二層交換基礎（VLAN原理，VLAN接口，VLAN間路由，VTP）

day4 二層交換

分享今日：

引入博客：

VLAN基礎

VLAN間路由

二層交換技術

 

二層交換特點

二層交換（二層通信）：交換幀，源和目的MAC地址不會變，但是設計到路由器（或者具有三層轉發功能的交換機）源MAC地址會改變。

廣播域：接收同樣廣播消息的節點的集合；

衝突域：連接在統一到西安上所有工作站的集合；

區別：

1. 廣播域可以昏網段，衝突域一般在同一個網段；
2. 廣播域基於二層，衝突域基於一層；
3. 一個局域網就是一個廣播域；
4. 集線器（hub）所有端口位於同一個廣播域，衝突域；
5. 二層交換機（switch）所有端口在一個廣播域，每一個端口是一個衝突域；

1. 二層交換基礎

 

1.1 園區網三層結構

1. 核心層（CO）：高速轉發、服務器接入、路由選擇

2. 匯聚層（GS）：流量匯聚、鏈路冗餘、設備冗餘、路由選擇

3. 接入層（AS）：用戶接入、接入安全、訪問控制

1.2 二層交換機主要功能

1. 泛洪：把一個幀從除了進入端口外的所有端口轉發出去；
2. 轉發：從某一端口轉發到另一端口；
3. 丟棄：不進行轉發，直接丟棄；

1.3 交換機轉發原理

1.3.1 單播轉發

1. 收到一個單播幀，交換機會在Mac地址表中查找這個幀的目的Mac地址，找不到直接泛洪；
2. 若找到，先與入接口進行比較；如果與入接口相同，丟棄，如果不同，轉發。

1.3.2 廣播轉發

​ 不會查找Mac地址，直接轉發。

1.3.3 組播轉發

 

1.4 PC與交換機收到單播與廣播幀

1.4.1 PC 收到

1. 單播幀:將單播幀的目的MAC地址與自己網卡MAC地址進行比較，如果與本地網卡MAC地址一致，則根據單播幀的類型字段的值將數據載荷上傳到網絡層的相應處理模塊，如果不一致直接丟棄。
2. 廣播幀：直接根據該廣播幀的類型字段類型直接上送至網絡層的相應模塊處理。

1.4.2 交換機收到

1. 單播幀：不會與本地比較MAC地址，而是直接去查Mac地址表
2. 廣播幀：直接泛洪。

---

2. VLAN

 

2.1 VLAN作用

將交換機的端口劃分進特定的VLAN（不同的廣播域）；

通常把劃分前的，規模較大的廣播域稱爲LAN，吧劃分後，規模較小的廣播域稱爲VLAN。

2.2 802.1Q幀格式

IEEE 802.1D定義了不支持VLAN特性交換機的標準規範，IEEE 802.1Q定義了關於支持VLAN特性的交換機標準；

通過tag區分不同VLAN；

標籤	含義
TPID	Tag Protocol ID,表示這個幀是否有tag，0x8100表示帶有（固定值）
PRI	Priority，幀優先級，越大越優先
CFI	Canoncial Format Indicator
VID	VLAN Identification，表示該幀所屬VLAN

2.3 鏈路類型

VLAN鏈路分爲兩種類型：Access鏈路和Trunk鏈路。
接入鏈路（Access Link）：連接用戶主機和交換機的鏈路稱爲接入鏈路；在一條Access鏈路上運動的幀只能是Untagged 幀。
幹道鏈路（Trunk Link）：連接交換機和交換機的鏈路稱爲幹道鏈路，在一條trunk鏈路上運動的幀只能是tagged 幀。

2.4 PVID

​ PVID即Port VLAN ID，代表端口的缺省VLAN。交換機從對端設備收到的幀有可能是Untagged的數據幀，但所有以太網幀在交換機中都是以Tagged的形式來被處理和轉發的，因此交換機必須給端口收到的Untagged數據幀添加上Tag。爲了實現此目的，必須爲交換機配置端口的缺省VLAN。當該端口收到Untagged數據幀時，交換機將給它加上該缺省VLAN的VLAN Tag。

2.5 端口類型☆☆☆

2.5.1 Access 端口

Access端口在收到數據後會添加VLAN Tag，VLAN ID和端口的PVID相同。
Access端口在轉發數據前會移除VLAN Tag。

Access端口收發數據幀的規則如下：

1. 如果該端口收到對端設備發送的幀是untagged（不帶VLAN標籤），交換機將強制加上該端口的PVID。
2. 如果該端口收到對端設備發送的幀是tagged（帶VLAN標籤），交換機會檢查該標籤內的VLAN ID。當VLAN ID與該端口的PVID相同時，接收該報文。當VLAN ID與該端口的PVID不同時，丟棄該報文。
3. Access端口發送數據幀時，總是先剝離幀的Tag，然後再發送。Access端口發往對端設備的以太網幀永遠是不帶標籤的幀。(Access接口與PC相連接，PC不會接受有Tag標記的幀，直接丟棄)

2.5.2 Trunk 端口

當一條鏈路，需要承載多VLAN信息的時候，需使用trunk來實現；
Trunk兩端的交換機需採用相同的幹道協議；
一般見於交換機之間或交換機與路由器之間；

​ 在本示例中，SWA和SWB連接主機的端口爲Access端口，PVID如圖所示。SWA和SWB互連的端口爲Trunk端口，PVID都爲1，此Trunk鏈路允許所有VLAN的流量通過。當SWA轉發VLAN1的數據幀時會剝離VLAN標籤，然後發送到Trunk鏈路上。而在轉發VLAN20的數據幀時，不剝離VLAN標籤直接轉發到Trunk鏈路上。

每一個Trunk 除了需要配置PVID之外還需要配置，允許通過VLANID的列表。

Trunk端口收發數據幀的規則如下：

1. 當接收到對端設備發送的不帶Tag的數據幀時，會添加該端口的PVID，如果PVID在允許通過的VLAN ID列表中，則接收該報文，否則丟棄該報文。
2. 當接收到對端設備發送的帶Tag的數據幀時，檢查VLAN ID是否在允許通過的VLAN ID列表中。如果VLAN ID在接口允許通過的VLAN ID列表中，則接收該報文。否則丟棄該報文。
3. 端口發送數據幀時，當VLAN ID與端口的PVID相同，且是該端口允許通過的VLAN ID時，去掉Tag，發送該報文。當VLAN ID與端口的PVID不同，且是該端口允許通過的VLAN ID時，保持原有Tag，發送該報文。(PVID 與 VLAN ID相同去掉Tag，不同保持原有Tag)

2.6 VLAN 的類型（劃分方法）

2.6.1 基於端口的VLAN（Port-based VLAN）

基於端口的VLAN通常也被稱爲物理層VLAN或一層VLAN。

劃分原則： 將VLAN編號（VLAN ID）映射到物理端口上，從某一個端口進入交換機的、由終端計算機發送的Untagged 幀都被劃分到該端口的VLAN ID 所表明的那個VLAN。

2.6.2 基於Mac地址的VLAN（MAC-based vlan )

基於Mac地址的VLAN也被稱爲二層VLAN。

**劃分原則：**交換機內部維護了一個MAC地址與VLAN ID的對應表，當交換機接收到計算機的Unragged幀時，交換機分析幀中的源Mac地址，然後查詢對應表，並根據對應關係把這個幀劃分到相應的VLAN中。

2.6.3 基於協議的VLAN（Protoclo-based VLAN）

基於協議的VLAN也被稱爲三層VLAN。

劃分原則：交換機根據發送的 Untagged 幀的類型字段來決定幀的VLAN歸屬。例如：ipv4劃分一個VLAN，ipv6劃分一個VLAN。

2.7 VLAN 的範圍

VLAN ID	範圍	用途	是否通過VTP傳播
0和4095	保留	用戶不能使用	不適用
1	常規範圍	默認VLAN，不可刪除	是
2-1000	常規範圍	用戶能夠創建、使用和刪除	是
1001	常規範圍	用戶不能創建、使用和刪除	是
1002-1005	保留	FDDI和令牌環	不適用
1006-1009	保留		不適用
1010-1024	保留		不適用
1025-4094	保留	有限使用	否

2.8 VLAN成員模式

2.8.1 靜態 VLAN

• 交換機上的端口以手動方式分配給VLAN；

2.8.2 動態 VLAN

• 使用VMPS可以根據連接到交換機端口的設備的源 MAC 地址，動態 地將端口分配給 VLAN；
• 華爲使用GVRP

---

 

3. VTP（VLAN Trunking Protocol）

• 一個能夠宣告VLAN配置信息的信息系統；
• 通過一個共有的管理域，維持VLAN配置信息的一致性；
• VTP只能在trunk端口發送要宣告的信息；
• 支持混合的介質主幹連接(快速以太網, FDDI, ATM).

3.1 VTP 模式

Server 模式	Client	Transparent
創建vlan	發送/轉發信息宣告	創建VLAN
修改vlan刪除vlan	同步	刪除VLAN
發送/轉發信息宣告	VLAN信息不會存貯於	刪除VLAN
同步	NVRAM	轉發信息宣告
VLAN信息存儲於NVRAM		不同步 不始發
Catalyst交換機默認是		VLAN信息存貯於NVRAM
server模式

3.2 VTP的運作

• VTP協議通過組播地址01-00-0C-CC-CC-CC在Trunk鏈路上發送VTP通告；
• VTP Server和clients通過最高的修訂號來同步數據庫；
• VTP協議每隔5分鐘發送一次VTP通告或者有變化時發生；

---

 

4. VLAN間路由☆☆☆

VLAN的侷限：VLAN在分割廣播域的同時也限制了不同VLAN間的主機進行二層通信的能力。

 

4.1 雙臂路由（每個VLAN一個物理連接）

在二層交換機上配置VLAN，每一個VLAN使用一條獨佔的物理鏈路連接到路由器的一個接口上。

缺陷： 隨着每個交換機上VLAN數量的增加，這樣做必然需要大量的路由器接口，而路由器的接口數量是極其有限的。並且，某些VLAN之間的主機可能不需要頻繁進行通信，如果這樣配置的話，會導致路由器的接口利用率很低。因此，實際應用中一般不會採用這種方案來解決VLAN間的通信問題。

4.2 單臂路由

在交換機和路由器之間僅使用一條物理鏈路連接。在交換機上，把連接到路由器的端口配置成Trunk類型的端口，並允許相關VLAN的幀通過。在路由器上需要創建子接口，邏輯上把連接路由器的物理鏈路分成了多條。一個子接口代表了一條歸屬於某個VLAN的邏輯鏈路。

配置子接口時，需要注意以下幾點：

1. 必須爲每個子接口分配一個IP地址。該IP地址與子接口所屬VLAN位於同一網段；
2. 需要在子接口上配置802.1Q封裝，來剝掉和添加VLAN Tag，從而實現VLAN間互通；
3. 在子接口上使能子接口的ARP廣播功能；
4. 子接口G0/0/1.1 與 G0/0/1.2 的MAC地址是一樣的都是G0/0/1的接口；

缺點： 如果VLAN數量衆多，VLAN間的通信流量很大時，單臂路由提供的帶寬就無法支撐這些流量。

4.3 三層交換（VLANIF接口）☆☆☆

三層交換機：是二層交換機與路由器的一種集成形式，它除了可以擁有一些二層口之外，還可以擁有一些“混合端口”（簡稱：混合口）。混合口同時存在二層口和三層口的特徵，所以在VLAN Interface（VLANIF）接口下，既要考慮二層口的情況又要考慮三層口的情況。

• 在三層交換機上配置VLANIF接口來實現VLAN間路由；

• 如果網絡上有多個VLAN，則需要給每個VLAN配置一個VLANIF接口，並給每個VLANIF接口配置一個IP地址；

• 用戶設置的缺省網關就是三層交換機中VLANIF接口的IP地址；

此時的VLANIF接口是三層口，但是平時交換機的是二層口。

二層口與三層口的區別☆☆☆

1. 二層口只有Mac地址沒有ip地址；三層口既有IP地址又有MAC地址；
2. 二層口收到廣播幀後，會將該廣播幀從其他所有接口泛洪出去；
3. 三層口收到廣播幀後，會根據這個廣播幀的類型字段的值將這個廣播幀的數據載荷上送至設備的第三層模塊處理；
4. 二層口接收到單播幀後，先在自己的Mac地址表中查找這個幀的目的MAC地址，如果查不到，該設備會從其他二層接口泛洪出去；如果查到，會比較這個MAC地址所指示的那個二層接口是不是進入該設備的二層接口，如果是，直接丟棄；如果不是，則會從這個MAC地址對應的二層接口轉發出去；
5. 三層口接收到單播幀後，會比較這個幀的目的MAC地址是不是本地MAC地址，如果不是，直接丟棄；如果是，會根據這個單播幀的類型字段的值將這個單播幀的數據載荷上送至設備的第三層模塊處理；

交換機與路由器的區別 :☆☆

1. 交換機的端口都是二層口，一臺交換機的不同二層口之間只存在二層轉發通道，不存在三層轉發通道。交換機內存在MAC地址表，用以二層轉發，交換機不存在IP路由表；
2. 路由器的端口都是三層口，一臺路由器的不同二層口之間只存在三層轉發通道，不存在二層轉發通道。路由器內存在IP路由表表，用以三層轉發，路由器不存在MAC地址表；
   如果不是，則會從這個MAC地址對應的二層接口轉發出去；
3. 三層口接收到單播幀後，會比較這個幀的目的MAC地址是不是本地MAC地址，如果不是，直接丟棄；如果是，會根據這個單播幀的類型字段的值將這個單播幀的數據載荷上送至設備的第三層模塊處理；

交換機與路由器的區別:☆☆

1. 交換機的端口都是二層口，一臺交換機的不同二層口之間只存在二層轉發通道，不存在三層轉發通道。交換機內存在MAC地址表，用以二層轉發，交換機不存在IP路由表；
2. 路由器的端口都是三層口，一臺路由器的不同二層口之間只存在三層轉發通道，不存在二層轉發通道。路由器內存在IP路由表表，用以三層轉發，路由器不存在MAC地址表；