VLAN

标签：network   局域网   交换机   工作组   安全性   

VLAN(Virtual Area Network,虚拟局域网)

主要为了解决交换机在互连时无法限制广播的问题。它将一个物理局域网划分成多个虚拟局域网---VLAN,每个VLAN都是一个广播域，VLAN内主机间通信就和一个VLAN内一样，VLAN间主机不能直接互通，这样，广播数据帧就被限制在一个VLAN内。

划分VLAN的优点:  有效控制广播域范围

                  增强局域网的安全性

                  灵活构建虚拟工作组

VLAN的类型:  基于端口的VLAN

             基于MAC地址的VLAN

             基于协议的VLAN

             基于子网的VLAN

VLAN标签:802.1Q

          tag(Priority、CFI、VLAN ID)

              Priority:数据帧的优先级，3位，有0-7共8种优先级

              CFI：值为0说明是规范格式，为1为非规范格式。

                   被用在令牌环、源路由FDDI介质访问方法中来表示封装帧中所带地址的比特次序信息

              VLAN ID：12比特，vlan编号，vlan ID为0用于识别帧优先级，vlan ID为4095作为预留值

VLAN动态注册:GVRP(GARP VLAN Registration Protocl,GARP动态注册协议)，作为GARP的一个应用。

                  组播目的MAC地址为0180.c200.0021

             GARP（Generic Attribute Registration Protocl,通用属性注册协议），为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的手段，如VLAN、组播组地址等。

      GARP消息控制属性的声明和注册：Empty                

                                    JonIn

                                    JonEmpty

                                    leave

                                    LeaveAll

      GARP定时器：Hold定时器       （缺省为10厘秒）

                  Join定时器       （缺省为20厘秒）

                  Leave定时器      （缺省为60厘秒）

                  LeaveAll定时器   （缺省为1000厘秒）

      GVRP端口注册模式：Normal(允许端口动态注册、注销VLAN,传播动态VLAN和静态VLAN信息)

                        Fixed（禁止端口动态注册、注销VLAN,只传播静态VLAN，不传播动态VLAN）

                        Forbiden(禁止端口动态注册、注销VLAN,不传播VLAN1以外的任何VLAN信息)

VLAN扩展技术：Isolate-user-vlan 隔离二层VLAN，解决VLAN号不够用，利用hybrid端口特性

              Super vlan        解决网关不够用，节约网关地址

                                super vlan只建立三层接口而不包含物理接口；若干sub vlan的集合，并为                                       sub vlan提供三层转发服务。sub vlan只映射若干物理接口，负责保留各独立                                     的广播域；不能建立三层接口；与外部的三层交换靠super vlan的三层接口                                       来实现。

              VLAN VPN          BPDU-Tunnel

              VLAN静态路由 

H3C配置案例及基本命令：

vlan vlan-id          #创建vlan并进入vlan视图    

     port interface-list   #向当前vlan中添加一个或一组access端口

     ip-subnet-vlan [ip-subnet-index] ip x.x.x.x [mask] #配置当前vlan与指定的IP子网或IP地址相关联

     protocol-vlan {at | ipv4 | ipv6 | ipx}、、、       #配置当前vlan与指定协议模版关联

mac-vlan mac-address x.x.x vlan vlan-id [priority pri]  #设置MAC地址对应的VLAN及其优先级

interafce e1/0/1

     port link-type{access | hybrid | trunk}  #设置端口链路类型

     port trunk permit vlan {vlan-id | all}

     port hybrid pvid vlan vlan-id                #设置hybrid端口的缺省vlan-id      

     port hybrid vlan vlan-id {tagged | untagged} #设置指定的vlan通过端口是否打上标签

     mac-vlan enable           #开启交换机当前端口的MAC VLAN功能

1、GVRP配置

gvrp   #开启GVRP功能

garp timer leaveall timer-value  #设置GARP的leaveall定时器值，缺省值为1000厘秒

interafce e1/0/1

     gvrp

     gvrp registration {fixed | forbidden | normal}   #设置GVRP端口注册模式 

     garp timer{hold | join | leave} timer-value  #配置定时器 

2、isolate-user-vlan基本配置

vlan vlan-id

     isolate-user-vlan enable 

isolate-user-vlan vlan-id secondary vlan-id   #建立isolate-user-vlan与secondary vlan间的映射关系          

3、super VLAN基本配置

vlan vlan-id

     supervlan

     subvlan vlan-list       #建立super vlan和sub vlan间的映射关系

interface vlan vlan-id

     local-proxy-arp enable  #开启本地代理ARP功能

4、VLAN VPN基本配置

interface e1/0/1

     qinq enable

     bpdu-tunnel dot1q stp          #开启端口STP协议的BPDU Tunnel功能

bpdu-tunnel tunnel-dmac mac-address  #配置BPDU Tunnel报文采用的组播目的MAC地址

本文出自 “千梦飞花” 博客，请务必保留此出处http://dzlhre.blog.51cto.com/4681963/1698420

VLAN

标签：network   局域网   交换机   工作组   安全性   

原文地址：http://dzlhre.blog.51cto.com/4681963/1698420