VLAN及vlan路由

Posted 2020-10-09

一、vlan的划分方式：（是为了隔离交换机中的广播域，一个vlan一个广播域，交换机一个接口一个冲突域）（中继器是一个广播域，一个冲突域，路由器一个借口一个广播域和冲突域）

1、基于mac地址

2、基于ip子网

3、基于协议                      没有接口类型，接口类型只能Hybrid。

4、基于端口    （我们通常是基于端口划分，1—4是按先后排序的）

6字       6字节    2字      1       12字         1字         12字 （1-4094）             

                                         cos标示二层报文优先级的           

真正隔离广播域的是mac地址表

二、vlan在交换机内转发的处理流程

如果交换机收到一个带vlan的广播帧会在同一vlan接口下广播(包括自己的接口),如果收到一个未知单播，就在本vlan下泛洪（泛洪只是在所有的端口中除自己以外发送消息.）

三、vlan的接口（二层交换里的都带标签）

1、access口：通常用于与pc链接

• 入方向：

        1）如果报文无标签，打上端口PVID，

        2）如果报文有标签，检查是否和端口PVID一致，如果一致，进入交换机转发，否则丢弃。

• 出方向：看是否带标签，如果带，是否和access属于的vlan一致，一致，去掉标签出去，否则丢弃

[SW1]vlan 10

[SW1-vlan10]port  e0/4/1                                                                                        

相当于：Untagged Ports:

                  Ethernet0/4/1（当带vlan10的帧，从此接口出去时，不带标）

access也可以接受带标签的帧

2、trunk口：

允许多个vlan带标通过

• 入方向：1）之前有标签，检查端口允许列表中是否有该VLAN，如果有进入交换机转发。(a：接口允许此vlan通过；b：本交换机里必须存在此vlan)

                     2）之前无标签，打上端口PVID，检查端口允许列表是否有该VLAN，有进入转发。

• 出方向：1）报文的vlan id和端口PVID不一致，检查允许列表是否有该VLAN，如果有保留标签离开。

                    2）报文vlan id和端口PVID一致，检查允许列表是否有该VLAN，如果有去掉标签离开。 

 

• [SW1]int e0/4/0

[SW1-Ethernet0/4/0]port link-type trunk 

[SW1-Ethernet0/4/0]port trunk permit vlan 10 20

[SW1-Ethernet0/4/0]port trunk pvid vlan 30（敲这个只能将其接口的pvid改为vlan30，不让vlan30通过，必须配permit）

• 在trunk模式中pvid必须明指，将接口划到vlan中是不可以的

• [SWA-vlan20]port Ethernet 0/4/0  （该接口让vlan 20过）

3、hybrid口（华三私有的）

允许多个vlan带标通过，也允许多个vlan不带标通过。

untag和tag：出去的时候起作用

    （如果接口写了某个vlan  tag或者untag 就相当于permit此vlan，至于untag和tag是是否脱标或者加标，在交换机内部是不起作用的）

• 入方向：1）之前无标签，打上端口PVID，检查允许列表（tagged/untagged）如果有，允许进入，反之丢弃。

                     2）之前有标签，检查允许列表（tagged/untagged）如果有，允许进入，反之丢弃。

• 出方向：1）如果该标签在untagged列表中，去掉标签通过

                    2）如果该标签在tagged列表中，保留标签通过

• [SWA]vlan10

     [SWA-vlan 10]quit

[SWA]vlan 20

[SWA-vlan20]port Ethernet 1/0/1  （这条命令相当于port hybrid vlan 20 untagged

 port hybrid pvid vlan 20）

[SWA-vlan20]quit

[SWA]interface Ethernet 1/0/1

[SWA-Ethernet1 /0/1 ]port link-type hybrid

[SWA-Ethernet1 /0/1]port hybrid vlan 10 tagged（带vlan10的帧不脱标签出去）

• [SWA-Ethernet1/0/1]port hybrid pvid vlan 20  （这条命令只能将pvid改成vlan 20，不能以为成VLAN20 出去的时候不打标，还要手动加上untag VLAN20）

hybrid端口配置了：（tag和untag只在交换机的出方向起作用）

port hybrid tagged vlan 2 4（表示带该标签的帧出去时不脱标签）

port hybrid untagged vlan 3 5（表示带该标签的帧出去时脱标签）

一、当交换机接收到一个来自其他设备的以太网帧时，首先查看该帧是否带了标签（即VLAN信息），

1.  如果不带标签（如来自PC，或者其他设备发送时剥离了标签）那么允许该标签进入交换机，同时打上该端口的PVID的VLAN号（前提是untag或tag列表中有该vlan）。该帧从不带标签到带标签。

2.  如果带标签，那么首先查看该帧所带VLAN号是否在我上边两行命令行里出现了，比如3就出现了，6没有出现；那么对于带3的帧，会让该帧通过，不会对帧做任何更改。而对于带6的帧，就不会让它通过而直接丢弃。

二、当交换机要发送一个以太帧出去时，（不会检查是否带标签，因为所有帧都是从CPU过来的，肯定带了标签）对于tagged定义的帧，端口会直接发送，不会做任何更改，例如帧4。而对于untagged定义的帧，会剥离掉该帧的标签，该帧从带标签到不带标签，如帧5 。

总结一句，对于tagged和untagged定义的帧，只有在发送时才会有剥离或不剥离的区别，而对于接收到帧的时候，只会起一个判断是否允许该帧通过的作用（定义了则允许通过，未定义则丢弃）。

四、Isolate-user-vlan(pvlan)

• 解决vlan id不足的问题（2^12-2=4094）

• MAC地址同步（核心）：会将下行端口的MAC地址表复制给上行端口（一般都是下行向上行复制，因为上行的mac地址表比较大）

• Hybrid端口技术的应用：

  • 所有端口都为Hybrid

  • 上行端口允许所有vlan通过

  • 下行端口允许Isolate-user-vlan和自己的Secondary  VLAN

• MAC地址同步技术：

  • 各Secondary VLAN（下行vlan）学习的MAC地址同步到Isolate-user-vlan（上行vlan）

  • Isolate-user-vlan学习的MAC地址同步到各Secondary VLAN

Isolate-user-vlan配置： 

vlan 10

 isolate-user-vlan enable         //设置vlan10为isolate-user-vlan  （主）          

interface Ethernet 0/4/2

port isolate-user-vlan host                            //设置该接口为secondary接口

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 10  2   untagged                  //v2和v10，secondary接口出去时，不带标签          

port hybrid pvid vlan 2                      //修改该接口的PVID为2

interface Ethernet 0/4/0

port isolate-user-vlan 10   promiscuous             //设置接口为主接口

port link-type hybrid                    

undo port hybrid vlan 1                                    

port hybrid vlan  2  3  untagged                      //v2和v3，在该接口出去时不带标签

  port hybrid vlan 10 tagged                      //v10在该接口出去时，带标签

port hybrid pvid vlan 10                             //修改pvid为10

isolate-user-vlan 10 secondary 2   3                 //全局下，设置vlan2和vlan3为vlan10的 secondary接口

五、Super Vlan技术：

是一种利用vlna的三层，为了节省IP

上行网络不知道subvlan里的ip地址，从而节省了ip

super vlan只是一个虚拟口，sub vlan是个物理口

六、Voice Vlan（基于mac地址划分vlan的标签）

MAC地址的格式：（48位二进制数）XX-XX-XX-XX-XX-XX（前24位位OUI,后24位为EOI）又叫物理地址。

交换机一个端口可以对应多个mac

七、GVRP（vlan动态学习）     只能在trunk口下使用

1. 设备开启GVRP功能后，设备可以动态的学习其他设备的vlan（被学习者也要开启GVRP）

        GVRP的组播MAC地址为0180-C200-0021

• Normal模式：允许该端口动态注册或注销vlan，传播动态vlan（自主学习）以及静态vlan

• Fixed模式：禁止该端口端口动态注册或注销vlan，只传播静态vlan信息，不传播动态vlan信息。

• Forbidden模式：禁止该端口动态注册或注销vlan，不传播vlan1以外的任何vlan信息

     passing：交换机中存在的，且让其通过

     permited：在配置时permitd的

八、vlan路由：

1、最长匹配转发模型

•   用报文的目的ip和子网掩码做“与”。

• 做“与”结果与目标网络号一样，则匹配上

• 路由表中匹配上的所有路由，掩码最长的为最佳匹配项，报文将从此接口发出

2、交换机精确匹配转发模型

• CPU维护路由表

• ASIC芯片完成主要的转发功能（这两点为硬件转发）

• 对数据包一次路由后，生成具体目的地址的转发表项（Forward Information Base：转发信息库

），后续直接根据此表项转发

3、转发信息库（FIB表）

将路由表中到达网段的最优路由匹配出来，放在FIB表中。

单工A——B    只能单向传输

半双工A——B   可以双向，但是不能同时

全双工A——B  可以双向，也能同时发

      

三层vlan：

1. 必须包含至少一个真实接口（trunk，permit，untag）

2. 成员中至少有一个UP

本文出自 “Network_伟” 博客，请务必保留此出处http://cwnetwork.blog.51cto.com/10718966/1970458