二层交换基础(VLAN原理,VLAN接口,VLAN间路由,VTP)

news/2024/11/25 0:46:00/

day4 二层交换

分享今日

引入博客

VLAN基础

VLAN间路由

二层交换技术

 

二层交换特点

二层交换(二层通信):交换帧,源和目的MAC地址不会变,但是设计到路由器(或者具有三层转发功能的交换机)源MAC地址会改变

广播域:接收同样广播消息的节点的集合;

冲突域:连接在统一到西安上所有工作站的集合;

区别:

  1. 广播域可以昏网段,冲突域一般在同一个网段;
  2. 广播域基于二层,冲突域基于一层;
  3. 一个局域网就是一个广播域;
  4. 集线器(hub)所有端口位于同一个广播域,冲突域;
  5. 二层交换机(switch)所有端口在一个广播域,每一个端口是一个冲突域;

1. 二层交换基础

 

1.1 园区网三层结构
  1. 核心层(CO):高速转发、服务器接入、路由选择

  2. 汇聚层(GS):流量汇聚、链路冗余、设备冗余、路由选择

  3. 接入层(AS):用户接入、接入安全、访问控制

1.2 二层交换机主要功能

  1. 泛洪:把一个帧从除了进入端口外的所有端口转发出去;
  2. 转发:从某一端口转发到另一端口;
  3. 丢弃:不进行转发,直接丢弃;

1.3 交换机转发原理

1.3.1 单播转发
  1. 收到一个单播帧,交换机会在Mac地址表中查找这个帧的目的Mac地址,找不到直接泛洪;
  2. 若找到,先与入接口进行比较;如果与入接口相同,丢弃,如果不同,转发。
1.3.2 广播转发

​ 不会查找Mac地址,直接转发。

1.3.3 组播转发

 

1.4 PC与交换机收到单播与广播帧

1.4.1 PC 收到
  1. 单播帧:将单播帧的目的MAC地址与自己网卡MAC地址进行比较,如果与本地网卡MAC地址一致,则根据单播帧的类型字段的值将数据载荷上传到网络层的相应处理模块,如果不一致直接丢弃。
  2. 广播帧:直接根据该广播帧的类型字段类型直接上送至网络层的相应模块处理。
1.4.2 交换机收到
  1. 单播帧:不会与本地比较MAC地址,而是直接去查Mac地址表
  2. 广播帧:直接泛洪。

2. VLAN


 

2.1 VLAN作用

将交换机的端口划分进特定的VLAN(不同的广播域)

通常把划分前的,规模较大的广播域称为LAN,吧划分后,规模较小的广播域称为VLAN

2.2 802.1Q帧格式

IEEE 802.1D定义了不支持VLAN特性交换机的标准规范,IEEE 802.1Q定义了关于支持VLAN特性的交换机标准;

通过tag区分不同VLAN;

标签含义
TPIDTag Protocol ID,表示这个帧是否有tag,0x8100表示带有(固定值)
PRIPriority,帧优先级,越大越优先
CFICanoncial Format Indicator
VIDVLAN Identification,表示该帧所属VLAN

2.3 链路类型

VLAN链路分为两种类型:Access链路和Trunk链路。
接入链路(Access Link):连接用户主机和交换机的链路称为接入链路;在一条Access链路上运动的帧只能是Untagged 帧。
干道链路(Trunk Link):连接交换机和交换机的链路称为干道链路,在一条trunk链路上运动的帧只能是tagged 帧。

2.4 PVID

PVID即Port VLAN ID,代表端口的缺省VLAN交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag。

2.5 端口类型☆☆☆

2.5.1 Access 端口

Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同。
Access端口在转发数据前会移除VLAN Tag。

Access端口收发数据帧的规则如下:

  1. 如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
  2. 如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时,接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。
  3. Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。(Access接口与PC相连接,PC不会接受有Tag标记的帧,直接丢弃)
2.5.2 Trunk 端口

当一条链路,需要承载多VLAN信息的时候,需使用trunk来实现
Trunk两端的交换机需采用相同的干道协议;
一般见于交换机之间或交换机与路由器之间;

​ 在本示例中,SWA和SWB连接主机的端口为Access端口,PVID如图所示。SWA和SWB互连的端口为Trunk端口,PVID都为1,此Trunk链路允许所有VLAN的流量通过。当SWA转发VLAN1的数据帧时会剥离VLAN标签,然后发送到Trunk链路上。而在转发VLAN20的数据帧时,不剥离VLAN标签直接转发到Trunk链路上

每一个Trunk 除了需要配置PVID之外还需要配置,允许通过VLANID的列表。

Trunk端口收发数据帧的规则如下:

  1. 接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。
  2. 接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。
  3. 端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文。当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。(PVID 与 VLAN ID相同去掉Tag,不同保持原有Tag)

2.6 VLAN 的类型(划分方法)

2.6.1 基于端口的VLAN(Port-based VLAN)

基于端口的VLAN通常也被称为物理层VLAN或一层VLAN。

划分原则: 将VLAN编号(VLAN ID)映射到物理端口上,从某一个端口进入交换机的、由终端计算机发送的Untagged 帧都被划分到该端口的VLAN ID 所表明的那个VLAN。

2.6.2 基于Mac地址的VLAN(MAC-based vlan )

基于Mac地址的VLAN也被称为二层VLAN。

**划分原则:**交换机内部维护了一个MAC地址与VLAN ID的对应表,当交换机接收到计算机的Unragged帧时,交换机分析帧中的源Mac地址,然后查询对应表,并根据对应关系把这个帧划分到相应的VLAN中。

2.6.3 基于协议的VLAN(Protoclo-based VLAN)

基于协议的VLAN也被称为三层VLAN。

划分原则:交换机根据发送的 Untagged 帧的类型字段来决定帧的VLAN归属。例如:ipv4划分一个VLAN,ipv6划分一个VLAN。

2.7 VLAN 的范围

VLAN ID范围用途是否通过VTP传播
0和4095保留用户不能使用不适用
1常规范围默认VLAN,不可删除
2-1000常规范围用户能够创建、使用和删除
1001常规范围用户不能创建、使用和删除
1002-1005保留FDDI和令牌环不适用
1006-1009保留不适用
1010-1024保留不适用
1025-4094保留有限使用

2.8 VLAN成员模式

2.8.1 静态 VLAN
  • 交换机上的端口以手动方式分配给VLAN;
2.8.2 动态 VLAN
  • 使用VMPS可以根据连接到交换机端口的设备的源 MAC 地址,动态 地将端口分配给 VLAN;
  • 华为使用GVRP

 

3. VTP(VLAN Trunking Protocol)

  • 一个能够宣告VLAN配置信息的信息系统
  • 通过一个共有的管理域,维持VLAN配置信息的一致性;
  • VTP只能在trunk端口发送要宣告的信息;
  • 支持混合的介质主干连接(快速以太网, FDDI, ATM).

3.1 VTP 模式

Server 模式ClientTransparent
创建vlan发送/转发信息宣告创建VLAN
修改vlan删除vlan同步删除VLAN
发送/转发信息宣告VLAN信息不会存贮于删除VLAN
同步NVRAM转发信息宣告
VLAN信息存储于NVRAM不同步 不始发
Catalyst交换机默认是VLAN信息存贮于NVRAM
server模式

3.2 VTP的运作

  • VTP协议通过组播地址01-00-0C-CC-CC-CC在Trunk链路上发送VTP通告;
  • VTP Server和clients通过最高的修订号来同步数据库;
  • VTP协议每隔5分钟发送一次VTP通告或者有变化时发生;

 

4. VLAN间路由☆☆☆

VLAN的局限:VLAN在分割广播域的同时也限制了不同VLAN间的主机进行二层通信的能力。

 

4.1 双臂路由(每个VLAN一个物理连接)

在二层交换机上配置VLAN,每一个VLAN使用一条独占的物理链路连接到路由器的一个接口上。

缺陷: 随着每个交换机上VLAN数量的增加,这样做必然需要大量的路由器接口,而路由器的接口数量是极其有限的。并且,某些VLAN之间的主机可能不需要频繁进行通信,如果这样配置的话,会导致路由器的接口利用率很低。因此,实际应用中一般不会采用这种方案来解决VLAN间的通信问题。

4.2 单臂路由

在交换机和路由器之间仅使用一条物理链路连接。在交换机上,把连接到路由器的端口配置成Trunk类型的端口,并允许相关VLAN的帧通过。在路由器上需要创建子接口,逻辑上把连接路由器的物理链路分成了多条。一个子接口代表了一条归属于某个VLAN的逻辑链路。

配置子接口时,需要注意以下几点:

  1. 必须为每个子接口分配一个IP地址。该IP地址与子接口所属VLAN位于同一网段;
  2. 需要在子接口上配置802.1Q封装,来剥掉和添加VLAN Tag,从而实现VLAN间互通;
  3. 在子接口上使能子接口的ARP广播功能
  4. 子接口G0/0/1.1 与 G0/0/1.2 的MAC地址是一样的都是G0/0/1的接口;

缺点: 如果VLAN数量众多,VLAN间的通信流量很大时,单臂路由提供的带宽就无法支撑这些流量。

4.3 三层交换(VLANIF接口)☆☆☆

三层交换机:是二层交换机与路由器的一种集成形式,它除了可以拥有一些二层口之外,还可以拥有一些“混合端口”(简称:混合口)。混合口同时存在二层口和三层口的特征,所以在VLAN Interface(VLANIF)接口下,既要考虑二层口的情况又要考虑三层口的情况。

  • 在三层交换机上配置VLANIF接口来实现VLAN间路由;

  • 如果网络上有多个VLAN,则需要给每个VLAN配置一个VLANIF接口,并给每个VLANIF接口配置一个IP地址

  • 用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址;

    三层交换

此时的VLANIF接口是三层口,但是平时交换机的是二层口。

二层口与三层口的区别☆☆☆

  1. 二层口只有Mac地址没有ip地址;三层口既有IP地址又有MAC地址;
  2. 二层口收到广播帧后,会将该广播帧从其他所有接口泛洪出去;
  3. 三层口收到广播帧后,会根据这个广播帧的类型字段的值将这个广播帧的数据载荷上送至设备的第三层模块处理;
  4. 二层口接收到单播帧后,先在自己的Mac地址表中查找这个帧的目的MAC地址,如果查不到,该设备会从其他二层接口泛洪出去;如果查到,会比较这个MAC地址所指示的那个二层接口是不是进入该设备的二层接口,如果是,直接丢弃;如果不是,则会从这个MAC地址对应的二层接口转发出去;
  5. 三层口接收到单播帧后,会比较这个帧的目的MAC地址是不是本地MAC地址,如果不是,直接丢弃;如果是,会根据这个单播帧的类型字段的值将这个单播帧的数据载荷上送至设备的第三层模块处理;

交换机与路由器的区别 :☆☆

  1. 交换机的端口都是二层口,一台交换机的不同二层口之间只存在二层转发通道,不存在三层转发通道。交换机内存在MAC地址表,用以二层转发,交换机不存在IP路由表;
  2. 路由器的端口都是三层口,一台路由器的不同二层口之间只存在三层转发通道,不存在二层转发通道。路由器内存在IP路由表表,用以三层转发,路由器不存在MAC地址表;
    如果不是,则会从这个MAC地址对应的二层接口转发出去;
  3. 三层口接收到单播帧后,会比较这个帧的目的MAC地址是不是本地MAC地址,如果不是,直接丢弃;如果是,会根据这个单播帧的类型字段的值将这个单播帧的数据载荷上送至设备的第三层模块处理;

交换机与路由器的区别:☆☆

  1. 交换机的端口都是二层口,一台交换机的不同二层口之间只存在二层转发通道,不存在三层转发通道。交换机内存在MAC地址表,用以二层转发,交换机不存在IP路由表;
  2. 路由器的端口都是三层口,一台路由器的不同二层口之间只存在三层转发通道,不存在二层转发通道。路由器内存在IP路由表表,用以三层转发,路由器不存在MAC地址表;

http://www.ppmy.cn/news/507013.html

相关文章

内网渗透笔记——二层发现

一、OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 那所谓二层发现(交换机,mac地址,arp),就是利用数据链路层进行主机的发现 三层——利用ping命令 arping命令(可直接ping到主机的ma…

二层交换机实现不同vlan通信

二层交换机实现不同vlan通信实验拓扑 一、 第一种实现方式: sw1: vlan batch 10 20 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 interface GigabitEthernet0/0/2 port link-type trunk port trunk pvid vlan 10 //默认为1&#…

二层交换安全

二层交换安全 主要攻击手段: 1.Mac洪泛攻击 2.中间人攻击 3.MAC地址漂移:中间人攻击,二层出环 处理方法: 1.维护一个合法的端口与MAC对应关系 一对一捆绑 Port-security 通过接口的第一个MAC,为要绑定的 Maximum 后加…

链路聚合(二层链路和三层链路)

昨天主要介绍了三层交换机,今天顺其自然就讲到了链路聚合,因为是交换机中一个比较重要的技术,下面我们开始。 目录 一、单臂路由和三层交换的复习 二、端口绑定技术 三、链路聚合/端口聚合/端口绑定实现的条件 四、三层链路和二层链路的…

交换机与二层转发原理

一:二层交换机原理 1.接收网段上的所有数据帧; 2.利用接收数据帧中的源MAC地址来建立MAC地址表(源地址自学习),使用地址老化机制进行地址表维护; 3.在MAC地址表中查找数据帧中的目的MAC地址,…

华为gpon二层互通_组网技术——华为交换机实现端口数据二层隔离三层互通的基本配置...

组网技术——华为交换机实现端口数据二层隔离三层互通的基本配置 配置接口GE1/0/1 和GE1/0/2 的端口隔离功能&#xff0c;实现两个接口之间的二层数据隔离&#xff0c;三层数据互通。 < Switch1> system-view [Switch1] port-isolate mode L2 …

二层冗余链路

二层冗余链路 冗余环境 1.利与弊 优点&#xff1a;冗余消除单点失效&#xff08;单点故障&#xff09;&#xff0c;实现网络弹性和高可用性 弊端&#xff1a;1&#xff09;产生广播风暴&#xff0c;arp广播&#xff0c;顺时针或逆时针广播风暴。破坏力相当大&#xff0c;几…

i7 10750H和 i9 10980HK对比差距大吗

i7-10750H的参数&#xff0c;i7-10750H为6核心12线程设计&#xff0c;处理器基本频率为2.60GHz&#xff0c;最大睿频频率为5.00GHz&#xff0c;三级缓存为12MB&#xff0c;热设计功耗45W&#xff0c;制程工艺为14nm。 选i7 10750H还是 i9 10980HK 这些点很重要!看完你就知道了 …