vlan:
1.一般情况下:以下概念意思等同:
一个vlan=一个广播域 =一个网段 =一个子网
2.一般情况下:
(1)相同vlan之间可以直接通信,不同vlan之间不能直接通信!
(2)vlan技术属于二层技术,涉及的广播域就是二层广播域。
(3)vlanif(思科定义为SVI),属于三层技术。
(4)vlan id的取值范围:0-4095 212=4096 其中数值0 4095保留的,vlan 1是默认的(不能删除)
802.1Q=dot1g
3.一般情况下, (以太网vlan传递情景) 交换机内部的数据必须携带vlan tag,交换收到的数据帧和发出的数据帧可以有vlan tag,也可以无!
4.已经打好标记的,去另一个交换机还需要打吗,就直接过去了?
要发送方以及接收方接口类型 PVID
生成树协议默认在华为交换设备上是开启,两台交换机之间连线N>=2,就是受到生成树影响,逻辑关闭N-1天链路,以免发生环路!
PVID:默认vlan即可,收到一个数据帧没法确定它的tag,使用PVID。
思科本征vlan。
trunk 默认情况下存在一个总开关,总开关只允许vlan i通过!
(相当于路修好了,但是没有通行证不让走)
SW3-Ethernet0/0/1]display port vlan
5.hybrid混杂端口与access、trunk有何区别?
前提:假设trunk的放行列表放行所有!
(1)access接口发出的数据帧都是纯的(untag没标记的);
(2)trunk发出的数据帧只存在两个场景:
(2.1)数据帧的vlanID与PVID一样,剥离标签,属于纯的数据帧;
(2.2) 数据帧的vlanid 与pVID不同,保留标签,属于有标记的数据帧;
(3)trunk收到的数据帧只存在两个场景:
(3.1)收到是无标记的打上PVID,放出去:
(3.2)收到是有标记的,直接发出去。
(4)hybrid可以做到access和trunk无法做到的事情:
hybrid:
接收数据帧
Untagged数据帧,打上PVID,且VID在允许列表中,则接收;
vID不在允许列表中,则丢弃。
Tagged数据帧,查看vID是否在允许列表中,在允许列表中,则接收:
VID不在允许列表,则丢弃。
发送数据帧
VID不在允许列表中,直接丢弃。
VID在Untagged列表中,剥离标签发送。
VID在Tagged列表中,带标签直接发送。
6.华为交换机默认接口类型为hybrid,但是查看并没有存在port link-type hybrid,则说明是默认,接口默认有以下:
1、port link-type hybrid
2. port hybrid pvid vlan 1
3. port hybrid untagg vlan 1
hybrid接口放行列表指的是:有无明确tagged untagged
为什么交换机没有配置之前,相同网段的主机之间就可以通信,是因为:
1、交换机默认存在3条命令:
2、明确hybrid放行列表(所谓hybrid放行列表指的是有无明确tag或者untag)
3、存在默认pvid
4、结合hybrid收发规则,则可以完成通信!
PVID有且只有一个,且PVID是针对端口而言的。
pvid: 默认vid
vid:自己手工配置:
实验示例:
组网需求:
某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。为了通信的安全性,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
s1上
[czysw1]vlan batch 10 20
[czysw1]inter e0/0/1
[czysw1-Ethernet0/0/1]p d v 10
[czysw1-Ethernet0/0/1]inter e0/0/2
[czysw1-Ethernet0/0/2]p d v 20
[czysw1-Ethernet0/0/2]inter g0/0/1
[czysw1-GigabitEthernet0/0/1]p l t
[czysw1-GigabitEthernet0/0/1]p t p v 1
[czysw1-GigabitEthernet0/0/1]p t a v 10 20
同理在s2上
[czysw2]vlan batch 10 20
[czysw2]inter e0/0/1
[czysw2-Ethernet0/0/1]p l a
[czysw2-Ethernet0/0/1]p d v 10
[czysw2-Ethernet0/0/1]inter e0/0/2
[czysw2-Ethernet0/0/2]p l a
[czysw2-Ethernet0/0/2]p d v 20
[czysw2-Ethernet0/0/2]inter g0/0/1
[czysw2-GigabitEthernet0/0/1]p l t
[czysw2-GigabitEthernet0/0/1]p t a v 10 20
[czysw2-GigabitEthernet0/0/1]p t p v 1
在pc1上验证我们想要的效果
例2:
组网需求:
某企业的交换机连接有很多用户,且不同部门的用户都需要访问公司服务器。但是为了通信的安全性,企业希望不同部门的用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,并配置Hybrid接口,使得不同部门的用户不能直接进行二层通信,但都可以直接访问公司服务器。
SW1上
[czysw1]vlan batch 10 20 100
[czysw1]inter e0/0/1
[czysw1-Ethernet0/0/1]p l h
[czysw1-Ethernet0/0/1]p h p v 10
[czysw1-Ethernet0/0/1]p h u v 10 100
[czysw1-Ethernet0/0/1]inter e0/0/2
[czysw1-Ethernet0/0/2]p l h
[czysw1-Ethernet0/0/2]p h p v 20
[czysw1-Ethernet0/0/2]p h u v 20 100
[czysw1-Ethernet0/0/2]inter g0/0/1
[czysw1-GigabitEthernet0/0/1]p l h
[czysw1-GigabitEthernet0/0/1]p h t v 10 20 100
SW2上
[czysw2]vlan batch 10 20 100
[czysw2]inter g0/0/1
[czysw2-GigabitEthernet0/0/1]p l h
[czysw2-GigabitEthernet0/0/1]p h t v 10 20 100
[czysw2-GigabitEthernet0/0/1]inter g0/0/2
[czysw2-GigabitEthernet0/0/2]p h p v 100
[czysw2-GigabitEthernet0/0/2]p h u v 10 20 100
在PC1上验证vlan10可以访问服务器但是不能访问不同vlan的主机
服务器可以访问任意的主机