9.1 交换机
- 接入层:为终端用户提供网络接入、接入安全(ARP病毒、攻击、扫描、禁止分线等行为)、访问控制(ACL部署基本安全策略、VLAN限制广播泛洪);
- 接入交换机:二层交换机,即链路层交换机;
- 学习MAC地址,交换机根据MAC地址表进行数据二层帧转发;
9.2 MAC寻址
MAC地址,也叫硬件地址,网卡、交换机、路由器端口地址;
- MAC地址表初始空,掉电重启也会空;比如A->D:
- 初始,A发出消息后,MAC地址表会记录E0和MACA对应;
- 但是目标地址D不知道,这是通过泛洪手段;
- 泛洪:从来的接口之外的所有接口发,只有MAC地址匹配的接受,其他丢弃;
- D收到泛洪消息后,D应答A,交换机则从E3端口学习到了MAC D;
在之后,A和D之间通讯就不用泛洪了。
9.3 VLAN
- 物理层:HUB,整机一个冲突域;
- 交换机:隔绝冲突域,一个端口一个冲突域,但是整机一个广播域;
- 路由器:每个接口都是一个独立的广播域,可以隔绝广播;
将交换机某些端口绑定在一起,形成一个VLAN,独立的广播域,独立的子网。
VLAN是十进制数标识,需要将交换机上创建VLAN,并进行端口划分。
- 三种VLAN中端口分配方式。
- 动态VLAN:适合动态办公,拿着笔记本到处办公。
VLAN之间通讯需要借助于路由器。
VLAN 1,默认设备出厂时,所有端口都属于VLAN 1;
9.4 Trunk
两台交换机达成共识,需要借助于封装协议
9.4.1 ISL
ISL为CISCO私有,
- 在原始数据帧加上ISL头,当中有个VLAN字段存放VLAN号。
- 交换机收到后,查看ISL头,看这个数据帧属于哪个VLAN,交给对应VLAN处理。
9.4.2 802.1Q
- 区别于ISL的封装,是利用打标签的方式。
- 在原始帧中插入Tag字段,并将原始FCS校验值去除,插入新的校验值(增加了Tag);
- Tag2B,包含了VLAN 号等。
9.5 VTP
- 当交换机数量非常多的时候,如果用手工方式维护交换机VLAN和端口信息;确定VLAN成员管理。当交换网络非常庞大时,费劲。
- VTP可以在大型网络中,动态维护VLAN信息,在交换机之间传输VLAN信息。
交换机默认下是SERVER模式;
UDP通告。
- Trunk承载多个VLAN信息,如A和B属于同一个VLAN。
- 当A发送广播帧,Trunk透传广播帧,被所有交换机在所有TRUNK里面泛洪。
- 但是该环境中,只有交换机1和交换机4通,其他组不需要。
- 多余的广播帧时,就可以使用VLAN的修改VTP。如在交换机4和交换机5相连的端口修剪掉A和B的VLAN信息。
9.6 配置
9.6.1 VLAN配置
创建并将端口划入VLAN。
9.6.2 Trunk配置
相连的交换机两端接口都要配置,且两端封装协议一致。
9.6.3 VTP配置
所有交换机,如果想VTP都通,需要配置的域名、密码一样。
9.7 实验
9.7.1 VLAN+TRUNK
交换机R1
vlan 10
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
vlan 20
interface FastEthernet0/2
switchport mode access
switchport access vlan 20
interface FastEthernet0/15
switchport trunk encapsulation dot1q
switchport mode trunk
查看vlan信息:show vlan
sw1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig0/1, Gig0/2
10 VLAN0010 active Fa0/1
20 VLAN0020 active Fa0/2
查看trunk信息:show interfaces trunk
sw1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/15 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/15 1-1005
Port Vlans allowed and active in management domain
Fa0/15 1,10,20
Port Vlans in spanning tree forwarding state and not pruned
Fa0/15 1,10,20
交换机R2和R1配置一样;
测试:PC0->PC2
PC1->PC3
9.7.2 单臂路由
子接口模式,两个VLAN之间通讯。
- PC0给PC1发出消息后,源IP地址PC0和目标IP地址PC1;
- 发现源地址和目标地址不在同一个网段,PC0交给默认网关;
- 填充MAC地址,源MAC地址为PC0,目标MAC地址为f0/1端口MAC地址;
- 交换机打上VLAN 10的TAG,路由器拆开帧,根据TAG VAL10,将数据包丢给子接口0/0/0.1;
- 路由器查看路由表,丢该子接口0.0.0./2,打上VLAN 20的TAG。
交换机R1
vlan 10
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
vlan 20
interface FastEthernet0/2
switchport mode access
switchport access vlan 20
interface FastEthernet0/15
switchport trunk encapsulation dot1q
switchport mode trunk
查看vlan信息:show vlan
sw1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig0/1, Gig0/2
10 VLAN0010 active Fa0/1
20 VLAN0020 active Fa0/2
查看trunk信息:show interfaces trunk
sw1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/15 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/15 1-1005
Port Vlans allowed and active in management domain
Fa0/15 1,10,20
Port Vlans in spanning tree forwarding state and not pruned
Fa0/15 1,10,20
路由器R:
interface gigabitEthernet 0/0/0
no shutdown
interface GigabitEthernet0/0/0.1
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet0/0/0.2
encapsulation dot1Q 20
ip address 192.168.20.254 255.255.255.0
查看路由信息:show ip route
Router#show ip route
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/0.1
L 192.168.10.254/32 is directly connected, GigabitEthernet0/0/0.1
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.20.0/24 is directly connected, GigabitEthernet0/0/0.2
L 192.168.20.254/32 is directly connected, GigabitEthernet0/0/0.2
测试:
PC0->网关
PC0->PC1
9.7.3 问题1
只有一个VLAN情况下,两个交换机相连,需要配置TRUNK吗?NO
只有链路需要承载多个VLAN的情况下,才需要TRUNK。
9.7.4 问题2
不同VLAN情况下,属于同一个VLAN的端口进出,需要TRUNK?NO
10.1发出帧,从交换机VLAN1进,从VLAN1出,透传,怎么进怎么出,不修改帧。