VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。学生时代的学习笔记分享给大家,设备用的是H3C。
Access,Trunk,Hybrid三种接口类型
根据上面的网络TOP图我们来说一说access,trunk和hybrid三种接口类型的特性。如图vlan2与vlan3要通我们可以通过这三种接口类型来实现。
【access类型】
分别把sw1的E0/0/0与sw2的E0/0/0接口加入vlan2与vlan3就可以实现两vlan的通信
【trunk类型】
首先把sw1与sw2的E0/0/0接口类型设为trunk(port link-typetrunk),再设置可通过的vlan。sw1中允许vlan2通过(port trunk permit vlan 2),sw2中允许vlan3通过。最后也是最关键的一步,把sw1的E0/0/0接口打上vlan2的标记(porttrunk pvid vlan 2),把sw2的E0/0/0接口打上vlan3的标记
【hybrid类型】
跟trunk的实现方式也差不多。把两个交换机的E0/0/0接口类型改为hybrid(注:当类型为trunk时必须先改为access类型再改为hybrid不然改不过来)。然后设置sw1与sw2上从E0/0/0出去的vlan哪些是要去标记哪些是不需要的,sw1把vlan2去标记(porthybrid vlan 2 untagged),sw2把vlan3去标记。最后处理没有标记的帧打上什么标记,sw1打上vlan2标记(port hybridpvid vlan 2),sw2打上vlan3标记。
我们都知道vlan技术是在以太网帧中加了一个tag标记通过tag中的vlan ID来区分不同的vlan。三种不同接口类型是如何处理这个tag:
(a):access类型:对于任何vlan数据帧通过此接口时它都会去掉此帧中的vlan tag,对于进来的帧如果此帧没有tag标记的话就打上本接口的pvid,有的话就比较是否与本接口的pvid相同不同的话就丢弃。但它不能改pvid,本接口在哪个vlan中pvid就是那个vlank号。
(b):trunk类型:与access类型不同的是trunk类型它可以手动设置本接口的pvid号,并且此接口yonxu允许通过的vlan数据帧也得通过手工来设置否则缺省的只允许vlan1的数据帧通过此接口。vlan数据帧从此类型的接口出去的话如果数据帧里的tag标记里的vlan号与些接口的pvid号相同就去掉此数据帧的vlan tag否则不会去掉。对于处理进来的数据帧则与access类型一样。
(c):hybrid类型:这种类型我们也叫它为混合类型,因为它具有access与trunk两种类型的特性。首先它得设置哪些数据帧从此接口出去是要带tag标签的哪些数据帧是不要带tag标签的。对于设置了不带标签的vlan数据帧从此接口出去时则把它的tag去掉。缺省的对vlan数据帧处理是不去掉标签的。而对于进此接口的数据帧如果此帧没有带tag则打上本接口的pvid号(此种类型的接口pvid号也是可以自己手动设置的)。
PVLAN
如上图我们要实现vlan2与vlan3要隔离但是要能通过两个三层交换机去访问loopback业务网段。这正如一些酒店里一样每个房间做为一个vlan各个vlan之间不能通以确保安全与保密性但又能都上网。这时我们就得用到PVLAN了也就是Isolate-user-VLAN来实现这个功能
[sw1]vlan 2 //创建一个vlan2[sw1-vlan2]port enthernet0/1 //把以太口1加入到vlan2中[sw1]vlan 3[sw1-vlan3]port enthernet0/2[sw1]vlan 6 //创一个p vlan 6[sw1-vlan6]port enthernet0/24 //*把以太口24加入到vlan6中一定[sw1-vlan6]isolate-user-vlan enable //使能p vlan功能[sw1]isolate-user-vlan 6 secondary 2-3 //*指定p vlan的sub vlan*[sw1-vlan6]isolate-user-vlan enable //使能p vlan功能[sw1]isolate-user-vlan 6 secondary 2-3 //*指定p vlan的sub vlan*
【pvlan的工作原理】
它实现的是各子vlan不能互通但都能与主vlan通。其实它就是靠Hybrid接口来实现的只不通是把Hybrid自动化罢了,省去了我们不少配置。按上面把sw1的配置配完,当你去display以太网接口时你会看到它的link-type为Hybrid。在E0/1中Hybrid的一些属性为:vlan2与vlan6是不带标记的,而在E0/2接口中是vlan3与vlan6没带标记,在E0/24则是vlan2,vlan3和vlan6都没带标记。这样vlan2与vlan3通过E0/24口出去而此接口上vlan2,3出去是去掉标记的所以在进入sw2的E0/24口时就打上vlan5的标记,这样sw1中的两个vlan就能通过192.168.10.1这个网关通向Internet上网了。在这里就有一个问题了我们要是把sw1换成一个三成交换机的话并且把网关配到pvlan 6上。那么此时vlan 2, 3是否能找到网关?答案是肯定的--不能!为什么呢!原因很简单这就是一个Hybrid的一个特性罢了。当网关在sw1的E0/24时vlan2,3到E0/24根本就不能与vlan6互通因为它们是不同的vlan!此时vlan 2,3的tag标记还没有去掉。
SuperVLAN
通过Supervlan技术让vlan2与vlan3能够互通,且两个vlan里的用户通过三层交换机1.1.1.1址能够访问外网。
[sw1]vlan 5[sw1-vlan 5]ip addr 192.168.10.1 24[sw1-vlan 5]super vlan //配置此vlan为super vlan(注:为super vlan的vlan不能添加接口)[sw1]vlan 2[swl-vlan 2]port enthernet 0/1[sw1]vlan 3[sw1-vlan 3]port enthernet 0/2[sw1-vlan 5]subvlan vlan 2 3 //指定super vlan的subvlan为vlan 2与vlan 3
(注:建立映射前,subvlan必须包含接口,一旦建立映射就不可以更改subvlan的端口列表)
当开启supervlan后系统就会自动开启arp proxy(arp代理)。vlan 2与vlan 3要通信或是与外面通信的话都会交给vlan5去处理。两个subvlan通过arpproxy功能借用vlan 5的IP地址进行通信。所以在vlan 2与vlan 3通信时看对方的mac地址都是vlan 5的mac地址。对于上图两个subvlan要访问外网的话还得在两个三层交换机上做路由协议或是配置静态路由。
GVRP
在平常情况下图中的各个相同vlan要能互通,那么在中间的各个交换机上就必须都得开启各个vlan不然的话要是没开启哪个vlan的话那么在此交换机上就不能识别此vlan的数据帧,会被丢弃。这样我们只好一个一个的去配了,太麻烦了。在这里H3C为了减少配置开发了一个协议那就是GVRP,它可以自动地发现各个交换机中有跑哪些vlan并会所有参与GVRP协议的交换机自动开启这些vlan。它的工作方式用六个字来说就是“声明-注册-声明”。比如,在上图中sw1开启了GVRP,在接口0发现vlan3接口2发现vlan4,那么接口1就会对这两个vlan进行声明,sw3的接口1就会通过sw1的接口1的声明而注册vlan4和vlan3,而sw3的接口0又会声明注册的这两个vlan……
我们要注意的一些是GVRP是工作在trunk接口类型下的,并且得permit要发布的vlan。
在这里只写部分的配置,其它的都相同:
[sw1]interface e0/0/1[sw1-enthernet0/0/1]port link-type trunk[sw1-enthernet0/0/1]port trunk permit vlan 3 4[sw1-enthernet0/0/1]gvrp