---

一、交换基础

随着企业网络的发展 越来越多的用户需要接入到网络 交换机提供的大量的接入端口能够很好地满足这种需求
同时 交换机也彻底解决了困扰早期以太网的冲突问题
极大地提升了以太网的性能，同时也提高了以太网的安全性
交换机工作在数据链路层 对数据帧进行操作 在收到数据帧后
交换机会根据数据帧的头部信息对数据帧进行转发

交换机工作在数据链路层 转发数据帧
不关心IP 只注意MAC
要求配置在同一网段 发送ARP请求报文才能接收到

路由器-检查路由表-路由表中没有就丢包
交换机-检查MAC表-MAC表没有就泛洪 不会丢包

路由表中-记录永远存在
MAC表中-每条记录保存300s
查看老化时间：dis mac-address aging-time 默认300s

二、VLAN背景

随着网络中计算机的数量越来越多 传统的以太网面临广播泛滥以及安全性无法保障等问题
VLAN(Virtual Local Area Network) 即虚拟局域网 是将一个物理的局域网在逻辑上划分成多个广播域的技术
通过交换机上配置VLAN 可以实现在同一个VLAN内的用户可以进行二层互访
而不同VLAN间的用户被二层隔离 这样既能够隔离广播域 又能够提升网络的安全性

交换机起始配置有VLAN1
放在不同VLAN就是放在不同的广播域
VLAN是二层技术！数据链路层！
不同VLAN是不同网段

多个交换机间也可以划分VLAN

三、VLAN优点

有效控制广播域范围
增强局域网安全性
灵活构建虚拟工作组
简化网络管理

四、VLAN Virtual LAN 虚拟局域网概述

将一个物理局域网在逻辑上划分成多个广播域

1 VLAN = 1 广播域 = 1 子网
子网是三层概念 VLAN是二层概念

广播不会在VLAN之间转发 而是被限制在各自的VLAN中
如果要泛洪是基于VLAN泛洪的
不同的VLAN间的设备默认无法通信 需要第三层设备才能实现互通

五、VLAN范围

0~4095 共4096个（0和4095为保留 1为默认）
命令：vlan ?
显示：1-4094
其实可用的只有4094个

VLAN ID 12bit 故VLAN范围为2^12=4096

六、802.1q帧结构

Tag标记 VLANID字段-12bit
212 = 4096个VLAN

原始数据帧:无标记帧 untagged frame
源MAC 目标MAC 类型 数据

新的数据帧：有标记帧 tagged frame
为区别不同的VLAN 在源MAC和类型Type间插入了Tag字段 -4B
Tag字段中 VLAN ID为12b 正好可以表示212=4096个VLAN

IEEE 802.1q：又称dot1q（dot是点，意为点1q），是VLAN的正式标准，对Ethernet帧格式进行修改，在源地址和类型字段中插入了4字节的802.1q Tag
每台支持802.1q协议的交换机发送的数据帧都会包含VLAN ID，以指明数据帧属于哪一个VLAN。因此，在一个VLAN交换网络中，以太网帧有以下两种格式

七、VLAN链路类型

八、PVID

即Port VLAN ID 代表端口的缺省VLAN
X7系列交换机每个接口PVID = 1
查看PVID：[SW]dis port vlan

九、VLAN端口类型

十、VLAN转发流程

1 本地VLAN

2 跨交换机VLAN

十一、VLAN规划：基于端口最为常见

十二、VLAN配置

十三、VLAN间路由背景

部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发 因此必须引入路由技术来实现不同VLAN间的通信
VLAN间路由可以通过二层交换机配合路由器来实现 也可以通过三层交换机来实现
纯二层实现不了

十四、VLAN间通讯方法（路由）

十五、单臂路由配置

十六、三层交换（MLS Multi Layer Switching）

解决了单臂路由的瓶颈（中继链路）
三层交换=二层交换+三层转发
相当于一个二层交换机上连接一个三层路由器
只不过三层交换机中包含着路由器

十七、VLAN动态注册背景

动态注册-GVRP
GARP（Generic Attribute Registration Protocol）通用属性注册协议
是一种技术标准 抓包时显示GVRP
它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息（VLAN属性、组播地址等）的手段

GVRP（Generic VLAN Registration Protocol）VLAN注册协议
是GARP的一种具体应用或实现 主要用于维护设备动态VLAN属性
通过GVRP协议 一台交换机上的VLAN信息会迅速传播到整个交换网络
GVRP实现了LAN属性的动态分发 注册和传播 从而减少了网络管理员的工作量 也能保证VLAN配置的正确性

十八、VLAN动态注册

华为-GVRP
Cisco- VTP
H3C- NVRP

同步交换机上的VLAN

十九、GARP 通用属性注册协议

GARP Generic Attribute Registration Protocol
在交换机间分发 传播 注册某种信息（VLAN属性、组播地址等）
主要用于大中型网络中 用来提升交换机的管理效率
一种协议规范

二十、GARP消息类型

二十一、GVRP VLAN注册协议

GVRP Generic VLAN Registration Protocol
GVRP基于GARP的工作机制 是GARP的一种应用 传递VLAN信息

二十二、GVRP的应用

接收来自其他交换机的VLAN注册信息 并动态更新本地的VLAN注册信息 包括当前的VLAN VLAN成员等
将本地的VLAN注册信息向其他交换机传播 以便同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致
手动配置的VLAN是静态VLAN -Common
通过GVRP创建的VLAN是动态VLAN -Dynamic
GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其他交换机的动态注册信息

二十三、GVRP注册模式

查看GVRP注册模式：gvrp registration ？
查看GVRP状态：dis gvrp status
查看GVRP统计信息：dis gvrp statistics

二十四、VLAN隔离技术背景

单向访问需求：有一台主机正在进行攻击广播或欺骗 对该台主机进行隔离
ACL可以实现
但是不够灵活+方便
地址可能是分散的
可能要写很多ACL
调用时接口也很多 还要选择方向

二十五、VLAN隔离技术1-端口隔离

实现同一VLAN内端口之间的隔离
交换机端口之间的一种访问控制安全控制机制
配置端口隔离后 无论是哪个VLAN 都不能互相通信

不影响访问公共资源
但不能互访
是可以通过QQ通信的 因为数据先发给外网的服务器 再回到内网 不受端口隔离的限制
！Destination host unreachable主机不可达 发送ARP广播 对方接收到但回不来 即原主机拿不到目的主机的MAC 无法封装数据包
！Request timeout请求超时 ARP缓存中有目的主机的MAC 但是ARP没有被目的主机接收到

二十六、端口隔离配置

二十七、VLAN隔离技术2-MUX VLAN

部分VLAN间可以互通 部分VLAN间隔离 VALN内用户隔离
Multiplex VLAN
一种通过VLAN进行网络资源控制的机制
只适用于二层网络中 对同一网段的用户进行互通和隔离
实现处于相同网段的设备划入不同VLAN后 虽然二层通信是隔离的 但还可以和指定VLAN通信 还可以实现禁止相同VLAN内的不同设备间的通信

二十八、MUX VLAN配置

企业员工可以访问服务器 也可以互相通信
企业客户可以访问服务器 但不能互相通信
企业员工和企业客户不能互相通信

二十九、Proxy ARP 代理ARP

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机 那么连接它们的具有代理ARP功能的设备就可以回答该请求 这个过程称作代理ARP（Proxy ARP)
屏蔽了分离的物理网络 使用户使用起来 好像在同一个物理网络上
分为普通代理ARP和本地代理ARP

1 普通代理ARP

想要互通的主机分别连接到设备的不同三层接口上 且这些主机不在同一个广播域中

这里路由器需要先判断自己是否有能力到达对应网段 只要有路由可以到达
就可以代理

2 本地代理ARP

想要互通的主机连接到设备的同一个三层接口上 且这些主机不在同一个广播域中

相当于有个中间人 来使隔离的两个端口互相通信
代理-有第三方 如代理律师 代理机构等

这里就引申到配置静态路由是 下一跳的位置写出站接口还是写下一跳
ip route-static 2.2.2.2 32 12.0.0.2
ip route-static 2.2.2.2 32 g0/0/0
如果是以太网接口 不要用出站接口作为下一跳
如果是串行接口 可以用出站接口作为下一跳

写为下一跳 是可以ping通的
ping 则原路由将包发给目的路由
在路由表中 找到目的路由的IP是与原路由直连的
但要发送ARP
让路由器封装下一跳的MAC
那为什么以太网写出站接口就不通呢？
路由器会认为 直接把包从这个接口发出去 找到2.2.2.2的MAC 但问不到
因为2.2.2.2与原路由根本不在同一个广播域中（一个物理地址 一个逻辑地址）
所以无法通信

如何解决呢？就是在目的路由的import方向开启代理ARP

三十、Super VLAN背景

传统VLAN部署中 一个VLAN对应一个网段和一个VLANIF三层接口实现不同VLAN间通信
但这样的部署很容易导致IP地址的浪费

三十一、Super VLAN概述

又称VLAN Aggregation VLAN聚合
实现位于相同网段但不同VLAN间的用户通信
只需一个VLANIF接口作为不同VLAN的共同网关
引入了Super-VLAN和Sub-VLAN概念

Super VLAN可以实现不同VLAN用同一个子网 同一个网关
目的就是缓解地址浪费问题 节约地址

即最终是多个Sub-VLAN组成一个Super-VLAN
只需Super-VLAN接口上配置IP地址 所有Sub-VLAN共用一个IP网段
解决了IP地址资源浪费的问题

默认情况下两个Sub VLAN不能通信 发ARP广播接收不到
在Super-VLAN接口开启代理ARP即可
这里属于VLAN间的通信
arp-proxy inter-sub-vlan-proxy enable

不同Sub-VLAN下的主机默认不能互通 如果想要互通 需要在Super-VLAN的VLANIF接口上开启Proxy-ARP

三十二、Super VLAN通信规则

1 Super VLAN间的三层互通

2 Super VLAN与外部的二层通信

Super-VLAN只是起一个三层网关的作用 并不会打上标签

3 Super VLAN与外部的三层通信

三十三、Super VLAN配置

先创建和配置Sub VLAN 在创建和配置Super VLAN

---

HCIP/HCIE RoutingSwitching / Datacom备考宝典系列（八）VLAN知识点全面总结相关推荐

1. HCIP/HCIE RoutingSwitching / Datacom备考宝典系列（一）OSPF知识点全面总结

   目录 一.OSPF状态机制 二.OSPF报文类型 三.OSPF邻居建立 四.LSDB同步 五.OSPF路由器类型 六.OSPF网络类型 七.OSPF DR/BDR 八.虚连接 九.OSPF数据包字段 ...

2. HCIP/HCIE RoutingSwitching / Datacom备考宝典系列（十六）DHCP知识点全面总结（动态主机配置协议）

   目录 一.技术背景 二.DHCP概述 三.DHCP系统组成 四.DHCP报文结构 五.DHCP报文类型 六.DHCP工作流程 七.DHCP租期更新 50% 八.DHCP重绑定 87.5% = 7/8 ...

3. HCIP/HCIE RoutingSwitching / Datacom备考宝典系列（十七）VPN知识点全面总结（虚拟专用网络）

   目录 一.VPN背景 二.VPN概述 三.VPN核心技术 隧道技术 四.VPN优点 五.VPN类型(根据建设单位划分) 六.VPN类型(根据建设单位划分) 七.VPN类型(根据实现层 协议划分) 八. ...

4. HCIP/HCIE RoutingSwitching/Datacom备考宝典题库系列（一） OSPF题库（OSPF难理解题 易错题 易混题总结）

   OSPF 协议不同的网络类型都可以形成 FULL 状态的邻接关系 正确 下面关于 OSPF 的描述正确的是: 选B OSPF采用SPF算法 OSPF LSUpdate不是周期性更新 而是触发式更新 O ...

5. Jvm 系列(八):Jvm 知识点总览

   对于Java程序员来讲,spring全家桶几乎可以搞定一切,spring全家桶便是精妙的招式,jvm就是内功心法很重要的一块,线上出现性能问题,jvm调优更是不可回避的问题.因此JVM基础知识对于高级 ...

6. jvm系列(八):jvm知识点总览-高级Java工程师面试必备

   在江湖中要练就绝世武功必须内外兼备,精妙的招式和深厚的内功,武功的基础是内功.对于武功低(就像江南七怪)的人,招式更重要,因为他们不能靠内功直接去伤人,只能靠招式,利刃上优势来取胜了,但是练到高手之后 ...

7. jvm系列(八):jvm知识点总览

   在江湖中要练就绝世武功必须内外兼备,精妙的招式和深厚的内功,武功的基础是内功.对于武功低(就像江南七怪)的人,招式更重要,因为他们不能靠内功直接去伤人,只能靠招式,利刃上优势来取胜了,但是练到高手之后 ...

8. hcip hcie认证该如何选择？

   hcip HCIE认证该如何选择?这个问题见仁见智,hcie和hcip在级别.含金量.性价比.考试难度.考试费用等方面都有差别,考生一般会根据自己的实际情况进行选择,今天小编就从这几个方面为大家详细介 ...

9. 【×××系列八】Dynamic Multipoint *** for IPv6 详解

   [×××系列八]Dynamic Multipoint *** for IPv6 详解 一.前言 由于涉及IPV6加密,所以根据思科标准此次配置使用思科7200系列高级企业版IOS (详情参考我的上一篇 ...

10. 【深入浅出MyBatis系列八】SQL自动生成插件

    为什么80%的码农都做不了架构师?>>>    #0 系列目录# 深入浅出MyBatis系列 [深入浅出MyBatis系列一]MyBatis入门 [深入浅出MyBatis系列二]配置 ...

最新文章

1. Vivado中TCL的使用
2. simapro学习_北京师范大学环境学院
3. mysql笔记 doc_Mysql DOC阅读笔记
4. mPaaS 客户端问题排查之突如其来的“白屏”等待
5. UML各种图总结-精华
6. session图片验证码，页面和请求是两个地址。android手机好用，iphone 失效。
7. rhel7+apache+c cgi+动态域名实现web访问
8. ios7开发学习笔记-包括c oc 和ios介绍
9. 基于easyui开发Web版Activiti流程定制器详解（六）——Draw2d的扩展（一）
10. CSS布局奇淫技巧之--各种居中
11. java基础加强_补充笔记
12. 非文学翻译理论与实践_2019年北京语言大学翻译学专业考研经验分享
13. 精心收集的 48 个 JavaScript 代码片段，仅需 30 秒就可理解
14. 【前端JS】input textarea 默认文字，点击消失
15. cityengine导出fbx
16. 水中机器人电控方案设计
17. 路由器DNS根域名解析失败
18. python qq群聊机器人_群聊太多？三步教你用 Python 自动监听转发群消息
19. Java中 … 三个点是什么意思？
20. 木瓜移动每日快讯0511：谷歌Chrome引入新隐私功能fenced frame

热门文章

1. 记录一下Base64 在线编码解码
2. 软件工程英文参考文献(优秀范文105个)
3. Note: further occurrences of HTTP request parsing errors will be logged at DEBUG level. java.lang.Il
4. 重庆工程学院计算机设计大赛获奖名单,重大城科学子在2018年（第11届）中国大学生计算机设计大赛全国总决赛获一等奖...
5. 手机APP开发之MIT Appinventor详细实战教程（二），实现音乐软件的编程
6. 不应忘却的纪念－小百合(Lilybbs)
7. 分享一些自己的学习经验和技巧
8. oracle-in/exists
9. 网络高清监控摄像头如何安装（图文方法+模拟像机）
10. SMETA验厂咨询,Sedex验厂工厂的自检流程有哪些