收藏
下载资源

2022年2022年交换机在江湖VLAN通信篇

上传人:re****.1 文档编号:567424906 上传时间:2024-07-20 格式:PDF 页数:13 大小:927.93KB
返回 下载 相关 举报
2022年2022年交换机在江湖VLAN通信篇_第1页
第1页 / 共13页
2022年2022年交换机在江湖VLAN通信篇_第2页
第2页 / 共13页
2022年2022年交换机在江湖VLAN通信篇_第3页
第3页 / 共13页
2022年2022年交换机在江湖VLAN通信篇_第4页
第4页 / 共13页
2022年2022年交换机在江湖VLAN通信篇_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《2022年2022年交换机在江湖VLAN通信篇》由会员分享,可在线阅读,更多相关《2022年2022年交换机在江湖VLAN通信篇(13页珍藏版)》请在金锄头文库上搜索。

1、文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 1 页, 共 13 页前两期小编介绍了VLAN 的基础知识以及如何划分VLAN ,之后不断有读者询问:VLAN 划分后,同一 VLAN 用户可以二层互通,不同VLAN 用户则二层隔离,可有些场合不同VLAN用户又想互通,肿么办呢?请大家先回忆一下:VLAN 是广播域,而广播域之间来往的数据包一般由路由器中继的。因此, VLAN 间的通信通常要用到路由功能,这被称作“VLAN间路由”。VLAN 间路由,可以使用普通的路由器,也可以使用三层交换机。有了这个初步认识,接下来小编就开始介绍使用三层交换机进行VLAN 间通信的主要场

2、景和技术。VLAN 间通信场景一:不同 VLAN 不同网段用户间的通信,用户通过三层交换机互联使用技术 :VLANIF基本原理 :前面提到,要实现VLAN 间互通,就要建立VLAN 间路由,此场景用户直连在三层交换机上,只需直连路由即可。而VLANIF 接口是一个三层的逻辑接口,在其上配置IP地址为用户的网关地址后,它就在三层交换机上生成直连路由,同时,可作为用户的网关。这样,发往各 VLAN 网段的报文,就可在路由表中分别找到其出接口-VLANIF接口,从而实现三层转发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心

3、整理 - - - - - - - 第 1 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 2 页, 共 13 页江湖小贴士:VLANIF 只生成直连路由,只能使得相邻设备互通。现网中用户间可能会跨多台三层交换机(如三层网络),此时,除配置 VLANIF外,还要借助静态路由或路由协议才能实现互通。VLAN 间通信场景二:不同 VLAN 不同网段用户间的通信,用户通过二层交换机互联,仅通过一台三层交换机实现VLAN 间通信使用技术 :子接口(又称单臂路由)基本原理 :跟 VLANIF 一样,子接口也是三层逻辑接口。在子接

4、口上配置IP地址为用户的网关地址后,在三层交换机上同样形成直连路由,VLAN 内的用户同样将网关指向对应的子接口(如图中 VLAN2 内用户的网关为Port1.1 ,VLAN3 内用户的网关为Port2.1 ),进而实现三层通信。江湖小贴士:通过子接口实现三层互通,虽然可减少物理接口占有量,不过由于发送的流量会争用物理主接口的带宽,网络繁忙时,会导致通信瓶颈哟。VLAN 间通信场景三:不同 VLAN 相同网段用户间的通信使用技术 :Super VLAN(又称 VLAN 聚合)如下图所示,因IP地址有限,不同VLAN 用户共用一网段,但又需要互通以及访问外网。名师资料总结 - - -精品资料欢迎

5、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 3 页, 共 13 页基本原理 :通过定义 Super-VLAN和Sub-VLAN, Super-VLAN只用来建立三层VLANIF接口,与网关对应,不包含物理接口;Sub-VLAN只包含物理接口,不建立三层VLANIF 接口,用来隔离广播域,一个Super-VLAN可以包含一个或多个Sub-VLAN。我们可以这样看, 每一个普通 VLAN 都

6、有一个三层逻辑接口和若干物理接口。而Super VLAN把这两部分剥离开来:Sub-VLAN只映射物理接口,负责保留各自独立的广播域;而Super-VLAN负责实现所有 Sub-VLAN共享同一个三层接口的需求,使不同 Sub-VLAN内的主机可以共用同一个网关;然后再通过建立Super-VLAN和Sub-VLAN间的映射关系, 把三层逻辑接口和物理接口这两部分有机的结合起来,从而在实现普通VLAN 功能的同时,达到节省 IP地址的目的。江湖小贴士:Sub-VLAN 内主机与外网间的通信,跟使用 VLANIF 通信原理类似,只不过多了一步查找Sub-VLAN 与Super-VLAN 的映射关系

7、;但 Sub-VLAN 间的通信,需要借助 Proxy-ARP 才能实现,这是为什么呢?这是因为 Sub-VLAN 内的主机同属一个网关,彼此通信时只会做二层转发,而不会通过网关进行三层转发,但不同 Sub-VLAN 的主机在二层是相互隔离的,这就造成了 Sub-VLAN 间无法通信,需要借助Proxy-ARP 才能实现。InternetSub VLAN 21.1.1.2-1.1.1.10L3 SwitchVLAN 3Sub VLAN 3Host A1.1.1.11-1.1.1.20Sub VLAN 4VLAN 4VLAN 2Super VLAN 10VLANIF10:1.1.1.1/241.

8、1.1.21-1.1.1.30Host BHost CProxy ARP名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 4 页, 共 13 页上述组网中, VLAN 间用户均是通过三层交换机实现三层互通,三层互通需要查找路由表,转发效率较低。而二层转发效率高,那VLAN 间能否实现二层互通呢?答案是可以,那就是可通过VLAN Switch或VLAN Map

9、ping实现。VLAN 间通信场景四:不同 VLAN 用户跨一台或多台交换机互联使用技术 :VLAN Switch基本原理 : 预先在各交换节点(如图中的Switch )上建立一条静态转发路径(即VLAN Switch 表,指定 VLAN 转换关系和出接口)。这样,Switch 根据 VLAN Switch表将 Port2 上收到报文中的 VLAN2 转换为 VLAN3 ,并从 Port3 发出;将 Port3 上收到报文的 VLAN3 将转换为 VLAN2 ,并从 Port2 发出,从而实现VLAN2 和VLAN3 间的二层互通。江湖小贴士:VLAN Switch 转发查的是VLAN Swi

10、tch 表,而不是MAC 表, 这就使得VLAN Switch转发效率较高。但 VLAN Switch 是否就因此而可大量应用呢?否,因为 VLAN Switch 需要在途经的每个交VLAN2PC2PC1Port2SwitchPort3VLAN3VLAN Switch 表索引12转换前转换后 出接口2332Port3Port2名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未

11、经授权禁止扩散第 5 页, 共 13 页换节点都要为每个 VLAN用户配置静态转发路径,这就限制了其使用范围,当有大量 VLAN用户接入,或用户跨运营商网络时就不再适用。VLAN 间通信场景五:不同 VLAN 用户跨运营商网络互联使用技术 :VLAN Mapping基本原理 :预先在需要 VLAN 转换的两端设备 (如图中 SwitchA 和SwitchB )配置 VLAN 映射关系,但不需像 VLAN Switch那样指定出接口。配置后,SwitchA 接收到 VLAN1050报文后,根据 VLAN 映射表将报文中的VLAN 转换为 VLAN100 ,根据 MAC 表查到 VLAN100 对

12、应出接口 Port2 ,VLAN100 报文穿越运营商网络到达SwitchB 的Port2 接口时,找到其出接口Port1 ,在从出接口发出前,将VLAN100 转换为 VLAN6090,进而可通过分支2的接入交换机二层转发到目的主机。因为只需在VLAN 转换的两端设备配置,运营商网络无需改变其配置,大大简化了配置。江湖小贴士:VLAN Mapping虽然大大简化配置,但 VLAN Mapping需要通过查 MAC 表转发,转发效率上较 VLAN Switch 低些,但易引入广播风暴以及收到 MAC攻击。ISPVLAN 100VLAN 10 to 30SwitchASwitchB部门 AVLA

13、N 60 to 90部门 AVLAN 10 to 50 VLAN 60 to 90 VLAN 100 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 6 页, 共 13 页接下来就跟大家讲解如何配置,由于篇幅限制, 小编仅选一种常用的技术 VLANIF 来讲解。配置案例一:如下图所示, PC1 和PC2 分属研发部和质量部,两部门通过一台三层交换机互联,两

14、部门有业务往来,需要二层隔离,三层通信。配置思路此场景配置简单,只需将连接 PC 的接口加入 VLAN ,然后创建 VLANIF,并配置 IP地址为对应用户的网关即可。操作步骤Switch 上的配置如下:# sysname Switch # vlan batch 10 20 # interface Vlanif10 ip address 10.1.1.1 255.255.255.0 /此 IP 地址为 PC1对应网关地址# interface Vlanif20 ip address 10.1.2.1 255.255.255.0 /此 IP 地址为 PC2对应网关地址# interface Gi

15、gabitEthernet0/0/1 /将 PC1划分到 VLAN10中 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 /将 PC2划分到 VLAN20中 port link-type access VLAN 10VLAN 20三层交换机10.1.1.2/2410.1.2.2/24VLANIF1010.1.1.1/24VLANIF2010.1.2.1/24PC1PC2研发部质量部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -

16、 名师精心整理 - - - - - - - 第 6 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 7 页, 共 13 页 port default vlan 20 #return 配置完成后,我们使用命令display ip routing-table查看设备上的路由:可以看到, 路由表中有了到达VLAN10 、VLAN20 网段的直连路由。下面我们就验证一下,PC1 、PC2 是否可以互相 Ping通。在验证之前,先设置PC1 的 IP地址为 10.1.1.2 ,网关为 10.1.1.1/24;设置 PC2 的I

17、P 地址为10.1.2.2 ,网关为 10.1.2.1/24,然后互 Ping ,结果如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 8 页, 共 13 页可以看到,互 Ping 成功,表明配置成功。典型案例二:如下图所示,为安全及便于管理,企业为服务器专门划分VLAN ,用户属于 VLAN10 ,服务器属于 VLAN20 ,用户与服务器间跨接入、汇

18、聚和核心交换机,其中,接入是二层交换机,汇聚、核心是三层交换机。由于业务需要,用户与服务器间需要互通。VLAN10ServerUserGE0/0/2AGGVLAN20COREACC1ACC2GE0/0/1GE0/0/1GE0/0/2GE0/0/1GE0/0/2GE0/0/1GE0/0/210.1.1.2/24192.168.1.2/24名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密

19、信息 ,未经授权禁止扩散第 9 页, 共 13 页配置思路:此场景用户与服务器间跨越多台二层、三层交换机,可以配置VLANIF,将汇聚交换机AGG 作为用户 PC 的网关, 核心交换机作为服务器Server 的网关。 但VLANIF只生成直连路由,只能使得相邻设备互通,要使User与服务器互通,还需要配置从AGG 到VLAN20 网段以及从 CORE 到VLAN10 网段的路由,可以使用静态路由,也可以使用动态路由,本示例采用静态路由。操作步骤1.配置 ACC 、AGG 、CORE 的各接口,并将接口加入VLAN ,使 VLAN10 的用户报文透传到AGG ,VLAN20 的Server 报文

20、透传到 CORE ACC1 的配置如下:# sysname ACC1 # vlan batch 10 # interface GigabitEthernet0/0/1 /将 User 划分到 VLAN10中 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 /透传 VLAN10到 AGG port link-type trunk port trunk allow-pass vlan 10 #return ACC2 与此类似,只不过接口加入、透传的VLAN 是 VLAN20 。AGG 的配置如下

21、:# sysname AGG # vlan batch 10 30 # interface GigabitEthernet0/0/1 /透传 VLAN10 ,以转发 User 报文 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/2 /透传互联 VLAN30 ,以转发互联报文 port link-type trunk port trunk allow-pass vlan 30 #return名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

22、- - - - - - 名师精心整理 - - - - - - - 第 9 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 10 页, 共 13 页CORE 的配置如下:# sysname CORE # vlan batch 20 30 # interface GigabitEthernet0/0/1 /透传 VLAN20 ,以转发 Server 报文 port link-type trunk port trunk allow-pass vlan 20 # interface GigabitEthernet0/0/2

23、/透传 VLAN30 ,以转发互联报文 port link-type trunk port trunk allow-pass vlan 30 #return2.在AGG 上配置 VLANIF10和IP地址, 作为用户的网关; 在CORE 上配置 VLANIF20,作为Server的网关,同时配置互联VLANIF30,使 AGG 与CORE 互通AGG 的配置如下:# interface Vlanif10 ip address 10.1.1.1 255.255.255.0 / 此 IP 地址为 User 对应网关地址# interface Vlanif30 ip address 10.10.30

24、.1 255.255.255.0 / 互联 IP 地址,不能与User、Server 的 IP 网段冲突CORE 的配置如下:# interface Vlanif20 ip address 192.168.1.1 255.255.255.0 / 此 IP 地址为 Server 对应网关地址# interface Vlanif30 ip address 10.10.30.2 255.255.255.0 / 互联 IP 地址,不能与User、Server 的 IP 网段冲突配置至此,我们看看User 是否能 Ping 通 Server :名师资料总结 - - -精品资料欢迎下载 - - - - -

25、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 11 页, 共 13 页可以看到, User 此时 Ping 不通 Server ,这是因为 AGG 上没有到达 Server 网段192.168.1.0/24的路由 :3.在AGG 、CORE 上配置静态路由AGG 的配置如下:# 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

26、 - - - - - 第 11 页,共 13 页 - - - - - - - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 12 页, 共 13 页ip route-static 192.168.1.0 255.255.255.0 10.10.30.2 CORE 的配置如下:# ip route-static 10.1.1.0 255.255.255.0 10.10.30.1江湖小贴士:对于 VLANIF 、 Eth-Trunk 这样的逻辑接口,静态路由必须采用下一跳,而不能是出接口, 因为这些逻辑接口会有多个成员口, 会出现多个下一跳, 无法唯一确定下一跳。

27、配置完成后,我们再来用User Ping Server,结果如下:可以看到, User 可以 Ping 通Server ,配置成功。本期的 VLAN 通信,小编就介绍到这里。诸位如要了解其他VLAN 间通信的配置方法,请点击配置指南 -以太网交换获取。附VLAN 系列技术贴 .期数名称简介第一期【交换机在江湖之初窥门径】VLAN 基础篇介绍 VLAN 的定义、由来和接口加入 VLAN 的方式。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 13 页 - - - - -

28、- - - - 文档名称文档密级2014-11-9 华为保密信息 ,未经授权禁止扩散第 13 页, 共 13 页第二期【交换机在江湖之初窥门径】VLAN 划分篇介绍划分 VLAN 的各种方式和应用场景,重点介绍最常用的基于接口划分VLAN 的配置和场景。第三期( 本期 )【交换机在江湖之初窥门径】VLAN 通信篇介绍VLAN 间通信的主要技术及适用场景,如VLANIF 、子接口、 Super VLAN 等,以及最常用的VLANIF 的配置。第四期【交换机在江湖之初窥门径】VLAN 隔离篇介绍VLAN 隔离的主要技术及适用场景,如 MUX VLAN 、通过 ACL限制VLAN 间互访等,以及常用的通过 ACL限制VLAN 间互访的配置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 13 页 - - - - - - - - -

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号