07华为路由交换精英培训之VLAN

华为路由交换精英培训之VLAN美河学习在线前言I.VLAN（虚拟局域网）是VirtualLocalAreaNetwork的简称。II.VLAN是将一个物理的LAN在逻辑上划分成多个广播域的通信技术，不同VLAN间不能够直接通信。III.VLAN即能限制广播网络，又可增强局域网的安全性，还提高了网络的健壮性。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential3培训目标VLAN基本原理VLAN配置命令VLAN排错能力VLAN综合运用能力增强应试能力HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential4VLAN原理描述VLAN配置命令VLAN故障诊断VLAN案例分析VLAN备考建议目录原理命令案例排障建议HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential5VLAN原理描述VLAN原理描述VLAN基本概念VLAN通信原理VLANAggregationMUXVLANVLAN配置命令VLAN故障诊断VLAN案例分析VLAN备考建议原理命令案例排障建议HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential6VLAN基本概念—概述原理命令案例排障建议VLAN将一个物理的LAN在逻辑上划分成多个广播域的通信技术将广播报文限制在一个VLAN内S1S2PC1PC2PC3PC4VLAN2VLAN3HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential712bitsVLAN基本概念—VLAN帧格式原理命令案例排障建议VLANTag标识所属VLAN遵循IEEE802.1Q标准支持802.1Q协议的交换机既可以发送有标记帧，也可以发送无标记帧交换机内部的数据包一律携带TagDestinationAddressSourceAddress802.1QTagLength/TypeDataFCSTPIDPRICFIVID6bytes6bytes4bytes2bytes46-1500bytes4bytes2bytes1bits3bitsHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential8VLAN基本概念—链路类型原理命令案例排障建议VLAN包含两种链路类型接入链路（AccessLink）•连接用户主机和交换机的链路，该链路传输的帧一般为无标记帧干道链路（TrunkLink）•连接交换机与交换机或交换机与路由器之间的链路，该链路传输的帧一般为有标记帧S1S3PC2VLAN2S2PC1VLAN2PC4VLAN3VLAN3PC3TrunklinkTrunklink32AccesslinkAccesslinkHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential9VLAN基本概念—端口类型原理命令案例排障建议端口类型用于识别VLAN帧，每种端口类型均可配置一个缺省VLANAccess端口•交换机上用来连接用户主机的端口Trunk端口•交换机上用来和其他交换机连接的端口Hybrid端口•交换机上既可以连接用户主机，又可以连接其他交换机的端口S1S2S2PC1PC2TrunklinkAccesslinkAccess端口Hybrid端口Trunk端口HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential10VLAN基本概念—VLAN划分原理命令案例排障建议VLAN划分方式原理优点缺点基于端口根据交换设备的端口编号来划分VLAN。为交换机的每个端口配置不同PVID，即一个端口缺省属于的VLAN。定义成员简单。成员移动需要重新配置VLAN。基于MAC地址根据PC网卡的MAC地址来划VLAN。配置MAC地址和VLANID映射关系表。PC移动位置可以变更。PC网卡不能轻易变更，且VLAN成员需预先定义。基于子网根据报文中的IP地址信息来划VLAN。减轻配置任务，利于管理。需要提前做好地址规划。基于协议根据接口接收到的报文所属的协议（族）类型及封装格式来划分VLAN。配置以太网帧中的协议域和VLANID的映射关系表。方便管理和维护。需要对所有网络类型与VLANID进行映射。基于匹配策略基于MAC地址、IP地址、接口组合策略划分VLAN。在交换机上配置终端的MAC地址和IP地址，并于VLAN关联。安全性非常高。每条策略均需手工配置。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential11原理命令案例排障建议VLAN划分匹配优先级基于匹配策略基于MAC地址和基于子网基于协议基于端口基于MAC地址和基于子网拥有相同的优先级•可以通过命令改变基于MAC地址划分VLAN和基于子网划分VLAN的优先级，从而决定优先划分VLAN的方式基于端口的优先级最低，但是最常用的VLAN划分方式。基于匹配策略的优先级最高，但是最不常用的VLAN划分方式。VLAN基本概念—VLAN划分匹配优先级HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential12VLAN通信原理—VLAN基本通信原理原理命令案例排障建议端口类型接收不带Tag报文接收带Tag报文发送帧处理过程Access端口接收该报文，并打上缺省VLAN的Tag。当VLANID与缺省VLANID相同时，接收该报文。当VLANID与缺省VLANID不同时，丢弃该报文。先剥离帧的PVIDTag，然后再发送。Trunk端口打上缺省的VLANID，当缺省VLANID在允许通过的VLANID列表里时，接收该报文。当VLANID在接口允许通过的VLANID列表里时，接收该报文。当VLANID不在接口允许通过的VLANID列表里时，丢弃该报文。当VLANID与缺省VLANID相同，且是该接口允许通过的VLANID时，去掉Tag，发送该报文。当VLANID与缺省VLANID不同，且是该接口允许通过的VLANID时，保持原有Tag，发送该报文。Hybrid端口当VLANID是该接口允许通过的VLANID时，发送该报文。可以通过命令设置发送时是否携带Tag。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential13VLAN通信原理—VLAN内跨设备通信原理命令案例排障建议Trunklink实现相同VLAN内跨设备通信中继作用，把VLAN报文透传到互联的交换机干线作用，一条TrunkLink上可以传输多个VLAN的报文。S2PC1PC2VLAN2TrunklinkS1VLAN3Port4Port2Port1Port3HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential14VLAN通信原理—VLAN间通信原理（1）原理命令案例排障建议VLAN间通信原理默认情况下，不同VLAN之间不能直接通信可以通过子接口实现不同VLAN相互通信S1S2PC1PC2VLAN2VLAN3AccessportTrunklinksubinterfaceHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential15VLAN通信原理—VLAN间通信原理（2）原理命令案例排障建议VLAN间通信原理可以通过VLANIF接口实现不同VLAN相互通信•三层交换机通过路由表传输第一个数据流后，会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时，直接使用二层转发S1PC1PC2VLAN2VLAN3VLANIF2VLANIF3HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential16VLANAggregation—基本概念原理命令案例排障建议VLANAggregation使处于相同子网的VLAN实现广播隔离Super-VLAN，只建立三层接口，不包含物理端口，是若干Sub-VLAN的集合Sub-VLAN，只包含物理端口，不能创建三层接口，用于隔离广播域的VLAN，通过Super-VLAN与外部实现三层交换S1PC1IP1.1.1.10/24SuperVLAN10VLANIF10：1.1.1.1/24SubVLAN2PC2IP1.1.1.20/24SubVLAN3PC3IP1.1.1.30/24SubVLAN4HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential17VLANAggregation—通信原理（1）原理命令案例排障建议Sub-VLAN间三层通信使能Sub-VLAN间的ARPProxy功能，实现Sub-VLAN间互通S1PC1IP1.1.1.10/24SuperVLAN10VLANIF10：1.1.1.1/24SubVLAN2PC2IP1.1.1.20/24SubVLAN3HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential18VLANAggregation—通信原理（2）原理命令案例排障建议Sub-VLAN与外部网络的二层通信基于端口的VLAN二层通信中，无论是数据帧进入接口还是从接口发出都不会有针对Super-VLAN的报文S2PC1IP1.1.1.10/24SuperVLAN10VLANIF10：1.1.1.1/24SubVLAN2PC2IP1.1.1.20/24SubVLAN3S1TrunklinkallowallPort1Port3Port3Port2HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential19VLANAggregation—通信原理（3）原理命令案例排障建议Sub-VLAN与外部网络的三层通信S2PC1IP1.1.1.2/24SuperVLAN4VLANIF4：1.1.1.1/24SubVLAN2PC2IP1.1.1.3/24SubVLAN3S1Port1Port3Port3Port2PC1IP1.1.3.2/24VLAN20Port2VLANIF10：1.1.2.1/24VLANIF10：1.1.2.2/24VLANIF20：1.1.3.1/24HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential20原理命令案例排障建议VLANMUX提供了一种通过VLAN进行网络资源控制的机制。分为PrincipalVLAN和SubordinateVLAN，SubordinateVLAN又分为SeparateVLAN和GroupVLANVLANMUXS1企业员工企业客户GroupVLAN2SeparateVLAN3企业员工企业客户PrincipalVLAN4企业服务器GroupportSeparateportPrincipalportHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential21VLAN配置命令VLAN原理描述VLAN配置命令基于端口划分VLAN基于MAC地址划分VLAN基于子网划分VLAN基于协议划分VLAN配置VLAN间通信配置VLANAggregation配置MUXVLANVLAN故障诊断VLAN案例分析VLAN备考建议原理命令案例排障建议HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential22基于端口划分VLAN原理命令案例排障建议公司A网络拓扑如下所示，现根据需求完成如下配置：根据拓扑，请基于端口划分VLAN，且S1的E0/0/1端口必须为Hybrid端口；仅允许相关VLAN通过trunk链路。S1VLAN2PC11.1.1.1/24PC21.1.2.1/24VLAN3S2PC41.1.2.