5 -->該端口鏈接的是 PC-5
port link-type access --> 設置端口模式爲 access ;
port default vlan 10 --> 設備端口屬於 vlan 10 ;
驗證 VLAN 與 端口的從屬關係:
[SW1]display vlan -->查看對應的 VLAN 後面有關聯的端口;
[SW2]display vlan -->查看對應的 VLAN 後面有關聯的端口;
# 配置交換機之間的互聯鏈路爲 Trunk,並容許全部的 VLAN 經過;
SW1:
interface gi0/0/24 --> 鏈接 SW2 ;
port link-type trunk -->將端口設置爲 trunk 模式;
port trunk allow-pass vlan all -->配置端口容許全部的VLAN
SW2:
interface gi0/0/24 --> 鏈接 SW1 ;
port link-type trunk -->將端口設置爲 trunk 模式;
port trunk allow-pass vlan all -->配置端口容許全部的VLAN
驗證鏈路的 Trunk 模式以及 Trunk 端口容許的 VLAN :
[SW1] display port vlan --> 查看端口模式以及容許的 VLAN ;
[SW2] display port vlan --> 查看端口模式以及容許的 VLAN ;
Trunk:幹道
爲了節省交換機設備之間的互聯鏈路,
咱們開發了 Trunk 技術,如此一來,就能夠大大的節省設備之間的
鏈接端口。爲啥?由於:
能夠同時傳輸多個 VLAN 的數據的鏈路/端口;
通常應用於交換機與交換機之間的互聯鏈路;
配置命令:
interface gi0/0/24
port link-type trunk -->將端口配置爲 Trunk 模式;
port trunk allow-pass vlan all -> 在該端口上容許全部的VLAN
經過;
默認狀況下,僅容許VLAN 1;
若是出現配錯命令也能夠進行刪除
刪除 VLAN :
[SW1] undo vlan 10 -->刪除 VLAN 10 之後,曾經屬於 vlan 10
的端口自動的迴歸到 vlan 1 ;
將端口從 access 配置爲 hybrid :
1.首先刪除該端口上的「配置 vlan 」的命令;
2.其次直接修改該端口的 link-type ;
將端口從 trunk 配置爲 access :
1.首先刪除該 trunk 端口上的:port trunk allow-pass vlan all
2.其次配置該端口僅僅容許 VLAN 1 經過:
port trunk allow-pass vlan 1
3.其次直接修改該端口的 link-type ;
注意:
在同一個 trunk 鏈路上先後使用的「 port trunk allow-pass vlan x "
命令是相互疊加的,不是相互覆蓋的;
爲了安全着想,在企業中,咱們建議,僅僅在交換機之間的 Trunk 鏈路
上容許」企業中存在的那些 VLAN 「。
最後對GVRP作以講解
GVRP : generic vlan register protocol , 通用 vlan 註冊 協議;
該協議的做用,就是在不一樣的交換機之間,自動的同步 VLAN 信息的;
注意:
爲了保證整個交換網絡的互通,咱們必須確保在網絡中的全部交換機
擁有」徹底相同的 VLAN 數據庫「。
而且, GVRP 在華爲設備上,默認是關閉的。該協議是」公有標準協議「。
【在思科上實現一樣的功能的協議,叫作 VTP,這是思科私有的】
配置:
display gvrp status --> 查看當前交換機上的 GVRP 的運行狀態;
1.在系統模式下開啓 GVRP 功能:
[SW1] gvrp --->爲整個設備開啓 GVRP 功能;
2.在交換機之間的互聯鏈路上開啓 GVRP ,即在 Trunk 上開啓;
[SW1]interface gi0/0/24
[SW1-gi0/0/24] gvrp ---> 在端口上開啓 GVRP 功能,
從而該端口就能夠正常的發送和接收
GVRP的報文;
注意:
GVRP 命令,必須在 Trunk 鏈路配置。若是是其餘類型的鏈路,該命令
沒法輸入;