通常情况下, 公司对内网的使用远远高于对外网的使用. 公司的内部网络是由二层交换网络构建的, 所以二层网络设计的好坏直接影响公司的正常业务. 好的设计不仅使 功能得到体现, 还可以应对一些未知的隐患, 如线路损坏, 设备损坏等. 下面我们主要对华为的二层设备进行了解, 不过首先要了解的就是二层设备 (交换机) 主要的就是 --VLAN.
一, VLAN 的基本概念
在传统的交换机以太网中, 所有的用户都在同一个广播域中, 当网络规模较大时, 广播包的数量会急剧增加, 当广播包的数量占到总量的 30% 时, 网络的传输的效率会明显的下降, 特别是当某网络设备出现故障时, 也会不停的想网络发送广播, 从而导致广播风暴的产生, 是网络通信陷于瘫痪状态, 那么怎么解决这个问题呢?
我们可以使用分隔广播域的方法来解决这个问题, 分隔广播域有两种方法:
物理分隔: 将网络从物理上划分为若干个小网络, 再使用能隔离广播的路由设备将不同的网络连接起来实现通信;
逻辑分隔, 将网络从逻辑上划分为若干个小的虚拟网络, 即 VLAN.VLAN 工作在数据链路层, 一个 VLAN 就是一个交换网络, 其中的所有用户都在同一个广播域中, 使各 VLAN 通过路由设备连接实现通信;
使用物理分隔会有很多缺点, 它会使局域网的设计缺乏灵活性. 例如: 连接在同一台交换机上的用户只能划分在同一个网络中, 而不能划分在多个不同的网络中.
VLAN 的产生给局域网的设计增加了灵活性, 使得网络管理员在划分工作组时, 不再受限于用户所处的地理位置. VLAN 可以在一个交换机上实现, 也可以跨交换机实现. 它可以根据网络用户的位置, 作用或部门进行划分, 如图:
VLAN 具有灵活性和可扩展性等特点, 使用 VLAN 技术有以下好处:
(1)控制广播:
每个 VLAN 都是一个独立的广播域, 这样就减少了广播对网络带宽的占用, 提高了网络传输效率, 并且每一个 VLAN 出现广播风暴不会影响到其他的 VLAN;
(2)增强网络安全性:
由于只能在同一 VLAN 内的端口之间交换数据, 不同 VLAN 的端口之间不能直接访问, 因此 VLAN 可以限制个别主机访问服务器等资源. 因此, 通过划分 VLAN 可以提高网络的安全性;
(3)简化网络管理:
对于交换式以太网, 如果对某些用户进行网段分配, 需要网络管理员对网络系统的物理结构重新进行调整, 甚至需要追加网络设备, 这样会增大网络管理的工作量. 而对于采用 VLAN 技术的网络来说, 一个 VLAN 可以根据部门职能, 对象组会应用将不同地理位置的用户划分为一个逻辑网段, 在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动. 利用 VLAN 技术, 大大减轻了网络管理和维护工作的负担, 降低了网络维护的费用;
根据 VLAN 使用和管理的不同, VLAN 分为两种:
(1)静态 VLAN
静态 VLAN 也称为基于端口的 VLAN, 是目前最常见的 VLAN 实现方式.
静态 VLAN 即明确指定交换机的端口属于哪个 VLAN, 这需要网络管理员手动配置, 当用户主机连接到交换机端口是, 也就被分配到了相应的 VLAN 中;
(2)动态 VLAN
动态 VLAN 的实现方式有很多种, 目前最普遍的实现方式时基于 Mac 地址的动态 VLAN.
基于 Mac 地址的动态 VLAN 是根据主机的 Mac 地址自动将其分配到相应的 VLNA 中, 这种 VLAN 的划分方式优点: 当用户物理位置移动时, 不会重新分配 VLAN, 缺点: 初始化时所有的用户都必须进行配置, 配置任务非常繁重!
VLAN 的范围, 如图:
还有一些 VLAN 的封装过程, 这里就不详细介绍了!
二, Hybrid 接口的特点
按照 VLAN 接口封装类型, 华为交换机的接口主要有三种模式: Access,Trunk 和 Hybrid. 其中 Access,Trunk 接口和 Cisco 技术并无差异, Hybrid 接口是华为设备特有的接口模式. Hybrid 接口和 Trunk 接口的相同之处是都可以允许多个 VLAN 的流量通过并打标签, 不同之处在于 Hybrid 接口可以允许多个 VLAN 的报文发送时不打标签. 主要介绍华为交换机的 Hybrid 接口!
Hybrid 接口作为华为交换机的特有属性接口, 主要特点有:
华为交换机接口默认为 Hybrid 模式;
既可以实现 Access 接口的功能, 也可以实现 Trunk 接口的功能;
不借助三层设备即可实现跨 VLAN 通信和访问控制;
相对于 Access 接口和 Trunk 接口具有更高的灵活性与可控性;
Hybrid 接口的作用主要体现在:
流量隔离: Hybrid 接口本身拥有强大的访问控制能力, 通过对接口的配置可以隔离来自同一个 VLAN 的流量, 也可以隔离来自不同 VLAN 的流量;
流量互通: Hybrid 接口可以使不同的 VLAN 之间在二层实现通信;
注意: 二层的解决方案永远比三层的解决方案要好, 因为二层的效率要高于三层. 事实上, 所涉及的层次越高, 效率越低!
三, Hybrid 接口的工作原理
Hybrid 接口能够灵活地控制一个接口上数据帧 VLAN 标签的添加和移除. 例如: 在接口对端的设备是交换机的情况下, 可以配置接口允许某一些 VLAN 的数据帧携带 VLAN 标签通过该接口, 而另外一些 VLAN 则不携带 VLAN 的标签发出. 在接口对端设备是主机的情况下, 可以配置发送到这些接口的数据帧不携带任何 VLAN 标签.
Hybrid 接口的工作原理涉及到接口的三个属性, 分别是:
untag 列表: 只在接口发送数据帧时起作用, 如果需要发送的数据的 VLAN 标签在接口的 untag 列表中, 那么将去除标签发送数据;
tag 列表: 作用与接收被标记的数据帧和发送数据帧. 其作用类似于一个允许的 VLAN 标识列表. 当接口接收到带有 VLAN 标签的数据帧时, 该接口的 tag 列表相当于 VLAN 的允许列表, 不在列表中的数据帧将被丢弃; 当接口发送数据时, 数据的 VLAN 标签在接口的 tag 列表中. 将保持标签发送数据帧, 否则将丢弃数据帧.
PVID: 接口默认的 PVID 为 VLAN1,PVID 只在接收未标记的帧时才起作用. PVID 用于在接收未标记数据帧时会给数据帧打上当前的 PVID 标识;
从功能特性上来说, Hybrid 接口中的 untag 列表和 PVID 用于实现 Access 特性, 而 tag 列表用于实现 Trunk 特性. 但又不仅仅是这样, 因为 Hybrid 接口相比于 Access 接口和 Trunk 接口可以更加灵活, 适用于各种场景.
(1)根据 PVID 封装 802.1Q
在网络通过 VLAN 隔离的情况下, 可以将流量分为两种类型:
一种是标记流量, 即通过 802.1Q 打了标签的数据帧;
另一种是未标记流量, 也就是原始的以太网帧.
PVID 工作原理: 通常情况下由终端设备发送和接收的流量为未标记流量. 当交换机接收到一个标记流量时, 将通过其 802.1Q 标签来识别其 VLAN ID, 但是当交换机接收到一个未标记的流量时, 将根据接口 PVID 对流量进行 802.1Q 封装.
在华为设备中, 各种类型的接口都有默认的 PVID, 如图:
任何进入交换机的流量都应该被标记. 如果进入交换机的流量携带 VLAN 标签, 那么它本身是就可以标识 VLAN 信息的, 如果进入交换机的流量未被标记, 经将通过接口的 PVID 进行标记, 而标记的目的则是为了后续转发时使用!
PVID 标记进入交换机的数据帧的示意图如下:
(2)根据 untag 列表和 tag 列表进行转发
交换机的 Hybrid 接口基于 untag 列表和 tag 列表接收或发送数据, 其工作原理如下:
每个 Hybrid 接口默认都有一个 untag 列表, 其中包含一个或多个 VLAN 编号, 默认值为 VLAN1;
每个接口都有一个 tag 列表, 默认值为空, 也可以设置包含一个或多个 VLAN 编号;
Hybrid 接口收到数据帧后, 首先检查该数据帧是否携带标签, 如果携带标签, 则检查本接口的 tag 列表. 若 tag 列表中存在数据帧封装的 VLAN ID, 则接收, 否则将丢弃; 如果不携带标签, 那么根据 Hybrid 接口的 PVID 进行标记;
Hybrid 接口发送数据帧之前, 检查本接口的 untag 和 tag 列表, 若数据帧封装的 VLAN ID 存在于 untag 列表中, 则去掉 802.1Q 封装发送原始数据帧; 若存在于 tag 列表中, 则保留 802.1Q 封装并发送带标签的数据帧; 若两个列表中均无数据帧的 VLAN ID, 则不发送;
数据发送时 untag 列表的作用, 如图:
数据发送时 tag 列表的作用, 如图:
Hybrid 接口发送数据帧的基本原则, 其对应的处理流程图如下:
Hybrid 接口和 Trunk 接口都可以给不同的 VLAN 打标签, 也可以传输多个 VLAN 的流量; 但是 Hybrid 接口可以允许多个不同 VLAN 的报文发送时不打标签, 而 Trunk 接口只允许默认 VLAN 的报文发送时不打标签.
三种类型的接口可以共存在一台以太网交换机上, 但 Trunk 接口和 Hybrid 接口之间不能直接切换, 指能先设为 Access 接口, 再设置为其他类型的接口.
四, Hybrid 接口的应用场景
Hybrid 接口基于三个属性收发数据, 在了解其工作原理的基础上, 分析其工作过程. 通过对 Hybrid 接口的配置, 实现如下需求:
PC1 和 PC2 之间可以相互访问, 且只能访问 PC4;
PC3 不能与 PC1 和 PC2 之间不可以相互通信, 只能访问 PC5;
实验图, 如下:
看到实验需求, 实验拓补图, 应首先规划好 untag 列表中, tag 列表中应该添加哪些 VLAN 信息来实现功能!
如果对 PVID,untag 列表, tag 列表的工作明白的情况下, 关于 untag 列表与 tag 列表中填写哪些 VLAN, 可以自行添加, 这是其中一种方法.
注意: 通常情况下, 接口默认的 PVID 为 1, 默认 untag 列表中包含 VLAN1. 如果额外给接口设置 PVID 编号, 那么一定要同时将编号放到 tag 列表或者 untag 列表中, 否则将不能通信.
(1)Hybrid 的配置
1. 配置终端设备的 IP 地址
略!
2. 在交换机 S1, 交换机 S2 上分别创建 VLAN2,VLAN3 和 VLAN10
- [S1]vlan batch 2 3 10
- [S2]vlan batch 2 3 10
3. 在交换机 S1 和 S2 上配置 Hybrid 接口
S1 交换机的配置如下:
- [S1]int g0/0/2
- [S1-GigabitEthernet0/0/2]port link-type hybrid
- // 配置接口模式为 Hybrid(默认就是 Hybrid 接口)
- [S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
- // 配置接口的 PVID 为 1(默认也是)
- [S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
- // 将 VLAN1,VLAN2 加入 untag 列表
- [S1-GigabitEthernet0/0/2]int g0/0/3
- [S1-GigabitEthernet0/0/3]port link-type hybrid
- [S1-GigabitEthernet0/0/3]port hybrid pvid vlan 1
- [S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2
- [S1-GigabitEthernet0/0/3]int g0/0/4
- [S1-GigabitEthernet0/0/4]port link-type hybrid
- [S1-GigabitEthernet0/0/4]port hybrid pvid vlan 10
- [S1-GigabitEthernet0/0/4]port hybrid untagged vlan 3 10
- [S1-GigabitEthernet0/0/4]int g0/0/1
- [S1-GigabitEthernet0/0/1]port link-type hybrid
- [S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1
- [S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
- [S1-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
- // 将 VLAN3,VLAN10 添加到 tag 列表中
S2 交换机的配置如下:
- [S2-GigabitEthernet0/0/3]int g0/0/1
- [S2-GigabitEthernet0/0/1]port link-type hybrid
- [S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
- [S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
- [S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
- [S2]int g0/0/2
- [S2-GigabitEthernet0/0/2]port link-type hybrid
- [S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
- [S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
- [S2-GigabitEthernet0/0/2]int g0/0/3
- [S2-GigabitEthernet0/0/3]port link-type hybrid
- [S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
- [S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
4. 验证网络通信
PC1 的测试如下:
PC3 的测试如下:
实验需求已经满足!
还有好多方法可以实现这样的需求, 比如:
第一种:
按照图中方法自行配置即可!
第二种:
按照图中自行配置亦可! 不过是对于交换机之间接口没有特殊要求的情况下!
来源: http://blog.51cto.com/14157628/2443392