标签:vlan;vlna路由;单臂路由;主vlan;supervlan
一、vlan的划分方式:(是为了隔离交换机中的广播域,一个vlan一个广播域,交换机一个接口一个冲突域)(中继器是一个广播域,一个冲突域,路由器一个借口一个广播域和冲突域)
1、基于mac地址
2、基于ip子网
3、基于协议 没有接口类型,接口类型只能Hybrid。
4、基于端口 (我们通常是基于端口划分,1—4是按先后排序的)
6字 6字节 2字 1 12字 1字 12字 (1-4094)
cos标示二层报文优先级的
真正隔离广播域的是mac地址表
二、vlan在交换机内转发的处理流程
如果交换机收到一个带vlan的广播帧会在同一vlan接口下广播(包括自己的接口),如果收到一个未知单播,就在本vlan下泛洪(泛洪只是在所有的端口中除自己以外发送消息.)
三、vlan的接口(二层交换里的都带标签)
1、access口:通常用于与pc链接
入方向:
1)如果报文无标签,打上端口PVID,
2)如果报文有标签,检查是否和端口PVID一致,如果一致,进入交换机转发,否则丢弃。
出方向:看是否带标签,如果带,是否和access属于的vlan一致,一致,去掉标签出去,否则丢弃
[SW1]vlan 10
[SW1-vlan10]port e0/4/1
相当于:Untagged Ports:
Ethernet0/4/1(当带vlan10的帧,从此接口出去时,不带标)
access也可以接受带标签的帧
2、trunk口:
允许多个vlan带标通过
入方向:1)之前有标签,检查端口允许列表中是否有该VLAN,如果有进入交换机转发。(a:接口允许此vlan通过;b:本交换机里必须存在此vlan)
2)之前无标签,打上端口PVID,检查端口允许列表是否有该VLAN,有进入转发。
出方向:1)报文的vlan id和端口PVID不一致,检查允许列表是否有该VLAN,如果有保留标签离开。
2)报文vlan id和端口PVID一致,检查允许列表是否有该VLAN,如果有去掉标签离开。
[SW1]int e0/4/0
[SW1-Ethernet0/4/0]port link-type trunk
[SW1-Ethernet0/4/0]port trunk permit vlan 10 20
[SW1-Ethernet0/4/0]port trunk pvid vlan 30(敲这个只能将其接口的pvid改为vlan30,不让vlan30通过,必须配permit)
在trunk模式中pvid必须明指,将接口划到vlan中是不可以的
[SWA-vlan20]port Ethernet 0/4/0 (该接口让vlan 20过)
3、hybrid口(华三私有的)
允许多个vlan带标通过,也允许多个vlan不带标通过。
untag和tag:出去的时候起作用
(如果接口写了某个vlan tag或者untag 就相当于permit此vlan,至于untag和tag是是否脱标或者加标,在交换机内部是不起作用的)
入方向:1)之前无标签,打上端口PVID,检查允许列表(tagged/untagged)如果有,允许进入,反之丢弃。
2)之前有标签,检查允许列表(tagged/untagged)如果有,允许进入,反之丢弃。
出方向:1)如果该标签在untagged列表中,去掉标签通过
2)如果该标签在tagged列表中,保留标签通过
[SWA]vlan10
[SWA-vlan 10]quit
[SWA]vlan 20
[SWA-vlan20]port Ethernet 1/0/1 (这条命令相当于port hybrid vlan 20 untagged
port hybrid pvid vlan 20)
[SWA-vlan20]quit
[SWA]interface Ethernet 1/0/1
[SWA-Ethernet1 /0/1 ]port link-type hybrid
[SWA-Ethernet1 /0/1]port hybrid vlan 10 tagged(带vlan10的帧不脱标签出去)
[SWA-Ethernet1/0/1]port hybrid pvid vlan 20 (这条命令只能将pvid改成vlan 20,不能以为成VLAN20 出去的时候不打标,还要手动加上untag VLAN20)
hybrid端口配置了:(tag和untag只在交换机的出方向起作用)
port hybrid tagged vlan 2 4(表示带该标签的帧出去时不脱标签)
port hybrid untagged vlan 3 5(表示带该标签的帧出去时脱标签)
一、当交换机接收到一个来自其他设备的以太网帧时,首先查看该帧是否带了标签(即VLAN信息),
1. 如果不带标签(如来自PC,或者其他设备发送时剥离了标签)那么允许该标签进入交换机,同时打上该端口的PVID的VLAN号(前提是untag或tag列表中有该vlan)。该帧从不带标签到带标签。
2. 如果带标签,那么首先查看该帧所带VLAN号是否在我上边两行命令行里出现了,比如3就出现了,6没有出现;那么对于带3的帧,会让该帧通过,不会对帧做任何更改。而对于带6的帧,就不会让它通过而直接丢弃。
二、当交换机要发送一个以太帧出去时,(不会检查是否带标签,因为所有帧都是从CPU过来的,肯定带了标签)对于tagged定义的帧,端口会直接发送,不会做任何更改,例如帧4。而对于untagged定义的帧,会剥离掉该帧的标签,该帧从带标签到不带标签,如帧5 。
总结一句,对于tagged和untagged定义的帧,只有在发送时才会有剥离或不剥离的区别,而对于接收到帧的时候,只会起一个判断是否允许该帧通过的作用(定义了则允许通过,未定义则丢弃)。
四、Isolate-user-vlan(pvlan)
解决vlan id不足的问题(2^12-2=4094)
MAC地址同步(核心):会将下行端口的MAC地址表复制给上行端口(一般都是下行向上行复制,因为上行的mac地址表比较大)
Hybrid端口技术的应用:
所有端口都为Hybrid
上行端口允许所有vlan通过
下行端口允许Isolate-user-vlan和自己的Secondary VLAN
MAC地址同步技术:
各Secondary VLAN(下行vlan)学习的MAC地址同步到Isolate-user-vlan(上行vlan)
Isolate-user-vlan学习的MAC地址同步到各Secondary VLAN
Isolate-user-vlan配置:
vlan 10
isolate-user-vlan enable //设置vlan10为isolate-user-vlan (主)
interface Ethernet 0/4/2
port isolate-user-vlan host //设置该接口为secondary接口
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 10 2 untagged //v2和v10,secondary接口出去时,不带标签
port hybrid pvid vlan 2 //修改该接口的PVID为2
interface Ethernet 0/4/0
port isolate-user-vlan 10 promiscuous //设置接口为主接口
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 2 3 untagged //v2和v3,在该接口出去时不带标签
port hybrid vlan 10 tagged //v10在该接口出去时,带标签
port hybrid pvid vlan 10 //修改pvid为10
isolate-user-vlan 10 secondary 2 3 //全局下,设置vlan2和vlan3为vlan10的 secondary接口
五、Super Vlan技术:
是一种利用vlna的三层,为了节省IP
上行网络不知道subvlan里的ip地址,从而节省了ip
super vlan只是一个虚拟口,sub vlan是个物理口
六、Voice Vlan(基于mac地址划分vlan的标签)
MAC地址的格式:(48位二进制数)XX-XX-XX-XX-XX-XX(前24位位OUI,后24位为EOI)又叫物理地址。
交换机一个端口可以对应多个mac
七、GVRP(vlan动态学习) 只能在trunk口下使用
设备开启GVRP功能后,设备可以动态的学习其他设备的vlan(被学习者也要开启GVRP)
GVRP的组播MAC地址为0180-C200-0021
Normal模式:允许该端口动态注册或注销vlan,传播动态vlan(自主学习)以及静态vlan
Fixed模式:禁止该端口端口动态注册或注销vlan,只传播静态vlan信息,不传播动态vlan信息。
Forbidden模式:禁止该端口动态注册或注销vlan,不传播vlan1以外的任何vlan信息
passing:交换机中存在的,且让其通过
permited:在配置时permitd的
八、vlan路由:
1、最长匹配转发模型
用报文的目的ip和子网掩码做“与”。
做“与”结果与目标网络号一样,则匹配上
路由表中匹配上的所有路由,掩码最长的为最佳匹配项,报文将从此接口发出
2、交换机精确匹配转发模型
CPU维护路由表
ASIC芯片完成主要的转发功能(这两点为硬件转发)
对数据包一次路由后,生成具体目的地址的转发表项(Forward Information Base:转发信息库
),后续直接根据此表项转发
3、转发信息库(FIB表)
将路由表中到达网段的最优路由匹配出来,放在FIB表中。
单工A——B 只能单向传输
半双工A——B 可以双向,但是不能同时
全双工A——B 可以双向,也能同时发
三层vlan:
必须包含至少一个真实接口(trunk,permit,untag)
成员中至少有一个UP
本文出自 “Network_伟” 博客,请务必保留此出处http://cwnetwork.blog.51cto.com/10718966/1970458
标签:vlan;vlna路由;单臂路由;主vlan;supervlan
原文地址:http://cwnetwork.blog.51cto.com/10718966/1970458