以太网交换基础和VLAN原理配置

以太网交换基础

前言

在网络中传输数据时需要遵循一些标准,以太网协议定义了数据帧在以太网上的传输标准,了解以太网协议是充分理解数据链路层通信 的基础。 以太网交换机是实现数据链路层通信的主要设备,了解以太网交换机的工作原理也是十分必要的。 在本课程中,将介绍以太网协议的相关概念、MAC地址的类型、二层交换机的工作流程以及二层交换机的工作原理。

目标

学完本课程后,您将能够:

  • 描述以太网的基本概念
  • 区分MAC地址的类型
  • 描述二层交换机的工作流程
  • 描述MAC地址表的构成与形成过程

目录

  1. 以太网协议介绍
  2. 以太网帧介绍
  3. 以太网交换机介绍
  4. 同网段数据通信全过程

以太网协议

以太网协议概述

  • 以太网是当今现有局域网(LAN)采用的最通用的通信协议标准。
  • 该标准定义了在局域网中采用的电缆类型和信号处理方法。
  • 以太网是建立在CSMA/CD(载波监听多路访问/冲突检测)机制上的广播型网络。

冲突域

  • 冲突域是指连接在同一共享介质上的所有节点的集合。
  • 冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到。

广播域

  • 广播报文所能到达的整个访问范围称为二层广播域,简称广播域。
  • 同一广播域内的主机都能收到广播报文。

以太网卡

  • 网络接口卡(NIC)也称为“网卡”,是计算机、交换机、路由器等网络设备与外部网络世界相连的关键部件。
  • 每个网卡都有一个或多个网口,每个网口都有一块网卡与之对应。

以太网帧格式

以太网技术所使用的帧称为以太网帧(Ethernet Frame),或简称以太帧。 以太帧的格式有两个标准:Ethernet_II格式和IEEE 802.3格式。

Ethernet_II格式

1
| 6B目的MAC地址 | 6B源MAC地址 | 2B以太网帧类型 | 46-1500 B数据 | 4B帧校验序列 |

IEEE 802.3格式

1
| 6B目的MAC地址 | 6B源MAC地址 | 2B长度 | 数据 | 4B帧校验序列 |

MAC地址

什么是MAC地址

• MAC(Medium Access Control)地址在网络中唯一标识一个网卡。

• 每个网卡在出厂时都有一个唯一的MAC地址。

MAC地址表示

• MAC地址有48 bit,6 Byte。

• MAC地址通常采用“十六进制”+“-”表示,如: 00-1E-10-DD-DD-02 。

MAC地址构成及分类

• OUI(Organizationally Unique Identifier):厂商代码,由IEEE分配,3 Byte,24 bit。

• MAC地址分类:单播MAC地址、组播MAC地址、广播MAC地址。

以太网帧类型

单播以太帧

• 目的MAC地址为单播MAC地址的帧。

广播以太帧

• 目的MAC地址为广播MAC地址(FF-FF-FF-FF-FF-FF)的帧。

组播以太帧

• 目的MAC地址为组播MAC地址的帧。

以太网交换机

以太网二层交换机

• 以太网二层交换机转发数据的端口都是以太网口。

• 只能够针对数据的二层头部(以太网数据帧头)中的MAC地址进行寻址并转发数据。

交换机的工作原理

  1. 学习阶段:交换机收到数据帧后,学习帧的源MAC地址。

  2. 查询阶段:在MAC地址表中查询该帧的目的MAC地址。

  3. 转发阶段:根据查询结果,将帧从对应的端口转发出去。

MAC地址表

• 每台交换机中都有一个MAC地址表,存放了MAC地址与交换机端口编号之间的映射关系。

交换机的3种数据帧处理行为

  1. 泛洪(Flooding):当交换机在MAC地址表中查不到目的MAC地址时,对数据帧执行泛洪操作, 即向所有端口转发该帧。

  2. 转发(Forwarding):当交换机在MAC地址表中查到目的MAC地址,并且对应的端口编号不是数据帧进入交换机的 端口编号时,对数据帧执行转发操作。

  3. 丢弃(Discarding):当交换机在MAC地址表中查到目的MAC地址,但对应的端口编号是数据帧进入交换 机的端口编号时,对数据帧执行丢弃操作。

交换机的MAC地址学习

• 交换机在收到数据帧后,会学习帧的源MAC地址,并创建对应的MAC地址表项,与接收口关联。

同网段数据通信全过程

场景描述

• 任务:主机1想要访问主机2。

• 初始化状态:主机仅知道本机IP地址和MAC地址(假设已获取对端IP地址),交换机刚上电,初始化状态 。

数据封装过程

• 主机1需要封装数据帧,包括源MAC地址和目的MAC地址。

通信过程

  1. 泛洪数据帧:主机1发送ARP请求,交换机在MAC地址表中查不到目的MAC地址,执行泛洪操作。

  2. 学习MAC地址:交换机学习ARP请求的源MAC地址,并创建对应的MAC地址表项。

  3. 目标主机回复:主机2收到ARP请求后回复ARP应答,包含自己的MAC地址。

  4. 交换机更新MAC地址表:交换机学习ARP应答的源MAC地址,并更新MAC地址表。

  5. 数据通信:主机1根据获得的MAC地址封装数据帧,并通过交换机转发给主机2。

思考题

  1. 二层以太网交换机根据端口所接收到报文的(源 MAC 地址)生成 MAC 地址表。

  2. 一台交换机有8个端口,一个单播帧从某一端口进入了该交换机,但交换机在MAC地址表中查不到关于该 帧的目的MAC地址表项,那么交换机对该帧进行的转发操作是(泛洪)。

本章总结

在本章节中,介绍了以太网协议的基本概况,并介绍了以太网帧格式和MAC地址,还介绍了二层交换机的工作原理,最后在基于交换机的工作原理的基础上 ,回顾了同网段数据通信全过程。

VLAN原理与配置

前言

以太网是一种基于CSMA/CD的数据网络通信技术,其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。

目标

学完本课程后,您将能够:

• 了解VLAN技术的产生背景

• 识别数据所属的VLAN

• 掌握不同的VLAN划分方式

• 描述网络中VLAN数据的通信过程

• 掌握VLAN的基本配置

目录

  1. 什么是VLAN

  2. VLAN的基本原理

  3. VLAN的应用

  4. VLAN的配置示例

什么是VLAN

传统以太网的问题

在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。广播域越大,产生的网络安全问题、垃圾流量问题就越严重。

虚拟局域网 (VLAN)

VLAN可以隔离广播域,特点是不受地域限制。同一VLAN内的设备才能直接进行二层通信。

VLAN的基本原理

如何实现VLAN

在交换网络中,为了实现VLAN,需要识别、划分和处理VLAN数据帧。

VLAN标签 (VLAN Tag)

IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签(Tag),用于标识VLAN信息。

VLAN数据帧结构

1
TPID (0x8100) | PRI (3bit) | CFI (1bit) | VLAN ID (12bit) | 目的MAC地址 | 源MAC地址 | 类型 | Data | FCS

VLAN的划分方式

基于接口的VLAN划分

根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID(Port VLAN ID),将该接口划入PVID对应的VLAN。

基于MAC地址的VLAN划分

根据数据帧的源MAC地址来划分VLAN。网络管理员预先配置MAC地址和VLAN ID映射关系表。

以太网二层接口类型

Access接口

• 常用于连接用户PC、服务器等终端设备。

• 只能加入一个VLAN。

• 接收Untagged帧时,打上接口的PVID Tag。

• 发送帧时,若VLAN ID与PVID相同则剥离Tag,否则丢弃。

Trunk接口

• 允许多个VLAN的数据帧通过,通过802.1Q Tag区分。

• 常用于交换机之间的互联。

• 接收Untagged帧时,打上PVID Tag(且PVID在允许列表中)。

• 发送帧时,根据VLAN ID是否在允许列表中决定是否剥离Tag。

Hybrid接口

• 与Trunk接口类似,但用户可以灵活指定发送某个VLAN的数据帧时是否携带Tag。

VLAN的规划

VLAN分配原则

• 按业务规划:语音、视频、数据等。

• 按部门规划:工程部、市场部、财经部等。

• 按应用规划:服务器、办公、教室等。

VLAN分配技巧

VLAN ID的分配在有效范围内可以随意选取,但为了提高连续性,可以采用VLAN ID和子网关联的方式进行分配。

VLAN的应用场景

基于接口的VLAN划分

应用场景:多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口。

VLAN划分:将每个公司所连接的接口划分到不同的VLAN,实现业务数据的隔离。

基于MAC的VLAN划分

应用场景:某个公司的网络中,要求只有本部门员工的主机才可以访问特定网络资源。

VLAN划分:配置基于MAC地址划分VLAN,保证非本部门员工不能访问网络资源。

VLAN的基础配置命令

创建VLAN

1
2
 [Huawei] vlan vlan-id
[Huawei] vlan batch { vlan-id1 [ to vlan-id2 ] }

Access接口的基础配置

1
2
 [Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id

Trunk接口的基础配置

1
2
3
 [Huawei-GigabitEthernet0/0/1] port link-type trunk
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } | all }
[Huawei-GigabitEthernet0/0/1] port trunk pvid vlan vlan-id

Hybrid接口的基础配置

1
2
3
4
 [Huawei-GigabitEthernet0/0/1] port link-type hybrid
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id
[Huawei-GigabitEthernet0/0/1] port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }

案例

案例1:基于接口划分VLAN

组网需求:业务相同用户之间可以互相访问,业务不同用户不能直接访问。

配置步骤

  1. 创建VLAN。

  2. 配置Access接口和Trunk接口。

案例2:基于Hybrid接口划分VLAN

组网需求:不同部门的用户不能直接访问,但都可以直接访问公司服务器。

配置步骤

  1. 创建VLAN。

  2. 配置Hybrid接口。

案例:基于MAC地址划分VLAN

组网需求:只有本部门员工的主机才可以访问公司网络。

配置步骤

  1. 创建VLAN。

  2. 关联MAC地址和VLAN。

  3. 使能MAC VLAN功能。

  4. 加入VLAN。

思考题

(多选) 下列关于VLAN的描述中,错误的是?

• VLAN技术可以将一个规模较大的冲突域隔离成若干个规模较小的冲突域

• VLAN技术可以将一个规模较大的二层广播域隔离成若干个规模较小的二层广播域

• 位于不同VLAN的计算机之间无法进行通信

• 位于同一VLAN中的计算机之间可以进行二层通信

• 如果一个Trunk接口的PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么VLAN 5和VLAN 2、3的流量可以通过该Trunk接口进行传输。

本章总结

本章节主要介绍了虚拟局域网(VLAN)的相关技术知识,包括VLAN的作用、标识及划分、数据交互、实际规划和应用,以及基本配置。通过VLAN技术,可以将物理的局域网划分成多个广播域,实现同一VLAN内的网络设备可以直接进行二层通信,不同VLAN内的设备不可以直接进行二层通信。