详解VLAN笔记(华三)

VLAN篇

802.1Q帧格式


ACCESS口:

接收报文的:

  • 如果报文不带tag,则接收报文,并为报文添加缺省的vlan的Tag
  • 如果报文带Tag且vlan ID=端口的PVID,则接收报文
  • 如果报文带Tag而vlan ID≠端口的PVID,则丢弃报文

发送报文时:

  • 去掉Tag后,发送报文


Trunk口:

接收报文时:

  • 如果报文不带Tag,则接收报文,并未报文添加缺省的vlan的Tag

  • 如果报文带Tag且vlan ID属于端口允许的通过的vlanID,则接受报文;

  • 如果报文带Tag而vlan ID不属于端口允许的,则丢弃

发送报文时:

  • 转发端口默认认vlan的数据时去tag后发送报文,否则保持原tag发送报文

Hybrid口:

  • 允许多个vlan通过,可以接收和发送多个vlan的数据帧

  • Hydrid端口和Trunk端口的不同指出在于

  • Hybrid端口允许多个vlan的以太网帧不带标签

  • Trunk端口只允许缺省vlan的以太网不带标签

    Hybrid端口为H3C设备私有端口,和Trunk端口的区别是,Trunk端口只允许一个vlan不带标签通过,而Hybrid端口允许多个vlan不带标签通过。
    在Hybrid端口里面有两张表,tag表和untag表:
    tag表: vlan带着tag通过。例如tag表:10、20表示vlan 10或vlan 20从该端口带着tag通过;
    untag表:vlan去掉tag通过。例如tag表:20、30表示vlan 20或vlan 30从该端口出去的时候去掉tag。


vlan划分的方式:

  • 基于端口的划分
  • 基于mac地址的划分
  • 基于协议的划分
  • 基于IP子网的vlan

做实验详解VLAN端口

概念性的东西,如果搞乱了会很麻烦,所以必须明确

access口

配置如上:PC-1可以ping通PC-2,默认情况交换机的所有接口都是属于vlan。

情况一:现在将g0/1和g0/2,变成vlan10.

#代码如下:
vlan 10
port g 1/0/1
port g 1/0/2
exit
inter g 1/0/1
port link-type access
inter g 1/0/2
port link-type access

可以ping通

分析:

​ 根据上面的规则:pc1的包到达g1/0/1,报文不带tag,所以打上tag=10,然后从g1/0/2出去,g1/0/2的vlan也是10,tag=10,两个相等,所以去掉tag,从g1/0/2发送到pc-2

情况二:g1/01是vlan10,g1/0/2是vlan20

​ 结果:ping不通

分析:

​ 根据上面的规则:pc1的包到达g1/0/1,报文不带tag,所以打上tag=10,然后从g1/0/2出去,g1/0/2的vlan是20,但是tag=10,不相等所以直接丢弃。

Trunk口:

交换机上的端口配置如下:

#S1
interface GigabitEthernet1/0/1
 port link-mode bridge
 port access vlan 10
 combo enable fiber

interface GigabitEthernet1/0/2
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 10
 combo enable fiber
#S2
interface GigabitEthernet1/0/1
 port link-mode bridge
 port access vlan 20
 combo enable fiber

interface GigabitEthernet1/0/2
 port link-mode bridge
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 20
 combo enable fiber

​ ping通

分析

​ 按照我的理解:数据包进入S1的g1/0/1口,被打上tag=10。数据包要从g1/0/2出去,这是一个trunk口,并且pvid=10,允许所有的vlan通过,因为pvid=tag=10,所以要去掉tag,发出。然后到达S2的g1/0/2,数据包不带tag进入,g1/0/2是trunk口pvid=10,所以打上tag=20,从g1/0/2发出去,pvid=20=tag=20,所以去tag发出。

vlan的匹配顺序:

优点:

  • 隔离广播
  • 安全
  • 灵活构建

vlan透传综合管理

vlan的动态注册

GVRP基础

同步vlan配置

  • 声明

相当于vlan的配置

  • 注册

自动配置

当接口接收到一个属性的声明时,该接口将注册该属性,如果端口接收到撤销属性的声明,该端口将注销该属性

属性会通过GARP”声明-注册-声明-注册“沿STP单向传播到整个网络中

GVRP消息:
  • Empty:发送者不声明该属性,发送者未注册该属性但希望接收该属性的声明
  • Joinin:发送者希望声明该属性,而且发送者已经注册
  • JoinEmpty:发送者希望声明该属性,发送者未注册该属性但希望接收到该属性的声明
  • Leave:发送者撤销该属性的声明,即希望接收者注销该属性
  • Leaveall:发送者希望撤销所有属性的声明,即希望接收者注销所有属性
定时器:
  • Hold定时器:按照一定时间转发
  • Join定时器:GVRP应用通过将每个join消息向外发送两次来保障消息可靠传输
  • Leave定时器:当一个GVRP应用实体希望注销某个属性信息时,将对外发送

MVRP基础:

简介:

MRP(Multiple Register Protocol,多属性注册协议)作为一个属性注册协议的载体,可以用来传播属性消息。遵循MRP协议的应用实体称为MRP应用,MVRP(Multiple VLAN Register Protocol,多VLAN注册协议)就是MRP的应用之一。MRP和MVRP分别是GARP(Generic Attribute Registration Protocol,通用属性注册协议)及GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)的升级版本,提高了属性声明效率,用于替代GARP和GVRP协议。MVRP用于在设备间发布并学习VLAN配置信息,使得设备能够自动同步VLAN配置,减少网管人员的配置工作。在网络拓扑变化后,MVRP根据新的拓扑重新发布及学习VLAN,做到实时与网络拓扑同步更新。有关GVRP的详细介绍,请参见“二层技术-以太网交换配置指导”中的“GVRP”。与GARP提供的机制不同,MRP支持在基于MSTI(Multiple Spanning Tree Instance,多生成树实例)的基础上,用于协助同一局域网内各成员之间声明、传播和注册某种信息(如VLAN)。

mvrp消息
  • Join

    • JoinEmpty
    • JoinInNew
  • New

  • Leave

  • LeaveAll

MVRP端口注册模式:
  • Normal模式:MVRP实体允许进行动态vlan的注册或注销。
  • Fixed模式:MVRP实体禁止进行动态vlan的注销,收到的MVRP报文会被丢弃。
  • Forbidden模式:MV实体禁止进行动态Vlan的注册,收到MVRP会被丢弃。

那什么又是缺省vlan呢?这里要解释下什么是缺省vlan。Access端口默认的属于vlan1,所以他的缺省vlan就是他所在的vlan1,默认情况下是不用设置的。在交换机中默认情况下是不用设置缺省vlan的。Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1,如 果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与 端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。

S1:
#mvrp glo enable
#int g1/0/1
#port link-type trunk
#port trunk permit vlan all
#mvrp enable
S2:
#mvrp glo enable
#int g1/0/1
#port link-type trunk
#port trunk permit vlan all
#mvrp enable

Vlan间路由

三种方法:

  • pC-交换机-路由器

通过路由器转发

  • 用802.1Q和子接口实现vlan间路由

子接口需要绑定vlan

vlan-type dot1q vid xxx

  • 三层交换机的vlan路由
interface vlan 1
ip address xxxx xxxx

给配置虚拟vlan的接口的IP地址,通过三层交换机的三层路由转发引擎转发

vlan扩展技术:

Private VLAN

简称:Pvlan

private:

adj.私有的; 私用的; 自用的; 为一部分人的; 私人的; 秘密的; 内心的; 隐秘的; 私下的;n.
n.二等兵,列兵(级别最低的士兵);

​ 根据下面的这幅图来理解:

​ 相当于中间的交换机有三个vlan分别是:

  • Primary vlan:主valn10
  • Secondary vlan:辅助vlan
    • 辅助vlan之间是不可通信的,只能和主vlan之间通信。

Private VLAN技术原理:

  • Hybrid端口技术的应用

    • 所有端口都为Hybrid
    • 上行端口允许所有vlan通过
    • 下行端口允许Primary vlan和自己的Secondary vlan
  • MAC地址同步技术

    • 各Secondary VLAN学习的MAC地址同步到Primary VLAN
    • Primary VLAN学习的MAC地址同步到各Secondary VLAN

Super VLAN

以下部分内容参考:Supervlan和ARP代理

​ Super vlan是建立在三层交换机上。

Super vlan技术的实现:

  • super vlan 与sub vlan形成映射
  • 不同Sub vlan主机在不同的广播域
  • 各Sub vlan借用Super vlan的vlan接口进行三层通信
  • Sub vlan间的通信依靠Super vlan 接口的本地ARP完成

代理ARP:

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称为代理ARP。

  • (1)普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
  • (2)本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

普通代理ARP的工作原理:

交换机通过两个VLAN接口VLAN-int1和VLAN int2 连接两个网络,两个VLAN接口的IP地址不同一个网段,接口地址分别为1.1.1.2/24、1.1.2.2/24。但是两个网络内的主机HostA和HostC 的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一网段。

在这种组网情况下,当HostA 需要与Host C通信时,由于目的IP地址与本机的IP地址为同一网段,Host A直接发送ARP请求,解析Host C的MAC地址。运行了代理ARP的交换机收到ARP请求后,代理Host A在1.1.2.0 网段发出ARP请求,解析Host C的MAC地址。

HostC认为交换机向其发出了ARP请求,遂回应以ARP相应,通告自己的MAC地址000F.E203.3333。交换机收到ARP响应后,也向Host A发送ARP响应,但通告的MAC地址是其连接到1.1.1.0网络的VLAN 1接口的MAC地址000F.E202.2222。这样在Host A的ARP表中会形成IP地址1.1.2.3与MAC地址000F.E202.2222的映射项,因此Host A实际上会将所有要发给Host C的数据包发送到交换机上,再由交换机转发给Host C。

普通代理ARP的优点是,它可以只被应用在一个设备上(此时该设备的作用相当于网关),不会影响到网络中其他设备的路由表。普通代理ARP功能可以在IP主机没有配置默认网关或者IP主机没有任何路由能力的情况下使用

处于同一个网段内的主机,二层隔离但连接到设备的同一个三层接口,可以利用设备的本地代理ARP功能,通过三

转发实现互通。

Sub VLAN与外部的二层通信

  • TRunk链路自动禁止Super VLAN通过

Sub VLAN与外部的三层通信

  • 等同于Super VLAN到外部的三层通信

STP

​ STP是二层网络中用于消除环路的协议,

  • 通过阻断冗余链路来消除桥接网络中可能存在的路径环路
  • 当前活动路径发生故障时,激活冗余备份链路,恢复网络通信


版权声明:本文为m0_45851211原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。