|
以太網(wǎng)端口的鏈路類型: Access類型:端口只能屬于一個vlan,,一般用于連接計算機。 Trunk類型:端口可以屬于端個vlan,,可以接收和發(fā)送多個vlan報文,,多用于交換機之間。 hybrid類型:端口可以屬于多個vlan,,可以接收和發(fā)送多個vlan的報文,,可以用于交換機之間,也可以用于連接用戶主機,。 www. 三種類型的端口可以共存在一臺設(shè)備上,,但Trunk端口和Hybrid端口之間不能直接切換,只能先設(shè)為Access端口,,再設(shè)置為其他類型端口,。例如:Trunk端口不能直接被設(shè)置為Hybrid端口,只能先設(shè)為Access端口,,再設(shè)置為Hybrid端口,。
各端口鏈路類型設(shè)置指令: 操作命令設(shè)置端口為Access端口 port link-type access 設(shè)置端口為Hybrid端口 www. port link-type hybrid 設(shè)置端口為Trunk端口 port link-type trunk 恢復(fù)端口的鏈路類型為缺省的Access端口 undo port link-type
hybrid端口和trunk端口的區(qū)別: Hybrid端口可以允許多個VLAN的報文發(fā)送時不打標(biāo)簽,而Trunk端口只允許缺省VLAN的報文發(fā)送時不打標(biāo)簽,。
設(shè)置以太網(wǎng)端口缺省VLAN ID: Access端口只屬于1個VLAN,,所以它的缺省VLAN就是它所在的VLAN,不用設(shè)置,; Hybrid端口和Trunk端口屬于多個VLAN,,所以需要設(shè)置缺省VLAN ID。如果設(shè)置了端口的缺省VLAN ID,,當(dāng)端口接收到不帶VLAN Tag的報文后,,則將報文轉(zhuǎn)發(fā)到屬于缺省VLAN的端口;當(dāng)端口發(fā)送帶有VLAN Tag的報文時,,如果該報文的VLAN ID與端口缺省的VLAN ID相同,,則系統(tǒng)將去掉報文的VLAN Tag,然后再發(fā)送該報文,。
各缺省vlan id設(shè)置指令: 設(shè)置Hybrid端口的缺省VLAN ID port hybrid pvid vlan vlan_id 設(shè)置Trunk端口的缺省VLAN ID port trunk pvid vlan vlan_id 恢復(fù)Hybrid端口的缺省VLAN ID為缺省值 undo port hybrid pvid 恢復(fù)Trunk端口的缺省VLAN ID為缺省值 undo port trunk pvid
端口對報文的收發(fā)處理:
注意: Hybrid端口或Trunk端口的缺省VLAN ID和相連的對端交換機的Hybrid端口或Trunk端口的缺省VLAN ID必須一致,,否則端口將不能正常轉(zhuǎn)發(fā)報文,。
各類型端口使用注意事項: 1.在一臺以太網(wǎng)交換機上,Trunk端口和Hybrid端口不能同時被設(shè)置,。 2.Trunk端口不能和isolate-user-vlan同時配置,;Hybrid端口可以和isolate-user-vlan同時配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,,則允許修改缺省VLAN ID,,只有在解除映射后才能進(jìn)行修改。 3.配置Trunk端口或Hybrid端口,,并利用Trunk端口或Hybrid端口發(fā)送多個VLAN報文時一定要注意:本端端口和對端端口的缺省VLAN ID(端口的PVID)要保持一致。 4.當(dāng)在交換機上使用isolate-user-vlan來進(jìn)行二層端口隔離時,,參與此配置的端口的鏈路類型會自動變成Hybrid類型,。 5.Hybrid端口的應(yīng)用比較靈活,主要為滿足一些特殊應(yīng)用需求,。此類需求多為在無法下發(fā)訪問控制規(guī)則的交換機上,,利用Hybrid端口收發(fā)報文時的處理機制,來完成對同一網(wǎng)段的PC機之間的二層訪問控制,。
hybrid簡單案例分析:
配置步驟: [Switch-Ethernet0/1]int e0/1 [Switch-Ethernet0/1]port link-type hybrid [Switch-Ethernet0/1]port hybrid pvid vlan 10 [Switch-Ethernet0/1]port hybrid vlan 10 20 untagged [Switch-Ethernet0/1] int e0/2 [Switch-Ethernet0/2]port link-type hybrid [Switch-Ethernet0/2]port hybrid pvid vlan 20 [Switch-Ethernet0/2]port hybrid vlan 10 20 untagged 此時inter e0/1和inter e0/2下的所接的PC是可以互通的,,但互通時數(shù)據(jù)所走的往返vlan是不同的。 pc1訪問pc2過程分析: pc1所發(fā)出的數(shù)據(jù),,由inter0/1所在的pvid vlan10封裝vlan10的標(biāo)記后送入交換機,,交換機發(fā)現(xiàn)inter e0/2允許vlan 10的數(shù)據(jù)通過,于是數(shù)據(jù)被轉(zhuǎn)發(fā)到inter e0/2上,,由于inter e0/2上vlan 10是untagged的,,于是交換機此時去除數(shù)據(jù)包上vlan10的標(biāo)記,以普通包的形式發(fā)給pc2,,此時pc1->p2走的是vlan10 pc2訪問pc1過程分析: www. pc2所發(fā)出的數(shù)據(jù),,由inter0/2所在的pvid vlan20封裝vlan20的標(biāo)記后送入交換機,交換機發(fā)現(xiàn)inter e0/1允許vlan 20的數(shù)據(jù)通過,,于是數(shù)據(jù)被轉(zhuǎn)發(fā)到inter e0/1上,,由于inter e0/1上vlan 20是untagged的,于是交換機此時去除數(shù)據(jù)包上vlan20的標(biāo)記,,以普通包的形式發(fā)給pc1,,此時pc2->pc1走的是vlan20 注:tag就是普通的ethernet報文,報文結(jié)構(gòu)的變化是在源mac地址和目的mac地址之后,,加上了4bytes的vlan信息,,也就是vlan tag頭;untag就是普通的ethernet報文,,比tag報文少了4 bytes字節(jié),。
trunk鏈路的簡單應(yīng)用:
配置步驟: Switch1 Switch(config)#int f0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan all Switch2 Switch(config)#int f0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed all
access鏈路的簡單應(yīng)用:
Switch2配置: Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#int f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)#int f0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10
Switch3配置: Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#int f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)#int f0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10
項目實戰(zhàn):
項目要求: 1. PC1,、PC2和PC3分別連接到二層交換機SwitchA的端口E0/1 、E0/2和 E0/3,,端口分屬于VLAN10,、vlan20和vlan30;PC4和PC5分別連接到二層交換機SwitchB的端口E0/1和E0/2,,端口分屬于VLAN10和vlan20,; 2. SwitchA通過端口E0/3,連接到SwitchB的端口E0/3,;SwitchA的端口E0/3和SwitchB的端口E0/3均不是Trunk端口,; 3. PC1的IP地址為10.1.1.1/24,PC2的IP地址為10.1.1.2/24,,PC3的IP地址為10.1.1.3/24,,PC4的IP地址為10.1.1.4/24,PC5的IP地址為10.1.1.5/24,,現(xiàn)要實現(xiàn)各主機之間的通訊,。
配置步驟: SwitchA相關(guān)配置: 1. 創(chuàng)建(進(jìn)入)VLAN10,將E0/1加入到VLAN10 2. 創(chuàng)建(進(jìn)入)VLAN20,,將E0/2加入到VLAN20 3. 創(chuàng)建(進(jìn)入)VLAN30,,將E0/3加入到VLAN30 4. 創(chuàng)建(進(jìn)入)VLAN100,將G2/1加入到VLAN100 5. 配置端口E0/1為Hybrid端口,,能夠接收VLAN20,、30和100發(fā)過來的報文 [SwitchA-Ethernet0/1]port link-type hybrid 前面E0/1加到了VLAN10中,這里又將其端口類型設(shè)置為hybrid [SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged 這里對vlan 10沒有作操作指示,,10實際上是該hybrid端口的PVID 6. 配置端口E0/2為Hybrid端口,,能夠接收VLAN10和100發(fā)過來的報文 7. 配置端口E0/3為Hybrid端口,能夠接收VLAN10和100發(fā)過來的報文 8. 配置端口G2/1為Hybrid端口,,能夠接收VLAN10,、20和30發(fā)過來的報文 【補充說明】 對于Hybrid端口來說,可以同時屬于多個VLAN,。這些VLAN分別是該Hybrid端口的PVID,,以及手工配置的”untagged”及”tagged”方式的VLAN。一定要注意對應(yīng)端口的VLAN配置,,保證報文能夠被端口進(jìn)行正常的收發(fā)處理,。 此應(yīng)用在二層網(wǎng)絡(luò)中,對相同網(wǎng)段的主機進(jìn)行訪問權(quán)限的控制,。
SwitchB相關(guān)配置: 1. 創(chuàng)建(進(jìn)入)VLAN10,,將E0/1加入到VLAN10 2. 創(chuàng)建(進(jìn)入)VLAN20,將E0/2加入到VLAN20 3. 配置端口G1/1為Hybrid端口,,能夠接收并透傳VLAN10和20發(fā)過來的報文
課外延伸:
把當(dāng)前以太網(wǎng)端口加入到指定VLAN: 把當(dāng)前以太網(wǎng)端口加入到指定的VLAN中,。Access端口只能加入到1個VLAN中,,Hybrid端口和Trunk端口可以加入到多個VLAN中。 請在以太網(wǎng)端口視圖下進(jìn)行下列設(shè)置,。 操作命令把當(dāng)前Access端口加入到指定VLAN port access vlan vlan_id 將當(dāng)前Hybrid端口加入到指定VLAN port hybrid vlan vlan_id_list { tagged | untagged } 把當(dāng)前Trunk端口加入到指定VLAN port trunk permit vlan { vlan_id_list | all } 把當(dāng)前Access端口從指定VLAN刪除 undo port access vlan 把當(dāng)前Hybrid端口從指定VLAN中刪除 undo port hybrid vlan vlan_id_list 把當(dāng)前Trunk端口從指定VLAN中刪除 undo port trunk permit vlan 需要注意的是:Access端口加入的VLAN必須已經(jīng)存在并且不能是VLAN 1,;Hybrid端口加入的VLAN必須已經(jīng)存在;Trunk端口加入的VLAN不能是VLAN 1,。 執(zhí)行了本配置,,當(dāng)前以太網(wǎng)端口就可以轉(zhuǎn)發(fā)指定VLAN的報文。Hybrid端口和Trunk端口可以加入到多個VLAN中,,從而實現(xiàn)本交換機上的VLAN與對端交換機上相同VLAN的互通,。Hybrid端口還可以設(shè)置哪些VLAN的報文打上標(biāo)簽,哪些不打標(biāo)簽,,為實現(xiàn)對不同VLAN報文執(zhí)行不同處理流程打下基礎(chǔ),。
端口的廣播風(fēng)暴抑制比(broadcast-suppression): 可以使用命令broadcast-suppression限制端口上允許通過的廣播流量的大小,當(dāng)廣播流量超過用戶設(shè)置的值后,,系統(tǒng)將對廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的范圍,,從而有效地抑制廣播風(fēng)暴,,避免網(wǎng)絡(luò)擁塞,保證網(wǎng)絡(luò)業(yè)務(wù)的正常運行,。以端口最大的廣播流量的線速度百分比作為參數(shù),,百分比越小,表示允許通過的廣播流量越??;當(dāng)百分比為100時,表示不對該端口進(jìn)行廣播風(fēng)暴抑制,。
端口的流量控制(flow-control ): 當(dāng)本端交換機和對端交換機都開啟了流量控制功能后,,如果本端交換機發(fā)生擁塞,它將向?qū)Χ私粨Q機發(fā)送消息,,通知對端交換機暫時停止發(fā)送報文,。對端交換機在接收到該消息后將暫停向本端發(fā)送報文,從而避免了報文丟失現(xiàn)象的發(fā)生,。
將某些端口的配置拷貝到其它端口: 為了方便將某些端口的配置與指定端口保持一致,,可以使用copy configuration命令將指定端口的配置拷貝到其他端口。 可以拷貝的配置包括VLAN,、QoS,、STP、端口配置: VLAN配置包括:端口上允許通過的VLAN,、端口缺省的VLAN ID,。 QoS配置包括:端口限速,、端口優(yōu)先級、缺省的802.1p優(yōu)先級,。 STP配置包括:端口的STP使能/關(guān)閉,、與端口相連的鏈路屬性(如點對點或非點對點)、STP優(yōu)先級,、路徑開銷,、報文發(fā)送速率限制、是否環(huán)路保護(hù),、是否根保護(hù),、是否為邊緣端口。 端口配置包括:端口的鏈路類型,、端口速率,、雙工模式。 說明: 如果將拷貝的源配置為聚合組ID,,系統(tǒng)將以該聚合組中端口號最小的端口為源,。 如果將拷貝的目的地配置為聚合組ID,則該聚合組內(nèi)所有端口的配置都將改變?yōu)榕c源一致,。
VLAN技術(shù)的好處: 隔離廣播:在交換網(wǎng)絡(luò)中,,通過廣播域的隔離,可以大大減少網(wǎng)絡(luò)中泛洪的廣播包,,從而提高網(wǎng)絡(luò)中的帶寬利用率,。 安全性:通過在二層網(wǎng)絡(luò)劃分VLAN,可以實現(xiàn)在二層網(wǎng)絡(luò)中不同VLAN間的數(shù)據(jù)隔離,。 故障隔離:通過VLAN的劃分,,由于將設(shè)備劃分到不同的廣播域當(dāng)中,可以減小網(wǎng)絡(luò)故障的影響,,例如:arp病毒或arp攻擊,。
vlan常見故障解析: VLAN內(nèi)的主機不能和其他VLAN通信,原因可能是: 1.>;主機上錯誤的網(wǎng)關(guān),、IP地址和子網(wǎng)掩碼設(shè)置 2.>;主機所連接的端口被劃分到了錯誤的VLAN 3.>;交換機上的Trunk端口設(shè)置錯誤,,例如缺省VLAN設(shè)置不匹配,允許的VLAN列表不正確等 4.>;路由器子接口或三層交換機SVI端口的IP地址和子網(wǎng)掩碼設(shè)置錯誤 5.>;路由器或者三層交換機可能需要添加到達(dá)其他子網(wǎng)的路由
vlan 故障排查方法: 從低層(物理層)逐步向上排查,,如端口和線纜無故障,,則: 1.>;檢查主機的網(wǎng)絡(luò)設(shè)置是否匹配和正確 2.>;通過show vlan命令,確定VLAN內(nèi)的端口劃分正確 3.>;通過show interface trunk命令,,檢查Trunk鏈路兩端的Trunk設(shè)置是否匹配且正確 4.>;通過show interface命令,,確定是否設(shè)置了正確的IP地址和子網(wǎng)掩碼 5.>;通過show ip route命令,確定各個子網(wǎng)都能夠正確出現(xiàn)在路由表中 6.>;通過show interface subinterface 命令,檢查路由器的子接口是否正確封裝了802.1Q,,并指定到了正確的VLAN 7.>;通過show interface命令,,檢查主機和交換機端口的速度和雙工設(shè)置是否匹配 |
|
|
