VLAN間の通信
分割VLANブロードキャストドメインは、異なるVLANレイヤ2通信の間にホスト制限しながら、
VLANの通信方式との間の液を次のように
ルータ(ルーティングドビー)を通信切替O +のVLAN間
Ø片持ち状をルーティングVLAN間通信
の論理VLAN間の通信を達成するために、現在のネットワーク・インターフェースの実用vlanifØ
ルータVLAN間+ 1スイッチャー通信
異なるVLANの通信の間にホストが二階を達成することができないので、パケットを転送する必要があるレイヤ2スイッチ上の別のVLAN、VLAN設定にVLANの三層を介して一方からルーティングすることができ、物理の各VLAN専用ルータのインタフェースへのリンク接続は、VLAN間の通信を可能にします
実践的な演習
スイッチの設定
#
vlan batch 2 to 3
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 2
port trunk allow-pass vlan 2
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
#ルーターの設定
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
#接続を検出
通信プロセスを分析
PC1アクセスPC2プロセス
PC1自身的SIP是192.168.1.1,访问目标是192.168.2.1,PC1会用自身的掩码和目标IP地址做一个与运算,发现访问的目标和自己不在同一个网段,自己是192.168.1.0/24网段,目标是192.168.2.0/24网段,于是PC1会把数据发往AR1的G0/0/2接口,因为G0/0/2接口的IP地址恰好是我的网关地址,当数据到达交换机的时候,交换机进来会打上PVID是3的tag数据帧,交换机此时做的是解封装和封装停留在二层这块,因为交换机并没有做三层路由功能,查找MAC地址表项后,交换机会从G0/0/1接口发送出去,会剥离tag进行发送,因为路由器一般情况是下是不识别vlan数据帧的。
当PC1的数据包到达AR1的G0/0/0接口后,由于DIP是192.168.2.0/24网段,刚好AR1这边有直连路由,于是AR1查找路由表,发现去往192.168.2.0/24从接口G0/0/2接口发送出去,交换机收到路由器的数据后
交换机会进行解封装和封装动作,交换机从G0/0/2接口收到的数据,会打上vlan 3的数据tag,然后查找MAC地址表项从G0/0/4接口发送出去,会剥离tag进行发送,此时PC2就可以收到该数据了
PC2访问PC1的过程
PC2自身的SIP是192.168.2.1,访问目标是192.168.1.1,PC1会用自身的掩码和目标IP地址做一个与运算,发现访问的目标和自己不在同一个网段,自己是192.168.2.0/24网段,目标是192.168.1.0/24网段,于是PC2会把数据发往AR1的G0/0/2接口,因为G0/0/2接口的IP地址恰好是我的网关地址,当数据到达交换机的时候,交换机进来会打上PVID是3的tag数据帧,交换机此时做的是解封装和封装停留在二层这块,因为交换机并没有做三层路由功能,查找MAC地址表项后,交换机会从G0/0/2接口发送出去,会剥离tag进行发送,因为路由器一般情况是下是不识别vlan数据帧的。
当PC2的数据包到达AR1的G0/0/2接口后,由于DIP是192.168.1.0/24网段,刚好AR1这边有直连路由,于是AR1查找路由表,发现去往192.168.1.0/24从接口G0/0/0接口发送出去,交换机收到路由器的数据后
交换机会进行解封装和封装动作,交换机从G0/0/1接口收到的数据,会打上vlan 2的数据tag,然后查找MAC地址表项从G0/0/3接口发送出去,会剥离tag进行发送,此时PC1就可以收到该数据了
不足点:
1.随着每个交换机上VLAN数量的增加,这样做必然需要大量的路由器接口,而路由器的接口数量是极其有限的。
2.某些VLAN之间的主机可能不需要频繁进行通信,如果这样配置的话,会导致路由器的接口利用率很低
2.单臂路由的方式实现vlan之间通信
将交换机和路由器之间的链路配置为Trunk链路,并且在路由器上创建子接口以支持VLAN路由,配置能够让路由器子接口识别vlan的tag数据
配置路由器子接口封装vlan 在路由器相应的子接口下配置下面两条命令
dot1q termination vid "几"命令配置子接口对一层tag报文的终结功能,即配置该命令后路由器子接口在接收带有vlan tag 的报文时 将剥掉tag进行三层转发 在发送报文时 会将与该子接口对应vlan的vlan tag添加到报文中
ARP broadcast enable 命令开启ARP广播的功能 如果不配置该命令 将会导致该子接口无法主动发送ARP广播报文,以及向外转发IP报文
实战演练
交换机的配置
S2的配置
vlan batch 10 20
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
#
S3的配置
vlan batch 30
#
interface Ethernet0/0/1
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 30
#S1的配置
vlan batch 10 20 30
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 30
#路由器的配置
vlan batch 10 20 30
#
interface GigabitEthernet0/0/1.1
dot1q termination vid 10
ip address 192.168.1.254 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet0/0/1.2
dot1q termination vid 20
ip address 192.168.2.254 255.255.255.0
arp broadcast enable
#
interface GigabitEthernet0/0/1.3
dot1q termination vid 30
ip address 192.168.3.254 255.255.255.0
arp broadcast enable
#结论:
分析一下通信过程
PC1访问PC2的过程
PC1自身的SIP是192.168.1.1,访问目标是192.168.2.1,PC1会用自身的掩码和目标IP地址做一个与运算,发现访问的目标和自己不在同一个网段,自己是192.168.1.0/24网段,目标是192.168.2.0/24网段,于是PC1会把数据发往AR1的G0/0/1.1接口,因为G0/0/1.1接口的IP地址恰好是我的网关地址,当数据到达交换机的时候,交换机进来会打上PVID是10的tag数据帧,交换机此时做的是解封装和封装停留在二层这块,因为交换机并没有做三层路由功能,查找MAC地址表项后,交换机会从G0/0/2接口发送出去,会保持tag进行发送,S1交换机收到tag为10的数据后,查找MAC地址表从G0/0/1接口发送出去,保持tag为10的标签进行发送,当这带有tag为10的数据到达AR1的G0/0/1.1接口后,由于该接口配置子接口对一层tag 10报文的终结功能,将剥掉tag 10进行三层转发 路由器查找路由表 发现从G0/0/1.2接口转发,在发送报文时 会将与该G0/0/1.2子接口对应vlan的vlan tag 20添加到报文中 并且由该子接口需要发送arp报文进行数据封装 所以 子接口需要支持主动发送arp报文的功能 所以需要在子接口上面配置该命令 ARP broadcast enable
当S1的数据包收到tag 20的数据后,会从G0/0/2接口发送出去,然后S2收到后,会从Eth0/0/2接口发送给PC2主机
PC2访问PC1的过程
PC2自身的SIP是192.168.2.1,访问目标是192.168.1.1,PC1会用自身的掩码和目标IP地址做一个与运算,发现访问的目标和自己不在同一个网段,自己是192.168.2.0/24网段,目标是192.168.1.0/24网段,于是PC1会把数据发往AR1的G0/0/1.2接口,因为G0/0/1.2接口的IP地址恰好是我的网关地址,当数据到达交换机的时候,交换机进来会打上PVID是20的tag数据帧,交换机此时做的是解封装和封装停留在二层这块,因为交换机并没有做三层路由功能,查找MAC地址表项后,交换机会从G0/0/2接口发送出去,会保持tag进行发送,S1交换机收到tag为20的数据后,查找MAC地址表从G0/0/1接口发送出去,保持tag为20的标签进行发送,当这带有tag为20的数据到达AR1的G0/0/1.2接口后,由于该接口配置子接口对一层tag 20报文的终结功能,将剥掉tag 20进行三层转发 路由器查找路由表 发现从G0/0/1.1接口转发,在发送报文时 会将与该G0/0/1.1子接口对应vlan的vlan tag 10添加到报文中 并且由该子接口需要发送arp报文进行数据封装 所以 子接口需要支持主动发送arp报文的功能 所以需要在子接口上面配置该命令 ARP broadcast enable
当S1的数据包收到tag 10的数据后,会从G0/0/2接口发送出去,然后S2收到后,会从Eth0/0/1接口发送给PC1主机
思考:如果在子接口下面配置DHCP SERVER功能
请问:还需要在子接口上面启用arp广播功能吗?
不足点:
1、 存在单点故障的可能性
2、 此场景需要一台路由器,成本相对较高
3.现网中运用vlanif逻辑接口来实现vlan之间通信
在三层交换机上配置VLANIF接口来实现VLAN间路由
什么是三层交换机
三つのスイッチの機能統合のレイヤスイッチおよびルータは、VLANの機能に三つのスイッチを達成するために、構成され、VLANがVLAN機能内部交換のフロア間のルーティング
原則3つのスイッチ
二階は、スイッチやルータの組み合わせであるが、この方法は、より効率的である
ルーティングエンジン内部の三つのスイッチと、スイッチングエンジン
マスタによって送信されたDMACアドレスを識別するための3つのスイッチが自分の時間でない場合、に引き渡されます外対応するインタフェースから転送スイッチングエンジン、
DMACアドレスを識別するための3つのスイッチが自分の時間のマスタによって送信された場合、ルーティングエンジン・プロセスに渡さされ、三つのスイッチのうちの対応するVLANからルーティングされる
最初の (CPU処理)を処理するルーティングエンジンへのデータパケットは、データ・ストリーム・パケットの後ろにエンジンとの情報交換を与えるルーティングエンジンに対処されていない複数(チップの床に転送されます速い)、これは、複数の交換であるなど、チップの高速転送情報は、ルーティング情報をARP発信インターフェースを含むため
VLANIFインタフェース
2つのインタフェース機能は、IPアドレスが、3つのスイッチを設定していないが、論理的なインタフェースである必要とすることができ、レイヤHuaweiのローエンドのスイッチインターフェイスは、ほとんどレイヤれvlanifインターフェイス(SVIは、Ciscoインターフェイスである)ので、間のインターフェイスVLANがあるので、このインターフェースは限り3つの機能を持っていますこれは、状態vlanifアップある
ルーティングインターVLANを実装するためにレイヤ3スイッチにVLANIFインターフェイス。複数のVLANがネットワーク上である場合、VLAN設定は、各VLANIFインターフェイスに必要な、およびIPアドレスインターフェイスごとVLANIFについて。デフォルトゲートウェイIPアドレスがユーザ三つのスイッチVLANIFインタフェースによって設定されています
実践的な演習
スイッチの設定
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20
#結論: