【CyberSecurityLearning 15】VLAN技术与Trunk
目錄
一、虛擬局域網VLAN(Virtual Local Area Network)
1、廣播/廣播域
2、廣播的危害:
3、如何控制廣播??
4、VLAN概述與優勢
5、一個VLAN = 一個廣播域 = 一個網段, VLAN是二層技術
6、VLAN的類型:
7、靜態VLAN命令:
?1)創建VLAN:
2)查看VLAN表:
3)將不同的端口加入到不同的VLAN:
二、trunk
1、trunk/中繼鏈路、公共鏈路
2、trunk標簽:
3、交換機端口鏈路類型:
4、配置trunk命令:
一、虛擬局域網VLAN(Virtual Local Area Network)
回顧:
ARP協議只能在同一網段工作(為什么?因為路由器不轉發arp報文)
為什么ARP報文只能在內網工作,出不去(因為你要想出本網段一定要經過路由器,路由器轉發數據的依據是路由表,而路由表檢查你要去哪里?arp并不能告訴自己要去哪里,只有IP報文才能告訴路由器我要群里,所以ARP報文永遠出不了局域網,所以arp攻擊只能攻擊內網)
1、廣播/廣播域
廣播:將廣播地址作為目的地址的數據幀
廣播域:網絡中能接收到同一個廣播所有節點的集合(就是廣播的范圍)
廣播域越小越好
2、廣播的危害:
增加網絡/終端(PC)的負擔,傳播病毒,安全性
3、如何控制廣播??
控制廣播=隔離廣播域
路由器隔離廣播(物理隔離廣播)
路由器隔離廣播缺點:成本高、不靈活
采用新的技術VLAN來控制廣播
VLAN技術是在交換機(要買管理型交換機)上實現的,且是通過邏輯隔離劃分的廣播域(VLAN是技術,不需要添加新設備)
比喻:相當于帶了一個隔音效果很好的耳麥,雖然在一個屋子里,但是只有頻段一樣的人才能互相通信
大家邏輯的隔離了,物理上都沒有離開這個房間,摘掉耳麥還在一個局域網。既然是邏輯上的隔離就可以任意的去改變
只要把頻段改一下就行。
VLAN里面也有VLAN ID(相當于上面那個例子中耳麥的頻段)
VLAN技術就是可以把一個物理局域網邏輯的隔離成幾個虛擬的局域網
不同的VLAN ID之間是不能通信的,創建VLAN ID的目的就是創建“頻段”
VLAN是干什么的?控制廣播,邏輯隔離廣播域。
vlan是一個二層技術,不需要ip地址的介入,是端口和vlan的關系
4、VLAN概述與優勢
5、一個VLAN = 一個廣播域 = 一個網段, VLAN是二層技術
6、VLAN的類型:
①靜態VLAN(百分之八九十的公司在使用靜態VLAN,還有百分之十在使用動態)
*手工配置
*基于端口劃分的vlan
②動態VLAN
*手工配置
*基于MAC地址劃分的VLAN//參用802.1x端口認證,基于賬號來劃分VLAN
7、靜態VLAN命令:
1)創建VLAN:
conf t
vlan ID,ID,ID-ID??????? 【每一個ID代表一個虛擬局域網,逗號代表不連續創建,橫桿代表連續創建】vlan后面的ID沒有順序之分
[name? 自定義名稱]? ---》[ ]代表可選,name是給人看的
exit
2)查看VLAN表:
show vlan brief
3)將不同的端口加入到不同的VLAN:
int? f0/x(接口配置模式)
switchport? access? vlan? ID(將該交換機端口加入到某個VLAN)
exit
驗證一下:do show vlan brief
在PC1上ping PC2,發現雖然在同一個網段,但是不能通信
沒配置vlan時,默認在vlan1里面
?
交換機收到一個幀之后第一步先看vlan表
每臺交換機上都要手工配置vlan
F0/10和F0/9沒有劃分vlan
PC1和PC4即便在同一個VLAN也不能通信(根本原因就是出現了跨交換機的情況)
怎么解決?
方法1、在交換機之間連一根線,將這根線連接的接口各自放到vlan10,再在交換機之間連一根線,將這根線連接的接口各自放到vlan20(麻煩)
方法2、連接交換機的兩個接口設置為不屬于任何vlan(不屬于vlan1、10、20),變成公共端口(專業術語叫中繼端口,英文:trunk[其他不屬于trunk端口的就叫接入端口]),這時候就允許所有vlan從我這過
現在右邊的那臺交換機通過公共鏈路收到兩個幀,怎么判斷這個數據幀是哪個虛擬世界的?
交換機在幀上做一個“標簽”來區分不同的vlan,這個標簽叫vlan標簽(看下圖),交換機加的“標簽”,另外一臺交換機將“標簽”取下【必須配上trunk之后才認識這種標簽】
考題:我們在兩臺交換機上配置了trunk之后就實現了不同vlan之間的通信,對嗎?
trunk只是解決了跨交換機時相同vlan之間通信的問題
二、trunk
1、trunk/中繼鏈路、公共鏈路
作用:允許所有vlan的數據通過trunk鏈路
方法:通過在數據幀上加標簽,來區分不同vlan的數據
2、trunk標簽:
1)ISL標簽:Cisco私有的,標簽大小為30字節(26+4)【沒有對你的幀做破壞,只是在你幀前面加了20byte,幀后面加了4byte】
2)802.1q標簽:公有協議,所有廠家都支持,標簽大小4字節。屬于內部標簽(把你的幀一分為二,在內部加一個標簽)。
當兩個廠家的交換機也想配trunk,也行。標簽要使用802.1q標簽。
3、交換機端口鏈路類型:
1)接入端口:也稱為access端口,一般用于連接pc,只能屬于某一個vlan,也只能傳輸一個vlan的數據
2)中繼端口:也稱為trunk端口,一般用于連接其他交換機,屬于公共端口,允許所有vlan的數據通過!
4、配置trunk命令:
把某個端口配成trunk(連接公共鏈路的兩個端口都要配)
? int f0/x
??? [switchport trunk encapsulation dot1q/isl](encapsulation:封裝)[ ]表示可選
??? switchport mode trunk(默認是access)
??? exit
任務:自己分析交換機的工作原理(配置了vlan和trunk后)
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 15】VLAN技术与Trunk的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【CyberSecurityLearni
- 下一篇: 作者:劳保强(1989-),男,中国科学