VLAN

VLAN

VLAN（Virtual LAN）：虚拟局域网

广播域越小越好

广播的危害：增加网络/终端负担，传播病毒，安全性

控制广播方法：

1、路由器隔离广播（成本高、不灵活）

2、VLAN技术控制广播，逻辑隔离广播域

tips：

• 一个VLAN = 一个广播域 = 一个网段（给不同VLAN区域设置不同网段可以方便配置管理） ·

• VLAN是二层技术

• 不同VLAN间不能通信（需借助东西）

VLAN类型

静态VLAN（大多使用）

• 手工配置
• 基于端口划分的VLAN

静态VLAN表：

1. VLAN ID：VLAN的标识（0～4095）
2. 端口：交换机对应连接的端口

动态VLAN

• 手工配置
• 基于MAC地址划分的VLAN / 参用802.1x端口认证，基于账号来划分VLAN

动态VLAN表（适用于MAC划分的VLAN）：

1. VLAN ID
2. MAC地址

交换机原理（结合VLAN）

戳着：交换机工作过程（结合VLAN）

注：入端口（F0/1）和出端口（G0/1）必须在同一VLAN才能从出端口出去。

未配置端口VLAN时，会设置缺省VLAN，一般是1

问题来了，交换机G0/1端口的VLAN默认是VLAN1，这样两个处于不同VLAN的端口将不会转发数据出去，如果选择另连接线并设置端口VLAN又费钱费力。想要解决方法吗，那就先了解这些

端口类型（基于VLAN）

access端口（接入端口）：一般用于连接PC，只能属于某一个VLAN，也只能传输一个VLAN的数据

trunk端口（中继端口）：一般用于连接其他交换机，属于公共端口，允许所有VLAN数据通过

Hybrid端口（混合端口）

trunk与Hybrid端口区别：在将带有VLAN标签的数据帧发出去时，trunk会保持原有的VLAN标签发送，而Hybrid会按照该端口设置的出口规则来决定是保持原来的VLAN标签发送还是取掉VLAN标签再发送

VLAN tag（VLAN标签）：有VLAN ID ，可封装在数据帧上。

pc不识别VLAN标签，因此交换机转发数据帧时，会先将VLAN标签丢弃，再通过端口发出。

trunk作用之一：使不同交换机之间同一VLAN可通信。

pc3的数据帧进入交换机1的F0/1端口时，会给该数据帧上打上一个VLAN标签，然后给trunk端口（即G0/1）trunk端口保留VLAN标签，将数据帧发送给交换机2，交换机2trunk端口将数据帧给F0/2端口（access端口），将VLAN标签取掉后发送给pc5。

单臂路由

作用之一：使不同VLAN间可以进行通信（只能一对一，不能广播）

子接口

子接口是路由器物理接口里的虚拟接口，如图中F0/0.1，子接口可以有很多。

子接口和物理端口的MAC地址一样。

子接口只能识别和封装同一VLAN标签。

子接口可以开启DHCP中继，转发DHCP的广播包。

过程

前言：F0/0.1属于VLAN10，属10.1.1.0/24网段

F0/0.2属于VLAN20，属20.1.1.0/24 网段，ARP协议过程（带有VLAN标签去获取MAC地址）省略

框框顺序：目标MAC 源MAC 源IP 目标IP

AA发送数据帧，发现不同网段，要将数据交给网关（端口F0/0.1），数据帧从F0/1端口进入交换机，（上面一条线的是trunk链路），交换机转发数据帧，并给数据帧加上VLAN标签10，数据帧进入子接口F0/0.1，解封装帧头和VLAN标签，并将数据包转发给F0/0.2端口，F0/0.2端口给数据帧加VLAN标签20，以及ARP请求BB的MAC地址（略），封装好的数据帧从F0/3进入交换机，交换机查看VLAN表，查看MAC地址表，将VLAN标签丢弃，最后转发数据帧给BB。

单臂路由缺点：

1、网络瓶颈（通信都走那一条trunk链路）

2、容易发生单点物理故障

（所有的子接口依赖于总物理接口）

3、VLAN间通信的每一个帧都进行单独路由

所以接下来看三层交换技术：

三层交换机

三层交换机 = 三层路由器 + 二层交换机

理论模型：

内部有个路由引擎，可以自主打开，上面可开启虚接口SVI（可充当网关），裸露在外面的端口是二层端口，但可升级为三层端口。

与单臂路由相比：

1）解决了网络瓶颈的问题

不再是单臂路由的一条trunk链路，变成很多条（虚拟的）

2）解决了单点故障（虚拟接口不依赖与任何的物理接口 ）

三层交换机不关，虚接口就没问题

3）一次路由，永久交换

在思科三层交换机中有个快速转发表（CEF），在进行第一次学习后就会生成记录，匹配后直接转发。

CEF表有（转发信息库->邻接关系表）这样的对应关系

CEF表内容：

• 目标IP：IP地址或网段
• 下一跳地址
• 出接口

FIB（转发信息库）：IP 地址与VLAN ID对应关系

邻接关系表：邻接主机和交换机MAC地址的对应关系。

VRRP与HSRP

VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议和 HSRP（Hot Standby Routing Protocol）热备份路由协议都是用于当主路由器出现问题时，备份路由器接管通路，保证内网正常通信。

VRRP是公用的，HSRP是思科私有的，两者差不多，一些问题处理上不同，由于我学了HSRP，就介绍HSRP。

将网关端口加入同一热备份组（ID 1-255）中，就会有个虚拟路由器（作为老大），虚拟路由器有虚拟IP地址，我们一般将这个虚拟路由器的IP地址作为内网成员的网关地址，由他来分配通信路线。

HSRP组的成员有：虚拟路由器、活跃路由器、备份路由器。

HSRP优先级

用来选择谁当活跃路由器，通信时会走活跃路由器那条通路。

大小：1-255

当优先级相同时，按顺序考虑：

1. 端口IP地址
2. 预留IP地址
3. 端口MAC地址，高者优先。

HSRP组默认每隔3秒发送hello包与其他组成员，当备份路由器发送给活跃路由器的hello包10秒后还未回应（活跃路由器出问题），备份路由器就会上位，变成活跃路由器（原先的活跃路由器回来时，发送hello包，又会变回去）。

占先权

作用：当检测不到对方时，或检测到对方比自己的优先级低时，会立即抢占成为活跃路由器，无需等待。

备份路由器给了内网端口（F0/0）出问题时的解决方法，当活跃路由器内网端口出问题时，备份路由器上位，然后数据就走备份路由器的F0/0端口，但如果活跃路由器是与外网端口（F0/1）出问题的话，就需要追踪。

追踪

活跃路由器的F0/0端口会追踪其他连接外网的端口，当其他端口出问题时，该F0/0端口就会自降优先级（降到备份路由器优先级以下）

STP

用于解决环路产生的广播风暴问题。

参考：什么是STP？为什么需要STP？ - 华为 (huawei.com)