WLAN技术
冲突域:连接在同一传输线缆上的所有工作站的集合,或者说是同一物理网段上所有节点的集合共同竞争网络资源形成的域叫冲突域。
在OSI模型中,冲突域被看作是第一层的概念,连接同一冲突域的设备有中继器、集线器(hub),也就是说,用Hub(集线器)或者中继器连接的所有节点可以被认为是在同一个冲突域内,它不会划分冲突域。
而第二层设备(网桥,交换机)第三层设备(路由器)都可以划分冲突域的,当然也可以连接不同的冲突域。简单的说,可以将集线器和中继器等看成是一根传输线缆,而将网桥、交换机等看成是一束传输线缆。
自我理解:
第一层:集线器、中继器
第二层:网桥、交换机
第三层:路由器、三层交换机(可以划分广播域和连接不同的广播域)
可以将集线器和中继器等看成是一根传输线缆,而将网桥、交换机等看成是一束传输线缆。
广播域:如果pcA计划向其他所有终端同时发信息,pcA发送一个广播信息,其他终端都能收到,这就是一个广播域。
以太网交换机三种转发操作:
泛洪(Flooding):点对多点
转发(Forwarding):点对点
丢弃(Discarding)
问题一:PC1如果想和PC2通信,工作过程是什么?
首先要发送arp广播,交换机SW1接收ARP广播,进行学习,更新自己的MAC地址表;然后执行泛洪操作,其他每个机器都能收到广播。只有PC2反馈ARP响应包。
问题二:什么是arp欺骗?
在局域网中,黑客经过收到PC1的的ARP广播包,能够偷听 PC2 的 (IP, MAC) 地址, 黑客就伪装为PC2,告诉PC1(受害者) 一个假地址,使得PC1在发送给PC2的数据包都被黑客截取,而PC1和PC2浑然不知。
问题三:广播域越大越好吗?
广播域越大容易造成,带宽浪费,arp欺骗攻击等
怎么减小或、隔离广播域呢?
方案一:使用路由器 。缺点:接口少,成本高
方案二:使用软隔离,vlan技术产生,隔离广播域。即把一个物理网络通过划分vlan的方式,把终端分配到不同的虚拟局域网中。
什么是VLAN?
定义:
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。
通过Tag区分不同VLAN。VLAN ID共12比特,所以vlan标识4096个
Vlan标签只在交换机上添加,PC端只能接收不带tag的帧。进入交换机的数据帧,会被加上vlan ID,并且只能向同样的vlan ID端口转发数据,所以PC1去访问PC2,数据帧只能从交换机GE 0/0/2口出来,并且要数据帧要把tag去掉,然后再发给pc2.
Vlan链路类型
1. Acess链路:接入链路 ;只允许一个vlan通过,通常PC到交换机链路。
2. Trunk链路:干道链路 ; 允许多个vlan通过,通常交换机到交换机链路
3. Hybrid链路:混合链路;华为设备独有,手工定义通过的vlan。华为交换机默认端口链路类型。
VLAN基础命令:
查看vlan命令:display vlan 交换机默认存在vlan 1,并且所有端口都默认属于vlan1,允许vlan1通过。
创建单个vlan命令:vlan +vlan的id 描述vlan命令:description +描述
创建多个vlan命令:vlan batch +多个vlan的id(空格隔开)
创建多个连续vlan命令:vlan batch 起id to 止id
删除单个vlan:undo vlan +vlan的id
删除多个vlan : undo vlan +多个vlan的id
取消提示消息: <Huawei> undo terminal monitor
配置access链路类型步骤
Step 1:进入接口
Step 2:设置链路类型
Step 3:设置接口所属的vlan
Step 4:同样对其他3个端口配置,GE0/0/2配置vlan10,GE 0/0/3、GE0/0/4配置vlan 20。查看端口配置
PVID是端口所属的vlan,基于端口的VLAN ID,一个access端口,vlan id=pvid,一个trunk端口可以属于多个vlan,但是只能有一个PVID。Trunk口的pvid可以更改,access不可以
Access 和Trunk对tag的处理
Access链路: 入方向:PC发出的数据不带标记,端口收到进入交换机的数据不带标记,交换机负责打上本接口的PVID,即端口vlan id 出方向:端口发出的数据的PVID与本端口的PVID相同,则去掉PVID,否则丢失数据。
Trunk链路: 出方向:首先查看允许列表,如果允许就可以转发。发出的数据的PVID与本接口的PVID对比,如果相同则去掉vlan标记转发,如果不同,则不去vlan标记直接转发。 入方向:收到一个带vlan标签的数据则直接转发,如果收到一个不带vlan标记的数据,打上本接口的PVID转发。
Trunk接口更改pvid:注意:只有trunk链路才能更改PVID 命令: port trunk pvid vlan +数值
Hybrid链路:手工定义允许通过的vlan,并定义通过时的vlan的动作 设置hybrid链路类型:port link-type hybrid
两种动作:tagged和untagged
Tagged:带标记转发 命令:port hybrid tagged vlan 10 允许VLAN 10在端口带标记转发 Untagged:不带标记转发 命令: port hybrid untagged vlan 20 允许vlan 20不带标记端口转发 Hybrid链路特点: 出方向:查看允许通过的vlan列表,根据允许列表的动作转发数据。 入方向:查看允许列表,不看tagged和untagged的动作,如果带标记直接转发,不带标记的打上本接口的PVID
接收报文时: hybrid报文在收到数据的时候,先看它是否带VLAN标签和是否允许通过(在untagged和tagged列表中的都算允许通过), 如果报文已经有标签且可以通过,则让报文带着标签通过; 如果报文没标签且可以通过,则打上PVID,再让带着PVID标签的报文通过;(以上两点跟trunk端口一样) 如果不在untagged或tagged列表,则表示不允许通过,丢弃此报文。 发送报文时: 如果报文在untagged或tagged列表,则表示可以从此端口通过, 对于untagged列表中的报文,在发送的时候去掉vlan标签后再从端口发送出去; 对于tagged列表中的报文,在发送的时候带着vlan标签从端口发送出去。 如果报文不在untagged或tagged列表,表示不从此端口通过。
总结:
接收报文的时候,可以当做trunk口来对待;untagged(去标签)和tagged(带标签)只对从端口发送出去的报文起作用(保留标签或去掉标签再发送出去)。 在untagged或tagged列表的vlan表示可以从本端口发送或者接收;不在untagged或tagged列表的vlan表示不可以从本端口发送或接收。
更改hybrid链路的pvid 命令: port hybrid pvid vlan +数值 Hybrid链路可以连接PC—交换机,交换机----交换机,而且其端口pvid都可以更改,PC---交换机必须是untagged动作,并且要untagged动作转发。
Access Trunk Hybrid 类型链路对比
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口; Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
Display ip interface brief 查看端口和IP地址的关系 Interface vlanif +vlan id 配置vlan网关 Display ip routing-table 查看路由表
原文地址:https://blog.csdn.net/weixin_64033212/article/details/130102991
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!