园区网
园区网搭建核心思路:冗余(备份)--- 保证其健壮性
1、设备冗余
2、线路冗余
3、网关冗余
4、ups(不间断电源)冗余—— 能不断电(物理层)
三层交换机和路由器的选择:
三层交换机:偏向交换、二层的工作。适合园区内。不适合边界设备,不支持NAT、VPN技术。
路由器:更倾向与大批量路由转发工作。多用于运营商。边界设备只能选取路由器或者防火墙,倾向于边界或外部。
边界上路由器和防火墙的选择:
防火墙:也相当于一个三层交换机但是支持NAT、VPN。用于安全要求高的情况下,过滤功能强。只有以太网口,只能连接以太网。
路由器:对路由转发速率要求高的情况。路由器可拓展接口且可拓展接口种类多,每一种接口都可连接一种网络,不仅可以把广播域连接在一起还可以把各种网络连接在一起。
园区网三层架构
接入层:一般使用二层交换机。任务是把终端接入到网络中来。接入层数量多,一般每个教室每个办公室都有一两个接入层设备。(vlan、stp...)
汇聚层:一般使用三层交换机。把每个接入层设备汇集在一起,一般一层楼或者一栋楼一个汇聚层。适合当网关。(vlan、stp、vrrp、静态路由、ospf、acl...)
核心层:将园区连接在一起。(ospf、acl、nat...)
VLAN
vlan的定义和作用:
VLAN ---虚拟局域网---将原先的一个广播域逻辑上分隔成为多个虚拟的广播域
划分VLAN过程
第一步:创建VLAN
VID ---12位二进制---1-4094 ---默认存在VLAN 1
第二步:将接口划入VLAN
802.1Q帧---Tagged帧
Tag标签有4个字节,但是只需要关注12位,这12位就是对应vlan的VID。
以太网Ⅱ型帧---Untagged帧(不带标签的帧)
依靠以上特性,我们将 交换机和电脑 之间的链路,称为 Access链路 ,交换机侧的接口称为ACCESS接口,这样的链路只能通过untagged帧,并且,这些数据帧都属于某一种相同VLAN; 交换机和交换机 之间的链路,称为 Trunk链路 (Trunk干道),交换机侧的接口称为Trunk接口,这样的链路可以通过tagged帧,并且,这些数据帧可以属于多种不同的VLAN。
第三步:配置trunk干道
hybrid ---混杂口
[sw1]display port vlan active
Link Type---接口类型---如果没有做配置,默认的接口类型为混杂口
PVID ---接口的VID ---如果没有做配置,默认接口的PVID为1.
注意:华为规定所有进入交换机的数据帧必须带标签,带进入接口PVID的标签。
VLAN LIST ---允许列表---所有接口默认放通VLAN1
遵循最小vlan透传原则,关闭trunk干道vlan1的流量:undo port trunk allow-pass vlan 1
U ---Untagged ---数据帧从接口发出时不带标签
注意: trunk 干道中和接口 PVID 相同的 VLAN 发出时不需要携带标签。
T ---Tagged ---数据帧从接口发出时需要带标签
ACCESS接口
1,如果从链路上接收到一个Untagged帧,先给数据帧打上接口PVID对应的VID
的标签,之后,看允许列表,因为ACCESS接口允许列表中只有一个VID且和PVID
相同,所有,可以直接转发;
2,如果一个ACCESS接口从交换机的其他接口接收到一个数据帧,因为数据帧
已经拥有标 签,所以,不用打标签,直接查看标签中的VID是不是在自己的允许列
表中,如果不在,则直接丢弃;如果在,则允许转发,但需要先剥离标签之后转发到
链路上。
3,如果从链路上接收到一个tagged帧,因为已经带标签了,所以,不需要打
标签,查看标签是否在自己的允许列表中,如果不在,则丢弃;如果在,则转发。
Trunk接口
1,如果从链路上接收到一个tagged帧,因为已经带标签,所以,不用打标签,
之后,查看标签是否在自己的允许列表中,如果不在,则丢弃,如果在,则转发。
2,如果从交换机的其他接口接收到一个数据帧,因为本身具有标签,所以,不
用打标签。之后,查看标签是否在允许列表中,如果不在,则丢弃;如果在,如果标
签和接口的PVID相同,并且在允许列表中,则剥离标签发出;如果标签和接口的PVID
不同,则携带标签发出。
3,如果从链路上收到一个untagged帧,首先打上接口PVID对应VID的标签,
之后,看允许列表,如果列表中有对应的VID,则转发,否则丢弃。
ACCESS ---可以修改PVID,可以修改允许列表,但是,允许列表中的VID只能和PVID相同
且仅有一个,不能修改版UT标记
Trunk---可以修改PVID,可以修改允许列表,可以放通多个,不能修改UT标记
[sw1-GigabitEthernet0/0/5]port trunk pvid vlan 4
H y bird ---可以修改PVID,可以修改允许列表,可以放通多个,可以修改UT标记
[sw1-GigabitEthernet0/0/1]port link-type hybrid
[sw1-GigabitEthernet0/0/1]port hybrid pvid vlan 2
[sw1-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4
第四步:VLAN间路由
单臂路由
r1]int g 0/0/0.1
[r1-GigabitEthernet0/0/0.1]
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2
[r1-GigabitEthernet0/0/0.1]arp broadcast enable
[r1-GigabitEthernet0/0/0.1]
SVI --- 交换机虚拟接口 --- Vlanif
管理VLAN
三层交换机每个VLAN都可以创建一个VLANIF接口。
[sw1]interface Vlanif 2
[sw1-Vlanif2]
[sw1-Vlanif2]ip address 192.168.1.254 24
