vlan技术

1.VLAN 基础配置及 Aceess 接口 1.1 概述 交换机能有效隔离冲突域。 VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。 Access接口是交换机上用来连接用户主机的接口。 1.2 实验 实验内容 ： 本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机 S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。 实验拓扑 ： VLAN基础配置及Access接口拓扑如图所示 实验步骤 ： 1.基本配置 根据实验编址进行相应的 IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。 2.创建VLAN 创建 VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。 在 S1上使用两条命令分别创建VLAN 10和VLAN 20。 在

原理概述：早期的局域网技术总是基于总线型结构的，总线型拓扑结构是由一根单电缆连接着所有主机，这种局域网技术存在着冲突域问题，为了避免冲突域，同时扩展传统局域网， 可以在局域网中使用二层交换机 ，交换机能有效隔离冲突域，但是计算机仍处于同一个广播域，这样不但降低啦网络的效率，而且降低了安全性。 　　　　 为了能减少广播，提高局域网安全性，人们使用虚拟局域网即VLAN技术把一个物理的LAN在逻辑上划分为多个广播域。VLAN内的主机可以直接通信，而VLAN间不能直接互通。这样，广播域被限制在一个VLAN内，同时也提高啦网络安全性。 来源： https://www.cnblogs.com/escwq/p/11906440.html

一、什么是VLAN 　　VLAN（Virtual LAN），“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域，一个交换网络就是一个广播域。 　　广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。 二、为什么用VLAN 　　二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。如果整个网络只有一个广播域，那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担，安全问题和垃圾流量问题会非常严重。 　　与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。 三、实现VLAN的机制 　　首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。例如，计算机A发送广播信息后，会被转发给端口2、3、4。 　　 　　这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口1

主要内容包含以下四点： (1)静态路由 (2)动态路由 (3)生成树 (4)VLAN 1. 什么是静态路由？ 答：静态路由是管理人员手动配置和管理的路由 2. 静态路由由那些优点？ 答：配置简单 3. 缺点： 当网络拓扑结构发生变化的时候自然不能及时做出改变 并且需要再次配置 严重影响了工作效率 所以目前静态路由主要应用于小型网络及企业架构模型中服务器之间的通信 4. 静态是手动 动态是自动 5. 动态路由定义： 动态路由是路由器自身通过相应的算法计算出的路由 所以动态路由的优点一定是可以适应网络拓扑变化并及时做出调整的路由协议 RIP( 路由信息协议) OSPF(链路状态信息) BGP(外部网关协议) RIP 协议 ( 路由信息协议) RIP 定义： 路由信息协议 依据距离矢量算法以跳数做为度量方式来计算最优路由 工作过程： 首先路由器启动后的时候 路由表中只有直连路由 当路由器运行RIP的时候,会发送request报文消息 邻居路由器会根据自己的路由表回复reponse报文 从而完成路由的添加 网络稳定后 路由器会每隔30秒发送request报文 超过120秒则认为路由失效 180秒后路由器老化定时器则清空 路由表是如何更新的？ 如果路由表中已有的路由项 当该路由项的下一跳是他的邻居 无论度量值增大或者减小都会更新该路由项;当该路由项的下一跳不是他的邻居时

PVLAN即私有VLAN(Private VLAN)，也称"专用虚拟局域网"。PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN，则实现了所有端口的隔离。 pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。 PVLANs允许在同一个VLAN内，将流量限制在某些端口之间 PVLAN实现在1个VLAN内的端口隔离。 随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制; (2)复杂的STP:对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理; (3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费; (4)路由的限制

一、概述 打不打标记Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了。标记tag就是指VLAN的标签，数据包属于哪个VLAN的。 交换机三种端口模式Access vlan、Trunk vlan和Hybrid vlan三种，即以太网端口有三种链路类型：Access、Hybrid和Trunk。在Trunk和Hybird模式下，存在端口缺省vlan的概念（pvid、native vlan id）。 二、打不打标记（Tag，untag） tag是指vlan的标签，即vlan的id，用于指名数据包属于那个vlan，untag指数据包不属于任何vlan，没有vlan标记。 untag就是普通的ethernet报文 ，普通PC机的网卡是可以识别这样的报文进行通讯； tag报文 结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的。 下面说了 802.1Q封装tag报文帧结构 ISL Trunk上所有的包都是tag的（ Cisco 专用）； 802.1Q 设计的时候为了兼容与不支持VLAN的交换机混合部署 ，特地设计成可以不tag：但是只有一个VLAN允许不tag，这样N个VLAN，(N-1)个都tag了，不tag的包一定是来自那个特殊VLAN的

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：

版权声明：华为云版权所有，转载请注明来源 https://blog.csdn.net/devcloud/article/details/91491409 一、背景 敲黑板： VLAN是你理解云网络的门槛石，要想通往云网络的世界，这一扇大门一定得理解透彻。 二、为什么需要VLAN 在前面的课程里面，我们知道了局域网的概念。一个局域网里面有N台电脑互相通信，ARP广播通知到各家各户。把你想象为村里的一户人家，平时送快递收快递，偶尔村里广播找人，派个人到你家询问询问情况，整体看似挺和谐的。 但是这里注意了哦，广播找人，那可一定是全村每家每户都派人通知到的。 然而当村子大了，问题就出来了： 就是这个各路的广播通知的大使啊，不停的往你家门口赶啊，一个又一个，无尽的骚扰着你家，已经困扰到你正常的作息了。 那你可能好奇，一个村里面，这个广播大使能有这么多吗？ 嗯，大概你门口就这么多吧（夸张手法） 所以这个村子也得分分组了：上半村，下半村。上半村的事情，广播大使，你别来下半村咨询了，上半村跑完了就噢了。 因此，一个局域网里面的电脑的分组需求就开始了。一个物理世界的人，实际上又分成了各个门派，门派之间各不相干。这种抽象决定了你虽然和邻居很近，然而你们互相不认识，也不通信。 VLAN就是用来给村里人分组用的，每个人贴个标签。代表了你是哪个门派。 三、如何理解VLAN 站在网络报文的角度

当公司网络规模较小、划分的VLAN比较少时，可能单臂路由就可以满足各VLAN间的通信，但是当VLAN较多、网络规模比较大时。那么使用单臂路由技术就显得有点力不从心了，这是我们就要引入三层交换机了。 现在大多数新型的catalyst交换机都支持CEF（Cisco快速转发）多层交换，CEF是一种基于拓扑的转发模型，可预先将所有的路由选择信息加入到FIB（ forWord information base，转发信息库）中，这样，交换机就能够快速查找路由选择信息。 CEF――主要包括如下两个转发用的信息表： ①：FIB（使用命令show ip cef查看FIB表）：CEF使用FIB来做出基于目标IP前缀的转发决策。从概念上说，FIB类似于路由表，包含路由表中转发信息的镜像。当网络的拓扑发生变化时，路由表将被更新，而FIB也将随之变化，FIB中包含下一跳地址信息，这些信息是根据路由表中的信息得到的，使用基于CEF的MLS（multilayer switching，多层交换）时，第三层引擎和硬件交换组件都维护一个FIB。 ②：邻接关系表（使用命令show adjacency来查看邻接关系表）：在网络中，如果两个节点之间在数据链路层只有一跳，则他们彼此相邻。除FIB外，CEF还使用邻接关系表来存储第二层编址信息，对于每个FIB条目，邻接关系表中都包含相应的第二层地址，和FIB一样

转： https://mp.weixin.qq.com/s/Zlm7x5eunIYLAG7Sp0yVCQ 经过这些年工作，接触从几万、几十万到上亿的项目都有； 我简单总结了接触的大部分的项目，将园区网核心技术进行了归纳，如下： IP地址规划 1.IP地址基础 在IP网络中，通信节点需要有一个唯一的IP地址，IP地址用于IP报文的寻址以及标识一个节点；IP地址中最重要的是子网划分 VLSM，可参照NA。 2.特殊IP地址 a.受限广播（用于IP地址请求阶段）所有位全为1，255.255.255.255 b.直接广播（子网广播） 主机位全为1，如192.168.1.255/24 c.本地换回测试地址 127.0.0.1 d.DHCP故障分配地址 169.254.x.x e.所有主机 224.0.0.1 ，所有路由器 224.0.0.2 f.私网地址10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 3.IP地址规划原则 a.基本原则：建议每个VLAN分配一个C类地址，即掩码/24，可容纳254台主机，最大不要超过4个C，及每个VLAN不超过1000台主机，否则广播域大，后期安全问题突出； b.可汇总原则：规划的各段IP地址能进行路由汇总，简化路由条目； c.易管理原则：看到IP地址就知道这是用户PC还是交换机，处于哪个区域，示例如下： 4