为了避免网络中以广播方式传输恶意数据包的影响,必须想办法隔离广播域。
提出了VLAN技术
VLAN
作用:
在交换机上,隔离不同广播域
表示:
#vlan有4096个(报文中占用12bit),取值空间为1-4094(0和4096被保留);
#默认情况下,交换机所有端口都属于vlan 1;
操作:
添加
#逐个添加 vlan 1 vlan 2
#批量添加 vlan batch 10 to 20 创建连续多个vlan
vlan 10 20 30 40 创建四个vlan
划分vlan后:
#同一个vlan内的主机可以互相通信,不同vlan之间不能通信;
#划分vlan本质上就是划分不同的MAC地址表;
即,一个vlan对应一个MAC地址表
#交换机工作原理:
1.形成MAC地址表(源MAC地址)
*交换机收到数据后,将MAC地址、入端口和入端口属于的vlan号形成一个条目
2.查找MAC地址表(目标MAC地址)
*交换机收到数据后,查询入端口属于的VLAN的MAC地址表
如果有对应条目,则转发;
如果没有,则从同VLAN的其他端口转发出去;泛洪(flood)
#查看vlan的MAC地址表:
display mac-address vlan ID
在传输数据时,根据目标设备不同,传输数据的要求不同,
分为三种端口:access、trunk、hybird 【查询端口类型:display port vlan】
#access:非交换机连接时使用 //同一时刻,传输一种vlan
*发送数据:不携带VLAN标签(号);
*接收数据:
-如果携带vlan标签,必须和入端口属于的vlan相同,否则直接丢弃;
-如果不携带vlan标签,入端口会给数据帧打上PVID(port vlan id),端口属于的vlan号;
配置PVID:
端口内:port default vlan ID
#trunk:交换机连接时使用 //同一时刻,可以传输多个vlan
*发送数据:携带vlan号;
注意:
如果发送的数据所属于vlan号和发送数据的端口所属vlan号相同,则该数据不会携带vlan 标签。
*接收数据:
-如果携带vlan标签,如果被入端口所允许,则接收;
如果不被入端口所允许,则丢弃;
-如果没有携带vlan标签,则打上端口的PVID;
配置PVID:
端口内:port trunk allow-pass vlan all //允许所有vlan通过
port trunk pvid vlan ID //修改端口PVID
注意:建议不要修改trunk接口的PVID,如果必须修改,请保证两边端口PVID一致。
#hybird:华为交换机默认的端口类型,可以同时实现access和trunk;
vlan 标签
#vlan标记方式:802.1q标准;
#vlan标记:以太网头部的源MAC地址和type之间;
#vlan标记:长度为4字节(32bit)
*vid:vlan号,12bit【0-0-4095】;
*cfi:表示二层的网络类型,1bit;
*pri:表示当前数据帧的优先级,3bit;
*tpid:表示数据帧的协议类型,16bit;
vlan 总结:
#交换网中,每台交换机内的vlan信息必须保持一致;
#交换机之间用trunk;
#非交换机之间用access;
PVID应用:
#任何一个进入交换机的数据帧,都应该有vlan 标签;
#交换机收到没有标签的数据帧,都会打上PVID;
MAC地址:
#6字节,48bit;
#16进制表示;
#厂商代码+唯一标识;
