HCIA数据通信——交换机(Vlan间的通信与安全)

前言

之前的提到了交换机的概念和实验。不过交换机的一些功能还没有说完,我们的实验也仅仅是阻止相同地址段的IP地址互通,也没有用到子接口和路由器。显然,那样的配置过于简单。

 

端口安全 

  Port Security(端口安全)的功能会通过MAC表项记录连接到交换机端口的以太网MAC地址,我们可以设置交换机允许哪些MAC地址通过本端口通信。而未知的设备(也就是未知的MAC)发来的数据会被阻止通信。

  因为使用端口安全功能可以防止未经允许的设备访问网络,所以增强了安全性。另外,端口安全功能也可用于防止MAC地址泛洪造成的MAC地址表填满。这就意味着我们可以设置最大的设备访问数量。

总而言之有两个优点:

通过MAC表项绑定设备以拒绝外来电脑访问公司网络,以保障安全;

通过设置最大可学习的MAC数量防止设备过多导致的MAC地址泛洪从而造成地址表填满。

端口安全实验

我们构建如下拓扑,并配置好Access的用户接入和到设备的Trunk功能:

 我在此默认划分到Vlan 1可放行所有设备通过

下面,我们开始配置端口安全: 

接着我们为路由器配置好相应的网关后,ping以下路由器网关查看结果:

可以发现能够连通

此时我们更换设备,将PC1换成PC4,将其划分到Vlan 1后再次ping路由器:

 

 可以发现无法Ping通

  这个是因为我们换了设备以后,虽然仍然使用的是交换机曾划分过VLAN的接口,但是MAC地址变更了,且交换机该接口限制学习的MAC表项数量为1个,且与该MAC绑定了。因此设备从PC1换成PC4以后,原交换机int g0/0/2接口的Mac地址表与PC1的Mac地址绑定了,且学习接口限制为1个已经无法继续学习其它Mac表项了。这才导致无法Ping通。 

VLAN间通信

  我们知道交换机隔离冲突域;路由器隔离冲突域和广播域;而VLAN也是可以隔离广播域和冲突域的技术。VLAN可以减小广播域或冲突域的范围,提高网络通信能力。我们上述的通信一直是以同一IP段的方式进行Vlan间通信。那么不同Vlan之间可以通信吗?当然能,不同的Vlan间通信是可以实现的。这也是Vlan技术的另一大特点。其中有两种配置方式:VLAN IF接口或者单臂路由。

子接口

  如果一个网络中需要很多VLAN,路由器不可能有无数的物理接口提供给交换机,交换机也不具备如此多的物理接口连接设备。子接口是为了打破了物理接口的局限性,路由器可以把物理接口通过划分为多个子接口的方式,从而实现多个VLAN间的路由与通信。

  VlAN IF接口就是虚拟接口,我们也可以管它叫子接口。子接口是逻辑链路,它需要物理接口作为承载,一个物理接口可以创建4096个子接口如果物理接口断了,其通过该物理接口创建的子接口也会消失。

子接口的优缺点

优点:打破物理接口的数量限制,一个接口实现多个VLAN间的通信。

缺点:子接口太多会导致争抢带宽,导致数据传输效率受到抑制。

因此,建议不要把子接口全部配置在一条物理接口上面,尽量把子接口分布在不同的物理接口上,以避免传输效率问题。

二层交换机和三层交换机

  二层交换机主要用于网络接入层和汇聚层,而三层交换机主要用于网络核心层,但是也可以在汇聚层应用。

  二层交换机支持物理层和数据链路层协议,而三层交换机支持物理层、数据链路层及网络层协议。

  二层交换机查找MAC表,通过MAC地址表跟ARP协议进行二层转发;三层交换机的原理也是如此,只不过在二层无法通信时,三层交换机会判断是否需要进行三层通信,就将数据交给网络层,进行三层处理,最终一般是将数据发到网关来完成三层通信的。

  因此我们可以得知,三层交换机是可以配置IP地址的——vlanif(子接口)配置不同vlan的IP地址,使得不同vlan之间可通过三层路由实现通讯。但是二层交换机无法配置IP地址。不过实际上,在交换机看来,只是让它们三层(网络)互通了而已、它的二层仍然是隔离的。

配置VLAN IF接口

VLAN IF口可以配置IP地址,三层交换机的VLAN IF接口会自动生成对应网段的直连路由。只需在终端将网关设置为VLAN IF接口地址,就能在隔离广播域的同时,通过三层实现通信。接下来我们就完成三层交换实验的配置。

准备好下列拓扑,并配置相应IP地址和网关(注意线和接口的选择)

随后创建Access并划分VLAN:

随后,我们为相应VLAN的接口地址作为VLAN主机的网关地址:

最后发现我们可以ping通: 

重点

[Huawei-GigabitEthernet0/0/2]int vlanif 10
[Huawei-Vlanif10]ip add 10.1.1.2 24
[Huawei-Vlanif10]int vlanif 20
[Huawei-Vlanif20]ip add 20.1.1.2 24


配置单臂路由

二层设备不像三层设备,无法配置vlanif接口。那么可以使用单臂路由。

我们在路由器连接交换机的那个接口上开启子接口,并为每一个子接口配置对应的IP地址和dot1q vid。随后把终端的子接口地址设置为网关之后就能实现和vlanif相同的效果。

注:dot1q就是802.1q,是vlan的一种封装方式。dot为点,就是“.1q”

下面我们开始配置,构建一下拓扑及信息:

之后我们配置好交换机的Access和Trunk,这块儿配置就省略了 。

接下来配置路由器的子接口(注:华为的子接口没有开启ARP请求,需要开启ARP请求获取对端MAC后才能通信)以子接口int g0/0/0.1为例 :

此时,我们可以看到PC1对网关和地址都能Ping通:

重点

[Huawei]int g0/0/0.1 //进入子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10 //允许为802.1q的Vlan 10流量通行
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[Huawei-GigabitEthernet0/0/0.1]ip add 10.1.1.2 24 //添加IP网关

 

后续 

基本上就这样,熟悉指令背后的原理后,就是多打命令,不敲手太生了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/119920.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

关于高并发你必须知道的几个概念

🎈个人公众号:🎈 :✨✨✨ 可为编程✨ 🍟🍟 🔑个人信条:🔑 为与不为皆为可为🌵 🍉本篇简介:🍉 本篇记录高并发必须知道的几个概念,如有出入还望指正。 关注公众…

Java-数据类型

Java-数据类型 一、字面常量二、数据类型(1)基本数据类型 三、变量1、变量概念2、语法格式(1)语法:(2)示例: 3、整型变量(1)整型变量(int&#xf…

CentOS 搭建本地 yum 源方式 安装 httpd 服务

CentOS 搭建本地 yum 源方式 安装 httpd 服务 修改 yum 源 挂载光驱 mkdir -p /mnt/cdrom mount /dev/cdrom /mnt/cdromvi /etc/fstab追加以下内容: /dev/cdrom /mnt/cdrom iso9660 defaults 0 0手动修改CentOS-Base.repo 备份 yum 源配置文件 mv /etc/yum.re…

将Sketch文件转化为PSD文件的简单在线工具!

设计工作不仅需要UI设计工具,还需要Photoshop。常见的UI设计工具Sketch与Photoshop软件不兼容。如果你想在实际工作中完成Sketch转psd,你需要使用其他软件进行转换。但是在转换过程中容易丢失文件,导致同样的工作需要重复多次才能完成&#x…

OpenCV官方教程中文版 —— 2D 直方图

OpenCV官方教程中文版 —— 2D 直方图 前言一、介绍二、OpenCV 中的 2D 直方图三、Numpy 中 2D 直方图四、绘制 2D 直方图 前言 本节我们会学习如何绘制 2D 直方图,我们会在下一节中使用到它。 一、介绍 在前面的部分我们介绍了如何绘制一维直方图,之…

java-后端调用第三方接口返回图片流给前端

一、背景 有个需求是这样的,客户端直接通过外网访问oss获取图片需要额外付费,考虑到成本问题,修改技术方案为:客户端将请求链接发给后端,后端根据请求做一定的截取或拼接,通过内网调用oss,再将…

APP分发-CDN加速原理

摘要 CDN的全称是(Content Delivery Network),即内容分发网络。其目的是通过在现有的Internet中增加一层新的CACHE(缓存)层,将网站的内容发布到最接近用户的网络”边缘“的节点,使用户可以就近取得所需的内容,提高用户访问网站的…

辅助驾驶功能开发-功能规范篇(23)-2-Mobileye NOP功能规范

5.2 状态机要求 5.2.1 NOP/HWP 状态机 NOP/HWP状态机如下所示: 下表总结了这些状态: 状态描述Passive不满足功能条件,功能无法控制车辆执行器。Standby满足功能条件。该功能不是由驾驶员激活的。功能不控制车辆执行器。Active - Main功能由驾驶员激活。功能是控制…

WebClient, HttpClient, OkHttp: 三个Java HTTP客户端的比较

在Java世界中,有许多用于发送HTTP请求的库。在本文中,我们将重点介绍并比较三种流行的HTTP客户端:WebClient,HttpClient和OkHttp。我们将通过讲解它们的基本概念,使用方法和示例,以及它们的优缺点&#xff…

Java零基础入门-逻辑运算符

前言 Java是一种广泛应用的编程语言,在在这里插入代码片软件开发中有着重要的地位。本文将介绍Java中的逻辑运算符及其在程序设计中的应用,希望能够帮助零基础的读者更好地入门学习Java。 摘要 本文将介绍Java中的三种逻辑运算符:与运算符…

点云从入门到精通技术详解100篇-基于尺度统一的三维激光点云与高清影像配准

目录 前言 研究现状 三维激光点云与影像配准研究现状 点云配准研究现状

Qt 序列化函数和反序列化函数

文章目录 界面学生类序列化函数反序列化函数刷新所选择的下拉表值添加 界面 学生类 // 创建学生信息类 class studentInfo { public:QString id; // 学号QString name; // 学生姓名QString age; // 学生年龄// 重写QDataStream& operator<<操作符&…

传智书城源码+课程设计文档基于JSP+Servlet实现

下载地址: https://juzhendongli.store/commodity/details/19 包括源码参考论文

华为---DHCP中继代理简介及示例配置

DHCP中继代理简介 IP动态获取过程中&#xff0c;客户端&#xff08;DHCP Client&#xff09;总是以广播&#xff08;广播帧及广播IP报文&#xff09;方式来发送DHCPDISCOVER和DHCPREQUEST消息的。如果服务器&#xff08;DHCP Server&#xff09;和 客户端不在同一个二层网络(二…

An Early Evaluation of GPT-4V(ision)

本文是LLM系列文章&#xff0c;针对《An Early Evaluation of GPT-4V(ision)》的翻译。 GPT-4V的早期评估 摘要1 引言2 视觉理解3 语言理解4 视觉谜题解决5 对其他模态的理解6 结论 摘要 在本文中&#xff0c;我们评估了GPT-4V的不同能力&#xff0c;包括视觉理解、语言理解、…

哪一个更好?Spring boot还是Node.js

前言 本篇文章有些与众不同&#xff0c;由于我自己手头有些关于这个主题的个人经验&#xff0c;受其启发写出此文。虽然SpringBoot和Node.js服务于很不一样的场景&#xff0c;但是这两个框架共性惊人。其实每种语言都有不计其数的框架&#xff0c;但仅仅一部分是真正卓越的。如…

第六节——Vue中的事件

一、定义事件 Vue 元素的事件处理和 DOM 元素的很相似&#xff0c;但是有一点语法上的不同 使用修饰符&#xff08;v-on:的缩写&#xff09;事件名的方式 给dom添加事件后面跟方法名&#xff0c;方法名可以直接加括号如click"add()"里面进行传参。对应的事件处理函…

计算机网络相关硬件介绍

计算机相关硬件 计算机由运算器、控制器、存储器、输入设备和输出设备等五个逻辑计算机硬件部件组成。 一、中央处理器&#xff08;CPU&#xff09;&#xff08;运算器、控制器&#xff09; &#xff08;1&#xff09;运算器 运算器是对数据进行加工处理的部件&#xff…

react151618刷新几次的问题

结论&#xff1a; 16 hooks版本 默认render1次 同步中&#xff0c;无论多少种类还是次数&#xff0c;都render 1次。 异步中&#xff0c;无论多少种类还是次数&#xff0c;1个种类执行1次&#xff0c;多次的话&#xff0c;用n*2。 18 hooks版本 默认render2次&#xff0c; 同步…

Ubuntu 内核降级到指定版本

reference https://www.cnblogs.com/leebri/p/16786685.html 前往此网站&#xff0c;找到所需的内核 https://kernel.ubuntu.com/~kernel-ppa/mainline/ 查看系统架构 dpkg --print-architecture 二、下载安装包 注意&#xff1a;下载除lowlatency以外的deb包 三、安装内核 3…