交換機上的trunk,hybrid,access配置和應用(轉)
交換機上的trunk,hybrid,access配置和應用
以太網端口的鏈路類型:
Access類型:端口只能屬於一個vlan,一般用於連接計算機。
Trunk類型:端口可以屬於端個vlan,可以接收和發送多個vlan報文,多用於交換機之間。
hybrid類型:端口可以屬於多個vlan,可以接收和發送多個vlan的報文,可以用於交換機之間,也可以用於連接用戶主機。 www.2cto.com
三種類型的端口可以共存在一臺設備上,但Trunk端口和Hybrid端口之間不能直接切換,只能先設為Access端口,再設置為其他類型端口。例如:Trunk端口不能直接被設置為Hybrid端口,只能先設為Access端口,再設置為Hybrid端口。
各端口鏈路類型設置指令:
操作命令設置端口為Access端口
port link-type access
設置端口為Hybrid端口 www.2cto.com
port link-type hybrid
設置端口為Trunk端口
port link-type trunk
恢復端口的鏈路類型為缺省的Access端口
undo port link-type
hybrid端口和trunk端口的區別:
Hybrid端口可以允許多個VLAN的報文發送時不打標簽,而Trunk端口只允許缺省VLAN的報文發送時不打標簽。
設置以太網端口缺省VLAN ID:
Access端口只屬於1個VLAN,所以它的缺省VLAN就是它所在的VLAN,不用設置;
Hybrid端口和Trunk端口屬於多個VLAN,所以需要設置缺省VLAN ID。如果設置了端口的缺省VLAN ID,當端口接收到不帶VLAN Tag的報文後,則將報文轉發到屬於缺省VLAN的端口;當端口發送帶有VLAN Tag的報文時,如果該報文的VLAN ID與端口缺省的VLAN ID相同,則系統將去掉報文的VLAN Tag,然後再發送該報文。
各缺省vlan id設置指令:
設置Hybrid端口的缺省VLAN ID
port hybrid pvid vlan vlan_id
設置Trunk端口的缺省VLAN ID
port trunk pvid vlan vlan_id
恢復Hybrid端口的缺省VLAN ID為缺省值
undo port hybrid pvid
恢復Trunk端口的缺省VLAN ID為缺省值
undo port trunk pvid
端口對報文的收發處理:
註意:
Hybrid端口或Trunk端口的缺省VLAN ID和相連的對端交換機的Hybrid端口或Trunk端口的缺省VLAN ID必須一致,否則端口將不能正常轉發報文。
各類型端口使用註意事項:
1.在一臺以太網交換機上,Trunk端口和Hybrid端口不能同時被設置。
2.Trunk端口不能和isolate-user-vlan同時配置;Hybrid端口可以和isolate-user-vlan同時配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,則允許修改缺省VLAN ID,只有在解除映射後才能進行修改。
3.配置Trunk端口或Hybrid端口,並利用Trunk端口或Hybrid端口發送多個VLAN報文時一定要註意:本端端口和對端端口的缺省VLAN ID(端口的PVID)要保持一致。
4.當在交換機上使用isolate-user-vlan來進行二層端口隔離時,參與此配置的端口的鏈路類型會自動變成Hybrid類型。
5.Hybrid端口的應用比較靈活,主要為滿足一些特殊應用需求。此類需求多為在無法下發訪問控制規則的交換機上,利用Hybrid端口收發報文時的處理機制,來完成對同一網段的PC機之間的二層訪問控制。
hybrid簡單案例分析:
配置步驟:
[Switch-Ethernet0/1]int e0/1
[Switch-Ethernet0/1]port link-type hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
[Switch-Ethernet0/1] int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 20
[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged
此時inter e0/1和inter e0/2下的所接的PC是可以互通的,但互通時數據所走的往返vlan是不同的。
pc1訪問pc2過程分析:
pc1所發出的數據,由inter0/1所在的pvid vlan10封裝vlan10的標記後送入交換機,交換機發現inter e0/2允許vlan 10的數據通過,於是數據被轉發到inter e0/2上,由於inter e0/2上vlan 10是untagged的,於是交換機此時去除數據包上vlan10的標記,以普通包的形式發給pc2,此時pc1->p2走的是vlan10
pc2訪問pc1過程分析: www.2cto.com
pc2所發出的數據,由inter0/2所在的pvid vlan20封裝vlan20的標記後送入交換機,交換機發現inter e0/1允許vlan 20的數據通過,於是數據被轉發到inter e0/1上,由於inter e0/1上vlan 20是untagged的,於是交換機此時去除數據包上vlan20的標記,以普通包的形式發給pc1,此時pc2->pc1走的是vlan20
註:tag就是普通的ethernet報文,報文結構的變化是在源mac地址和目的mac地址之後,加上了4bytes的vlan信息,也就是vlan tag頭;untag就是普通的ethernet報文,比tag報文少了4 bytes字節。
trunk鏈路的簡單應用:
配置步驟:
Switch1
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch2
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed all
access鏈路的簡單應用:
Switch2配置:
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch3配置:
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
項目實戰:
項目要求:
1. PC1、PC2和PC3分別連接到二層交換機SwitchA的端口E0/1 、E0/2和 E0/3,端口分屬於VLAN10、vlan20和vlan30;PC4和PC5分別連接到二層交換機SwitchB的端口E0/1和E0/2,端口分屬於VLAN10和vlan20;
2. SwitchA通過端口E0/3,連接到SwitchB的端口E0/3;SwitchA的端口E0/3和SwitchB的端口E0/3均不是Trunk端口;
3. PC1的IP地址為10.1.1.1/24,PC2的IP地址為10.1.1.2/24,PC3的IP地址為10.1.1.3/24,PC4的IP地址為10.1.1.4/24,PC5的IP地址為10.1.1.5/24,現要實現各主機之間的通訊。
配置步驟:
SwitchA相關配置:
1. 創建(進入)VLAN10,將E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2. 創建(進入)VLAN20,將E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3. 創建(進入)VLAN30,將E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4. 創建(進入)VLAN100,將G2/1加入到VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5. 配置端口E0/1為Hybrid端口,能夠接收VLAN20、30和100發過來的報文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
前面E0/1加到了VLAN10中,這裏又將其端口類型設置為hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged
這裏對vlan 10沒有作操作指示,10實際上是該hybrid端口的PVID
6. 配置端口E0/2為Hybrid端口,能夠接收VLAN10和100發過來的報文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged
7. 配置端口E0/3為Hybrid端口,能夠接收VLAN10和100發過來的報文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged
8. 配置端口G2/1為Hybrid端口,能夠接收VLAN10、20和30發過來的報文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged
【補充說明】
對於Hybrid端口來說,可以同時屬於多個VLAN。這些VLAN分別是該Hybrid端口的PVID,以及手工配置的”untagged”及”tagged”方式的VLAN。一定要註意對應端口的VLAN配置,保證報文能夠被端口進行正常的收發處理。
此應用在二層網絡中,對相同網段的主機進行訪問權限的控制。
SwitchB相關配置:
1. 創建(進入)VLAN10,將E0/1加入到VLAN10
[SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/1
2. 創建(進入)VLAN20,將E0/2加入到VLAN20
[SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/2
3. 配置端口G1/1為Hybrid端口,能夠接收並透傳VLAN10和20發過來的報文
[SwitchB]interface GigabitEthernet 2/1
[SwitchB-GigabitEthernet2/1]port link-type hybrid
[SwitchB-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
課外延伸:
把當前以太網端口加入到指定VLAN:
把當前以太網端口加入到指定的VLAN中。Access端口只能加入到1個VLAN中,Hybrid端口和Trunk端口可以加入到多個VLAN中。
請在以太網端口視圖下進行下列設置。
操作命令把當前Access端口加入到指定VLAN
port access vlan vlan_id
將當前Hybrid端口加入到指定VLAN
port hybrid vlan vlan_id_list { tagged | untagged }
把當前Trunk端口加入到指定VLAN
port trunk permit vlan { vlan_id_list | all }
把當前Access端口從指定VLAN刪除
undo port access vlan
把當前Hybrid端口從指定VLAN中刪除
undo port hybrid vlan vlan_id_list
把當前Trunk端口從指定VLAN中刪除
undo port trunk permit vlan
{ vlan_id_list | all }
需要註意的是:Access端口加入的VLAN必須已經存在並且不能是VLAN 1;Hybrid端口加入的VLAN必須已經存在;Trunk端口加入的VLAN不能是VLAN 1。
執行了本配置,當前以太網端口就可以轉發指定VLAN的報文。Hybrid端口和Trunk端口可以加入到多個VLAN中,從而實現本交換機上的VLAN與對端交換機上相同VLAN的互通。Hybrid端口還可以設置哪些VLAN的報文打上標簽,哪些不打標簽,為實現對不同VLAN報文執行不同處理流程打下基礎。
端口的廣播風暴抑制比(broadcast-suppression):
可以使用命令broadcast-suppression限制端口上允許通過的廣播流量的大小,當廣播流量超過用戶設置的值後,系統將對廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的範圍,從而有效地抑制廣播風暴,避免網絡擁塞,保證網絡業務的正常運行。以端口最大的廣播流量的線速度百分比作為參數,百分比越小,表示允許通過的廣播流量越小;當百分比為100時,表示不對該端口進行廣播風暴抑制。
端口的流量控制(flow-control ):
當本端交換機和對端交換機都開啟了流量控制功能後,如果本端交換機發生擁塞,它將向對端交換機發送消息,通知對端交換機暫時停止發送報文。對端交換機在接收到該消息後將暫停向本端發送報文,從而避免了報文丟失現象的發生。
將某些端口的配置拷貝到其它端口:
為了方便將某些端口的配置與指定端口保持一致,可以使用copy configuration命令將指定端口的配置拷貝到其他端口。
可以拷貝的配置包括VLAN、QoS、STP、端口配置:
VLAN配置包括:端口上允許通過的VLAN、端口缺省的VLAN ID。
QoS配置包括:端口限速、端口優先級、缺省的802.1p優先級。
STP配置包括:端口的STP使能/關閉、與端口相連的鏈路屬性(如點對點或非點對點)、STP優先級、路徑開銷、報文發送速率限制、是否環路保護、是否根保護、是否為邊緣端口。
端口配置包括:端口的鏈路類型、端口速率、雙工模式。
說明:
如果將拷貝的源配置為聚合組ID,系統將以該聚合組中端口號最小的端口為源。
如果將拷貝的目的地配置為聚合組ID,則該聚合組內所有端口的配置都將改變為與源一致。
VLAN技術的好處:
隔離廣播:在交換網絡中,通過廣播域的隔離,可以大大減少網絡中泛洪的廣播包,從而提高網絡中的帶寬利用率。
安全性:通過在二層網絡劃分VLAN,可以實現在二層網絡中不同VLAN間的數據隔離。
故障隔離:通過VLAN的劃分,由於將設備劃分到不同的廣播域當中,可以減小網絡故障的影響,例如:arp病毒或arp攻擊。
vlan常見故障解析:
VLAN內的主機不能和其他VLAN通信,原因可能是:
1.>;主機上錯誤的網關、IP地址和子網掩碼設置
2.>;主機所連接的端口被劃分到了錯誤的VLAN
3.>;交換機上的Trunk端口設置錯誤,例如缺省VLAN設置不匹配,允許的VLAN列表不正確等
4.>;路由器子接口或三層交換機SVI端口的IP地址和子網掩碼設置錯誤
5.>;路由器或者三層交換機可能需要添加到達其他子網的路由
vlan 故障排查方法:
從低層(物理層)逐步向上排查,如端口和線纜無故障,則:
1.>;檢查主機的網絡設置是否匹配和正確
2.>;通過show vlan命令,確定VLAN內的端口劃分正確
3.>;通過show interface trunk命令,檢查Trunk鏈路兩端的Trunk設置是否匹配且正確
4.>;通過show interface命令,確定是否設置了正確的IP地址和子網掩碼
5.>;通過show ip route命令,確定各個子網都能夠正確出現在路由表中
6.>;通過show interface subinterface 命令,檢查路由器的子接口是否正確封裝了802.1Q,並指定到了正確的VLAN
7.>;通過show interface命令,檢查主機和交換機端口的速度和雙工設置是否匹配
交換機上的trunk,hybrid,access配置和應用(轉)