本文共 4118 字,大约阅读时间需要 13 分钟。
在传统的交换网络中,为了隔离冲突域,我们引入了交换机。交换机的每一个端口都是一个不同的隔离域。但是交换机无法隔离广播域,所以,如果网络中有一个恶意的主机发送广播的恶意流量,那么处于同一个交换网路中的所有设备都会受到影响。此时,如果我们想进行故障主机的定位或者控制恶意广播流量的影响范围,是非常困难的。为了解决这个问题,我们的方案是:隔离广播域。即将一个大的广播域,通过“技术”分割成很多不同的小广播域。那么恶意的广播流量,仅仅会被控制在一个有限的范围内,如此一来,对于故障主机的定位以及恶意流量的影响都可以实现 很好的控制。这种技术,我们称之为 -- vlan ,virtual lan 虚拟局域网。
VLAN指的是具有同样功能的一些设备所处于一个的广播域/网段;但是位于同一个 VLAN 中的设备与物理位置没有关系。即属于同一个 VLAN 的成员主机,可以位于同一个物理位置,也可以位于不同的物理位置。所谓的“虚”,指的就是“物理位置的”的“虚拟”。是相对于“传统的LAN”而言的,在传统的 LAN 中,只有属于同一个物理范围内的设备,才是属于同一个 LAN 的。而 VLAN 就是打破了这种物理位置的限制。在交换机上通过 VLAN 技术,实现广播域的隔离。属于 OSI 2层的技术。
在交换机上划分不同的广播域,每一个 VLAN 都是属于一个不同的广播域;【不同的 VLAN 就是属于不同的网段;】
#在交换机;#配置 VLAN ;1.创建VLAN [SW1] vlan 10 [SW1-vlan10]quit 2.配置端口模式 access - 连接终端设备的接口 即,只要不连接交换机的端口,都可以 配置为 access ; & trunk * hybrid [SW1] interface gi0/0/1 [SW1-gi0/0/1] port link-type access 3.配置端口属于的 VLAN [SW1] interface gi0/0/1 [SW1-gi0/0/1] port default vlan 10 4.验证 VLAN配置信息; display vlan --> 查看交换机上面的VLAN 以及端口对应关系; display port vlan --> 查看交换机上的端口的模式 以及VLAN对应关系;
在华为交换机上可以实现 VLAN 的 批量创建: [SW1] vlan batch 3 5 7 9 -->表示同时创建 vlan 3 5 7 9 ; 可以创建连续的 vlan 号, 也可以创建不连续的 vlan 号;在华为交换机上为了便于识别不同的 VLAN 的功能,我们可以为每个VLAN 配置一个描述(名字) : [SW1] vlan 400 [SW1-vlan 400] description HCNP display vlan ---> 一直看到最后; 在华为交换机上可以实现端口的批量配置,即使用"port-group“: [SW1]port-group group-member gi0/0/1 to gi0/0/3 [SW1-portg-roup] port link-type access [SW1-port-group] port default vlan 10 注意:以上我使用的端口组是属于“临时的端口组”, 另外,还有一种类型的端口组,称之为“永久性端口组”。 1.创建一个端口组; 2.将成员端口加入到该端口组; 3.以后想配置这些端口的时候,直接对“端口组”配置就可以了。 [SW1] port-group a------------------------------------------------------------------- [SW1-port-group-a]group-member gi0/0/1 to gi 0/0/20 [SW1-port-group-a]port link-type access [SW1-port-group-a] port default vlan 10
为了节省交换机设备之间的互联链路,我们开发了 Trunk 技术,如此一来,就可以大大的节省设备之间的连接端口。 可以同时传输多个 VLAN 的数据的链路/端口; 一般应用于交换机与交换机之间的互联链路;配置命令: interface gi0/0/24 port link-type trunk -->将端口配置为 Trunk 模式; port trunk allow-pass vlan all -> 在该端口上允许所有的VLAN 通过; 默认情况下, 仅允许VLAN 1;在使用下面的这个命令之前,我们通过命令: display vlan 查看, gi0/0/24 仅仅出现在 vlan 1 的后面; 当我们使用了这个命令之后,通过命令: display vlan 查看, gi0/0/24 出现在所有 vlan 的后面; 验证命令: display port vlan -> 查看特定端口的状态以及允许的 VLAN 的范围; display vlan -->可以查看到该 trunk 端口出现在所有的 VLAN 后面;
为了在交换机之间的 Trunk 链路上区分开不同的 VLAN 的数据,所以呢,该 Trunk 链路上支持“标签封装协议” ISL - inter-switch link ,交换机之间的链路 , 思科私有的; 通过这种协议封装标签的话,需要在原始的数据上前后增加 30个字节; 802.1Q - 公有的标准协议,任何的厂商设备都支持的。 通过这种协议封装标签的话,仅仅需要增加 4个字节就可以了。 一般也称之为 : dot1q 。
=================================================================
#删除 VLAN : [SW1] undo vlan 10 -->删除 VLAN 10 以后,曾经属于vlan 10 的端口自动的回归到vlan 1将端口从 access 配置为 hybrid :1.首先删除该端口上的“配置 vlan ”的命令;2.其次直接修改该端口的 link-type ;将端口从 trunk 配置为 access :1.首先删除该 trunk 端口上的:port trunk allow-pass vlan all 2.其次配置该端口仅仅允许 VLAN 1 通过:port trunk allow-pass vlan 1 3.其次直接修改该端口的 link-type ; 注意:在同一个 trunk 链路上前后使用的“ port trunk allow-pass vlan x 命令是相互叠加的,不是相互覆盖的;为了安全着想,在企业中,我们建议,仅仅在交换机之间的 Trunk 链路上允许”企业中存在的那些 VLAN 。GVRP : generic vlan register protocol , 通用 vlan 注册 协议; 该协议的作用,就是在不同的交换机之间,自动的同步 VLAN 信息的;为了保证整个交换网络的互通,我们必须确保在网络中的所有交换机 拥有”完全相同的 VLAN 数据库“。 并且, GVRP 在华为设备上,默认是关闭的。该协议是”公有标准协议“。 【在思科上实现同样的功能的协议,叫做 VTP,这是思科私有的】配置: display gvrp status --> 查看当前交换机上的 GVRP 的运行状态; 1.在系统模式下开启 GVRP 功能: [SW1] gvrp --->为整个设备开启 GVRP 功能; 2.在交换机之间的互联链路上开启 GVRP ,即在 Trunk 上开启; [SW1]interface gi0/0/24 [SW1-gi0/0/24] gvrp ---> 在端口上开启 GVRP 功能, 从而该端口 就可以正常的发送和接收 GVRP的报文注意: GVRP 命令,必须在 Trunk 链路配置。如果是其他类型的链路,该命令 无法输入; 通过 GVRP 学习过来的 VLAN ,称之为 “动态 VLAN ”。 但是在交换机上,无法将一个端口加入到“动态 VLAN ”。 所以,如果我们想使用从其他交换机上学习过来的 VLAN , 我们就必须得在本地设备上创建一个对应的 VLAN ,即 通过这种方式,将“动态VLAN”变成“静态VLAN”,才可以。
转载于:https://blog.51cto.com/8149087/2112432