VLAN技术原理
?
?
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
VLAN 是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟的局域网,VLAN
做大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备了一个物理
网段所具备的特性。相同 VLAN 内的主机可以相互直接通信,不同 VLAN 间的主
机之间互相访问必须经路由设备进行转发,广播数据包只可以在本 VLAN 内进行
广播,不能传输到其他 VLAN 中。
Port VLAN 是实现 VLAN 的方式之一,它利用交换机的端口进行 VALN 的划分,
一个端口只能属于一个 VLAN。
Tag VLAN 是基于交换机端口的另一种类型,主要用于是交换机的相同 Vlan 内的
主机之间可以直接访问,同时对不同 Vlan 的主机进行隔离。Tag VLAN 遵循
IEEE802.1Q 协议的标准,在使用配置了 Tag VLAN 的端口进行数据传输时,需要
在数据帧内添加 4 个字节的 8021.Q 标签信息,用于标示该数据帧属于哪个 VLAN,
便于对端交换机接收到数据帧后进行准确的过滤。
CCNA路由器交换机
交换机的命令行操作模式
用户模式 Switch>
特权模式 Switch# ? 进入特权模式(en)
全局配置模式 Switch(config)# ? 进入全局配置模式(conf t)
端口模式 Switch(config-if)# ? ?进入交换机端口视图模式(int f0/1)?
返回到上级模式(exit)
从全局以下模式返回到特权模式(end)
帮助信息(如? 、co?、copy?)
命令简写(如 conf t)
命令自动补全(Tab)
快捷键(ctrl+c 中断测试,ctrl+z 退回到特权视图)
reload 重启。(在特权模式下)
修改交换机名称(hostname X)
配置交换机端口参数(speed,duplex)
查看交换机版本信息(show version)
查看当前生效的配置信息(show run)
注意:
每当 CISCO 命令行中打错了命令 总会显示Translating "*******"...domain server (255.255.255.255)
而且要停上好几秒,比较烦人。这是由于,IOS把这条命令当成一个机器名字来解析。所以要停上好几秒钟。
"router(config)#no ip domain-lookup"可以取消这个服务,每当打错命令的时候直接返回错误...?
思科模拟器
远程登录配置
en
conf t
inter vlan 1(默认交换机的所有端口都在 VLAN1 中)
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
enable password 123456 enable使密码生效(在特权模式下生效的密码就是进入特权模式的密码)
line vty 0 4 #line vty 0 4 是指进入Line 模式对vty 0~4线路进行配置 (同时允许0-4五个虚拟终端进行配置)
password jaking(对远程登录密码进行配置)
login 使上面的配置生效
end
交换机划分VLAN配置
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
Tag VLAN 是基于交换机端口的另一种类型,主要用于是交换机的相同 Vlan 内的
主机之间可以直接访问,同时对不同 Vlan 的主机进行隔离。Tag VLAN 遵循
IEEE802.1Q 协议的标准,在使用配置了 Tag VLAN 的端口进行数据传输时,需要
在数据帧内添加 4 个字节的 8021.Q 标签信息,用于标示该数据帧属于哪个 VLAN,
便于对端交换机接收到数据帧后进行准确的过滤。
Trunk功能用于交换机之间的级联,为交换机之间的数据交换提供高带宽的数据传输能力,提高网络速度,突破网络瓶颈,进而大幅提高网络性能(主要应用)
两台交换机之间需要配置trunk才能实现不同交换机下的同一个vlan互相访问。
trunk的封装协议:02.1q
C1
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC3
IP: 192.168.1.4
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC4
IP: 192.168.1.5
Submark: 255.255.255.0
Gateway: 192.168.1.1
Switch1
en
conf t
vlan 2
exit
vlan 3
exit
inter fa 0/1
switch access vlan 2
exit
inter fa 0/2
switch access vlan 3
exit
inter fa 0/24
switch mode trunk
end
show vlan
Switch2
en
conf t
vlan 2
exit
vlan 3
exit
int fa 0/1
switch access vlan 2
exit
int fa 0/2
switch access vlan 3
exit
int fa 0/24
switch mode trunk
end
show vlan
PC1 ping PC2 timeout
PC1 ping PC3 Reply?
利用三层交换机实现VLAN间路由
原理:利用三层交换机的路由功能,通过识别数据包的 IP 地址,查找路由表进行选路转发,三层交换机利用直连路由可以实现不同 VLAN 之间的相互访问。三层交换机给接口配置 IP 地址。采用 SVI(交换虚拟接口)的方式实现 VLAN 间互连。SVI 是指为交换机中的VLAN 创建虚拟接口,并且配置 IP 地址
ip routing 启用IP路由功能?
no ip routing 关闭IP路由功能
二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机
三层交换技术就是:二层交换技术+三层转发技术。三层交换机就是具有部分路由器功能的交换机。
三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。
int fa 0/1
switchport trunk encapsulation dot1q ?#将0/1端口封装成dot1q协议 ?声明此交换机端口中继链路封装协议是802.11q
switchport mode trunk?? ??? ?设置trunk模式(因为是两台交换机之间)强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk 接口。
数据帧上trunk才打tag,下trunk摘掉tag
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submark: 255.255.255.0
Gateway: 192.168.2.1
PC3
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
S2960
en
conf t
vlan 2
exit
vlan 3
exit
int fa 0/2
switchport access vlan 2
int fa 0/3
switchport access vlan 3
int fa 0/1
switchport mode trunk
end
show vlan
S3560
en
conf t
vlan 2
exit
vlan 3
exit
int fa 0/1
switchport trunk encapsulation dot1q #将0/1端口封装成dot1q协议
switchport mode trunk
exit
int fa 0/2
switchport access vlan 2
exit
interface vlan 2
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface vlan 3
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
ip routing
exit
show ip route
show vlan
PC3 Ping PC1
Ping 192.168.1.2
PC3 Ping PC2
Ping 192.168.2.2
快速生成树配置
生成树协议(spanning-tree),作用是在交换网络中提供冗余备份链路,并且解决交换网络中的环路问题;
生成树协议是利用 SPA 算法,在存在交换机环路的网络中生成一个没有环路的属性网络,运用该算法将交换网络的冗余备份链路从逻辑上断开,当主链路出现故障时,能够自动的切换到备份链路,保证数据的正常转发。
生成树协议版本:STP、RSTP(快速生成树协议)、MSTP(多生成树协议)。
生成树协议的特点收敛时间长。从主要链路出现故障到切换至备份链路需要 50 秒
时间。
快速生成树在生成树协议的基础上增加了两种端口角色,替换端口或备份端口,分别作为根端口和指定端口。当根端口或指定端口出现故障时,冗余端口不需要经过50 秒的收敛时间,可以直接切换到替换端口或备份端口,从而实现 RSTP 协议小
于 1 秒的快速收敛
int range fa 0/1 - 2 #同时打开1号和2号端口,记得加range参数 ?对0/1 0/2进行配置
switchport mode trunk #变成trunk模式,让多个vlan可以通讯
exit
spanning-tree mode rapid-pvst ?#定义为生成树协议
spanning-tree mode rapid-pvst ? 把交换机的生成树模式由默认的STP改成RSTP(快速生成树)协议
spanning-tree portfast bpduguard default?? ?将交换机的接口启动portfast
这样可以使不连交换机类的接口快速转发,但是又为了防止你在该接口接了交换机类导致环路的设备,还需要开启bpduguard,这样就可以忽略从该接口上收到的BPDU。
PVST:Per-VLAN Spanning Tree(每2113VLAN生成树5261),是解决在虚拟局4102域网上处理生成树的CISCO特有解决方案
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submask: 255.255.255.0
Gateway: 192.168.1.1
S1
en
show spanning-tree
conf t
hostname S1
vlan 10
exit
int fa 0/10
switchport access vlan 10
exit
int range fa 0/1-2 #同时打开1号和2号端口,记得加range参数
switchport mode trunk #变成trunk模式,让多个vlan可以通讯
exit
spanning-tree mode rapid-pvst #定义为生成树协议
end
S2
en
conf t
hostname S2
vlan 10
exit
int fa 0/10
switchport access vlan 10
exit
int range fa 0/1 - 2 #同时打开1号和2号端口,记得加range参数
switchport mode trunk #变成trunk模式,让多个vlan可以通讯
exit
spanning-tree mode rapid-pvst #定义为生成树协议
end
show spanning-tree
PC1
ipconfig
ping -t 192.168.1.3
S2
en
conf t
int fa 0/1
shut
no shut
路由器的基本配置
路由器的管理方式基本分为两种:带内管理和带外管理。通过路由器的 Console
口管理路由器属于带外管理,不占用路由器的网络接口,其特点是需要使用配置线
缆,近距离配置。第一次配置时必须利用 Console 端口进行配置
交叉线:路由器与计算机相连 路由器与交换机相连
直连线:计算机与交换机相连
enable secret 123456 #设置特权密码
exit
en
password:此时输入密码,输入的密码不显示
conf t
line vty 0 4
password jaking #设置 telnet 密码
login #允许登录
exit
interface fa 0/0
ip address 192.168.1.1 255.255.255.0路由器单臂路由配置
单臂路由:是为实现 VLAN 间通信的三层网络设备路由器,它只需要一个以太网,通
过创建子接口可以承担所有 VLAN 的网关,而在不同的 VLAN 间转发数据。
interface fast 0/0.1
encapsulation dot1q 2 #将以太网子接口0/0.1划分到vlan 2,并且封装格式为802.1q
ip address 192.168.1.1 255.255.255.0
int fa 0/0.2
encapsulation dot1q 3 #将以太网子接口0/0.2划分到vlan 3,并且封装格式为802.1q
ip address 192.168.2.1 255.255.255.0
int fa 0/1
switchport mode trunk当交换机设置两个 Vlan 时,逻辑上已经成为两个网络,广播被隔离了。两个 Vlan 的网络要通信,必须通过路由器,如果接入路由器的一个物理端口,则必须有两个子接口分别与两个 Vlan 对应,同时还要求与路由器相连得交换机的端口 fa 0/1 要设置为 trunk,因为这个接口要通过两个 Vlan 的数据包。
?
?
路由器静态路由配置
路由器属于网络层设备,能够根据 IP 包头的信息,选择一条最佳路径,将数据包转发出去。实现不同网段的主机之间的互相访问。路由器是根据路由表进行选路和转发的。而路由表里就是由一条条路由信息组成。
生成路由表主要有两种方法:手工配置和动态配置,即静态路由协议配置和动态路由协议配置。
静态路由是指由网络管理员手工配置的路由信息。
静态路由除了具有简单、高效、可靠的优点外,它的另一个好处是网络安全保密性高。
缺省路由可以看做是静态路由的一种特殊情况。当数据在查找路由表时,没有找到和目标相匹配的路由表项时,为数据指定路由
int serial 2/0
no shut
ip address 192.168.3.1 255.255.255.0
clock rate 64000 #必须配置时钟速率才可通信,单位为bps,bps比特率是指每秒传送的比特(bit)数。单位为 bps(Bit Per Second),比特率越高,每秒传送数据就越多。
R1
en
conf t
ip route 192.168.2.0 255.255.255.0 192.168.3.2配置默认路由
ip route 0.0.0.0 0.0.0.0
ip route-static 0.0.0.0 0.0.0.0
配置默认路由
ip route 目标网段+掩码 下一跳
ip route-static 目标网段+掩码 下一跳
路由器rip动态路由器
RIP(Routing Information Protocols, 路由信息协议)是应用较早、使用较普遍的 IGP内部网关协议,使用于小型同类网络,是距离矢量协议;
RIP 协议跳数作为衡量路径开销的,RIP 协议里规定最大跳数为 15;
RIP 协议有两个版本:RIPv1 和 RIPv2,RIPv1 属于有类路由协议,不支持 VLSM,以广播形式进行路由信息的更新,更新周期为 30 秒;RIPv2 属于无类路由协议,支持 VLSM,以组播形式进行路由更新。
VLSM(可变长子网掩码) 是为了有效的使用无类别域间路由(CIDR)和路由汇聚(route summary)来控制路由表的大小,它是网络管理员常用的IP寻址技术,VLSM就是其中的常用方式,可以对子网进行层次化编址,以便最有效的利用现有的地址空间。
DCE是data communicate equipment的意思,即数据通信设备,配置时钟时用DCE端。
DTE是data terminal equipment的意思,即数据终端设备。
下一跳:路由的下一个点。如果路由器没有直接连接到目的网络,它会有一个提供下一跳路由的邻居路由器,用来传递数据到目的地。
管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低,依次分配一个信任等级,这个信任等级就叫管理距离。思科路由器RIP(v1&v2)默认为120
?
conf t
router rip #进入rip协议配置
network 192.168.1.0 #发布直连路由
network 192.168.3.0 #发布直连路由
version 2 #指定RIP协议版本为RIPV2
end直连路由:路由器接口所连接的子网的路由方式称为直连路由;非直连路由:通过路由协议从别的路由器学到的路由称为非直连路由
默认,RIP使用简单的度量:通往目的站点所需经过的链路数。取值为1~15,数值16表示无穷大。
使用UDP的520端口发送和接收RIP分组。
RIP 每隔30秒以广播形式发送一次路由信息,在邻居之间互传。
防止广播风暴:后续分组做随机延时后发送。
如果一个路由在180s内未被更新,相应的距离设置为无穷大:16,并从路由表中删除该表项。
RIP分组分为:
请求分组
响应分组
路由器OSPF动态路由配置
?
技术原理
?OSPF(Open Shortest Path First) 开放式最短路径优先协议,是目前网路中应用最广泛的路由协议之一。属于内部网关路由协议,能够适应各种规模的网络环境,是典型的链路状态协议。OSPF路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库,然后路由器采用 SPF 算法,以自己为根,计算到达其他网络的最短路径,最终形成全网路由信息。
OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。 链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
基本概念和术语
链路状态
OSPF路由器收集其所在网络区域上各路由器的连接状态信息,即链路状态信息(Link-State),生成链路状态数据库(Link-State Database)。路由器掌握了该区域上所有路由器的链路状态信息,也就等于了解了整个网络的拓扑状况。OSPF路由器利用“最短路径优先算法(Shortest Path First, SPF)”,独立地计算出到达任意目的地的路由。
区域
OSPF协议引入“分层路由”的概念,将网络分割成一个“主干”连接的一组相互独立的部分,这些相互独立的部分被称为“区域”(Area),“主干”的部分称为“主干区域”。每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大。
共有五种区域的主要区别在于它们和外部路由器间的关系:
标准区域: 一个标准区域可以接收链路更新信息和路由总结。
主干区域(传递区域):主干区域是连接各个区域的中心实体。主干区域始终是“区域0”,所有其他的区域都要连接到这个区域上交换路由信息。主干区域拥有标准区域的所有性质。(根区域)
存根区域(stub Area):存根区域是不接受自治系统以外的路由信息的区域。如果需要自治系统以外的路由,它使用默认路由0.0.0.0。
完全存根区域:它不接受外部自治系统的路由以及自治系统内其他区域的路由总结。需要发送到区域外的报文则使用默认路由:0.0.0.0。完全存根区域是Cisco自己定义的。?
不完全存根区域(NSAA): 它类似于存根区域,但是允许接收以LSA Type 7发送的外部路由信息,并且要把LSA Type 7转换成LSA Type 5。
度量值cost(链路开销)
OSPF的度量值cost(链路开销)它是根据链路带宽算出来的。基本上是和链路带宽成反比。也就是说带宽越大,开销值越小,链路越优。计算公式为:
接口开销=参考带宽/逻辑带宽 (逻辑带宽通常配置和物理接口带宽相同)
OSPF先将链路每段的开销分别计算,然后计算从当前节点到达任意目标地址的网络开销,即多段链路累加。选出到达目标网络开销最小的路径,为最佳路径。
ospf接口开销有默认的参考值,即接口带宽默认为100Mbps,如果实际带宽值为10M,那么该接口的cost=100/10=10,如果该接口实际带宽为100Mpbs那么接口开销为cost=100/100=1 。但现在的网络已经进入1000M时代,就会出现100M和1000M的带宽在ospf中得到的开销相同都是1。所以如果实际应用中如果接口带宽值较高时应该重新配置端口的参考带宽值。
O192.168.4.0/24 [110/65] via 192.168.3.2, 00:01:00, Vlan20
O 路由协议代码:O表示OSPF,R代表RIP,S代表静态,使用show命令的时候,在最上方有说明。
192.168.4.0/24 分别是目标网络和目标网络的掩码
[110/65] 分别表示管理距离和度量值。
?
管理距离是用来比较不同路由协议的优劣的,如这台路由器同时启用了RIP和OSPF两种动态路由协议,都会得出到达192.168.4.0/24的网络路径,但是那种路由协议的结果会被记录到路由表中呢?就是通过管理距离比较算法的优劣。管理距离的值越小,路由器认为该协议的算法越好,计算结果越准确,优先采用该协议的结果。
常见路由协议的管理距离有:
直连路由 0
静态路由 1
EIGRP汇总路由 5
EBGP 20
EIGRP 90
IGRP 100
OSPF 110
IS-IS 115
RIP(v1&v2) 120
EGP 140
ODR 160
ExEIGRP (外部EIGRP) 170
IBGP 200
未知 255
度量值是用来衡量同一种路由协议计算到达相同目标地址的多条路径的优劣的参数。度量值最小的会被记录到路由表。比如:OSPF计算到达192.168.4.0/24网络有三条路径开销值分别是:145 ,230 和99,比较后发现99的这条路径度量值最小,会被认为是最佳路径,加入到路由表。常用来作为度量值的参考因素有:
跳数、带宽、延迟、可靠性、负载、MTU等。
不同的路由协议用来作为度量值的参数是不同的,有的是一种,有的是多种。如RIP使用跳数做度量值,EIGRP默认使用带宽和延迟两种,最多可以使用五种。OSPF使用cost(开销)作为度量值,cost和端口的带宽相关,基本上是和端口带宽成反比,即端口带宽越大,开销越小,链路越优。
via 192.168.3.2 表示下一跳地址。即到达192.168.4.0网络首先要到达192.168.3.2才可以。另外via也可以理解为:更新源,即该路由消息是来自于谁。
00:01:00 该消息的更新时间。
Vlan20 出接口,表示到达目标网络应该从自己的那个接口将数据发出。
路由表的五要素:
目标地址 目标网络掩码 优先级(度量值和管理距离) 下一跳地址 出接口
conf t
router ospf 1 #指定ospf的进程号为1
network 192.168.1.0 0.0.0.255 area 0 #宣告192.168.1.0网段反掩码为0.0.0.255 区域为骨干区域area 0
network 192.168.3.0 0.0.0.255 area 0
end
?网络地址转换NAT配置
网络地址转换 NAT(Network Address Translation),被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 IP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。默认情况下,内部 IP 地址是无法被路由到外网的,内部主机 10.1.1.1 要与外部 Internet通信,IP 包到达 NAT 路由器时,IP 包头的源地址 10.1.1.1 被替换成一个合法的外网 IP,并在 NAT 转发表中保存这条记录。当外部主机发送一个应答到内网时,NAT 路由器收到后,查看当前 NAT 转换表,用 10.1.1.1 替换掉这个外网地址。NAT 将网络划分为内部网络和外部网络两部分,局域网主机利用 NAT 访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的 IP 地址)后转发数据包;
NAT 分为两种类型:NAT(网络地址转换)和 NAPT(网络端口地址转换 IP 地址对应一个全局地址)。
静态 NAT:实现内部地址与外部地址一对一的映射。现实中,一般都用于服务器;
动态 NAT:定义一个地址池,自动映射,也是一对一的。现实中,用得比较少;
NAPT:使用不同的端口来映射多个内网 IP 地址到一个指定的外网 IP 地址,多对一。
R1
int fa 0/0
ip nat inside
int s 2/0
ip nat outside
exit
ip nat inside source static 192.168.1.2 222.0.1.3
end
show ip nat translations
?
网络端口地址转换NAPT配置
NAT 将网络划分为内部网络和外部网络两部分,局域网主机利用 NAT 访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的 IP 地址)后转发数据包;
NAT 分为两种类型:NAT(网络地址转换)和 NAPT(网络端口地址转换 IP 地址对应一个全局地址)。
NAPT:使用不同的端口来映射多个内网 IP 地址到一个指定的外网 IP 地址,多对一。
NAPT 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问,从而可以最大限度地节约 IP 地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自 Internet 的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
ISP(Internet Service Provider),互联网服务提供商,即向广大用户综合提供互联网接入业务、信息业务和增值业务的电信运营商。ISP是经国家主管部门批准的正式运营企业,享受国家法律保护。
exit
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool jaking 200.1.1.3 200.1.1.3 netmask 255.255.255.0 #设置名称为jaking的地址池,起始和终止IP都是200.1.1.3
ip nat inside source list 1 pool jaking overload (无 overload 表示多对多,有 overload 表示多对一)
end
?
