当前位置：首页 > news >正文

HCIP之VLAN

news 2026/2/9 14:45:17

网络的三层架构

接入层

无线的缺陷：

上网用户数量增多，网络卡顿的原因

CSMA/CD --- 载波侦听多路访问/冲突检测

CSMA/CA --- 载波侦听多路访问/冲突避免

无线网络没有使用冲突检测技术的原因

汇聚层

连接两条线路的原因

核心层

VLAN

VLAN配置

第一步：创建VLAN

第二步：将接口划入到VLAN

第三步：配置trunk干道

U/T标记

不同链路的工作过程

ACCESS接口

trunk接口

接口修改权限

第四步：VLAN间路由

SVI

创建VLAN IF接口

网络的三层架构

园区 --- 工厂，政府机关，商场，写字楼，校园，公园等这些公共场所为了实现数据互通而搭建的网络我们都可以称为园区网

接入层

由接入层交换机组成，提供终端设备接入网络 --- 接入层交换机主要是由二层交换机来组件，二层交换机指的是通过识别MAC地址查询MAC地址表来进行二层转发的设备。

WLAN --- 无线局域网 --- 从广义上来讲，指以无线电波，激光，红外等来代替有线局域网中部分或全部传输介质所构成的网络。

“无线永远是有线的最后一公里” ---- 主要是因为无线收发设备最终还是需要通过网线接入到有线网络当中。

AP --- 无线接入点 --- 专门进行收发

无线的缺陷：

1.传输速率低于有线，并且信号强度存在波动，和信号发射点位置越远，信号越弱；

2.无线信号穿透性较差

以太网可以实现频分 2.4G，5G

3.上网用户数量增多，则网络卡顿严重

上网用户数量增多，网络卡顿的原因

CSMA/CD --- 载波侦听多路访问/冲突检测

将设备通过AP接入到无线网络中，也相当于接入到一个冲突域中，所以需要去进行冲突避免。

CSMA/CA --- 载波侦听多路访问/冲突避免

1，即使在没有侦听到信号时，也不立即发送信息，而是先执行避让动作，给自己设计一个随机的计时器，时间到了之后，再发送信息，竟可能避免冲突。

2，CSMA/CA技术，为了保证传输的数据的可靠性，采用了停等式流控 --- 每发一个数据包，要求对方回复ACK进行确认，否则重传。

无线网络没有使用冲突检测技术的原因

1，无线网络本身信号强度动态范围非常大，往往收到的信号强度可能远小于发出时的强度，所以，检测冲突比较困难。

2，在无线网络的应用场景中，存在很多冲突无法检测的场景

汇聚层

我们接入层交换机将收集到的流量需要进行汇聚，则形成汇聚层。 --- 汇聚层设备我们一般选用三层交换机来充当，

三层交换机 --- 相较于普通的二层交换机，他既有二层交换机实现二层转发所使用的二层口，也拥有类似路由器可以实现三层转发的三层口（三层口和二层口最直接的一个区别就是三层口需要配置IP地址，则也需要具有MAC地址）。 --- 在三层交换机当中，即拥有MAC地址表以及路由表，相当于是二层交换机和路由器集成的产物。

连接两条线路的原因

企业网的三层架构 --- 核心思想 --- 冗余（备份） --- 保证网络的稳定性

1，线路冗余

2，设备冗余

3，网关冗余

4，UPS冗余 --- UPS -- 不间断电源 --- 99.9999%的可用性（相当于一年只允许断电32s）

核心层

主要作用就是完成私网和公网之间数据的快速转发。

核心层一般使用路由器作为核心层设备。

VLAN

V --- 虚拟

LAN --- 局域网 --- 广播域 --- 地理覆盖范围较小的网络

VLAN --- 虚拟局域网 --- 可以理解为是虚拟的广播域，交换机和路由器协同工作后，将原来一个广播域逻辑上划分成多个虚拟的广播域。

VLAN配置

第一步：创建VLAN

<Huawei>display vlan --- 查看VLAN信息

VID --- VLAN ID --- 用来区分和标定不同VLAN --- IEEE组织在802.1Q标准中进行了规定，规定VID必须由12位二进制构成 --- 0 - 4095 --- 其中0和4095为保留 --- 所以，VID的取值范围为1 - 4094

[Huawei]vlan 3 --- 创建VLAN[Huawei]vlan batch 4 to 100 --- 批量创建VLAN[Huawei]undo vlan batch 4 to 100 --- 批量删除VLAN

第二步：将接口划入到VLAN

将VID配置映射到交换机的接口上，实现VLAN的划分 --- 物理VLAN/一层VLAN

将VID配置映射到数据包中的MAC地址，实现VLAN的划分 --- 二层VLAN

将数据帧中的类型字段所标记的上层协议和VID进行映射，实现VLAN的划分 --- 三层VLAN

因为设备的层次叫法主要是根据其转发特性来决定的，并不代表设备没有处理上层的能力，所以，VLAN划分也可以基于IP地址进行划分，也可以基于策略进行划分。

在交换机中为了区分不同VLAN的流量，需要给数据帧打上标签。于是就有了 802.1Q帧 --- 在普通的以太网Ⅱ型帧的基础上，在其源MAC和类型字段之间增加了4个字节的标签，我们称为TAG（包含12位的VID）。这样打了标签的帧我们也称为 tagged帧。没有打标签的帧也可以被称为untagged帧

因为我们的电脑是无法识别tagged帧，只有交换机（支持802.1Q的设备）才能识别。依靠这个特性，我们将交换机和PC之间的链路称为Access链路，Access链路中交换机侧的接口被称为Access接口。ACCESS链路中，只能通过untagged帧，并且，这些帧一定属于某一个特定的VLAN；我们将交换机和交换机之间的链路称为trunk链路（trunk干道），trunk链路中交换机侧的接口被称为trunk接口，trunk链路中可 \以通过tagged帧，并且这些帧可以属于多个VLAN。

[sw1-GigabitEthernet0/0/1]port link-type access  [sw1-GigabitEthernet0/0/1]port default vlan 2 [sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4 --- 创建接口组 --- 划入多个接口时可以使用

第三步：配置trunk干道

[sw1-GigabitEthernet0/0/5]port link-type trunk  [SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan ?INTEGER<1-4094>  VLAN IDall              All[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3[sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all  --- 所有

[sw1]display port vlan active

Hybrid --- 混杂接口

PVID --- 代表接口所属的VID，可以理解为接口所属VLAN--- 华为设备设定，所有接口在没有做配置的情况下，其 PVID为1，即其默认属于VLAN 1

注意：

华为设备VLAN技术中规定，所有通过接口进入到交换机的数据都必须代表标签，如果没有标签，则需要打上进入接口PVID的标签

VLAN List --- 接口运行通过的VLAN列表 --- ACCESS接口因为只允许通过所属的VLAN的流量，所以，允许列表只能通过一个VLAN且和PVID相同。Trunk干道允许通过多个VLAN，默认放通VLAN 1 的流量，之后，可以通过port trunk allow-pass vlan XX 去放通其他的VLAN的流量

U/T标记

U --- untagged --- 代表后面允许列表中的VLAN数据在通过时不携带标签发出

T --- Tagged --- 代表后面允许列表中的VLAN数据在通过时携带标签发出

注意：

在trunk干道中，只有和trunk接口PVID相同的VLAN的流量出去时可以不带标签。

不同链路的工作过程

ACCESS接口

1，当Access接口从链路上收到一个untagged帧时 --- 交换机首先会在数据帧中添加VID为PVID的标签（tag），之后查看允许列表，如果允许列表中有该数据帧标签中的VID号，则转发。（Access接口因为允许列表中的VID号和自己的PVID相同，所以，这种情况下，一定可以转发）

2，当一个tagged帧从交换机的其他端口到达一个ACCESS端口后 --- 交换机会检查这个帧中的tag的VID是否和允许列表中的VID相同，如果不同，则直接丢弃；如果相同，则需要先剥离标签后发出到链路上。

3，如果ACCESS接口在链路上收到一个tagged帧，则交换机不需要再打标签，而是会检查他的VID是否在自己本地的允许列表中，如果在，则转发，不在，则丢弃。

trunk接口

1，当trunk接口从链路上接口到一个untagged帧，交换机首先会在数据帧中添加VID为PVID的标签，之后，查看允许列表，如果允许列表中有该数据帧标签中的VID号，则转发，如果没有，则丢弃；

2，当一个tagged帧从交换机的其他接口到达一个trunk接口后，如果这个tag中的VID不在trunk接口的允许列表则直接丢弃，如果在，则转发，如果VID和trunk接口的PVID相同，则剥离标签后发出，如果不相同，则不剥离标签，直接发出

3，如果trunk接口在链路上收到一个tagged帧 --- 交换机不需要再打标签，然后将先查看这个tagged帧中的VID是否在自己的允许列表中，如果在，则转发，如果不在，则丢弃；

接口修改权限

ACCESS --- 可以修改PVID，可以修改允许列表（但是PVID和允许列表必须相同且只能允许一个VLAN的流量通过），出口的封装方式不能修改，只能时不带标签封装。

Trunk --- 可以修改PVID，可以修改允许列表，而且允许列表中可以通过多个VLAN的流量，出口封装方式仅为带标签封装（PVID若在允许列表中，则默认为封装不带标签）

sw1-GigabitEthernet0/0/5]port trunk pvid ? --- 修改trunk接口PVID的命令 vlan Virtual LAN

Hybird ---- 可以修改PVID，可以修改允许列表，而且允许列表中可以通过多个VLAN的流量，而且可以修改出口的封装方式。

[sw 3-GigabitEthernet0/0/1]port link-type hybrid --- 修改接口的类型为混杂口 [sw 3-GigabitEthernet0/0/1]port hybrid pvid vlan 2 --- 修改混杂口的PVID [sw 3-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4 --- 修改允许列表，并且出去的时候不带标签 [s w4-GigabitEthernet0/0/1]port hybrid tagged vlan 2 to 4 --- 修改允许列表，并且出去的时候带标签

第四步：VLAN间路由

子接口 --- 路由器的虚拟接口 --- 路由器将一个物理接口逻辑上的切分为多个虚拟的子接口。

[r1]int g 0/0/0.1 --- 创建子接口 [r1-GigabitEthernet0/0/0.1 [r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 [r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP广播 ---- 开启后子接口才会进行ARP应答

SVI

SVI --- 交换机虚拟接口 ---- 在华为交换体系中被称为VLAN IF接口，这个接口是针对VLAN来进行配置的虚拟的三层接口

这个接口对于二层交换机来说，其主要目的是为了方便远程管理，所以这个接口只需要一个，并且属于哪个VLAN都可以

管理VLAN --- 二层交换机只能存在一个SVI接口，其作用仅仅是为了满足远程登陆控制，所

以，他的SVI只能属于一个VLAN，这个所属的VLAN就是管理VLAN

而在三层交换机中，所有VLAN均可以创建一个VLAN IF接口，并且，三层交换机本身具备三层转发功能，所以，这个接口在三层交换机中除了可以完成远程登陆控制以外还可以用来承担网关的角色。

创建VLAN IF接口

[sw1]interface Vlanif 2
[sw1-Vlanif2]ip address 192.168.1.1 24

网络的三层架构

接入层

无线的缺陷：

上网用户数量增多，网络卡顿的原因

CSMA/CD --- 载波侦听多路访问/冲突检测

CSMA/CA --- 载波侦听多路访问/冲突避免

无线网络没有使用冲突检测技术的原因

汇聚层

连接两条线路的原因

核心层

VLAN

VLAN配置

第一步：创建VLAN

第二步：将接口划入到VLAN

第三步：配置trunk干道

U/T标记

不同链路的工作过程

ACCESS接口

trunk接口

接口修改权限

第四步：VLAN间路由

SVI

创建VLAN IF接口

相关文章：