VLAN
VLAN
VLAN(Virtual LAN):虚拟局域网
广播域越小越好
广播的危害:增加网络/终端负担,传播病毒,安全性
控制广播方法:
1、路由器隔离广播(成本高、不灵活)
2、VLAN技术控制广播,逻辑隔离广播域
tips:
-
一个VLAN = 一个广播域 = 一个网段(给不同VLAN区域设置不同网段可以方便配置管理) ·
-
VLAN是二层技术
-
不同VLAN间不能通信(需借助东西)
VLAN类型
静态VLAN(大多使用)
- 手工配置
- 基于端口划分的VLAN
静态VLAN表:
- VLAN ID:VLAN的标识(0~4095)
- 端口:交换机对应连接的端口
动态VLAN
- 手工配置
- 基于MAC地址划分的VLAN / 参用802.1x端口认证,基于账号来划分VLAN
动态VLAN表(适用于MAC划分的VLAN):
- VLAN ID
- MAC地址
交换机原理(结合VLAN)
注:入端口(F0/1)和出端口(G0/1)必须在同一VLAN才能从出端口出去。
未配置端口VLAN时,会设置缺省VLAN,一般是1
问题来了,交换机G0/1端口的VLAN默认是VLAN1,这样两个处于不同VLAN的端口将不会转发数据出去,如果选择另连接线并设置端口VLAN又费钱费力。想要解决方法吗,那就先了解这些
端口类型(基于VLAN)
access端口(接入端口):一般用于连接PC,只能属于某一个VLAN,也只能传输一个VLAN的数据
trunk端口(中继端口):一般用于连接其他交换机,属于公共端口,允许所有VLAN数据通过
Hybrid端口(混合端口)
trunk与Hybrid端口区别:在将带有VLAN标签的数据帧发出去时,trunk会保持原有的VLAN标签发送,而Hybrid会按照该端口设置的出口规则来决定是保持原来的VLAN标签发送还是取掉VLAN标签再发送
VLAN tag(VLAN标签):有VLAN ID ,可封装在数据帧上。
pc不识别VLAN标签,因此交换机转发数据帧时,会先将VLAN标签丢弃,再通过端口发出。
trunk作用之一:使不同交换机之间同一VLAN可通信。
pc3的数据帧进入交换机1的F0/1端口时,会给该数据帧上打上一个VLAN标签,然后给trunk端口(即G0/1)trunk端口保留VLAN标签,将数据帧发送给交换机2,交换机2trunk端口将数据帧给F0/2端口(access端口),将VLAN标签取掉后发送给pc5。
单臂路由
作用之一:使不同VLAN间可以进行通信(只能一对一,不能广播)
子接口
子接口是路由器物理接口里的虚拟接口,如图中F0/0.1,子接口可以有很多。
子接口和物理端口的MAC地址一样。
子接口只能识别和封装同一VLAN标签。
子接口可以开启DHCP中继,转发DHCP的广播包。
过程
前言:F0/0.1属于VLAN10,属10.1.1.0/24网段
F0/0.2属于VLAN20,属20.1.1.0/24 网段,ARP协议过程(带有VLAN标签去获取MAC地址)省略
框框顺序:目标MAC 源MAC 源IP 目标IP
AA发送数据帧,发现不同网段,要将数据交给网关(端口F0/0.1),数据帧从F0/1端口进入交换机,(上面一条线的是trunk链路),交换机转发数据帧,并给数据帧加上VLAN标签10,数据帧进入子接口F0/0.1,解封装帧头和VLAN标签,并将数据包转发给F0/0.2端口,F0/0.2端口给数据帧加VLAN标签20,以及ARP请求BB的MAC地址(略),封装好的数据帧从F0/3进入交换机,交换机查看VLAN表,查看MAC地址表,将VLAN标签丢弃,最后转发数据帧给BB。
单臂路由缺点:
1、网络瓶颈(通信都走那一条trunk链路)
2、容易发生单点物理故障
(所有的子接口依赖于总物理接口)
3、VLAN间通信的每一个帧都进行单独路由
所以接下来看三层交换技术:
三层交换机
三层交换机 = 三层路由器 + 二层交换机
理论模型:
内部有个路由引擎,可以自主打开,上面可开启虚接口SVI(可充当网关),裸露在外面的端口是二层端口,但可升级为三层端口。
与单臂路由相比:
1)解决了网络瓶颈的问题
不再是单臂路由的一条trunk链路,变成很多条(虚拟的)
2)解决了单点故障(虚拟接口不依赖与任何的物理接口 )
三层交换机不关,虚接口就没问题
3)一次路由,永久交换
在思科三层交换机中有个快速转发表(CEF),在进行第一次学习后就会生成记录,匹配后直接转发。
CEF表有(转发信息库->邻接关系表)这样的对应关系
CEF表内容:
- 目标IP:IP地址或网段
- 下一跳地址
- 出接口
FIB(转发信息库):IP 地址与VLAN ID对应关系
邻接关系表:邻接主机和交换机MAC地址的对应关系。
VRRP与HSRP
VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议和 HSRP(Hot Standby Routing Protocol)热备份路由协议都是用于当主路由器出现问题时,备份路由器接管通路,保证内网正常通信。
VRRP是公用的,HSRP是思科私有的,两者差不多,一些问题处理上不同,由于我学了HSRP,就介绍HSRP。
将网关端口加入同一热备份组(ID 1-255)中,就会有个虚拟路由器(作为老大),虚拟路由器有虚拟IP地址,我们一般将这个虚拟路由器的IP地址作为内网成员的网关地址,由他来分配通信路线。
HSRP组的成员有:虚拟路由器、活跃路由器、备份路由器。
HSRP优先级
用来选择谁当活跃路由器,通信时会走活跃路由器那条通路。
大小:1-255
当优先级相同时,按顺序考虑:
- 端口IP地址
- 预留IP地址
- 端口MAC地址,高者优先。
HSRP组默认每隔3秒发送hello包与其他组成员,当备份路由器发送给活跃路由器的hello包10秒后还未回应(活跃路由器出问题),备份路由器就会上位,变成活跃路由器(原先的活跃路由器回来时,发送hello包,又会变回去)。
占先权
作用:当检测不到对方时,或检测到对方比自己的优先级低时,会立即抢占成为活跃路由器,无需等待。
备份路由器给了内网端口(F0/0)出问题时的解决方法,当活跃路由器内网端口出问题时,备份路由器上位,然后数据就走备份路由器的F0/0端口,但如果活跃路由器是与外网端口(F0/1)出问题的话,就需要追踪。
追踪
活跃路由器的F0/0端口会追踪其他连接外网的端口,当其他端口出问题时,该F0/0端口就会自降优先级(降到备份路由器优先级以下)
STP
用于解决环路产生的广播风暴问题。
