1、为什么会有vlan的存在

• 交换机不能隔离广播域，如果广播域特别大的话，交换机泛洪的，就会传播到整个广播域

• 广播域越大，产生的网络安全问题，垃圾流量问题就越严重

• 因此就会有隔离广播域，路由器可以隔离，但是为了实现广播域的隔离，会增加很多的路由器，因此的话，不方便，就会在交换机上面实现广播域的隔离，不同的广播域在二层设备上面是不同的，这样泛洪的话，就不会泛洪到其他的广播域尚敏，这样的话就减少了广播域的规模

2、vlan(虚拟局域网)

1、vlan原理

• 最常见的划分就是将交换机不同的端口划分到不同的vlan中

1. 为什么这样划分了

# mac地址表中就会记录mac，port,vlan# 不同的vlan的区域的话，在vlan10中发送了一个广播的话，就只会在vlan10中泛洪，不会泛洪到vlan20中，这样的话，在通信的时候，首先发送的是arp请求是一个广播，但是不会泛洪到vlan20中，因此的话在默认的情况下，不同的vlan是无法进行通信的# 交换机就实现了广播域的隔离

2、如何实现不同交换机相同的vlan实现互访呢

# 在vlan10中新添加一个端口也划分在vlan10中，然后另外一个交换机也配置一个端口在vlan10中，连接起来，从而实现了不同交换机中的相同vlan通信了# 但是这个方法非常费端口# 因此就有了下面的解决方法

3、最优化的解决方法，vlan不同交换机

# 就是在这个2个交换机上面打上2个口子,用于连接2个交换机的通信，这个线路vlan10和vlan20都可以在这个线路上面进行传输# 比如A交换机发送一个数据，携带了vlan10这个数据，然后传输到B交换机，根据这个vlan信息的话，传输到vlan10里面去，这样的话，vlan20的标签也可以了# 这样的端口称为trunk# 在数据帧中添加vlan信息，可以跨交换机部署vlan# 在逻辑上不同交换机上面相同的vlan是在连接在一个交换机上面

4、vlan标签和vlan数据帧

• vlan标签就是能够使交换机分辨不同vlan的报文，需要在报文中添加vlan信息字段

• vlan数据帧就是在帧上面的源mac地址后面添加vlan信息(802.1Q tag)

• vlan标签上面详细的介绍

5、vlan实现

• PC1发送数据，然后交换机打上标签，连接2个交换机的链路要承载多个vlan数据，所以需要基于vlan数据的标记，以便对不同的vlan数据帧进行区分

• 就是在帧头插入802.1Q Tag

2、基于vlan的划分方式

• 交换机打上tag的方法不一样

1、基于接口的vlan划分方式

• 根据交换机的接口来划分vlan

• 每个接口配置不同的pvid(port vlan id ),在接口划入到对应的vlan

• vlan id 取值 1~4094

• 每个端口默认的情况下是1

• 数据帧会被打上pvid的tag

• 主机移动的话，主机接入的接口就需要重新配置pvid

2、基于mac地址划分

• mac和vlan id的映射关系

• 主机移动，不需要重新配置vlan了，跟端口没有关系了

3、以太网二层接口类型

• 都可以，图中的接口都可以改的

• access 接口通常用于连接用户PC，服务器等终端设备接口，access接口连接的往往是收发无标记帧，access接口只能加入一个vlan中，也就是特定的vlan

1、Access接口

• 接收帧

  • 当一个没有标签的数据帧进入这个接口，就会被vlan10打上标签

  • 如果数据帧的vlan10与接口的vlan10相同的话，直接进行交换机内部，接收该帧

  • 如果vlan20的数据帧的话，交换机不会接受这个数据帧，直接进行丢弃

• 发送帧

  • 帧的vlan id与接口的vlan id相同的话，出交换机的时候，去掉vlan标签，然后从这个接口发送出去

  • 帧的vlan id 与 接口的 vlan id不同的话，禁止发送出去

2、trunk接口

• 这个是一个干道口

• vlan 1是默认的存在的

• trunk这个通道相当于是一个控制规则，允许多个vlan通过

• 发送帧

  • 接口接收到了数据，然后打上pvid,如果这pvid 在vlan列表中允许通过的话，就接收，不允许的话，就丢弃

  • 相同的vlan10发送的话，vlan id列表允许的这个vlan id的话，就通过，不允许就丢弃

• 发送帧

  • 当vlan id相同的话，并且在vlan 列表的话，直接去掉vlan 标签，从这个接口发送出去

  • 数据帧的vlan id 与 接口的vlan id不同的话，但是在vlan 列表中的话，不去掉vlan 标签

  • 不在vlan 列表的话，不允许通过，禁止发送数据

3、Access和trunk接口

4、hybrid接口

• 接收帧与trunk接口是一样的，但是了发送帧的话就不一样了，管理员能够决定这个数据帧发送出去的时候是保留这个vlan 信息还是去掉了，这个是由管理员进行决定的

• 如果是untag类型的话，就是数据帧发送出去的时候需要去掉这个标签

• tag类型的话，数据帧发送出去的时候不需要去掉这个标签

4、vlan基础配置命令

1、创建vlan

vlan 10
# 就直接进入了这个vlan视图了# vlan id 取值范围是1~4094# 创建多个vlan
vlan batch 20 30 40# 批量创建vlan
vlan batch 20 to 30

1、Access接口配置

interface GigabitEthernet0/0/1port link-type access # 设置 access接口类型port default vlan 10  # 设置接口的vlan # 可以通过查看接口的pvid,也就是数据帧发送过来的时候，会被打上这个vlan 10的标签
[j1]display  interface g0/0/1

2、Trunk接口配置

interface GigabitEthernet0/0/2port link-type trunk  # 设置接口类型port trunk pvid vlan 10  # 设置pvid，也就是将这个接口加入到vlan中port trunk allow-pass vlan 10 20  # 主干通道允许 10 20 vlan 通过

3、hybrid接口配置

interface GigabitEthernet0/0/2port link-type hybrid # 默认就是这样类型的端口port hybrid pvid vlan 20   # 将接口加入到vlan 20中port hybrid untagged vlan 20 30  # 允许 vlan 20 30 通过

# 端口的类型
[j1]display  port vlan  active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             hybrid       10      U: 1 10 30   # 10,30vlan标签，去掉标签，允许10 20 通过
GE0/0/2             hybrid       20      U: 1 20 30
GE0/0/3             hybrid       30      U: 1 10 20T: 30 # 出去的时候不需要去掉标签，允许10 20 30vlan出去# vlan list
u 和 t 就是放行的vlan , u就是发出去去掉这个vlan 标签

4、总结vlan端口

# 总而言之，就是这个三个类型# access接口 只能允许一种vlan通过，比较vid(数据携带的vlan id ) 和 pvid# trunk接口 允许多种vlan通过,如果vid和pvid相同的哈，去掉标签，否则不去掉(vid在vlan 允许的情况下)，不在话丢弃# hybrid接口 允许多种vlan通过，可以自己控制是否去掉标签，在untag列表中，去掉标签，在tag列表中，携带标签发送，不在的列表中，丢弃

5、实验

1、access和trunk接口

# 实验目的# 实现相同vlan主机访问# 划分2个vlan# 最上面的2个主机，通过pvid 1 来进行通信，什么都不用配置

• 通信的原理

  • 首先ping 1.1.1.3

  # 携带的信息为 Dip 1.1.1.3 Sip 1.1.1.1 Dmac ffff Smac 有 
  

  • 通过s3上面的g2口，打上一个vlan10 的标签，然后通过查询规则，vlan 10 20都允许放行，arp会进行泛洪，但是g3口只允许vlan 20 通过，因此只能走 g1 口 到达下一个交换机 s1 上面

  • 然后继续到达s2交换机上面，通过查询vlan规则，走 g2 口到达 目标主机，记录了Dmac地址

  • 然后目标主机发送一个arp 应答，里面包含了

  DIp 1.1.1.1 Sip 1.1.1.3 Dmc 有 Smac 有

  • 然后这个交换机就会记录这一来一回的信息，也就是mac地址和port对应关系

  • 下一次就直接发送icmp包，进行通信即可

2、对上面的实验的补充(不同vlan之间主机的通信)

1、路由器物理接口

• 实现不同vlan主机互访

• 添加一个路由器，然后配置一个网关,充当一个网关，访问网关就相当于是访问同一个网段即可

• 实现PC1与PC2或者PC4通信即可

• 流程

# 访问不同的网段的时候，先要去寻找网关，arp解析网关mac地址,就有能力将数据送给网关，然后根据路由表寻找通往不同网段的ip地址，这样的话，就能寻找到不同的网段，实现了通信的效果

2、路由器上面配置虚拟接口

• 当然上面的这种做法，容易费接口

• 一个接口上面配置虚拟接口 .10 .20这样的，实现了逻辑口配置，绑定vlan ,只有虚拟接口才能实现vlan 标签，物理接口不能实现vlan 的绑定

• dot1q ter vid 10,然后配置ip地址

• 子接口不会开启arp服务，所以要开启arp br enable，物理接口默认是开启arp解析的

• 路由器接收后，从对应的接口就发送一个数据帧，带有vlan 标签的

# 路由器r2配置文件
[r2-GigabitEthernet0/0/0.20]display  this
[V200R003C00]
#
interface GigabitEthernet0/0/0.20dot1q termination vid 20   # 通过绑定子接口vlan 10,来实现区分ip address 2.2.2.254 255.255.255.0 arp broadcast enable
#
return# s1交换机的配置
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20
#
return

• 缺点，这个路由器的线，非常的消耗带宽，性能上面的不足

• 这个路由器上面的g0口的话，也可以作为一个网关，如果发送了一个数据没有携带vlan的话，g0口也可以作为一个网关，如果携带了vlan 1标签的数据的话，需要在g0口上面再来配置一个虚拟接口即可

3、交换机实现路由功能(三层交换机这个就是，配置网关)-就解决掉了上面的问题了

• 具有路由功能就是一个三层交换机

• 在交换机上面配置网关，使用的是vlanif ,抽象的逻辑接口

• vlanif 后，就相当于路由功能

• 配置一个vlanif 后，然后配置2个不同网段的网关即可

• 这个S1就是一个汇聚层，S3和S2就是一个接入层

[s1]int Vlanif 10
[s1-Vlanif10]disp	
[s1-Vlanif10]display  this
#
interface Vlanif10ip address 1.1.1.254 255.255.255.0
#
return[s1]int Vlanif 10
[s1-Vlanif20]disp	
[s1-Vlanif20]display  this
#
interface Vlanif20ip address 2.2.2.254 255.255.255.0
#
return

6、vlanif(虚拟局域网接口)

• vlanif就相当于是一个路由功能，配置网关即可实现通信了

• 实现了不同vlan之间的通信即可

1、vlanif实验和通信流程

# 首先2个交换机之间配置access接口,vlanif100 实现2个交换机之间的三层通信# 然后ospf的配置，这样的话路由也都配置好了# 通信的流程vlan标签的变化# PC7与PC1之间的通信# 首先PC7发送一个arp到网关解析到了网关mac地址，然后ping 1.1.1.1 经过g1口打上vlan 7的标签，然后S4解析发现不是自己的，发送到路由模块中去寻找，这个时候，发送与vlanif 100相匹配，去掉之前的标签，打上vlan 100标签发送出去，# 到达了S1交换机，然后去掉自己vlan 100标签，匹配到了vlan if 10的路由了，打上vlan 10的标签，然后到了S3交换机上面了，达到出接口G2的时候去掉vlan 10的标签，到达了目标主机PC1# 回包的时候也是这样的流程

2、补充

• 加上了PC9，vlan10

# 这个时候交换机之间就不能使用access接口了，需要配置trunk接口# 2个交换机配置这样的配置
# vlan 10用于二层的通信，100用于三层的通信
[s1-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 100
#
return# S4交换机上面的G3口的配置即可
[s4-GigabitEthernet0/0/3]display  this
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10
#
return

7、实验图片

# 2个交换机上面配置ospf
# 如果2个交换机ospf中的范围不同的话，可能不会交换LSA信息# 比如一个配置S1 1.1.1.1 0.0.0.0 另外一个配置S2 2.2.2.0 0.0.255# 这样的话就是S1 是/32的，所以就会读取LSA，但是S2是/24，不会进行交换，这个就是范围不同导致的

8、总结

交换机通信原理
就是mac表
广播域等

1、关于同网段的通信

• 发送arp请求解析mac地址后，开始通信

2、不同网段通信

• 1.1.1.1 访问 2.2.2.2，先要去找1.1.1.1的网关做一个arp请求，解析到mac地址，不同网段需要网关，因此需要路由器，但是arp请求是广播域，路由器不接受，因此的话，在路由器上面配置网关，这样的话，就能访问到了网关，查找路由表，这个2个网段在不同的广播域中

• 但是有特殊情况，2个不同的网关在同一个广播域中，这样的话，可以不设置网关，对目标ip发送一个arp请求，实现通信了

3、vlan

• 交换机不能隔离广播域，因此设置vlan

• 就是在接口上面配置vlan id 然后发送的数据经过这个接口就会被打上vlan标签，然后再来考虑放行

• access接口类型的话，只能允许一个vlan通过，vlan丢弃

• trunk接口类型的话，允许多个vlan通过，vlan ID 和 pvid一样的话，出去时去掉标签，不一样则不丢弃

• hybrid接口类型的话，允许多个vlan通过，但是可以自己设置丢弃和不丢弃标签

4、vlanif

• 交换机没有三层的能力，因此设置vlanif

• 实现了路由的功能呢

• vlan 100 vlanif 100对应的编号相同的