路由器交换机设备学习(vlan 配置).docx

路由器交换机设备学习(vlan 配置) 路由器的作用与特点： 1、连接具有不同介质的链路 2、连接网络或子网，隔离广播 3、对数据报文执行寻路和转发（路由协议） 4、交换和维护路由信息 交换机的作用： 1、连接多个以太网物理段，隔离冲突域 2、对以太网帧进行高速而透明的交换转发 3、自行学习和维护MAC地址信息 共享式与交换式以太网： 在共享式以太网中，所有终端主机都处在同一个冲突域中，局域网中的所有接入终端共享网络带宽 交换式以太网： 在交换式以太网中，交换机的每个端口处于独立的冲突域中，终端主机独占端口的带宽（端口的带宽和网络带宽不是一个概念，一般比网络带宽大） 交换机刚启动时，MAC（Media Access Control或者Medium Access Control意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置地址表内无表项 PCA 发出数据帧： ●交换机把PCA的帧中的源地址MAC_A与接收到此帧的端口E1/0/1关联起来 ●交换机把PCA的帧从所有其他端口发送出去（除了接收到帧的端口E1/0/1） ●PCB、PCC、PCD发出数据帧 ●交换机把接收到的帧中的源地址与相应的端口关联起来 广播域： Comware介绍： 1、Comware是设备运行的网络操作系统，H3C的核心软件平台。

2、对硬件驱动和底层操作系统进行屏蔽与封装 3、集成了丰富的链路层协议、以太网交换、IP路由及转发、安全等功能模块、 4、制定了软硬件接口标准规范，对第三方厂商提供了开发平台与接口 Comware特点： ●支持IPv4及IPv6多协议 ●支持多CPU ●路由和交换功能融合 ●高可靠性和弹性扩展 ●灵活的裁减和定制功能 VLAN简介： VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通 Vlan优点： 1.限制广播域广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力 2.增强局域网的安全性不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的 用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

3.灵活构建虚拟工作组用VLAN可以划分不同的用户到不同的工作组，同一工作组的用 户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活 VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信 PVID(port vlan identifier) 端口vlan标识符（vlan号） Vlan标签长4个字节， 所有以太网帧在交换机内都是以tagged frame的形式流动的即某端口从本交换机其他端口收到的帧一定是tagged的某端口从对端设备收到的帧，可能是untagged或者是tagged 的，如果收到的是tagged frame，则进入转发过程，如果该端口收到的是untagged frame，则必须加上的标签 以下几种方法可以确定标签中的VLAN ID取值： 基于端口：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN如果收到的是untagged帧，则VLAN ID的取值为PVID 基于MAC地址：网络管理员配置好MAC地址和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。

基于协议：网络管理员配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID 基于子网：根据报文中的IP地址信息，确定添加的VLAN ID 基于策略：安全性非常高，基于MAC地址+IP地址、MAC地址+IP地址+接口成功划分VLAN后，可以达到禁止用户改变IP地址或Vlan 注意：设备同时支持多种方式时，一般情况下，优先使用顺序为：基于策略→基于MAC地址→基于子网→基于协议→基于端口基于端口划分VLAN的优先级最低，但是是最常用的VLAN划分方式 PVID英文解释为Port-base VLAN ID，是基于端口的VLAN IDvid是报文上的vlan tag 的意思 交换机上的端口分为三种：一种是接入层端口直连设备的，叫做Access；一种是交换机和交换机之间的端口负责汇聚的叫做Trunk，还有一种是Access与Trunk混合的模式，叫做Hybrid ACCESS: Access端口负责接终端设备，他收到一个帧的时候，如果帧这个没有标记他就用自己的pvid给他打上标记，他在发出一个帧时如果VID=PVID就去掉标记(解标记)以保证传送给终端设备的帧没有被变动过(中间设备添加了标记)，pvid是在划分vlan时候每个端口都有的属性，默认情况下思科交换机中每个端口初始pvid是1，表示他是vlan 1的成员们如果你给他划分了其他VLAN那么PVID相应会发生更改,PVID并不是加在帧头的标记，而是端口的属性，用来标识端口接收到的未标记的帧。

ACCESS端口的特点是只允许符合PVID的流量通过 TRUNK: Trunk中继链路，允许各种VLAN通过.当收到一个没有tag的标记的时候就用自己的pvid 给他标记，当发送一个帧时候如果vid=pvid则去掉pvid，与Access不同的是，Trunk有一个属于自己的本征VLAN(Native VLAN,也叫PVID)，用来发送一些cdp，bpdu等交换机间联系的数据或者管理流量，从交换机自身产生的帧在发出去的时候是不会带标记的（即原来不带tag的帧流经交换机时，进入(入端)打上标记，出端转发出去又不带标记了），因为VID=pvid所以标记被去掉，而对端（另一交换机）接收到没有标记的帧时候就会用自身本征VLAN的信息给他加上标记，然后查看交换表如果发现目的地址是自己则去掉标记，如果发现目的mac地址不是自己则继续转发给其他Trunk同时去掉标记（因为一个交换机只有一个本征VLAN所有pvid=vid去掉标记） Hybrid: Hybrid是Access与Trunk的混合模式，它允许VID=pvidHybrid与Trunk一样，在该端口上可以传送多个vlan的包，一般用于交换机与交换机之间，或者交换机与服务器之间的链接。

如果收到的数据包不带vlan，则加上pvid进行转发；如果收到的数据包带vlan，则判断该端口是否允许该vlan进入，如果可以则进行转发，否则丢弃802.1Q的VLAN是在二层帧里加进VLAN标识，俗称打tag，而计算机不能解析这种二层的帧，所以交换机的一个端口在分到一个VLAN时有tag和untag属性两种属性，tag端口用来连接设备，untag 端口用来连接计算机Tag端口出去的帧一般都打上了tag，tag中的VID有的来自PVID，有的则来自其它tag端口中本身就含有tag的帧设备互连时，由tag中的VID决定了一个二层帧属于哪个VLAN，而计算机不具备打tag的功能，所以只有给连接计算机的端口添加一个属性，用来决定计算机发出的未标记的帧属于哪个VLAN，这个属性就是PVID. 总结： hybrid端口：1、收到一个报文 2、判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃 发报文： hybrid端口：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN 是untag，哪些VLAN是tag） 2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送 以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签 Hybrid 端口带不带标签是自己定义的port hybrid vlan 10 20 untagged 所以他可以允许多个不带标签的vlan通过 基本配置： 创建并进入Vlan视图 [Switch] vlan vlan-id 将指定端口加入到当前Vlan中 [Switch-vlan10] port interface-list 配置端口的链路类型为Trunk类型 [Switch-Ethernet1/0/1] port link-type trunk 允许指定的Vlan通过当前Trunk端口 [Switch-Ethernet1/0/1] port trunk permit vlan{ vlan-id-list | all } 设置Trunk口的缺省VLan [Switch-Ethernet1/0/1] port trunk pvidvlan vlan-id 配置端口的类型为Hybrid类型： Switch-Ethernet1/0/1] port link-type hybrid 允许指定vlan通过当前hybrid端口 [Switch-Ethernet1/0/1] port hybrid vlan vlan-id-list{ tagged | untagged } 设置Hybrid的缺省Vlan [Switch-Ethernet1/0/1] port hybrid pvidvlan vlan-id 华为S5700交换机配置Vlan： 查看实体的当前配置：以接口0/0/1 为例 查看交换机上已划分了那些vlan Display vlan即可。

查看交换机上那些具体的vlan 5情况：Display vlan 5 system-view vlan 10 quit 若是access类型： interfacegigabitethernet。