VLAN协议与三层交换机 (Access/Trubk/Hrbrid)

VLAN协议与三层交换机（Access/Trunk/Hybrid）

一、VLAN概述

1、分割广播域

• 广播域、网络中能接收到同一个广播的所有节点的集合

1）物理分割

• 将网络从物理上划分为若干个小网络，然后使用能隔离广播的物理设备将不同的网络连接起来实现通信

2）逻辑分离

• 将网络从逻辑上划分为若干个小的虚拟网络，即VLAN（Virtual Local Area Network）。VLAN 工作在OSI 参考模型的数据链路层，一个VLAN 就是一个交换网络，其中所有用户都在同一个广播域中，个网络通过路由设备的连接实现网络通信。 

2、VLAN的优势

（1）控制广播

• 每个VLAN 都是一个独立的广播域，这样就减少了广播对网络宽带的占用，提高了网络传输效率

（2）增强网络安全性

• 由于只能在同一VLAN内的端口之间交换数据，不同的VLAN 端口之间不能直接访问，因此通过划分VLAN 可以限制个别主机访问服务器等资源，提高网络安全性

（3）简化网络管理

• VLAN 可以根据部门职能，对象组或者应用将不同的地理位置的用户划分为一个逻辑网址，在不该懂网络物理连接的情况下可以任意的将工作站在工作组或者子网之间移动。利用VLAN 技术，大大减轻了网络管理和维护的工作的负担，降低了网络维护的费用

3、静态VLAN

（1）静态VLAN 也是基于端口划分的 VLNA，是目前最 常见的 VLAN实现方式

• 静态VLAN 即明确指定交换机的端口属于哪个 VLAN，这需要网络管理员手动配置

         

（2）VLAN 的范围

   

二、Trunk 的作用

1、实现交换机之间的VLAN 通信只使用一条链路，且通过标识来区分不同VLAN的数据

2、交换网络中的链路类型

（1）接入链路

• 单标签数据，通常为主机到交换机之间的连接

（2）中继链路

• 多标签数据，交换机到交换机之间的连接

    

3、VLAN 跨交换机通信的过程中数据帧的变化

     

• 当VLAN 30中的主机A发送数据帧给主机B时，主机A发送的数据帧时普通的数据帧
• 交换机SW1接收到数据帧，知道这个数据帧来自VLAN30 且要转发给交换机SW2，于是就会在数据帧打上VLAN30 的标识，然后发送给交换机SW2
• 交换机SW2接收到带有VLAN 30 标识的数据帧后，根据目标MAC 地址，得知数据帧是发送给主机B 的，就删除VLAN 标识还原为普通数据帧，然后转发给主机B。

三、VLAN 的标识

1、在以太网中实现中继

（1）ISL(Cisco私有标准)

（2）IEEE802.1q

• 使用一种内部标记机制，中继设备将四字节的标记插入到数据帧内，并重新计算FCS（Frame Check Sequencl，帧校验序列）

     如图所示802.1q的帧标识在标准以太网帧内插入了四字节

    

①、以太网帧内插入四字节的标记头包含一下内容

• 2字节标记协议标识符（TPID）包含一个0*8100 的固定值，这个特定的TPID 值指明了该帧带有802.1q 的标记信息
• 2字节标记控制信息（TCI）包含了下面的元素

          3位的用户优先级（Priority）：802.1q 不能使用该字段

          1位的规范格式标识符（CFI）：CFI常用于以太网和令牌环网，在以太网中，CFI的值通常设置为“0”

          12位VLAN标识符（VLAN ID）：该字段唯一标识了帧所属的VLAN，VLAN ID 可以唯一的标识4096 个 VLAN，但VLAN 0 和VLAN 4095 是被保留的

四、三层交换技术

1、三层交换技术概述

• 三层交换机通过硬件来交换和路由选择数据包
• 使用三层交换技术实现VLAN 间通信 
• 三层交换=二层交换+三层转发

2、传统的 MLS

• 三层转发过程中需要重新封装2层
• 三层交换机上，第三层引擎处理数据流的第一个包
• 交换ASIC从3层引擎中获悉2层重写信息，在硬件中创建一个MLS条目
• 负责重写和转发数据流中的后续数据。

2）简单地说，主机第一次ARP请求广播后，将数据发给三层交换机，交换机从3层引擎中获悉2层重写信息将其记录到底层硬盘里，并转发出去，当下一次再具有相同地址信息的数据流再次通过时，即根据此表直接在二层（数据链路层）完成转发，即“一次路由，多次交换”，有效提高了数据包转发的效率。*三层转发过程中要重新封装2层

3、基于CEF 的MLS

• CEF 概念：基于拓扑转发的模型

  1）转发信息库（FIB）

  2）邻接关系表

   

  

①：主机A 给主机B 发送单播数据包

②：交换机查找邻接关系表

③：转发

五、华为交换机的三种模式

1、Access

1）概念

• 只能属于一个VLAN ，也只能允许这一个VLAN的流量通过，数据进交换机时加标签。数据出交换机脱标签。

 2）Access 相关命令

VLAN10                         ### 划分VLAN ###
VLAN batch 10 20          ### 批量划分 VLAN 10和VLAN 20 ### 
int g/0/0/0                     ### 进入接口模式  ###
port  link-type access     ### 定义二层端口模式 ###
port default vlan 10       ### 将端口加入VLAN中 ###
undo shutdown  

2、Trunk

1）概念

• 可以同时属于多个VLAN，也能同时允许这些流量的VLAN 通过

2）Trunk相关命令

int g0/0/0

port link-type trunk                # 定义二层端口模式
port trunk allow-pass vlan 10 20 30      #（可以为all  1-4095)配置Trunk端口允许通过的VLAN
undo shutown
undo port trunk allow-pass vlan 10      # 禁止Trunk传送某个VLAN的数据，删除这个VLAN

（3）常用检查VLN 配置命令

dis this                           # 查看当前端口模式，状态
dis Vlan                         # 查看VLAN划分
undo port default vlan   # 将端口从VLAN删除

3、Hybrid

1）特点：

• 华为交换机接口默认为Hybrid模式
• 既可以实现Access接口的功能，也可以实现Trunk口的功能
• 不借助三层设备既可实现跨VLAN通信和访问控制
• Hybrid接口相对于Access接口和Trunk接口具有更高的灵活性与可控性。各接口根据PVID封装802.1q

2）作用

• 流量隔离
• 流量互通

3）Hybrid接口工作原理

①、根据PVID 封装802.1Q

 

②、可以根据需要以tagged（默认为空）或者untagged（默认VLAN 1）方式加入某个VLAN或者多个VLAN

口诀：

进口检查：查有无标签     有标查，tag表     有，放通      无，丢掉

                                        无标    添加PVID后放通

出口检查：查untag表 有标 脱       无标  查Tag，   有，放通    无，丢掉

4）Hybrid 接口收发数据帧流程

5）配置命令

int g0/0/0                     # 理解成Access 口
port hybrid pvid vlan 10              # 设置端口pvid 10
port hybrid untagged vlan 10      # 设置untag表vlan 10
undo shutdown

int g0/0/0                       # 相当与trunk接口
port hybrid tagged vlan 10 20 30  # 设置tag表vlan 10 20 30 (中继口命令）
undo shutdown   

int g0/0/0                                     # 上层路由器的配法 
port hybrid untagged vlan 10 30  #经过端口时多去vlan 10 30 标签
undo shutdown

int g0/0/0                        
undo port default vlan               # 初始化还原vlan
port link-type hybrid                  # 将这个口设置为hybrid模式，华为交换机默认hybrid口