2. 程式人生 > >VLAN及vlan路由

VLAN及vlan路由

阿新 發佈:2017-10-05
vlan;vlna路由;單臂路由;主vlan;supervlan


一、vlan的劃分方式:(是為了隔離交換機中的廣播域,一個vlan一個廣播域,交換機一個接口一個沖突域)(中繼器是一個廣播域,一個沖突域,路由器一個借口一個廣播域和沖突域)

1、基於mac地址

2、基於ip子網

3、基於協議 沒有接口類型,接口類型只能Hybrid。

4、基於端口 (我們通常是基於端口劃分,1—4是按先後排序的)

技術分享

6字 6字節 2字 1 12字 1字 12字 (1-4094)

技術分享

cos標示二層報文優先級的

真正隔離廣播域的是mac地址表


二、vlan在交換機內轉發的處理流程

如果交換機收到一個帶vlan的廣播幀會在同一vlan接口下廣播(包括自己的接口),如果收到一個未知單播,就在本vlan下泛洪(泛洪只是在所有的端口中除自己以外發送消息.

技術分享


三、vlan的接口(二層交換裏的都帶標簽)

技術分享

1、access口:通常用於與pc鏈接

  • 入方向:

1)如果報文無標簽,打上端口PVID,

2)如果報文有標簽,檢查是否和端口PVID一致,如果一致,進入交換機轉發,否則丟棄。

  • 出方向:看是否帶標簽,如果帶,是否和access屬於的vlan一致,一致,去掉標簽出去,否則丟棄

[SW1]vlan 10

[SW1-vlan10]port e0/4/1

相當於:Untagged Ports:

Ethernet0/4/1(當帶vlan10的幀,從此接口出去時,不帶標)

技術分享

access也可以接受帶標簽的幀

技術分享

2、trunk口:

允許多個vlan帶標通過

  • 入方向:1)之前有標簽,檢查端口允許列表中是否有該VLAN,如果有進入交換機轉發。(a:接口允許此vlan通過;b:本交換機裏必須存在此vlan)

2)之前無標簽,打上端口PVID,檢查端口允許列表是否有該VLAN,有進入轉發。

  • 出方向:1)報文的vlan id和端口PVID不一致,檢查允許列表是否有該VLAN,如果有保留標簽離開。

2)報文vlan id和端口PVID一致,檢查允許列表是否有該VLAN,如果有去掉標簽離開。

  • [SW1]int e0/4/0

[SW1-Ethernet0/4/0]port link-type trunk

[SW1-Ethernet0/4/0]port trunk permit vlan 10 20

[SW1-Ethernet0/4/0]port trunk pvid vlan 30(敲這個只能將其接口的pvid改為vlan30,不讓vlan30通過,必須配permit)

  • 在trunk模式中pvid必須明指,將接口劃到vlan中是不可以的

  • [SWA-vlan20]port Ethernet 0/4/0 (該接口讓vlan 20過)

3、hybrid口(華三私有的)

允許多個vlan帶標通過,也允許多個vlan不帶標通過。

untag和tag:出去的時候起作用

(如果接口寫了某個vlan tag或者untag 就相當於permit此vlan,至於untag和tag是是否脫標或者加標,在交換機內部是不起作用的)

  • 入方向:1)之前無標簽,打上端口PVID,檢查允許列表(tagged/untagged)如果有,允許進入,反之丟棄。

2)之前有標簽,檢查允許列表(tagged/untagged)如果有,允許進入,反之丟棄。

  • 出方向:1)如果該標簽在untagged列表中,去掉標簽通過

2)如果該標簽在tagged列表中,保留標簽通過

  • [SWA]vlan10

[SWA-vlan 10]quit

[SWA]vlan 20

[SWA-vlan20]port Ethernet 1/0/1 (這條命令相當於port hybrid vlan 20 untagged

port hybrid pvid vlan 20

[SWA-vlan20]quit

[SWA]interface Ethernet 1/0/1

[SWA-Ethernet1 /0/1 ]port link-type hybrid

[SWA-Ethernet1 /0/1]port hybrid vlan 10 tagged(帶vlan10的幀不脫標簽出去)

  • [SWA-Ethernet1/0/1]port hybrid pvid vlan 20 (這條命令只能將pvid改成vlan 20,不能以為成VLAN20 出去的時候不打標,還要手動加上untag VLAN20)


hybrid端口配置了:(tag和untag只在交換機的出方向起作用)

port hybrid tagged vlan 2 4(表示帶該標簽的幀出去時不脫標簽)

port hybrid untagged vlan 3 5(表示帶該標簽的幀出去時脫標簽)


一、當交換機接收到一個來自其他設備的以太網幀時,首先查看該幀是否帶了標簽(即VLAN信息),

1. 如果不帶標簽(如來自PC,或者其他設備發送時剝離了標簽)那麽允許該標簽進入交換機,同時打上該端口的PVID的VLAN號(前提是untag或tag列表中有該vlan)。該幀從不帶標簽到帶標簽。

2. 如果帶標簽,那麽首先查看該幀所帶VLAN號是否在我上邊兩行命令行裏出現了,比如3就出現了,6沒有出現;那麽對於帶3的幀,會讓該幀通過,不會對幀做任何更改。而對於帶6的幀,就不會讓它通過而直接丟棄。


二、當交換機要發送一個以太幀出去時,(不會檢查是否帶標簽,因為所有幀都是從CPU過來的,肯定帶了標簽)對於tagged定義的幀,端口會直接發送,不會做任何更改,例如幀4。而對於untagged定義的幀,會剝離掉該幀的標簽,該幀從帶標簽到不帶標簽,如幀5 。

總結一句,對於tagged和untagged定義的幀,只有在發送時才會有剝離或不剝離的區別,而對於接收到幀的時候,只會起一個判斷是否允許該幀通過的作用(定義了則允許通過,未定義則丟棄)。


四、Isolate-user-vlan(pvlan)

  • 解決vlan id不足的問題(2^12-2=4094)

  • MAC地址同步(核心):會將下行端口的MAC地址表復制給上行端口(一般都是下行向上行復制,因為上行的mac地址表比較大)

技術分享

技術分享

  • Hybrid端口技術的應用:

    • 所有端口都為Hybrid

    • 上行端口允許所有vlan通過

    • 下行端口允許Isolate-user-vlan和自己的Secondary VLAN

  • MAC地址同步技術:

    • 各Secondary VLAN(下行vlan)學習的MAC地址同步到Isolate-user-vlan(上行vlan)

    • Isolate-user-vlan學習的MAC地址同步到各Secondary VLAN

Isolate-user-vlan配置:

技術分享

vlan 10

isolate-user-vlan enable //設置vlan10為isolate-user-vlan (主)

interface Ethernet 0/4/2

port isolate-user-vlan host //設置該接口為secondary接口

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 10 2 untagged //v2和v10,secondary接口出去時,不帶標簽

port hybrid pvid vlan 2 //修改該接口的PVID為2

interface Ethernet 0/4/0

port isolate-user-vlan 10 promiscuous //設置接口為主接口

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 2 3 untagged //v2和v3,在該接口出去時不帶標簽

port hybrid vlan 10 tagged //v10在該接口出去時,帶標簽

port hybrid pvid vlan 10 //修改pvid為10

isolate-user-vlan 10 secondary 2 3 //全局下,設置vlan2和vlan3為vlan10的 secondary接口

五、Super Vlan技術:

是一種利用vlna的三層,為了節省IP

技術分享

上行網絡不知道subvlan裏的ip地址,從而節省了ip

super vlan只是一個虛擬口,sub vlan是個物理口


六、Voice Vlan(基於mac地址劃分vlan的標簽)

MAC地址的格式:(48位二進制數)XX-XX-XX-XX-XX-XX(前24位位OUI,後24位為EOI)又叫物理地址。

交換機一個端口可以對應多個mac


七、GVRP(vlan動態學習) 只能在trunk口下使用

  1. 設備開啟GVRP功能後,設備可以動態的學習其他設備的vlan(被學習者也要開啟GVRP)

GVRP的組播MAC地址為0180-C200-0021

  • Normal模式:允許該端口動態註冊或註銷vlan,傳播動態vlan(自主學習)以及靜態vlan

  • Fixed模式:禁止該端口端口動態註冊或註銷vlan,只傳播靜態vlan信息,不傳播動態vlan信息

  • Forbidden模式:禁止該端口動態註冊或註銷vlan,不傳播vlan1以外的任何vlan信息

passing:交換機中存在的,且讓其通過

permited:在配置時permitd的

八、vlan路由:

1、最長匹配轉發模型

  • 用報文的目的ip和子網掩碼做“與”。

  • 做“與”結果與目標網絡號一樣,則匹配上

  • 路由表中匹配上的所有路由,掩碼最長的為最佳匹配項,報文將從此接口發出

2、交換機精確匹配轉發模型

  • CPU維護路由表

  • ASIC芯片完成主要的轉發功能(這兩點為硬件轉發)

  • 對數據包一次路由後,生成具體目的地址的轉發表項(Forward Information Base:轉發信息庫

),後續直接根據此表項轉發

3、轉發信息庫(FIB表)

將路由表中到達網段的最優路由匹配出來,放在FIB表中。

單工A——B 只能單向傳輸

半雙工A——B 可以雙向,但是不能同時

全雙工A——B 可以雙向,也能同時發

三層vlan:

  1. 必須包含至少一個真實接口(trunk,permit,untag)

  2. 成員中至少有一個UP


本文出自 “Network_偉” 博客,請務必保留此出處http://cwnetwork.blog.51cto.com/10718966/1970458

VLAN及vlan路由

相關推薦

VLANvlan路由

vlan;vlna路由;單臂路由;主vlan;supervlan一、vlan的劃分方式:(是為了隔離交換機中的廣播域,一個vlan一個廣播域,交換機一個接口一個沖突域)(中繼器是一個廣播域,一個沖突域,路由器一個借口一個廣播域和沖突域)1、基於mac地址2、基於ip子網3、基於協議

思科路由模擬器 -- (5)交換機配置基礎、STP協議VLAN劃分

這篇文章介紹的是使用思科模擬器理解交換機配置基礎、STP協議及VLAN劃分,需要解決的問題: 1.瞭解計算機和交換機的連線方式。 2.配置交換機的主機名。 3.配置vlan1埠地址和預設閘道器。 4.檢視版本資訊,檢視埠的配置資訊。 5.配置2960交

  思科vlan單臂路由

思科單臂路由 思科vlan單臂路由 一.拓撲圖: 二.實驗目標: 1.不同vlan成員可以通信; 2.全網互通。三.實驗環境: VLAN 1的IP段是192.168.0.0/24 成員SW1和SW2其IP分別為:192.168.0.2和 19

VLAN 子網劃分

1.VLAN是一種基於邏輯上的虛擬區域網,而LAN子網劃分是基於物理的,用子網掩碼就可以劃分LAN,同一vlan下主機通訊必須是同一網段,不同vlan通訊要做vlan間路由;實際上可以將幾個子網劃為一個VLAN; 2.只通過子網劃分(子網掩碼就)的網路,不同網段並沒有真正意

華為交換機vlan埠配置實踐

         最近單位在進行機房的整體升級改造,期間配合管網路的同事進行一些vmare虛擬平臺與物理網路對接處理,從中引出一系列網路及交換機的配置問題,原先一直對網路及交換機的配置沒有深入接觸,通過這次搞清楚了一些相關知識,所以記下和大家共享。我們所面臨的主要問題是:

HCL 配置端口隔離VLAN實例

type 根據 分享 ddr mit res 外部 mar shadow 一. 端口隔離 1. 組網需求 (特別註明:模擬器中端口隔離功能不起作用) 如 圖1-1 所示,小區用戶Host A、Host B、Host C分別與Device的端口GigabitEtherne

HCL模擬器 Primary VLAN Super VLAN

net http ace port hybrid 模擬器 proxy-arp sha res 一.Primary VLAN 1. 組網需求 ? Device B 上的VLAN 5 和VLAN 10 為Primary VLAN,其上行端口GigabitEthernet1/0

IP路由靜態路由配置

執行 jsb cap 獲取數據 pos 設備配置 時有 .html 道理 IP路由及靜態路由配置 qianghaohao(CodingNutter) 鏈接來源:http://www.cnblogs.com

Linux自動掛載鏡像、遠程桌面、共享win7文件夾、創建raid5卷、創建HTML文件靜態路由

自動掛載 遠程桌面 共享windows文件夾 raid5卷 靜態路由 Linux自動掛載鏡像、遠程桌面、共享win文件夾、創建raid5卷、創建HTML文件及網絡靜態路由綜合小實驗 環境描述:Linux01和win7分別是公司內網中的兩臺PC機,Linux02是公網上的一臺web服務器根

Windows Server 2012 搭建DHCP遠端路由訪問

一、基礎環境資訊: 二、DHCP與遠端訪問伺服器角色安裝 1、伺服器管理器—>儀表板—>新增角色和功能,出現新增角色和功能嚮導,點選下一步 2、選擇安裝型別為基於角色或基於功能的安裝,點選下一步 3、選擇目標伺服器,預設選擇本機,點選下一步 4、新增DHCP伺服器,點選新

HTML5中history物件解析前端路由實現封裝流程

HTML5 history新增了兩個API:history.pushState和history.replaceState 兩個Api都接收三個引數: 語法: window.history.pushState(state Object, title, URL); window.hist

lavarel-composerlavarel路由

composer使用: 在專案根目錄下的composer.json檔案裡的require裡新增語句"廠商/類庫名":"版本號" 執行```composer install```,如果需要再執行```composer update``` 解除安裝類庫:```composer remove

vue的路由靜態路由和動態路由的區別

1.路由主要分為以下幾點:(圖見) 靜態路由與動態路由的區別: 定義: 靜態路由:靜態路由是在路由器中設定固定的路由表;除非網路管理員進行干預,否則靜 態路由表不會發生變化。 動態路由:由網路中的路由器之間相互通訊,傳遞路由資訊,利用收到的路由資訊更新路由表的路由方式。 使用場景: 靜態路

Angular學習筆記-配置子路由輔助路由

配置子路由 子路由的配置形如 path: 'home', component: HomeComponent, children: [ { path: '', component: XxxComponent }, { path: '/yyy', c

Angular6 路由路由配置

第一步:在module.ts裡配置  先引入import { Routes, RouterModule, Router } from '@angular/router'; 然後建立一個路由,path是路徑 可以自定義在頁面上呼叫用的,component是我們自己寫的元

angular 1.6 以上路由無法跳轉問題

angularjs1.6及後面的版本 經常在使用yeoman構建angularjs專案和沒有使用yeoman構建的時候會出現路由無法跳轉的問題 正確的路由應該為: 錯誤的路由為: 原因是因為angularjs1.6後會將位址列 第二個開始及後面的/所拼的地址進行解析因此

路由器+二層交換機劃分vlan實現vlan互通

路由器劃分VLAN,是將路由器配置為各VLAN的閘道器,實現VLAN間路由,也就是所說的單臂路由。 路由器配置VLAN,不能將物理埠劃分到VLAN中,而要通過將虛擬子介面劃分到VLAN中並且為其配置封裝協議 dot1q。 詳細解說: 路由器提供VLAN間路由只能做單

CentOS 7 永久臨時路由的新增

一、ip route show 路由顯示和設定 1.路由顯示:ip route show 2.新增臨時靜態路由:ip route add10.0.0.0/8 via 10.*.*.1 dev ens160 3. 刪除臨時靜態路由:ip route del 10.0.

lumen1:安裝lumen整合路由外掛dingo

composer create-project --prefer-dist laravel/lumen blog 啟動專案 php -S localhost:8000 -t public 在.env中設定相關本地配置 "require":

CentOS 配置多網絡卡簡單路由設定

CentOS6中關於網路配置的命令有很多,本文將介紹幾個平時最長用的幾個命令,以及網絡卡IP地址的配置和簡單路由配置。 1、經常使用的檢視IP地址命令為 ifconfig,不跟引數的情況下預設檢視所有已啟用的網絡卡資訊,如下圖所示: