NewH3C——VLAN、STP、链路聚合

序言：快过年了比较忙，好几天没有更新了，今天继更回来；哈哈~哈

路由器与交换机——了解

一、路由器

1、路由器的作用

1. 连接具有不同介质的链路
2. 隔离广播
3. 对数据报文执行寻路和转发
4. 交换和维护路由信息

2、交换机的作用

1. 隔离冲突域
2. 对以太网帧进行高速而透明的交换转发
3. 自行学习和维护MAC地址信息

以太网交换机工作原理

一、以太网

1、定义： 传输标准Ethernet II类型帧的网络

2、特征： 多路访问，广播式的网络

3、以太网帧格式：

4、MAC地址：

每台网络设备生产时就写入的一个全球唯一的物理地址

48位长度，16进制格式地址

前24位为厂商标识：

后24是设备标识

二、交换机

1、定义： 工作在数据链路层，通过识别Mac地址来进行数据转发的设备

2、交换机数据转发原理： 存储在内存RAM中，断电丢失

(1)MAC地址表

记录交换机每个端口和所连接的设备的MAC地址的映射关系：一个端口可以对应多个MAC地址；一个Mac地址不能对应多个接口

~

老化时间：300秒

(2)工作机制

交换机学习数据帧的源MAC地址，来获得端口和设备MAC地址的映射关系，写入MAC地址表；

交换机检查数据帧的目的MAC地址，从MAC地址表中的映射关系来判断把数据帧从哪个端口发出；

交换机对于目的MAC地址不存在于MAC地址表中的数据帧进行广播处理；

3、数据传输模式:

单播：接收者是某一个设备
广播：接收者是所有其他设备
组播：接收者是某一部分设备

4、数据帧的转发方式

对于目的MAC地址已知的单播帧，交换机查询MAC地址表进行转发

对于目的MAC地址未知的单播帧，交换机进行广播处理

对于广播帧，交换机继续广播处理

广播域：网络中所有能接收到同样广播消息的设备的集合；默认情况下，交换机的所有端口属于同一个广播域

实验从这开始

VLAN(虚拟局域网)

一、VLAN简介：

1、定义： 虚拟局域网，用来在二层网络中隔离广播域，减小广播域的范围；不同VLAN的设备在二层网络中无法互相通讯。

2、VLAN的优点： 有效控制广播域范围；增强局域网的安全性；灵活构建虚拟工作组

二、VLAN转发原理

1、文字描述：

PC发送数据帧进入交换机，会被打上vlan tag；vlan tag中的vlan id就是收到帧的接口的所属vlan；一旦数据帧被打上vlan tag，就变成了802.1Q格式的帧

802.1Q帧格式 (在源Mac地址和Type之间携带vlan tag的帧格式，计算机不识别)

2.交换机检查数据帧的目的MAC地址，进行判断；如果目的MAC对应的接口允许tag中的vlan id通过，则数据帧可以转发；否则，丢弃该帧

3.数据帧从出接口发往PC前，会剥离vlan tag，使之还原为标准的以太网帧格式

2、举例

三、工作原理

1、交换机端口类型：

Access:

必须加入到一个vlan，只能加入到一个vlan；从access端口收到的帧，会打上该端口所属vlan的tag；从access端口发出的帧会剥离tag

~

注意：H3C交换机默认所有端口都是access类型属于vlan1；华为是hybrid；一般用来连接PC或路由器

Trunk:

可以允许多个vlan的数据通过；从trunk端口发出的帧保留vlan tag，但是缺省vlan除外；trunk端口收到未打tag的帧，会重新打上缺省vlan的tag

~

注意：实现二层跨VLAN互通，一般用来连接交换机

Hybrid:(了解）

可以允许多个vlan的数据通过；可以手动配置从Hybrid端口发出的帧，哪个vlan保留tag，哪个vlan剥离tag，缺省vlan必定剥离tag；Hybrid收到未打tag的帧，会重新打上缺省vlan的tag

2、PVID理解：

定义： 表示某个端口的缺省vlan；任何类型的端口转发tag中vlan id和pvid一致的帧，都会剥离tag

特征：

1. Access端口所属的vlan就是pvid，不用配置，默认是vlan1
2. Trunk端口需要手动配置pvid，默认是vlan 1
3. Hybrid端口需要手动配置pvid，默认是vlan1

即： 任何端口收到未打tag的帧，都会打上缺省vlan的tag；任何端口转发携带缺省vlan tag的帧，都会剥离tag

四、VALN类型

1、静态VLAN：基于端口

2、动态VLAN：基于MAC地址；网络IP；基于IP子网的VLAN

VLAN归属优先级: Mac地址vlan>IP子网vlan>协议vlan>端口vlan

五、VALN划分的好处：抑制广播风暴

六、实验：

SW1和SW2上分别创建vlan10和vlan20

步骤1：在SW1上创建vlan10和vlan20

[SW1]vlan 10
[SW1-vlan10]vlan 20
[SW1-vlan20]

步骤2：在SW2上创建vlan10和vlan20

[SW2]vlan 10
[SW2-vlan10]vlan 20
[SW2-vlan20]

SW1和SW2都把g1/0/1接口加入vlan10，g1/0/2接口加入vlan20

步骤1：在SW1上把g1/0/1接口加入到vlan10，把g1/0/2接口加入到vlan20

[SW1]vlan 10
[SW1-vlan10]port g1/0/1
[SW1-vlan10]vlan 20
[SW1-vlan20]port g1/0/2

步骤2：在SW2上把g1/0/1接口加入到vlan10，把g1/0/2接口加入到vlan20

[SW2]vlan 10
[SW2-vlan10]port g1/0/1
[SW2-vlan10]vlan 20
[SW2-vlan20]port g1/0/2

SW1和SW2的g1/0/3接口都配置为trunk，允许vlan10和vlan20通过

步骤1：在SW1上把g1/0/3接口配置为Trunk类型，并允许vlan10和vlan20通过

[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]port link-type trunk 
[SW1-GigabitEthernet1/0/3]port trunk permit vlan 10 20

步骤2：在SW2上把g1/0/3接口配置为Trunk类型，并允许vlan10和vlan20通过

[SW2]interface g1/0/3
[SW2-GigabitEthernet1/0/3]port link-type trunk 
[SW2-GigabitEthernet1/0/3]port trunk permit vlan 10 20

测试结果，如下所示：

步骤1：在PC3上PingPC4，发现不能Ping通

<H3C>ping 192.168.1.2
Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

步骤2：在PC3上PingPC5，发现可以Ping通

<H3C>ping 192.168.1.3
Ping 127.0.0.1 (127.0.0.1): 56 data bytes, press CTRL_C to break
56 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 127.0.0.1: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 127.0.0.1: icmp_seq=4 ttl=255 time=0.000 ms

步骤3：在PC3上PingPC6，发现不能Ping通

<H3C>ping 192.168.1.4
Ping 192.168.1.4 (192.168.1.4): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

STP(生成树协议)

一、二层环路带来的问题——>引入STP——>解决二层环路的问题

广播风暴；MAC地址表震荡

STP用于在局域网中消除数据链路层物理环路的协议

二、STP相关概念

1、BPDU：桥协议数据单元，用于传递STP协议相关报文 只有根网桥才有BPDU

BPDU分类：

1. 配置BPDU：用于传递STP的配置信息
2. TCN BPDU：用于通告拓扑变更信息

2、STP选举机制

(1)在所有交换机中选举出一台作为根网桥（Root bridge）

选举规则: Bridge-id小的优先

Brideg-id: 格式——>优先级+Mac地址

优先级默认32768，必须是4096的倍数

(2)每台非根网桥（交换机）选举出一个根端口（Root port）

选举规则: 1.到达根网桥开销小的优先(开销：Cost，代表路径耗费的代价和成本，带宽越大，开销越小);

2.对端交换机BID小的优先;3.端口ID小的优先

(3)每个物理段上（每根网线）选举出一个指定端口（Designated port）

选举规则：1.到达根网桥开销小的优先；2.本机BID小的优先；3.端口ID小的优先

(4)剩下没有角色的端口就是闭塞端口（Blocked Port）

(5)草图如下：

3、STP初始化流程

1. disable：禁用状态，被关闭的端口
2. blocking：闭塞状态：接收BPDU，但不发送BPDU，不学习Mac地址，不转发数据
3. listening：监听状态：接收并发送BPDU，不学习Mac地址，不转发数据，持续15秒
4. learning：学习状态：接收并发送BPDU，学习Mac地址，不转发数据，持续15秒
5. forwarding：转发状态：接收并发送BPDU，学习Mac地址，转发数据

4、STP计时器 30s~50s

1. Hello time（2s）：配置BPDU的发送周期
2. Max age（20s）：判断链路故障的时间，10个Hello time周期
3. Forwarding delay（15s）：状态切换延迟

5、STP拓扑变更机制

1.Max age超时/有接口变更为转发状态，判断为拓扑发生变更，向根网桥发起TCN BPDU

2.收到TCN BPDU的交换机继续向根网桥转发TCN BPDU，到达根网桥为止

3.根网桥收到TCN BPDU后，向所有端口发起TC置位的配置BPDU

4.交换机收到TC置位的配置BPDU后，Mac地址表的老化时间缩短到15秒

6、STP的扩展

(1)STP的问题：收敛速度慢，故障切换时间太长；网络中大量主机频繁上下线，会导致TCN BPDU大量发送

(2)RSTP:快速生成树协议

端口状态减少到3种;
端口角色增加到4种:根端口和指定端口不变;闭塞端口细分为2种
边缘端口机制:边缘端口UP/DOWN不会触发拓扑变更

(3)MSTP:多生成树协议

将多个vlan捆绑到一个生成树实例，每个实例分别独立计算生成树
基于STP计算结果不同，实现不同vlan的流量负载均衡

7、STP实验略

交换机端口安全技术（了解）

一、802.1x

1、定义： 起源于WLAN协议802.11，解决局域网终端的接入认证问题

2、认证方式: 本地认证;远程集中认证

3、端口接入控制方式: 基于端口认证;基于Mac地址认证

一、端口隔离技术

用于在同vlan内部隔离用户

同一隔离组端口不能通讯，不同隔离组端口可以通讯（员工不能访问老板的PC）

链路聚合

1、定义： 把连接到同一台交换机上的多个物理端口捆绑为一个逻辑端口

2、功能：

提高链路可靠性：聚合组内只要还有物理端口存活，链路就不会中断

增加链路传输带宽：避免了STP计算，聚合组内物理端口不会被闭塞

负载分担(负载均衡）：聚合后的链路会基于流自动负载分担

3、分类： 静态聚合；动态聚合。

4、链路聚合实验 注意：一定要先聚合再Trunk;因为聚合要求两个接口一样

分析：SW1和SW2之间通过g1/0/1和g1/0/2接口直连，需要在两台交换机上分别创建聚合接口，并把g1/0/1和g1/0/2接口加入到聚合接口，形成链路聚合。被聚合的物理接口的vlan配置和接口类型要保持一致，所以在配置链路聚合前，物理端口不要做任何其他配置，保持默认状态即可

步骤1：在SW1上创建Bridge-Aggregation 1号聚合接口

[SW1]interface Bridge-Aggregation 1

步骤2：进入g1/0/1和g1/0/2接口的接口视图，分别把两个接口加入到聚合接口

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]port link-aggregation group 1
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]port link-aggregation group 1

步骤3：查看链路聚合状态，发现已经成功运行

[SW1]display link-aggregation verbose
  ……

  Port             Status  Priority Oper-Key

GE1/0/1          S       32768    1         
GE1/0/2          S       32768    1 

步骤4：SW2上命令与SW1上完全一致，这里省略

SW1和SW2之间的直连链路要配置为Trunk类型，允许所有vlan通过

分析：物理接口加入到聚合接口后，会自动继承聚合接口的vlan相关配置，所以不需要在物理接口上分别配置Trunk，只需要在聚合接口下配置Trunk即可

步骤1：在SW1的Bridge-Aggregation 1接口的接口视图下，把该聚合接口配置为Trunk，并允许所有vlan通过。命令执行完毕后，会显示配置已经在g1/0/1和g1/0/2接口上自动完成

[SW1]interface Bridge-Aggregation 1
[SW1-Bridge-Aggregation1]port link-type trunk
Configuring GigabitEthernet1/0/1 done.
Configuring GigabitEthernet1/0/2 done.
[SW1-Bridge-Aggregation1]port trunk permit vlan all
Configuring GigabitEthernet1/0/1 done.
Configuring GigabitEthernet1/0/2 done.

步骤2：SW2上命令与SW1上完全一致，这里省略

中断SW1和SW2之间的一条直连链路，测试PC3和PC4是否仍然能够继续访问

分析：链路聚合会自动把SW1和SW2之间的流量进行负载均衡，某一条链路中断连接后，也仍然还有另外一条链路可以继续通讯，所以PC3和PC4可以继续访问

步骤1：进入SW1的g1/0/1接口的接口视图，使用shutdown命令关闭接口

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]shutdown 

步骤2：测试结果，PC3仍然可以Ping通PC4

<H3C>ping 192.168.1.2
Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.1.2: icmp_seq=0 ttl=255 time=0.000 ms
56 bytes from 192.168.1.2: icmp_seq=1 ttl=255 time=0.000 ms
56 bytes from 192.168.1.2: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 192.168.1.2: icmp_seq=3 ttl=255 time=0.000 ms
56 bytes from 192.168.1.2: icmp_seq=4 ttl=255 time=0.000 ms