第二章 交换机VLAN配置

第二章交换机VLAN配置交换机VLAN技术以太网交换技术的一个主要方面是VLAN；VLAN将局域网内的设备逻辑地（而不是物理地）划分成一个个网段；VLAN标准：IEEE802.1Q物理上连通的机器可以通过VLAN的设置进行信息的隔离，属于同一个VLAN的机器可以连通，不同VLAN的机器不能连通；VLAN内部的广播和单播流量不会被转发到其他VLAN中，有助于控制网络流量，简化网络管理，提高网络安全性。VLAN的主要目的是划分广播域。VLAN的帧格式DASATypeDataCRC标准以太网帧DASATypeDataCRCtagTPIDPriorityCFIVLANIDTCI带有IEEE802.1Q标记的以太网帧VLAN的划分方法基于端口的划分：某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一个广播域。是目前使用最广泛的方法，几乎所有交换机都支持。基于MAC地址的划分：根据连接在交换机上主机的MAC地址来划分广播域，和他所连的端口和IP地址等都无关。基于协议的划分：根据网络主机所使用的网络协议来划分广播域。基于子网的划分：根据网络主机所用的IP地址所在的网络子网来划分广播域。VLAN基本配置创建VLANvlanvlan_id删除VLANundovlan{vlan_id[tovlan_id]|all}向VLAN中添加一个或一组端口portinterface_list给VLAN接口指定IP地址和子网掩码[Quidway]interfacevlan-interface1[Quidway-vlan-interface1]ipaddress192.168.1.23255.255.255.0交换机端口类型设置以太网端口的链路类型portlink-type{access|hybrid|trunk}undoportlink-typeaccess类型的端口只能属于一个VLAN，一般用于连接计算机的端口；trunk类型的端口可属于多个VLAN，一般用于交换机之间端口的连接；trunk端口只允许默认VLAN的报文发送时不打标签；hybrid类型的端口可属于多个VLAN，可用于连接交换机，也可连接PC机；hybrid类型的端口可以允许多个VLAN的报文发送时不打标签。交换机trunk类型端口不同类型端口在加入VLAN时的命令有所不同：Access端口属于一个VLAN；portaccessvlanvlan_idHybrid端口可属于多个VLAN；porthybridvlanvlan_id_list{tagged|untagged}porthybridpvidvlanvlan_idTrunk端口也可以属于多个VLAN；porttrunkpermitvlan{vlan_id_list|all}porttrunkpvidvlanvlan_idtrunk类型端口使用场合欲将同一部门用户划到同一VLAN中，以隔离不同的部门，但同一部门用户又分散在不同的接入交换机上，这时要把交换机之间互联的端口设置为trunk属性，来传输多个VLAN的数据；用户接入的二层设备与实现VLAN间通信的三层交换机之间互联的端口要设置成trunk属性；在需要对用户实现详细的认证和计费策略时，需要将接入设备的出口设置为trunk属性；Trunk端口使用注意事项几乎所有主机都不支持带标志域的以太网数据帧；如果从trunk转发出去的报文的VLANID和端口的PVID一致，则该报文的VLAN信息会被剥去；默认情况下trunk端口的PVID为1，可用相应命令修改；在一台以太网交换机上，trunk端口和hybid端口不能同时被设置；Trunk端口的PVID和相连的对端交换机的trunk端口的PVID必须一致。用QuidwayS3026简单组网案例目标：PCA和PCC同属于一个VLAN2且能相互通信。PCB和PCD同属于另一个VLAN3且能相互通信。两台S3026用两根100M网线通过Trunk链路互连，并使用端口聚合功能增加链路带宽trunkPCA:VLAN2PCD:VLAN3PCC:VLAN2PCB:VLAN3trunkLinkAggregationSwitchASwitchB组网案例配置配置VLAN：以SwitchA为例，SwitchB类似[SwitchA]vlan2[SwitchA-vlan2]portethernet0/1[SwitchA-vlan2]vlan3[SwitchA-vlan3]portethernet0/2配置接口[SwitchA-Ethernet0/23]speed100[SwitchA-Ethernet0/23]duplexfull[SwitchA-Ethernet0/23]portlink-typetrunk[SwitchA-Ethernet0/23]porttrunkpermitvlan2to3[SwitchA-Ethernet0/24]speed100[SwitchA-Ethernet0/24]duplexfull[SwitchA-Ethernet0/24]portlink-typetrunk[SwitchA-Ethernet0/24]porttrunkpermitvlan2to3配置端口聚合[SwitchA]link-aggregationethernet0/23toethernet0/24bothIsolate-user-vlan的基本概念交换机上存在一个或多个primaryvlan和多个secondaryvlan。一个primaryvlan包含几个secondaryvlan，对于上层交换机只能见到primaryvlan。一个primaryvlan就是一个IP子网，即同一个primaryvlan中包含的所有secondaryvlan处在同一个子网中，节省了vlan资源。S3026accessaccessaccessaccessS2016AS2016BIsolate-user-vlan的配置配置primaryVLANVlanvlan-idisolate-user-vlanenableportport_num配置secondaryVLANvlanvlan-idportport-num设置primaryVLAN和secondaryVLAN的映射关系Isolate-user-vlanprimary_vlan_numsecondarysecondary_vlan_numlistIsolate-user-vlan的配置举例S3526e0/7e0/8e0/9e0/9e0/1e0/2e0/3e0/4VLAN1VLAN2VLAN3VLAN5S2008AS2008BVLAN4VLAN6Isolate-user-vlan的注意事项使用版本的注意点配置映射关系前的注意点primaryvlan和secondaryvlan中必须已经包含了端口。建立映射关系后的注意点不可以向primaryVLAN和secondaryVLAN执行添加和删除端口的操作，也不可以执行删除vlan的操作。要重新建立映射关系必须先解除原有的映射关系。primaryvlan中的端口类型primaryvlan中的所有端口都不是802.1Q的trunk端口，包括与其他交换机相连的uplink口。每个port的PVID就是它所属secondaryvlan的ID。uplink端口的PVID是primaryvlan的ID。VLAN路由－使用路由器VLAN100VLAN200VLAN300不同VLAN之间的流量不能直接跨越VLAN的边界，需要使用路由，通过路由将报文从一个VLAN转发到另外一个VLAN。VLAN路由－交换和路由的集成二层交换机上和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。VLAN100VLAN200VLAN300VLAN100VLAN200VLAN300三层交换机一个具有三层交换功能的设备是一个带有第3层路由功能的第2层交换机；与路由器有关的第3层路由硬件模块插接在高速背板总线上，可以与其他模块间高速交换数据；对于数据封包的转发这些有规律的过程通过硬件得以高速实现；对于第3层路由，如路由信息的更新、路由表维护、路由计算、路由的确定等功能用优化、高效的软件实现；三层交换机实现“一次路由，多次转发”。级连和堆叠级连和堆叠是两种常用的增加端口密度的方法；级连网络中受收敛比、级连层数等因素的限制，给网络发展和管理带来了很大麻烦；级连网络要为每个级连交换机分配一个IP地址来管理交换机，不仅浪费IP地址，管理也复杂；堆叠技术是由一些堆叠口相连的交换机组成的一个管理域，其中包括一个主交换机和一个从交换机；堆叠在一起的以太网交换机可看作一个设备，用户通过主交换机实现对堆叠内所有交换机的管理；堆叠是一种非标准化技术，各厂商不支持混合堆叠。菊花链式堆叠收发同一个高速端口PCAPCBB访问A的帧A访问B的帧星形堆叠MATRIXMEMBER第三章交换机STP的配置STP产生的原因－路径回环LAN1LAN21111222333引入生成树协议(STP)通过阻断冗余链路来消除桥接网络中可能存在的路径回环；当前活动路径发生故障时激活冗余备份链路恢复网络连通性。ROOTLANALANCLANELANBLAND生成树协议的基本原理基本思想：在网桥之间传递特殊的消息（配置消息），包含足够的信息做以下工作：从网络中的所有网桥中，选出一个作为根网桥（Root）；计算本网桥到根网桥的最短路径；对每个LAN，选出离根桥最近的那个网桥作为指定网桥，负责所在LAN上的数据转发；网桥选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径；选择除根端口之外的包含于生成树上的端口（指定端口）；配置消息的内容配置消息也被称作桥协议数据单元（BPDU）主要内容包括根网桥的Identifier（RootID）从指定网桥到根网桥的最小路径开销（RootPathCost）指定网桥的Identifier指定网桥的指定端口的Identifier即（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）配置消息的处理将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有：选择根网桥RootID：最优配置消息的RootID；计算到根桥的最短路径开销RootPathCost：如果自己是根桥，则最短路径开销为0，否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和;选择根端口RootPort：如果自己是根桥，则根端口为0，否则根端口为收到最优配置消息的那个端口;选择指定端口：包括在生成树上处于转发状态的其他端口;从指定端口发送新的配置消息端口的几种状态端口能力不收发任何报文DisabledBlockingListeningLearning端口状态Forwarding不接收或转发数据,接收但不发送BPDUs,不进行地址学习不接收或转发数据,接收并发送BPDUs,不进行地址学习不接收或转发数据,接收并发送BPDUs,开始地址学习接收并转发数据,接收并发送BPDUs,进行地址学习生成树协议不足端口从阻塞状态进入转发状态必须经历两倍的ForwardDelay时间，所以网络拓扑结构改变之后需要至少两倍的ForwardDelay时间，才能恢复连通性；如果网络中的拓朴结构变化频繁，网络会频繁的失去连通性，这样用户就会无法忍受。快速生成树协议(RSTP)为根端口和指定端口设置了快速切换用的替换端口和备份端口，当根端口/指定端口失效时，替换端口/备份端口可以无时延地进入转发状态；在只连接了两个交换机的点对点链路中，指定端口向下游网桥发送一个握手请求报文，