VLAN(Virtual Local Area Network)的中文名爲"虛擬局域網"。虛擬局域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣。學生時代的學習筆記分享給大家,設備用的是H3C。
Access,Trunk,Hybrid三種接口類型
根據上面的網絡TOP圖我們來說一說access,trunk和hybrid三種接口類型的特性。如圖vlan2與vlan3要通我們可以通過這三種接口類型來實現。
【access類型】
分別把sw1的E0/0/0與sw2的E0/0/0接口加入vlan2與vlan3就可以實現兩vlan的通信
【trunk類型】
首先把sw1與sw2的E0/0/0接口類型設爲trunk(port link-typetrunk),再設置可通過的vlan。sw1中允許vlan2通過(port trunk permit vlan 2),sw2中允許vlan3通過。最後也是最關鍵的一步,把sw1的E0/0/0接口打上vlan2的標記(porttrunk pvid vlan 2),把sw2的E0/0/0接口打上vlan3的標記
【hybrid類型】
跟trunk的實現方式也差不多。把兩個交換機的E0/0/0接口類型改爲hybrid(注:當類型爲trunk時必須先改爲access類型再改爲hybrid不然改不過來)。然後設置sw1與sw2上從E0/0/0出去的vlan哪些是要去標記哪些是不需要的,sw1把vlan2去標記(porthybrid vlan 2 untagged),sw2把vlan3去標記。最後處理沒有標記的幀打上什麼標記,sw1打上vlan2標記(port hybridpvid vlan 2),sw2打上vlan3標記。
我們都知道vlan技術是在以太網幀中加了一個tag標記通過tag中的vlan ID來區分不同的vlan。三種不同接口類型是如何處理這個tag:
(a):access類型:對於任何vlan數據幀通過此接口時它都會去掉此幀中的vlan tag,對於進來的幀如果此幀沒有tag標記的話就打上本接口的pvid,有的話就比較是否與本接口的pvid相同不同的話就丟棄。但它不能改pvid,本接口在哪個vlan中pvid就是那個vlank號。
(b):trunk類型:與access類型不同的是trunk類型它可以手動設置本接口的pvid號,並且此接口yonxu允許通過的vlan數據幀也得通過手工來設置否則缺省的只允許vlan1的數據幀通過此接口。vlan數據幀從此類型的接口出去的話如果數據幀裏的tag標記裏的vlan號與些接口的pvid號相同就去掉此數據幀的vlan tag否則不會去掉。對於處理進來的數據幀則與access類型一樣。
(c):hybrid類型:這種類型我們也叫它爲混合類型,因爲它具有access與trunk兩種類型的特性。首先它得設置哪些數據幀從此接口出去是要帶tag標籤的哪些數據幀是不要帶tag標籤的。對於設置了不帶標籤的vlan數據幀從此接口出去時則把它的tag去掉。缺省的對vlan數據幀處理是不去掉標籤的。而對於進此接口的數據幀如果此幀沒有帶tag則打上本接口的pvid號(此種類型的接口pvid號也是可以自己手動設置的)。
PVLAN
如上圖我們要實現vlan2與vlan3要隔離但是要能通過兩個三層交換機去訪問loopback業務網段。這正如一些酒店裏一樣每個房間做爲一個vlan各個vlan之間不能通以確保安全與保密性但又能都上網。這時我們就得用到PVLAN了也就是Isolate-user-VLAN來實現這個功能
[sw1]vlan 2 //創建一個vlan2[sw1-vlan2]port enthernet0/1 //把以太口1加入到vlan2中[sw1]vlan 3[sw1-vlan3]port enthernet0/2[sw1]vlan 6 //創一個p vlan 6[sw1-vlan6]port enthernet0/24 //*把以太口24加入到vlan6中一定[sw1-vlan6]isolate-user-vlan enable //使能p vlan功能[sw1]isolate-user-vlan 6 secondary 2-3 //*指定p vlan的sub vlan*[sw1-vlan6]isolate-user-vlan enable //使能p vlan功能[sw1]isolate-user-vlan 6 secondary 2-3 //*指定p vlan的sub vlan*【pvlan的工作原理】
它實現的是各子vlan不能互通但都能與主vlan通。其實它就是靠Hybrid接口來實現的只不通是把Hybrid自動化罷了,省去了我們不少配置。按上面把sw1的配置配完,當你去display以太網接口時你會看到它的link-type爲Hybrid。在E0/1中Hybrid的一些屬性爲:vlan2與vlan6是不帶標記的,而在E0/2接口中是vlan3與vlan6沒帶標記,在E0/24則是vlan2,vlan3和vlan6都沒帶標記。這樣vlan2與vlan3通過E0/24口出去而此接口上vlan2,3出去是去掉標記的所以在進入sw2的E0/24口時就打上vlan5的標記,這樣sw1中的兩個vlan就能通過192.168.10.1這個網關通向Internet上網了。在這裏就有一個問題了我們要是把sw1換成一個三成交換機的話並且把網關配到pvlan 6上。那麼此時vlan 2, 3是否能找到網關?答案是肯定的--不能!爲什麼呢!原因很簡單這就是一個Hybrid的一個特性罷了。當網關在sw1的E0/24時vlan2,3到E0/24根本就不能與vlan6互通因爲它們是不同的vlan!此時vlan 2,3的tag標記還沒有去掉。
SuperVLAN
通過Supervlan技術讓vlan2與vlan3能夠互通,且兩個vlan裏的用戶通過三層交換機1.1.1.1址能夠訪問外網。
[sw1]vlan 5[sw1-vlan 5]ip addr 192.168.10.1 24[sw1-vlan 5]super vlan //配置此vlan爲super vlan(注:爲super vlan的vlan不能添加接口)[sw1]vlan 2[swl-vlan 2]port enthernet 0/1[sw1]vlan 3[sw1-vlan 3]port enthernet 0/2[sw1-vlan 5]subvlan vlan 2 3 //指定super vlan的subvlan爲vlan 2與vlan 3(注:建立映射前,subvlan必須包含接口,一旦建立映射就不可以更改subvlan的端口列表)
當開啓supervlan後系統就會自動開啓arp proxy(arp代理)。vlan 2與vlan 3要通信或是與外面通信的話都會交給vlan5去處理。兩個subvlan通過arpproxy功能借用vlan 5的IP地址進行通信。所以在vlan 2與vlan 3通信時看對方的mac地址都是vlan 5的mac地址。對於上圖兩個subvlan要訪問外網的話還得在兩個三層交換機上做路由協議或是配置靜態路由。
GVRP
在平常情況下圖中的各個相同vlan要能互通,那麼在中間的各個交換機上就必須都得開啓各個vlan不然的話要是沒開啓哪個vlan的話那麼在此交換機上就不能識別此vlan的數據幀,會被丟棄。這樣我們只好一個一個的去配了,太麻煩了。在這裏H3C爲了減少配置開發了一個協議那就是GVRP,它可以自動地發現各個交換機中有跑哪些vlan並會所有參與GVRP協議的交換機自動開啓這些vlan。它的工作方式用六個字來說就是“聲明-註冊-聲明”。比如,在上圖中sw1開啓了GVRP,在接口0發現vlan3接口2發現vlan4,那麼接口1就會對這兩個vlan進行聲明,sw3的接口1就會通過sw1的接口1的聲明而註冊vlan4和vlan3,而sw3的接口0又會聲明註冊的這兩個vlan……
我們要注意的一些是GVRP是工作在trunk接口類型下的,並且得permit要發佈的vlan。
在這裏只寫部分的配置,其它的都相同:
[sw1]interface e0/0/1[sw1-enthernet0/0/1]port link-type trunk[sw1-enthernet0/0/1]port trunk permit vlan 3 4[sw1-enthernet0/0/1]gvrp