一,vlan的概念及优势
(一)vlan 概念
称为虚拟局域网。是一组逻辑上隔离的设备和用户。这些设备和用户不受物理位置限制,可根据部门或组等进行灵活划分,保障信息安全, 同时隔绝广播信息,提升网络效能,防止广播风暴的产生
虚拟局域网 是 把大的网络划分小的局域网
(二)优势
最主要得作用:划分广播域
提高安全性
简化网络管理
二,分割广播域办法
(一)物理分割
加路由器
(二)逻辑分割
vlan
1,vlan的划分方式
静态vlan 基于接口:把交换机的接口1设置成vlan 10 连在接口1的设备在VLAN10 上
动态vlan 基于mac
三,静态vlan的配置
(一)vlan ID的范围
0到4095 可用是1到4094 默认是1
华为ensp 怎么查看 vlan :display vlan
port link-type access (看的更详细)
(二)vlan 原理
1,vlan 数据帧
在数据帧 mac地址后加入 TAG(vlan ID)
注意(数据帧在交换机里一定会有vlan标签 默认会加vlan1)
2,vlan接口类型
access:交换机连接pc主机 路由器 ( 交换机和计算机只可能access 因为计算机识别不出vlan ID)
trunk:交换机连交换机 如果使用单臂路由技术路由器交换机之间用 trunk
hybrid:混杂模式(华为特有)
3,vlan 原理
access接口:
①如果收到一个没有vlan标签的数据帧,会接收数据,打上自己端口的vlan标签
②如果收到一个带有vlan标签的数据帧,会和自己的vlan标签比较,如果一样,放行并且脱掉标签,如果不一样拒收
trunk接口:
①如果收到一个没有vlan标签的数据帧,会接收数据,打上自己端口的vlan标签 vlan 1
②如果收到一个带有vlan标签的数据帧,会对比 vlan list (display port vlan active) , 如果在list中,放行并且不脱掉标签,如果不在拒收
四,如何实现vlan之间的通讯
单臂路由
三层交换
(一)单臂路由原理
使用路由器子接口 连接路由器 交换机的看成好几个线 配trunk
(二)单臂路由过程
(三)单臂路由缺点
1,单臂 为网络骨干链路,容易形成网络瓶颈
2,子接口 依然依托于物理接口,应用不灵活
3,vlan间转发需要查看路由表,严重浪费设备资源
五,多台交换机
为了提供更多的接口,交换机可以使用,级联 堆叠两种方式
区别:
级联 用网线,可以把不同牌子放在一起,但是速率慢
堆叠,特殊技术,只能同品牌
六,实验操作
(一)access 实验
1,搭建实验环境,目前四台主机可互通,红蓝作为两个部门,需要不互通,我们需要加vlan
2,建立两个vlan 10 20
vlan batch 10 20 (单个直接vlan10 也可以10 to 15 就是10 11 12 13 14 15)
3,将Lsw1 的E口1和E口3 放在一个组 方便一起设置
port -group group-member e0/0/01 e0/0/3
4,
port link-type access 将端口设为access
port default vlan 10口放到vlan 10 
将端5,同理,把PC3 PC4 放到vlan20
6,再次用PC1 pingPC3 或PC4 发现不通 。因为已经在不同vlan
(二)trunk 实验
1,实验环境
基于上述环境,当两个组都想连接各自的服务,如果还用access,就只有一个组能通到服务,所以需要trunk接口
2,将LSW1 接口5 设置为 trunk 允许vlan10 和20的经过
接口视图 port link-type trunk 将端口设为trunk
port trunk allow-pass vlan 10 20 (也可以写all)
3,LSW2建立两个vlan 10 20
将LSW2 的接口1 设置为 access vlan 10 这是只让销售访问的服务器
将LSW2 的接口2 设置为 access vlan 20 这是只让财务访问的服务器
将LSW2 的接口3 设置为 trunk 10 20 让数据能回来
4,此时销售1,2只可访问销售的服务器,财务1,2只可访问财务的服务器
验证一下,可通讯
(三)单臂路由
实现不同vlan之间的通讯
1,现实生活里,两个部门应该是不同网段,所以基于该实验环境,做单臂路由
2,目前和第二个实验环境一样,此时销售只可访问销售的服务器,不可访问财务的服务器,
3,现在还是不能通讯的,AR1的接口只能设一个网关,所以要把接口一分为二,这就是单臂路由
int g0/0/0.10 将AR1的0口分为多个接口
ip add 10.0.0.254 24 给这个0.10口加 网关
dot1q termination vid 10 设置这个0.10口 是vlan 10
arp broadcast enable 打开广播
int g0/0/0.20 将AR1的0口分为第二个接口
ip add 10.0.1.254 24 给这个0.20口加 网关
dot1q termination vid 20 设置这个0.20口 是vlan 20
arp broadcast enable 打开广播
(可以理解为一个接口变成两个接口)
4,LSW2 需要接口4配trunk 
5,分别用销售机访问财务服务器,财务机访问销售服务机,可通
(四)单臂路由实现不同vlan之间通信的原理
以上述为实验环境
PC1 ip为10.0.0.10/24 mac 为aaaa
PC2 ip为 20.0.0.20/24 mac 为bbbb
R1的0.1口 为ip 10.0.0.1/24 mac 为1111
R1的0.2口 为 ip 20.0.0.1 mac 为1111
一 pc1 pc2 不在同一网段, pc1 会生成一个不带vlan标签的报文,源ip10.0.0.10/24
目的ip为 20.0.0.20/24 源mac aaaa 目的mac 为1111
二 到达交换机后,交换机1口是 access 链路 ,收到不带vlan标签的数据包,会打上自己端口vlan 10的标签 ,然后从24口出去
三,24口是trunk 链路,允许所有链路通过,所以数据会携带vlan 标签 发往路由器
,源ip10.0.0.10/24 目的ip为 20.0.0.20/24 源mac aaaa 目的mac 为1111
四,路由器的 0.1 口 收到数据,因为他是vlan 10的网关 10.0.0.1 拆包分析,发现数据要去20网段,查找路由器发现是直联路由,还发现这个端口属于vlan 20
五,所以重新封装数据包,把 vlan ID 改成20 ,再发arp 广播得到 PC2 的mac
最后数据包:源ip10.0.0.10/24 目的ip为 20.0.0.20/24 源mac 1111 目的mac为bbbb
(五),三层交换
一个广播域,可以有不同的网段 (计算机A和计算机B,在不同网段,链接同一台交换机,A发消息,B是能收到广播的,但会丢弃)
不同网段通信 网关 加转发设备
不同广播域通信 单臂路由 三层交换
(一)三层交换含义:
一次路由,多次交换
只会查找一次路由表, 剩下的数据包根据mls条目(可以理解为ip加mac加vlan)转发
(二)三层交换机原理
三层交换机实现vlan之间通信的原理:
每一个 vlan都会虚拟出一个虚拟接口,然后在虚拟接口上配置ip地址
工作原理:
①主机A给B发送单播数据包
②交换机查找FIB表,找到下一跳地址
③查找下一跳地址对应的邻接关系的2层封装信息
④转发
(三)实验
三层交换机 自己 做不了网关,需要借助虚拟接口,搞一个ip做网关。而虚拟接口又需要搭建一个vlan
1,搭建以下实验环境
LSW1 1口是access vlan10
2口是access vlan20
3口是access vlan30
4口是trunk all
2,LSW2 (三层交换机)不能做网关,所以虚拟三个接口做三段网关
先在LSW2搭建4条vlan 10 20 30 100
(vlan100通PC4的 只是为了多一个接口做网关,设成vlan40 vlan50等等都可以)
3,LSW2 1口做trunk 且根据vlan10 vlan20 vlan30 配置三个网关
4,LSW2 还需要一个网关,所以我们创建一个vlan100 int vlanif 100 基于vlan创建虚拟接口,在虚拟接口上 配置10.0.3.1的网关
所以数据经过LSW2 的话,会打上vlan100 的标签,为了让数据通过,需要设置LSW2 的G2 口(这个是真实接口)access vlan100
这样我们把所有的广播域都先配置好
5,下面看数据能否通过。
PC1 PC2 PC3 给PC4 发数据,目的ip是10.0.4.1/24, 所以要在LSW2 配置静态路由 ,允许10.0.4.0 网段经过,下一跳是10.0.3.254
6,PC4 给PC1 PC2 PC3 目的ip是10.0.1.1/24 10.0.2.1/24 10.0.3.1/24 以要在AR1 配置默认路由 ,允许这些 网段经过,下一跳是10.0.3.1
![[ 网络协议篇 ] vlan 详解之 单臂路由 详解](https://ucc.alicdn.com/pic/developer-ecology/74da3b1217f3452db5681f37b9d38e53.png?x-oss-process=image/resize,h_160,m_lfit)