商业网站建设举例,宝塔做两个网站6,有字库 wordpress 插件,手绘风格 网站华子目录 VLAN 基本技术VLANIEEE 802.1Q交换机端口类型MVRP协议实验测试 VLAN扩展技术Super VLAN产生背景Super vlan#xff08;相当于vlanif接口#xff0c;也属于虚拟接口#xff0c;可以充当网关#xff09;Sub vlan#xff08;普通vlan#xff09;关于代理ARP普通代理… 华子目录 VLAN 基本技术VLANIEEE 802.1Q交换机端口类型MVRP协议实验测试 VLAN扩展技术Super VLAN产生背景Super vlan相当于vlanif接口也属于虚拟接口可以充当网关Sub vlan普通vlan关于代理ARP普通代理ARP本地代理ARP Sub vlan间通信原理Sub VLAN与外部二层通信的转发模型Sub VLAN与外部的三层通信 实验Isolate-user-VLAN QinQ 技术原理配置应用案例 VLAN 基本技术
VLAN VLANVirtual Local Area Network虚拟局域网是一种将局域网LAN的设备从逻辑上划分而不是从物理上划分成一个个网段从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中但主流应用还是在交换机之中。不过路由器也可以支持VLAN的划分所以二者相辅相成可以更好、更灵活地配置局域网。 VLAN的核心思想是通过路由的方式实现处于不同物理位置的网络终端之间的通信。因此VLAN技术使得网络的组建更加灵活它突破了传统网络的诸多限制如物理位置的限制等。 VLAN除了能将网络划分为多个广播域从而有效地控制广播风暴的发生以及增强网络的安全性和保密性外还可以使网络管理变得简单、生动和直观。例如可以跨越不同物理网段、在不同地理位置的网络用户加入到同一虚拟网络。 VLAN的划分方式主要有四种基于端口、基于MAC地址、基于网络层和基于IP组播。不同的划分方式有不同的特点和适用场景可以根据实际需求和网络拓扑结构来选择合适的划分方式。
总的来说VLAN技术为现代网络提供了更高的灵活性和安全性是网络建设中不可或缺的一部分。
IEEE 802.1Q IEEE 802.1Q也被称为Virtual Bridged Local Area Networks虚拟桥接局域网简称“虚拟局域网”协议是IEEE标准化组织发布的一种VLANVirtual Local Area Network虚拟局域网标准。它定义了在以太网上实现VLAN相关功能的协议和机制。 IEEE 802.1Q协议的主要功能是解决如何将大型网络划分为多个小网络使得广播和组播流量不会占据过多带宽并提高了网络段间的安全性。通过该协议可以将一个物理局域网划分成多个逻辑上独立的虚拟局域网使得不同的用户和部门之间的数据流量能够有效区分和管理。 在IEEE 802.1Q协议中每个数据帧都被打上一个标记表示该数据帧所属的VLAN编号称为VLAN标签或VLAN标识符。这个标记是在源地址后增加的一个4字节的802.1Q标签其中包含了标签协议标识TPID和标签控制信息TCI。标签协议标识是IEEE定义的新的类型表明这是一个加了802.1Q标签的报文。标签控制信息则包含了VLAN的编号以及其他控制信息。
交换机端口类型
交换机端口类型主要包括以下几种
按传输介质分类 光口使用光纤传输信号的端口通常用于连接距离较远或需要高速传输的设备。电口使用双绞线或同轴电缆传输信号的端口通常用于连接距离较近或不需要高速传输的设备。 按端口速率分类 10M/100M端口支持10Mbps和100Mbps两种速率的端口通常用于连接低速设备。1GBase-T端口使用双绞线传输1Gbps数据的端口是交换机中常见的端口类型。10Base-T端口使用双绞线传输10Mbps数据的端口是交换机中最常见的端口类型。100Base-TX端口使用双绞线传输100Mbps数据的端口是交换机中常见的端口类型。100Base-FX端口使用光纤传输100Mbps数据的端口通常用于连接距离较远的设备。 按端口功能分类 Access端口交换机上用来连接用户主机的端口它只能连接接入链路。只允许一个VLAN的帧通过该VLAN即为接入端口的默认VLAN。Trunk端口交换机上用来和其他交换机连接的端口。允许多个VLAN的帧带Tag标记通过可以指定其中一个VLAN作为默认VLAN。如果接收到了不带VLAN的数据帧则给数据帧加上默认VLAN标签。在往外送时如果VLAN ID和默认VLAN ID相同则剥离标签。Hybrid端口交换机上既可以连接用户主机又可以连接其他交换机的端口。Hybrid端口也允许多个VLAN通过指定其中一个VLAN作为默认VLAN。在接收到不带VLAN的数据帧时给数据帧加上默认VLAN标签。
这些端口类型与交换机的报文转发原理密切相关。数据帧进入交换机时会添加一些字段其中一个重要的字段是Tag标签用于标记接口所属的VLAN。这些端口类型可以根据网络需求灵活配置以实现不同设备之间的有效连接和数据传输。
MVRP协议
MVRPMultiple VLAN Registration Protocol是一种网络管理协议用于自动注册和管理 VLAN 成员关系的变化。它允许交换机在 VLAN 成员变化时自动更新 VLAN 信息而无需手动干预。MVRP 主要用于管理 VLAN 的成员关系以确保交换机之间的 VLAN 配置保持一致性。MVRP是多VLAN注册协议Multiple VLAN Registration Protocol的缩写它是一种网络协议用于自动管理和维护VLAN成员关系的交换机协议。MVRP是IEEE 802.1ak标准定义的协议它在与交换机相连的网络设备之间进行通信用于进行VLAN成员关系的动态注册和管理。其目的是在交换机之间实现动态的VLAN端口成员关系的通知和协商。MVRP的核心功能是允许交换机之间自动协商和传递VLAN成员关系的信息。当一个交换机上的端口被加入或移除一个VLAN时该交换机将使用MVRP将该信息广播到其相邻的交换机上。接收到这个通知的相邻交换机会更新其自己的VLAN成员关系表以反映最新的VLAN成员状态。MVRP的自动机制可以减轻网络管理员的手动配置负担特别是在大规模的网络中当需要频繁地添加、删除或移动VLAN成员时。它提供了一种集中的动态管理方式以确保所有相关的交换机都能及时了解到VLAN成员的变化。需要注意的是MVRP是一种可选的协议不是所有的交换机都支持该协议。在使用MVRP之前需要确保使用的交换机或设备支持并启用了该协议。当设备启动了MVRP之后设备将本地的VLAN配置信息向其他设备发送同时还能够接收来自其他设备的VLAN配置信息并动态更新本地的VLAN配置信息。这样所有设备的VLAN信息都能达成一致极大地减少了网络管理员的VLAN配置工作。MVRP有三种注册模式不同注册模式对动态VLAN的处理方式有所不同。此外在网络拓扑发生变化后MVRP还能根据新的拓扑重新发布及学习VLAN配置信息确保VLAN配置信息实时与网络拓扑同步更新。总结MVRPMultiple VLAN Registration Protocol是一种用于自动管理和维护VLAN成员关系的交换机协议。它允许交换机之间动态地协商和传递VLAN成员关系的信息减轻了网络管理员的配置负担特别是在大规模的网络中。
实验 H3Csystem-view #进入系统模式
[H3C]sysname sw1 #修改设备名称
[sw1]
[sw1]display interface brief #查看接口所属类型以及pvid[sw1]display vlan #查看交换机中存在的vlanTotal VLANs: 1The VLANs include:1(default)[sw1]display vlan brief #查看每个vlan中划分的接口[sw1]vlan 2 3 #在交换机上创建vlan2和3
[sw1]vlan 2 to 10 #创建vlan2到10[sw1]undo vlan 2 3 # 删除vlan2和3[sw1]int g1/0/1 #先进入接口
[sw1-GigabitEthernet1/0/1]port link-type ? #修改接口工作类型华三二层交换机默认为access口access Set the link type to accesshybrid Set the link type to hybridtrunk Set the link type to trunk[sw1-GigabitEthernet1/0/1]port access vlan 2 #将接口划分为vlan 2[sw1]int g1/0/3
[sw1-GigabitEthernet1/0/3]port access vlan 3#配置trunk干道
[sw1-GigabitEthernet1/0/4]port link-type trunk
[sw1-GigabitEthernet1/0/4]port trunk permit vlan all
[sw1-GigabitEthernet1/0/4]int g1/0/2
[sw1-GigabitEthernet1/0/2]port link-type trunk
[sw1-GigabitEthernet1/0/2]port trunk permit vlan all[sw2]vlan 2 3
[sw2]int g1/0/2
[sw2-GigabitEthernet1/0/2]port access vlan 2
[sw2-GigabitEthernet1/0/2]int g1/0/3
[sw2-GigabitEthernet1/0/3]port access vlan 3
[sw2-GigabitEthernet1/0/3]quit#创建trunk干道
[sw2]int g1/0/1
[sw2-GigabitEthernet1/0/1]port link-type trunk
[sw2-GigabitEthernet1/0/1]port trunk permit vlan all
#配置子接口
[R1]int g0/0.1
[R1-GigabitEthernet0/0.1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 2 #封装dot1q协议并指明对应的vlan号为2会自动开启arp[R1]int g0/0.2
[R1-GigabitEthernet0/0.2]ip address 192.168.2.1 24
[R1-GigabitEthernet0/0.2]vlan-type dot1q ?default Process frames that are not processed by any other subinterfaceuntagged Enable handling 802.1Q untagged framesvid Specify the first-tier VLAN IDs[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 3 #封装dot1q协议并指明对应的vlan号为3,会自动开启arp[R1]display ip interface brief #查看IP接口信息#配置dhcp服务不需要在接口调用配置完成即可生效
[R1]dhcp enable
[R1]dhcp server ip-pool vlan2
[R1-dhcp-pool-vlan2]network 192.168.1.0 mask 255.255.255.0
[R1-dhcp-pool-vlan2]gateway-list 192.168.1.1
[R1-dhcp-pool-vlan2]dns-list 8.8.8.8
[R1-dhcp-pool-vlan2]quit[R1]dhcp server ip-pool vlan3
[R1-dhcp-pool-vlan3]network 192.168.2.0 mask 255.255.255.0
[R1-dhcp-pool-vlan3]gateway-list 192.168.2.1
[R1-dhcp-pool-vlan2]dns-list 8.8.8.8测试 VLAN扩展技术
Super VLAN
Super VLAN详解请参考该博文 https://blog.csdn.net/m0_49864110/article/details/127941250
产生背景
在大型局域网组网中常采用接入层和核心层二层结构的组网方式所有的网关都设在核心层设备上。由于每个VLAN都需要一个接口实现路由互通这样问题就来了如果因为特殊的需要网络中划分了成百上千个VLAN此时核心层设备就会出现VLAN接口数量不足的情况。那么如果拥有一种技术可以对VLAN进行聚合就可以大幅度缩减实际需要的VLAN接口数量交换机支持VLAN接口少的问题就可以得到解决。为了解决上面的问题Super VLAN技术出现了。
super VLAN技术引入Super VLAN和Sub VLAN两个概念
Super vlan相当于vlanif接口也属于虚拟接口可以充当网关
是一个逻辑的三层概念虚拟三层接口。为Sub VLAN相当于普通的vlan提供三层转发它依赖于所包含的Sub VLAN中存在UP状态的物理接口。
Sub vlan普通vlan
Sub VLAN只能包含物理接口不能建立三层VLAN接口。它与外部的三层通信靠Super VLAN的接口来实现。使用代理ARP可以实现Sub VLAN间的三层互访从而在实现普通VLAN功能的同时达到了节省交换机VLAN 接口的目的。如上交换机创建了Sub VLAN2和Sub VLAN3二者属于不同的广播域所以Super VLAN技术很好的隔离了它们Super VLAN10则属于另一个独立的广播域它与Sub VLAN2 和Sub VLAN3之间建立了映射关系它不存在物理接口只拥有一个vlanif接口用该接口为所有映射的Sub VLAN 提供三层路由通信服务。
关于代理ARP
普通代理ARP
普通代理ARP想要互通的主机分别连接到设备的不同三层接口上且这些主机不在同一个广播域。
上图为普通ARP的工作原理HostA要与HostC通信由于目的IP与本机的IP地址在同一个网段HostA直接发送ARP请求解析HostC的MAC地址。运行了代理ARP的交换机接收到ARP请求后代理HostA在1.1.2.0网段发出ARP请求解析HostC的MAC地址。HostC认为交换机向它发出了ARP请求所以回应ARP请求通告自己的MAC地址000F-E203-3333。交换机收到ARP响应后也向HostA发送ARP响应但通告的MAC地址是其连接到1.1.1.0网段的VLAN1接口的MAC地址000F-E202-2222。所以在HostA的ARP表中会形成IP地址1.1.2.3与MAC地址000F-E202-2222的映射项。即HostA会将所有要发送给HostC的数据包发送到交换机上然后交换机再转发给HsotC。
本地代理ARP
本地代理ARP想要互通的主机连接到设备的同一个三层接口上且这些主机不在同一个广播域。
上图为本地ARP代理这是Super VLAN的典型应用HostA和HostB分别属于Sub VLAN2和Sub VLAN3HostA的IP为1.1.1.1/24HostB的IP为1.1.1.2/24虽然HostA和HostB的IP在同一个网段但它们分别属于不同的广播域。通过SWA的Super VLAN10的三层接口上开启本地代理ARP功能可以实现HostA和HostB的三层互通。
Sub vlan间通信原理
如上图PCA需要发送报文给PCBPCA发现目的IP地址和自己是同一网段所以发送ARP请求而PCB在VLAN3的广播域内并不能收到这个ARP请求。因此PCA不能及时收到PCB的ARP应答但是Super VLAN10可以收到这个ARP广播。又因为Super VLAN10开启了本地代理ARP所以当PCA发出ARP请求时三层交换机开始在路由表里查找发现下一跳为直连路由接口则在Sub VLAN3内发送新的ARP请求PCB的MAC地址得到PCB的回应后Super VLAN10就把自己接口的MAC地址当做PCB的MAC地址在Sub VLAN2内给予PCA响应。之后PCA发送普通IP报文给PCB时通过Supr VLAN接口进行正常的三层报文转发。
Sub VLAN与外部二层通信的转发模型
因为Super VLAN不同于普通的VLAN它不包含物理接口所以VLAN10内根本不可能携带VLAN10标签的数据帧发送到其他交换机反之如果接收到来自Trunk链路上VLAN10的数据帧交换机也无法转发。所以在开启了Super VALN的交换机上Trunk链路将自动禁止Super VLAN的VLAN流量通过。上图中PCA属于SWB的VLAN2PCC属于SWA的VLAN2PCA访问PCC时从SWB的E1/0/1 进入的数据帧会被打上VLAN2的标签在SWB中这个标签不会改变SWB把数据帧从Trunk口E1/0/24转发出去依然是VLAN2的数据帧。对于SWA而言SWB上有效的VLAN只有VLAN2和VLAN3从PCC返回的到SWB的数据帧可以在VLAN2中转发 。SWA和SWB只负责普通交换机的作用只起转发作用因为PCA和PCC在同一vlan中
Sub VLAN与外部的三层通信
PCA发送IP报文到PCCPCA检查发现PCC与自己属于不同的IP网段所以将报文发送给自己的网关Super VLAN10。因此PCA检查自己的网关IP地址和MAC地址信息发现只有IP没有MAC地址信息于是发送ARP请求报文请求网关的MAC地址。请求报文在Sub VLAN2内发送并被SWB接收SWB没有对应的VLAN2接口但它发现Sub VLAN2被映射到了Super VLAN10,Super VLAN10提供三层服务所以交换机给予ARP响应并在Sub VLAN2内发送。至此PCA成功学习到了网关的MAC地址接下来PCA发送目的MAC为Super VLAN 10、目的IP为30.1.1.2的报文。Sub VLAN2接收到报文后检测到目的MAC知道应该进行三层转发就去查找路由表发现下一跳地址为20.1.1.2出接口为VLAN 20于是把报文送给SWASWA根据正常的转发流程把报文发送给PCC。PCC返回给PCA的报文到达SWB时正常IP转发检查发现出接口为Super VLAN10的三层接口但在Super VLAN10内没有包含任何物理接口开启了Super VLAN的交换机注意到如果存在Super VLAN那么需要从Super VLAN转发出去的报文都应该寻找其对应的Sub VLAN,并在Sub VLAN 内按照ARP和MAC表项进行匹配。所以最终将报文发给PCA完成双向通信。这时SWA和SWB起路由作用
实验 [SWA]vlan 2
[SWA-vlan2]port GigabitEthernet 1/0/1 #将接口划分到vlan2
[SWA]vlan 3
[SWA-vlan3]port GigabitEthernet 1/0/2 #将接口划分到vlan3
[SWA-vlan3]quit
[SWA]vlan 10
[SWA-vlan10]supervlan #将vlan10作为super vlan
[SWA-vlan10]subvlan 2 3 #划分管理的sub vlan
[SWA-vlan10]quit
[SWA]interface vlan 10
[SWA-Vlan-interface10]ip address 192.168.1.1 24 #配置虚拟IP地址作网关
[SWA-Vlan-interface10]local-proxy-arp enable #开启本地代理功能
[SWA-Vlan-interface10]quit
[SWA]vlan 20
[SWA-vlan20]port GigabitEthernet 1/0/3
[SWA-vlan20]quit
[SWA]interface vlan 20
[SWA-Vlan-interface20]ip address 192.168.2.1 24 #配置vlanif接口IP地址
[SWA-Vlan-interface20]quit[SWB]vlan 20
[SWB-vlan20]port GigabitEthernet 1/0/3
[SWB-vlan20]quit
[SWB]int vlan 20
[SWB-Vlan-interface20]ip address 192.168.2.2 24
[SWB-Vlan-interface20]quit
[SWB]ip route-static 0.0.0.0 0 192.168.2.1 #配置回包的路由[SWA]display supervlan #查看交换机上super vlan管理的sub vlanSuper VLAN ID: 10Sub-VLAN ID: 2-3Isolate-user-VLAN
QinQ 技术
原理 QinQ技术也被称为VLAN Stacking或Double VLAN是由IEEE 802.1ad标准定义的一种扩展VLAN空间的技术。其基本原理是在原有的802.1Q标签报文的基础上再增加一层802.1Q的Tag从而达到扩展VLAN空间的目的。具体来说当用户报文进入运营商网络之前设备会为其封装上一个运营商网络的VLAN Tag同时保留用户报文原有的VLAN Tag作为数据部分使报文能够带着两层VLAN Tag穿越运营商网络。 QinQ技术的出现主要是为了解决随着网络规模的扩大IEEE 802.1Q中定义的VLAN ID数量无法满足网络扩容需求的问题。通过QinQ技术VLAN的数量可以从原来的4096个增加到4094×4094个极大地扩展了VLAN空间。 此外QinQ报文带着两层Tag穿越运营商网络时内层Tag透明传送这种特性使其成为一种简单、实用的VPN技术。在企业网中不同的业务可以封装不同的VLAN Tag实现不同业务按需获取不同的资源。例如PC、VOIP和IPTV由于应用场景和需求不同在企业内部可以属于不同的VLAN当它们访问公网时可以针对不同的内层VLAN Tag添加不同的外层VLAN Tag。 总的来说QinQ技术通过其独特的双层Tag机制不仅扩展了VLAN空间还提高了网络的安全性和灵活性使得运营商能够用一个VLAN为含有多个VLAN的用户网络服务。同时QinQ技术也为企业网络提供了更精细化的业务管理和资源分配能力。
配置
应用案例
