交換機3種行爲
參見:HCNA網絡技術學習指南 第3.3以太網交換機,比較詳細
常見的以太網設備包括Hub、交換機等。交換機工作在數據鏈路層,轉發數據幀,它有效地隔離了以太網中的衝突域,極大地提升了以太網的性能
交換機的每個接口是一個衝突域
交換機的3種行爲
- 泛洪(flooding)
- 轉發(forwarding)
- 丟棄(discarding)
交換機進行轉發,泛洪,丟棄
廣播,未知單播,組播(沒有啓用互聯網協議)都是泛洪的一種
初始狀態下,交換機MAC地址表爲空
交換機將收到的數據幀的源MAC地址和對應接口記錄到MAC地址表中。
當數據幀的目的MAC地址不在MAC表中,或者目的MAC地址爲廣播地址時,交換機會泛洪該幀。
交換機根據MAC地址表將目標主機的回覆信息單播轉發給源主機
VLAN
VLAN(Virtual Local Area Network)的中文名爲"虛擬局域網"
VLAN的工作原理實際是對MAC地址表的劃分,每一個VLAN都會對應一張MAC地址表,通過將物理端口劃分到不同的VLAN中,實現廣播域(MAC地址表)的隔離。默認情況下交換機的所有端口都屬於VLAN1,在同一VIAN內部,那麼交換機上連接的所有主機也就都屬於VLAN1,屬於同一個廣播域。這樣的結果當然是廣播域過大,所以在現網中多個VLAN的實施用於使得廣播域變小,以便於管理,
VLAN技術可以將一個物理局域網在邏輯上劃分成多播域,也就是多個VLAN, VLAN技術部署在數據鏈路層,用於隔離二層流量個VLAN內的主機共享同一個廣播域,它們之間可以直接進行二層通信。而VLAN間的主機屬於不同的廣播域,不能直接實現二層互通。這樣,廣播報文就被限制在各個相應的VLAN內,同時也提高了網絡安全性。
VLAN不是爲了隔離用戶,而是讓用戶可以通信的同時完成管理
一個VLAN即一個廣播域VAN內部的主機可以直接在二層互相通信,而VLAN間主機的通信可以通過三 層(路由)通信
經典情況下:用戶主機和交換機之間的鏈路爲接入鏈路,交換機與交換機之間的鏈路爲幹道鏈路 這兩種鏈路類型是通用類型。在不同的組網解決方案中可以實施不同的技術,最本質的內容爲是否需要多個VLAN ID的流量經過接口轉發。
接入模式可以用於不同交換機之間
使用VLAN的好處
- 通過減少每個廣播域的設備數量,減少每個設備上的CPU開銷,提高主機性能
- 通過減少接收交換機泛洪的幀的副本(廣播,多播和未知單播)的主機數量來降低安全風險
- 通過每個VLAN應用不同的安全策略來提高主機的安全性
- 更靈活的設計,按部門或按工作組將用戶分組
- 更快地定位和解決問題,因爲許多問題的故障域與同一廣播域中的設備組相同
- 通過將VLAN限制在單個接入層交換機來減少生成樹協議(STP)的工作量
默認vlan
當前,802.1Q更加流行(請忽略ISL,當然它還是稍微有點用處的)
VLAN的範圍(802.1Q的標記字段使用12bit標識VLAN編號,1-4094)
正常範圍VLAN——所有交換機支持(1-1005)
擴展範圍VLAN ——高級一些的交換機支持(1006-4094,受VTP影響)
VLAN幀格式
通過tag區分不同的vlan,tag內部識別標記
VLAN數目:2的12次方 即1-4094。vlan0-4095,0和4095不能用 →VXLAN(16000)
概念:一個特殊的VLAN ID,默認爲1 (華爲叫做默認vlan。cisco叫做本徵vlan,也寫作native vlan)
規則:802.1Q根本不向Native VLAN中的幀添加802.1Q標頭
用途:主要用於兼容那些不支持802.1Q 的設備
DOT1Q(802.1Q)
PVID(端口vlan id),幀進入交換機時被增加的標記---->接入模式端口有關
數據VLAN:與access端口上的VLAN相同的概念和配置。
語音VLAN:用於轉發電話流量。 此VLAN中的流量通常使用802.1Q標頭標記。
華爲交換機端口類型
[Huawei-GigabitEthernet0/0/1]port link-type ?
access Access port #接入
dot1q-tunnel QinQ port #QinQ
hybrid Hybrid port #混雜
trunk Trunk port #幹道
如何判斷應使用何種類型?如何處理數據幀(獨享、共享、交叉)
Access
工作原理:以太幀出入(交換機)方向都是唯一的一個VLAN ID 。獨享
vlan list:端口允許一個vlan通過
access端口在收到數據後會添加vlan tag,vlan id和端口的pvid相同
access端口在轉發數據前會移除vlan tag
Trunk
工作原理:以太幀出入(交換機)方向多一個VLAN ID 。共享
交換機沒有vlan是不會轉發數據的
1.用戶模式下,創建VLAN
[SW1]vlan batch 8 9 10 11 12 99
2.接口模式下,指定端口爲何種端口類型(access,trunk,hybird)
[SW1-GigabitEthernet0/0/1]port link-type access
3.接口模式下,將改端口指派到創建的VLAN
[SW1-GigabitEthernet0/0/1]port default vlan 10
2步驟在3步驟前面,不能反過來
[SW1-GigabitEthernet0/0/1]display port vlan active
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port Link Type PVID VLAN List
-------------------------------------------------------------------------------
GE0/0/1 access 10 U: 10
GE0/0/2 hybrid 1 U: 1
GE0/0/3 hybrid 1 U: 1
HCNA網絡技術學習指南-5.5鏈路類型和端口類型
(1) Access端口
當 Access 口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag.然後對得到的Tagged 頓進行轉發操作(泛洪,點到點轉發丟棄)。
當Access端口從鏈路(線路)上收到一個Tagged幀後,交換機會檢查這個幀的Tag中VID是否與PVID相同。如果相同,則對這個Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不同,則直接丟棄這個Tagged幀。
當一個Tagged幀從本交換機的其他端口到達一個Access端口後,交換機會檢查這個幀的Tag中的VID是否與PVID相同,如果相同,則將這個Tagged 的Tag進行剝離,然後將得到的Untagged幀從鏈路(線路)上發送出去:如果不同,則直接丟棄這個Tagged幀。
(2) Trunk端口
對於每一個Trunk端口,除了要配置PVID之外,還必須配置允許通過的VLAN ID列表。
當Trunk端口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag,然後查看PVID是否在允許通過的VLANID列表中,如果在,則對得到Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不在,則直接丟棄得到的Tagged幀。
當Trunk端口從鏈路(線路)上收到一個Taged幀後,交換機會查看這個幀的Tag中的VID是否在允許通過的VLAN ID列表中,如果在,則對該Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄),如果不在,則直接丟棄該taged幀。
當一個Tagged幀從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID不在允許通過的VLANID列表中,則該Taged幀會被直接丟棄
當一個Tagged領從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID在允許通過的VLAN ID列表中,且VID與PVID相同,則交換機會對這個Tagged幀的Tag進行剝離,然後將得到的Untagged幀從鏈路(線路)上發送出去。
當一個Tagged以從本交換機的其他端口到達一個Trunk端口後,如果這個幀的Tag中的VID在允許通過的VLAN ID列表中,但VID 與PVID不相同,則交換機不會對這個Tagged鎮的Tag進行剝離,而是直接將它從鏈路(線路)上發送出去.
以上是對Access端口和Trunk端口的工作機制的描述,在實際的VLAN技術實現中,還常常會定義並配置另外一種類型的端口,稱爲Hybrid端口,既可以將交換機上與終端計算機相連的端口配置爲Hybrid端口,也可以將交換機上與其他交換機相連的接口配置Hybrid端口。
(3) Hybrid端口
Hybrid端口除了需要配置PVID外,還需要配置兩個VLAN ID列表,一個Untagged VLAN ID列表,另一個是Tagged VLAN ID列表,這兩個VLAN ID列表中的所有VLAN的幀都是允許通過這個Hybrid端口的。
當Hybrid端口從鏈路(線路)上收到一個Untagged幀後,交換機會在這個幀中添加上VID爲PVID的Tag,然後查看PVID是否在Untagged VLAN ID列表或Tagged VLANID列表中。如果在,則對得到的Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄);如果不在,則直接丟棄得到的Tagged幀。
當Hybrid端口從鏈路(線路)上收到一個Tagged幀後,交換機會查看這個幀的Tag中的VID是否在Untagged VLAN ID列表或Tagged VLAN ID列表中。如果在,則對該Tagged幀進行轉發操作(泛洪,點到點轉發,丟棄):如果不在,則直接丟棄該Tagged幀。
當一個Tagged幀從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID既不在Untagged VLAN ID列表中,也不在Tagged VLAN ID列表中,則該Tagged幀會被直接丟棄。
當一個Tagged幀從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID在Untagged VLAN ID列表中,則交換機會對這個Tagged幀的Tag進行剝離,然後將得到的Unagged幀從鏈路(線路)上發送出去
當一個Tagged從本交換機的其他端口到達一個Hybrid端口後,如果這個幀的Tag中的VID在Tagged VLAN ID列表中,則交換機不會對這個Tagged幀的Tag進行剝離,而是直接將它從鏈路(線路)上發送出去
Hybrid端口的工作機制比Trunk端口和Access端口更爲豐富而靈活: Trunk端口和Access 口可以看成是Hybrid端口的特例。當Hybrid端口配置中的Unagged VLAN I列表中有且只有PVID時, Hybrid端口就等效於一個Trunk端口;當Hybrid端口配置中的Untagged VLAN ID列表中只有PVID,並且Tagged VLAN ID列表爲空時, Hybrid端口就等效於一個Access端口
[SW1-GigabitEthernet0/0/3]port hybrid ?
pvid Specify current port's PVID VLAN characteristics #入交換機端口
tagged Tagged #端口轉發
untagged Untagged #端口轉發及出接口
vlan Virtual LAN