赞
踩
什么是VLAN
逻辑划分、不受地理位置限制
VLAN的作用
VLAN=LAN=局域网=IP子网=广播域
所以VLAN能够隔离广播域
VLAN帧格式
TPID:标签协议标识符,字段长度16字节,值为0x8100,表示该帧是带802.1Q标签
Pri:表示数据帧的802.1P优先级,字段长度3bit,取值为0-7,用于Qos
CFI:0表示经典格式,1表示非经典,如令牌环网
VID:表示该帧所属 VLAN,字段长度为 12bit ,取值1-4095
链路类型
接入链路:用于连接用户主机和交换机的链路。
干道链路:用于交换机间的互连或交换机与路由器之间的连接。
缺省VLAN
每种类型的接口都可以配置一个缺省 VLAN,对应的 VLAN ID 为 PVID(Port Default VLAN ID)。接口类型不同,缺省 VLAN 的含义也有所不同。
PVID表示端口缺省情况下所属VLAN
VLAN划分方式
各类型接口对数据帧处理方式
Trunk和Hybrid区别:
发送数据帧的过程中,在允许通过的情况下,trunk模式下,只允许缺省 VLAN 的报文发送时不打标签;hybrid模式下,允许多个 VLAN 的报文发送时不打标签。
Hybrid应用场景:
使用策略划分VLAN的网络中,交换机的一个接口下可能连接了多台属于不同VLAN的设备,这些设备发的数据帧都不带标签,交换机接收后需要根据策略给数据帧打上不同VLAN的标签,这时必须要使用Hybrid接口
实验
实验现象:PC5能ping通PC6,PC1不能ping通PC4,PC2不能ping通PC3
简介
QinQ 是在 802.1Q VLAN 的基础上增加了一层 802.1Q VLAN 标签,拓展了 VLAN 空间。
报文格式
QinQ实现方式
QinQ实现方式分为两种:基本QinQ和灵活QinQ
①基本QinQ:开启接口的基本QinQ功能后,当该接口接收到报文,设备会为该报文打上本接口缺省VLAN的VLAN Tag。如果已带有Tag,就会成为双Tag报文;如果没有Tag,打上该接口VLAN Tag报文。
②灵活QinQ:基于端口和VLAN相结合的方式实现的。除基本QinQ功能之外,对于同一个接口接收的报文可以根据不同的VLAN做不同的动作。
TPID(标签协议标识符)
通过检查TPID的值,设备可确定收到的帧,承载的是运营商VLAN Tag还是用户VLAN Tag。
通常在QinQ中设备的内外层标签TPID值均采用协议规定的0x8100,但是某些厂商的设备将QinQ报文外层Tag TPID值设置为0x9100、0x9200
实验
基本QinQ实验
SW1:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
SW2:
#
interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
SW3:
interface GigabitEthernet0/0/1
port link-type dot1q-tunnel
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
SW4:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
实验现象:
PC1 ping PC3时,抓取SW2的G0/0/1数据包
同时抓取SW2的G0/0/2数据包
灵活QinQ实验
SW1:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
SW2:
interface GigabitEthernet0/0/1
qinq vlan-translation enable
port hybrid tagged vlan 10 20
port hybrid untagged vlan 100 200
port vlan-stacking vlan 10 stack-vlan 100
port vlan-stacking vlan 20 stack-vlan 200
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
SW3:
interface GigabitEthernet0/0/1
qinq vlan-translation enable
port hybrid tagged vlan 10 20
port hybrid untagged vlan 100 200
port vlan-stacking vlan 10 stack-vlan 100
port vlan-stacking vlan 20 stack-vlan 200
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
SW4:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
实验现象:
PC1 ping PC3时,抓取SW2的G0/0/1数据包
同时抓取SW2的G0/0/2数据包
PC2 ping PC4时,抓取SW2的G0/0/1数据包
同时抓取SW2的G0/0/2数据包
产生背景
一般在三层交换机中,通常是采用一个VLAN对应一个三层逻辑接口的方式实现广播域之间的互通。当遇到同一个子网、不同VLAN的情况下,两个(两个以上)的三层逻辑接口不能配置同一个子网的网关。
实现原理
VLAN Aggregation用于多个VLAN隔离广播域,使不同VLAN属于同一个的子网
Sub-VLAN之间通信
不同的Sub-VLAN的主机使用的是同一个网段的地址和共用同一个网关地址,彼此通信时只会做二层转发,而不会通过网关进行三层转发。实际上不同的 Sub-VLAN的主机在二层是相互隔离的,这就造成了 Sub-VLAN 间无法通信的问题。
解决方法:在Super-VLAN开启ARP Proxy。
实验
SW1:
vlan batch 10 20 30 100
#
vlan 100
aggregate-vlan
access-vlan 10 20 30
#
interface Vlanif100
ip address 192.168.1.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
实验现象:能够实现PC1与PC2互访:
产生背景
如果要实现部分用户之间互通、部分用户之间隔离。比如企业内部员工之间互相通信,企业客户之间互相隔离。
如果企业拥有大量的用户,这就需要大量的VLAN ID,增加工作量和维护难度。
所以通过MUX VLAN来解决这个缺点。
基本概念
实验
SW1:
sysname SW1
#
vlan batch 10 20 30 40
#
vlan 10
description caiwu Group VLAN 10
vlan 20
description shichang Group VLAN 20
vlan 30
description kehu Separate VLAN 30
vlan 40
description fuwuqi Principal VLAN 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 40
SW2:
sysname SW2
#
vlan batch 10 20 30 40
#
vlan 10
description caiwu Group VLAN 10
vlan 20
description shichang Group VLAN 20
vlan 30
description kehu Separate VLAN 30
vlan 40
description fuwuqi Principal VLAN 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
port mux-vlan enable
SW3:
sysname SW3
#
vlan batch 10 20 30 40
#
vlan 10
description caiwu Group VLAN 10
vlan 20
description shichang Group VLAN 20
vlan 30
description kehu Separate VLAN 30
vlan 40
description fuwuqi Principal VLAN 40
mux-vlan
subordinate separate 30
subordinate group 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
port mux-vlan enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
port mux-vlan enable
实验现象:
Server与所有主机都能通信
PC1与PC5二层流量互通,PC1与PC2、3、4 二层流量不通
PC2与PC1、3、4、5二层流量不通
PC3与PC1、2、4、5二层流量不通
PC4与PC1、2、3、5二层流量不通
PC5与PC1二层流量互通,PC5与PC2、3、4 二层流量不通
注意事项:
在配置开启mux-vlan情况下,不能配置三层逻辑接口,所以所有vlan同属一个子网。
[Huawei]VLAN batch 2 3 4
[Huawei]INT VLAN 2
[Huawei-Vlanif2]IP AD 192.168.1.1 24
[Huawei]vlan 2
[Huawei-vlan2]
[Huawei-vlan2]mux-vlan
Error: The VLAN has a L3 interface, Please delete it first.
产生背景
保证语音数据优先传输,减少传输过程中时延的产生和丢包现象
实现原理
首先识别出语音数据流,然后将语音数据流优先级提高
使能Voice VLAN功能的接口,可以通过以下两种方式来实现对语音数据流的识别:
①通过收到报文的源MAC地址,即基于MAC地址的方式
设备可以根据进入接口的数据报文中的源 MAC 地址宇段来判断该数据流是否为语音数据流,源MAC地址匹配OUI的报文被认为使语音数据流
②通过报文携带的VLAN Tag,即基于VLAN的方式
设备可以根据进入接口的数据报文中VLAN ID匹配设置的Voice VLAN,则认为使语音数据流
Voice VLAN的OUI地址
OUI地址表示一个MAC地址段。例如,MAC地址为1–1–1,掩码为FFFF-FF00–0000,运算的结果就是OUI地址 0001–0000–0000。
只要接入设备的 MAC 地址前24位和OUI地址的前 24 位匹配,那么使能Voice VLAN功能的接口将认为此数据流是语音数据流,接入的设备是语音设备。
实验
①基于MAC地址:
[SW2] interface gigabitethemet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type hybrid
[SW2-GigabitEthernet0/0/1] port hybrid pvid vlan 3
[SW2-GigabitEthernet0/0/1] port hybrid untagged vlan 2 to 3
[SW2-GigabitEthernet0/0/1] quit
[SW2] interface gigabitethemet 0/0/2
[SW2-GigabitEthemetO/0/2] port link-type hybrid
[SW2-GigabitEthemetO/0/2] port hybrid untagged vlan 2
[SW2-GigabitEthernetO/0/2] quit
配置OUI:
[SW2] voice-vlan mac-address 0003-6B00-0000 mask ffff- ff00-0000 //配置Voice VLAN的OUI
[Switch] interface gigabitetbernet 0/0/1
[Switch-GigabitEthernet0/0/1] voice-vlan 2 enable include-untagged //指定Vlan是Voice VLAN,同时使能接口的Voice VLAN功能
[Switch-GigabitEthernet0/0/1] voice-vlan remark-mode mac-address //配置语音报文按照MAC地址提升优先级
[Switch-GigabitEthernet0/0/1] quit
最后用命令display voice-vlan 2 status
②基于VLAN
[SW2] interface gigabitethemet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type hybrid
[SW2-GigabitEthernet0/0/1] port hybrid pvid vlan 3
[SW2-GigabitEthernet0/0/1] port hybrid untagged vlan 2 to 3
[SW2-GigabitEthernet0/0/1] quit
[SW2] interface gigabitethemet 0/0/2
[SW2-GigabitEthemetO/0/2] port link-type hybrid
[SW2-GigabitEthemetO/0/2] port hybrid untagged vlan 2
[SW2-GigabitEthernetO/0/2] quit
使能LLDP:
[SW2]lldp enable //使能LLDP协议
[SW2] interface gigabitethemet 0/0/1
[SW2-GigabitEthernet0/0/1] voice-vlan 2 enable //指定Vlan是Voice VLAN,同时使能接口的Voice VLAN功能
[SW2-GigabitEthernet0/0/1] voice-vlan remark-mode vlan //配置语音报文按照VLAN提升优先级
[SW2-GigabitEthernet0/0/1] quit
最后用命令display voice-vlan 2 status
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。