什么是VLAN?
虚拟局域网(Virtual LAN)是物理设备上连接的不受物理位置限制的用户的一个逻辑组。
为什么引入VLAN?
- 交换机分割了冲突域,但是不能分割广播域;
- 随着交换机端口数量的增多,网络中广播增多,降低了网络的效率
- 为了分割广播域,引入VLAN
VLAN的作用/优势:
广播控制(分割);安全性提高;带宽利用效率提高;延迟减少
vlan的种类
- 基于端口划分静态VLAN ——位置 实际中常用此方法进行配置
- 基于MAC地址划分动态VLAN ——点名
静态Vlan的配置:创建Vlan;将端口加入到相应的Vlan中;验证
交换机所有端口默认都属于VLAN1,VLAN1是交换机预设VLAN,它还有一些特殊应用,不能被删除。
1、创建VLAN有两种方法
- 全局配置模式创建vlan:全局:vlan 2 //创建vlan2
name 名字 //(给vlan2命名)
VLAN数据库配置模式:特权:vlan database
vlan 2 name caiwu //(创建vlan2并命名为caiwu)
2、删除vlan
进入vlan数据库或全局模式:no vlan 2
3、将接口加入vlan
把交换机端口加入到VLAN时,也可以不指定switchport mode access,但是有些交换机的端口默认是企望或自动状态。如果该端口所连用户通过软件协商成中继状态,那么他就可以向任何VLAN发送数据,对安全产生 威胁。因此,强烈建议设置switchport mode access语句。
1)进入将要加入vlan的接口:switchport access vlan 3
2)同时将多个接口加入vlan:全局: interface range f0/1 – 10
switchport access vlan 2将1-10口同时加入vlan2
4、查看vlan配置信息
特权:show vlan brief 或 show vlan
5、description 添加vlan描述信息
no description删除vlan描述信息
trunk中继链接
作用:实现跨交换机之间的同vlan通信
为了使得不同交换机上相同的VLAN可以通信,需要交换机间的链路可以承载所有VLAN数据。Trunk链路不属于任何VLAN,但是可以承载所有VLAN通信。
工作原理:交换机给每个去往其他交换机的数据帧打上vlan标识;
链路类型:
1)access 接入链路: 连接终端设备使用,一根线路最多只能允许一个vlan通过。
2)trunk 中继链路:一根线路可以同时承载多个 vlan通过。
vlan的标识(以太网上实现中继可用的两种封装类型)
1)ISL(cisco私有的标记方法)
ISL外部封装头部26个字节,尾部4个字节共30字节
2)IEEE 802.1q(公有的标记方法)
内部封装在标准以太网帧内插入了4个字节,其中12位vlan标识。
**ISL和802.1Q 的异同
相同点:都是显示标记了VLAN的信息
不同点:IEEE 802.1Q是公有的标记方式,ISL是Cisco私有的
ISL采用外部标记的方法,802.1Q采用内部标记的方法
ISL标记的长度为30字节,802.1Q标记的长度为4字节
Trunk的模式和协商
1)trunk模式:
接入(Access) 干道(Trunk)
动态企望(desirable)主动 动态自动(auto ) 被动
2)trunk模式协商结果
| SW1端口模式 |
SW2端口模式 |
结果 |
| trunk |
auto |
trunk |
| trunk |
desirable |
trunk |
| auto |
auto |
access |
| auto |
desirable |
trunk |
| desirable |
desirable |
trunk |
trunk的配置
1、接口模式:switchport mode trunk(直接配置为trunk)
dynamic desirable (配置为动态企望)
dynamic auto(动态自动)
access(配置为接入链路)
可通过switchport mode ?查看各模式的区别
2、在trunk链路上移除某vlan
接口:switchport trunk allowed vlan remove 3 中继链路不允许传送vlan 3的数据
3、在trunk链路上 添加某vlan
进入trunk接口:switchport trunk allowed vlan 3 首次添加
进入trunk接口:switchport trunk allowed vlan add 3 再次添加 (若无add,则会覆盖之前已允许的配置)
4、查看接口模式(端口状态)
特权:show interface interface-id switchport
注意端口的Administrative Mode和Operational Mode,管理模式Administrative Mode是指该端口配置模式,而操作模式Operational Mode才是真正生效的模式。比如端口的管理模式Administrative Mode有可能是动态企望dynamic desireble模式,但操作模式Operational Mode是中继trunk。
EthernetChannel(以太网通道)
以太通道,也称为以太端口捆绑、端口聚集或以太链路聚集。
以太通道为交换机提供了端口提供了端口捆绑的技术,允许两个交换机之间通过两个或多个端口并行连接,同时传输数据,以提供更高的带宽。
以太通道的配置模式与Trunk类似,也有开启、企望等。同样的,在生产环境下都是强制设置以太通道处于on的状态,而不是让它们自动协商。
功能:多条线路负载均衡,带宽提高
容错,当一条线路失效时,其他线路通信,不会丢包
1、以太网通道的配置:
全局:interface range f0/6 – 8 //0/6-8为要捆绑在一起的端口
switchport mode trunk
channel-group 1 mode on //1,指的是以太通道的组号
2、查看以太网通道的配置:
特权:show etherchannel summary
根据输出最后一行小括号中的提示,可以获知以太通道是二层的(S)、正在被使用的(U),端口Fa0/1和Fa02在以太通道中(P)。
创建以太通道后,系统会增加一个名称为Port-channel 1的端口,可以通过show running-config命令查看到其信息
以太网道必须遵循以下一些规则:
1)参与捆绑的端口必须属于同一个vlan,如果是在中继模式下,要求所有参加捆绑的端口配置成相同的中继模式。
2)所有参与捆绑的端口的物理参数设置必须相同,应该有同样的速度和全/半双工模式设置。
在路由器上配置DHCP服务
DHCP:动态主机配置协议
作用:给客户机自动配置ip地址
1、先配置一个路由ip
2、全局:ip dhcp pool 名字 (定义地址池)
3、network 192.168.1.0 255.255.255.0(动态分配IP地址段)
4、default-router 192.168.1.254 (动态分配的网关地址) 与路由ip一致
5、dns-server 202.106.0.20 动态分配的DNS服务器地址)此命令后可以跟多个备用的DNS地址。
6、全局:ip dhcp excluded-address 192.168.1.1(预留已静态分配的IP地址) 此ip不再进行动态分配
例:ip dhcp excluded-address 192.168.1.1 192.168.100 1-100的ip不再进行动态分配
单臂路由技术
交换机与路由器为trunk模式,路由器端口默认为关闭,需要开启路由器接口,再在路由器子接口配置模式下封闭IEEE802.3协议,并指明对应的vlan号。
1、作用:实现不同vlan间通信
2、子接口:路由器的物理接口可以被划分成多个逻辑接口,每个子接口对应一个vlan网段的网关。
3、vlan标签的封装结构
全局:interface f0/0.1
Encapsulation dot1Q 2
4、单臂路由的缺陷
单臂容易形成网络瓶颈,子接口依托于物理接口,应用不灵活,vlan间转发需要查看路由表,严重浪费设备资源。
三层交换技术
什么是三层交换机?二层交换与三层交换和路由有什么区别?
三层交换机:具有网络层路由功能的交换机称为三层交换机
区别:
二层交换机:属于数据链路层设备,根据 MAC 地址表实现数据帧的转发。
三层交换机: 三层交换技术就是将路由技术与交换技术合二为一的技术。在对第一个数据流进行路由后,
它将会产生一个 MAC 地址与 IP 地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通
过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。
路由器:路由器工作于 OSI 七层协议中的第三层,其主要任务是接收来自一个网络接口的数据包,根据
其中所含的目的地址,决定转发到下一个目的地址。
作用:使用三层交换技术实现VLAN间通信
三层交换=二层交换+三层转发
基于CEF 的快速转发
主要包含两个转发用的信息表:
1)转发信息库(FIB):FIB类似于路由表,包含路由表中转发信息的镜像。当网络的拓扑发生变化时,路由表将被更新,而FIB也将随之变化。
2)邻接关系表:每个FIB条目,邻接关系表中都包含相应的第2层地址。
虚拟接口(SVI):在三层交换机上配置的VLAN接口为虚接口,实现vlan间通信的转发过程
三层交换机的配置
思考:确定哪些vlan需要配置网关
如果三层交换机上没有该vlan,则创建它
为每个vlan创建相关的 SVI
给每个SVI配置ip地址
启用SVI端口
启用三层交换机的ip路由功能
如果需要,配置三层交换机的动态或静态路由
1)在三层交换机启用路由功能 :全局:ip routing
2)配置虚拟接口的IP 地址:全局:interface vlan 2
ip address 192.168.2.254 255.255.255.0
no shutdown
3)在三层交换机上配置Trunk并指定接口封装为802.1q
接口模式:switchport trunk encapsulation dot1q
switchport mode trunk
4)配置路由接口:进入接口:no switchport
VLAN1是默认VLAN,不需要单独创建,也不能改名。所有端口默认都在VLAN1中。
三层交换机只要简单的把每个VLAN当成一个逻辑端口,配好IP地址并启用交换机的路由功能即可实现。
VLAN创建完成并把接口加入VLAN后,创建SVI时该SVI端口会自动处于激活状态,不用运行no shutdown命令。快速查看端口状态命令为show ip interface brief。
三层交换机的物理端口默认是二层端口,只具有二层特性,不能配置IP地址,把二层端口配置为三层端口后,该端口就具备路由功能了,可以配置IP地址,但同时也就关闭了其二层特性,比如不能把三层端口加入VLAN。
二层端口(交换机上的端口默认都是二层端口)默认是激活状态,那些没有使用到的端口为了安全应该手工将其禁用(shutdown);而三层端口(路由器上的端口或是三层交换机上被配置成路由端口的端口)默认是禁用状态,在使用之前务必要将其激活(no shutdown)。在三层交换机上配置默认路由,以便VLAN内主机可以与外界网络互联。
三层交换机上的路由端口:
三层交换机的物理端口默认是二层端口
可以转换为三层端口,转换为三层端口后,该端口不属于任何vlan
可以像路由器端口一样使用
不支持划分子端口
三层交换端口配置问题:
需先封闭802.1q,再配trunk;端口配ip地址需先转换为路由端口;
三层交换vlan间通信,在二、三层交换上查看vlan信息,若没有创建vlan,则虚接口网关地址无效。
路由分类
1、静态路由
2、动态路由 ——基于某种路由协议实现
动态路由:是路由器根据网络系统的运行情况而自动计算调整的路由。相互连接的路由器之间互相交换彼此的信息,然后按照一定的算法计算出路由表,并且路由信息是在一定时间间隙里不断更新的,这样才能适应不断变化的网络,随时获得最优的寻路效果。
动态路由特点: 减少了管理任务
占用了网络带宽
在TCP/IP协议栈中,最重要和应用最广泛的几个路由协议有:RIP协议、eigrp协议(cisco私有)、OSPF协议和BGP协议等。
相对静态来讲,动态路由更灵活,但相对地要维护动态路由协议的多种报文。
RIP协议的处理是通过UDP520端口来操作的。 RIP的最终极目的还是更新路由表,使得路由器的控制层面得以构建。
RIP定义了两种信息类型:请求信息和响应信息。
路由协议分类
1、按应用范围的不同,路由协议可分为两类:
1)在一个AS内的路由协议称为内部网关协议(interior gateway protocol,IGP)
正在使用的内部网关路由协议有以下几种:RIP-1,RIP-2,IGRP,EIGRP,IS-IS和OSPF。
2)AS之间的路由协议称为外部网关协议(External Gateway Protocol,EGP,也叫域间路由协议)。
域间路由协议有两种:外部网关协议(EGP)和边界网关协议(BGP)
3)以下情况下,需要使用BGP:
· 当你需要从一个AS发送流量到另一个AS时;
· 当流出网络的数据流必须手工维护时;
· 当你连接两个或多个ISP、NAP(网络访问点)和交换点时。
注:AS自治系统(Autonomous System,指一个互连网络,就是把整个Internet划分为许多较小的网络单位,这些小的网络有权自主地决定在本系统中应采用何种路由协议)
2、按照路由执行的算法动态路由协议的分类
1)距离矢量路由协议
依据从源网络到目标网络所经过的路由器的个数选择路由,RIP、IGRP
2)链路状态路由协议
综合考虑从源网络到目标网络的各条路径的情况选择路由 ,OSPF、IS-IS
RIP路由协议
RIP路由表的形成:路由器学习到直连路由条目
更新周期30s到时,路由器会向邻居发送路由表
再过30s,第二个更新周期到了再次发送路由表
- RIP是距离-矢量路由选择协议
- RIP度量值为跳数 ,最大跳数为15跳,16跳为不可达
- RIP更新时间,每隔30s发送路由更新消息,UDP 520端口
- RIP路由更新消息,发送整个路由表信息
RIP协议认为跳数越少,路径就越佳,并将其加入路由表。如果到达目的网段有两条或多条跳数相等的路径,尽管带宽不同,RIP也会认为它们是等价路径。RIP默认支持4条等价路径,最大支持6条等价路径。
RIP使用一些时钟来保证它所维持的路由的有效性和及时性:
- 更新计时器(Update timer):平均第30s发送一个响应信息。为了防止更新同步,RIP会以15%的误差发送更新,即实际发送更新的周期范围是25.5~30s
- 无效计时器(Invalid Timer):当有一条新的路由被建立,无效计时器会被设置为180s,每当接收到这条路由的更新后,计时器重置为初始值。若在180s内还未收到更新,则它将被标记为不可到达(度量为16)
- 刷新计时器(Flush Timer)默认为240s,可理解为若在某路被标记为不可到达后的60s仍没有收到该路由的RIP消息,就将该路由从路由表中删除。
- 抑制计时器(Holddown Timer):如果一条路由更新的跳数大于路由表已记录的跳数,则该路由进入长达180s的抑制状态,以防止RIP中可能发生的路由环路。
| RIP v1 |
RIP v2 |
| 有类路由协议 |
无类路由协议 |
| 广播更新 (255.255.255.255) |
组播更新(224.0.0.9) |
| 不支持VLSM |
支持VLSM |
| 自动路由汇总,不可关闭 |
自动汇总可关闭,可手工汇总 |
| 更新的过程中不携带子网信息 |
更新的过程中携带子网信息 |
4、RIP V1与RIP v2的区别
RIP默认工作在第一版本下,但是RIP-V1是有类路由协议,而且通过广播的方式进行路由更新,无论是功能上还是效率上都有一些缺陷,这些缺陷RIP-V2可以弥补。在使用时建议采用RIP-V2而不是RIP-V1。
5、RIP v2的配置
全局:router rip //启动路由协议
version 2 //启动RIP版本为2
no auto-summary(关闭路由汇总) //关闭路由汇总
network 主网络ID //宣告主网络id
default-information originate // 将默认路由添加到rip中
RIP路由协议在配置network时,只需要配置该路由器所直连的主类网络,不与该路由器直连的网络不需要包含在network中。
show ip route,注意以R开关的路由,这些路由表是通过RIP协议从其他运行RIP的路由器学习过来的。每条路由表都写明了目标网络、下一跳IP地址及从自己哪个端口发出去。
例:R 192.168.1.0/24 [120/2] via 10.1.1.2,00:00:06,FastEthernet0/0
解读:R:该路由条目由RIP学习而来。
192.168.1.0/24 :目的网络
120:RIP的默认管理距离为120
2 :度量值,从路由器到达192.168.1.0/24的度量值是2跳
10.1.1.2:下一跳的IP地址
00:00:06:路由条目6s前更新
热备份路由选择协议(HSRP)
作用:Cisco私有协议 ,确保了当网络边缘设备或接入链路出现故障时,用户通信能迅速并透明地恢复,以此为IP网络提供冗余性。通过使用同一个虚拟IP地址和虚拟MAC地址,LAN网段上的两台或者多台路由器可以作为一台虚拟路由器对外提供服务。HSRP使组内的cisco路由器能互相监视对方的运行状态。
HSRP组成员
活跃路由器、备份路由器、虚拟路由器(即该vlan上的网关)、其他路由器
HSRP虚拟MAC地址格式
0000.0c07.ac2f :厂商编码 HSRP虚拟MAC 地址,HSRP编码总是07.ac HSRP组号
HSRP消息
HSRP中的所有路由器都发送或接收HSRP消息
使用用户数据报协议(UDP)端口号1985
使用组播发送HSRP消息,组播地址224.0.0.2 生存时间TTL=1
HSRP状态
1)初始状态;2)学习状态;3)监听状态;4)发言状态;5)备份状态;6)活跃状态:
HSRP计时器
- Hello间隔(默认3s)
- 保持时间(默认10s)
HSRP的配置
1、配置为HSRP的成员 ,进入路由器的网关接口:standby 2 ip 虚拟网关IP
2、配置HSRP的优先级,进入接口: standby 2 priority 优先级
优先级范围0-255,默认为100
3、查看HSRP状态(摘要信息)特权: show standby brief
4、HSRP端口跟踪
standby 2 track f0/1 (可在最后加一个数字表示优先级。)
跟踪端口不可用时,HSRP优先级降低,活跃路由器可以根据线路情况自动调整。
HSRP的默认优先级为100,路由器启动后,根据优先级决定谁可以成为活跃路由器,优先级高的将胜出。如果路由器优先级相同,再比较端口IP地址,IP地址大的成为活跃路由器。另外,如果优先级低的路由器先启动了,它将成为活跃路由器。优先级高的路由器启动后,发现已有活跃路由器存在,它将接受现状,直到活跃路由器出现故障它都会在重新选举时成为活跃角色。
5、HSRP占先权
standby 2 preempt
STP( Spanning Tree Protocol,生成树协议)
作用:逻辑上断开环路,防止广播风暴的产生
当线路故障,阻塞接口被激活,恢复通信,起备份线路的作用
生成树的算法
- 每个广播域一个根网桥(root bridge)
- 每个非根网桥一个根端口(root ports)
- 每个网段上一个指定端口(designated ports)
- 非指定端口,非根端口被阻塞
生成树算法分为3个步骤:
1)选择根网桥
选择交换网络中网桥ID最小(优先级+MAC地址)的交换机成为根网桥,网桥ID是一个八字的字段,前两个字节十进制数为网桥优先级,后六个字是网桥的MAC地址,优先级小的被选择为根网桥,如优先级相同则MAC地址小的为根网桥。
网桥优先级的取值范围0-65535,默认值为32768,在查看优先级时,即使是默认值看到的也不是32768,因为交换机的优先级采用系统优先级+VLAN编号的方式,如vlan1的默认优先级为32769。
查看信息解析:Root ID部分指的是根网桥信息,Bridge ID部分是当前所操作的交换机信息,二者一致时表示当前操作的交换机就是根网桥。
2)选择根端口(root ports)
在非根网桥上选择根端口,每个非根桥只能选择一个根端口。
依据:到根网桥最低的根路径成本。
带宽越大,传输数据的成本也就越低。
a)带宽与路径成本的关系:
| 链路带宽(Mbps) |
路径成本 |
| 10 |
100 |
| 16 |
62 |
| 45 |
39 |
| 100 |
19 |
| 155 |
14 |
| 622 |
6 |
| 1000 |
4 |
| 10000 |
2 |
b)直连的网桥ID最小
当路径成本相同时候,比较连接的交换机的网桥ID值,选择网桥ID值小的作为根端口
c)端口ID最小
当网桥ID相同的时候,比较端口ID值(比较的是对端的端口ID值)选择较小的作为根端口。
3)选择指定端口(Designated ports)
根桥上的端口全是指定端口
在每个网段上,选择1个指定端口
非根桥上的指定端口,选择顺序:
- a)根路径成本较低
- b)所在的交换机的网桥ID的值较小
- c)端口ID的值较小(与选择根端口不同的是在比较端口ID值时,比较的是自身的端口ID值)
BPDU(桥协议数据单元)
1)使用组播发送BPDU
2)2种类型:配置BPDU
拓扑变更通告BPDU
- BPDU报文字段
主要关键字段:
| 状 态 |
用 途 |
| 转发(Forwarding) |
发送/接收用户数据 |
| 学习(Learning) |
构建网桥表 |
| 侦听(Listening) |
构建“活动”拓扑 |
| 阻塞(Blocking) |
只接收BPDU |
| 禁用(Disabled) |
强制关闭 |
根网桥ID:
根路径成本:
发送网桥ID:
端口ID:
被阻塞的端口对BPDU 的处理:接受BPDU,但不发送BPDU
5、STP的收敛
交换机端口的5种STP状态 :
6、STP的3种计时器
- Hello时间:网桥发送配置BPDU报文之间的时间间隔,默认2秒 。
- 转发延迟 :一个端口在侦听到学习状态所花费的时间间隔,默认15秒
- 最大老化时间:交换机在丢弃BPDU报文之前储存它的最大时间,默认20秒。
每一个交换端口都保存一份它所侦听到的最好的BPDU备份,如果源BPDU失去了与交换机端口的联系,交换机则在最大老化时间之后通知网络已经发生了拓扑结构方面的变化。生成树端口有阻塞,侦听,学习和转发四个状态,当拓扑变化时,端口状态改变要遵从这些状态的逐渐改变,而不是立即进入其他状态。
VLAN与STP(生成树)之间的关系
PVST+(增强的每vlan生成树)
PVST+配置的意义 :
- 配置网络中比较稳定的交换机为根网桥
- 利用PVST+实现网络的负载分担
PVST+的配置命令
1、启用生成树命令
全局:spanning-tree vlan 2
2、指定根网桥
- 改优先级:全局:spanning-tree vlan 1 priority 优先级的值
注意: 优先级的值是4096的倍数;
- 直接指定:全局:spanning-tree vlan 2 root primary |secondary
注:配置primary,优先级是24576; 配置secondary,优先级是28672,如果已手动修改优先级的值则配置primary优先级会根据整体环境调整。
备份路由器成为活跃路由器后,原来的活跃路由器即使线路修复也不会重新进入活跃状态。为了使路由器完全根据优先级来决定其状态,需要配置占先权。占先权保证了严格根据优先级来决定哪台设备进入活跃状态。
3、查看生成树的配置 特权:show spanning-tree vlan 1
4、速端口 接口模式:spanning-tree portfast
使连接终端的端口快速进入到转达发状态,该端口不经过侦听和学习状态,直接进入转发状态,节省30秒的转发延迟。速端口只能配置在连接终端的接口上。
5、查看某个VLAN的生成树详细信息
特权:show spanning-tree vlan 2 detail
补充:ping命令只能检测网络是否连通,如果要查看具体路径需要使用tracert。根据tracert显示转发的数据包情况。