信息安全学生分享的笔记(vlan)

一、vlan

1.为什么要使用vlan?(图片太丑)

  

 

交换网络是平面网络结构,必须依赖广播。

如图所示,一台交换机就是一个广播域,交换机的每一个接口都是都处于这个广播域中,两台交换机,通过网线直连,也处于同一个广播域中,这样的情况,就会导致一个问题的产生,广播域过大,在这个网络中,充斥着广播报文,非常的影响网络,不但如此,还会产生一系列安全反面的问题(arp攻击等等),还会导致网络不方便管理。

2.解决办法

(1).使用路由器分隔多个子网:使用路由器可以非常有效的分隔广播域,但是,路由器的价格相对来说,比较昂贵,普通的企业难以承担,不仅如此,路由器的接口相比于交换机来说也非常少,所以使用路由器的这个方法,可以解决广播域过大的问题,但是,并不完美。

(2).使用vlan技术

 

如图所示

  位于一个或者多个局域网的设备经过配置vlan之后能够像连接到同一个信道那样进行通信,而实际上他们分布在不同的局域网段中。

  vlan的实现主要是依靠cam表和vlan数据库

  在正常的通信过程中,以太网交换机中是根据目的MAC地址来查MAC地址表进行数据帧的转发,MAC地址表中包含了MAC地址与端口的一个对应的关系(学习),当交换机收到一个数据帧的时候,交换机会查看该数据帧中的目的MAC地址,如果是一个单播帧,交换机会查表从对应的端口转发出去,如果是广播地址,那么交换机会从除开收到该广播帧的以外的所有端口发送出去。但是在vlan的通信过程中,交换机的接口在收到数据帧之后,会为数据帧打上一个标签(IEEE802.1Q),之后交换机还会查询这个标签是否匹配,来决定接下来的工作。那么这个标签是怎么打上去的呢?

(3.)配置方法

配置单独vlan:

 [Huawei]vlan 10

[Huawei-vlan10]

配置多个vlan(vlan2到vlan10):

[Huawei]vlan batch 2 to 10

查看vlan:

[Huawei]display vlan

 

 

3.接口的链路类型(access,trunk, hybrid)

(1).access

  Access端口是交换机上用来连接用户主机的端口; 它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。

Access端口收发数据帧的规则如下: 如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。 如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。 当VLAN ID与该端口的PVID相同时,接收该报文。 当VLAN ID与该端口的PVID不同时,丢弃该报文。 Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。 Access端口发往对端设备的以太网帧永远是不带标签的帧。

 

 配置步骤:

interface GigabitEthernet0/0/1
port link-type access
port default vlan 10

 

 (2).trunk

基于一个协议协议 802.1q,在交换机的接口上,link-type trunk ,在接口上来封装802.1q协议,允许带有tag 的数据帧通过。需要在接口上allow pass vlan vlan-id,一条链路 承载多个vlan ,经过trunk链路的数据,不会剥离TAG(vlan id), 本征vlan 除外。

为什么要有trunk?

当一条链路需要承载多个vlan信息的时候,就需要trunk(access只能允许单vlan通过,如果使用access非常消耗接口)。一般用于交换机和交换机之间

 

1. 主机B发送一个 不带有tag的数据帧,被交换机vlan 10 接口都到
2.由于这个接口属于vlan10 的,所以这个接口的PVID = 20
3.当这个不带tag 的数据帧经过 这个接口的时候,会被打上 pivd = 20 的tag
4.由于这个数据帧要通过trunk接口(默认的pivd = 1),数据帧的tag跟我 trunk接口的本征pvid不同,
这个时候,数据帧会携带者tag去通过
5.当这个数据帧携带着tag 来到SW2的trunk接口(pvid=1),帧携带的tag和trunk的pvid还是不一样,
这个接口让我的数据帧携带者tag通过

6.带有vlan id 10 的tag的数据帧要通过 vlan10 的access口,tag id 跟 接口的pvid是一样的,access口就会允许这个帧通过
由于是交换机往外发送的数据帧,这个时候,会剥离掉数据帧上的tag
7.一个不携带tag的数据帧被PCD收到
单向的通信过程完成了

反向以此类推

 

 

 

 

 trunk的配置:

 

interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20(允许列表)

                                                                       

posted @ 2020-03-08 15:57  乌拉拉0614  阅读(324)  评论(2)    收藏  举报