网站开发组织架构图,摄影网站app,网站制作商城,怎么制作网站记事本1. 从零开始#xff1a;为什么我们需要VLAN跨交换机通信#xff1f; 大家好#xff0c;我是老张#xff0c;一个在数据中心和园区网里摸爬滚打了十多年的老网工。今天咱们不聊那些虚头巴脑的理论#xff0c;就聊聊一个非常实际的问题#xff1a;你公司里市场部的电脑&…1. 从零开始为什么我们需要VLAN跨交换机通信大家好我是老张一个在数据中心和园区网里摸爬滚打了十多年的老网工。今天咱们不聊那些虚头巴脑的理论就聊聊一个非常实际的问题你公司里市场部的电脑怎么才能和研发部的电脑隔离开但又都能访问公司的服务器或者一个学校的不同教学楼怎么让不同班级的网络既独立又互联这背后最核心、最基础的技术就是VLAN跨交换机通信。我见过不少刚入行的朋友配置单台交换机的VLAN没问题但一旦涉及到多台交换机网络就“断”了ping不通了然后就抓瞎。其实问题的关键往往就出在交换机之间的那条“路”没修好。你可以把每台交换机想象成一栋大楼VLAN就是大楼里的不同楼层比如10楼是市场部20楼是研发部。单栋楼里大家坐电梯交换机转发就能互通。但现在公司扩张了在隔壁街又买了一栋新楼第二台交换机你希望新楼里的市场部也在VLAN 10能和旧楼里的市场部自由沟通同时又要和两栋楼里的研发部VLAN 20完全隔离。怎么实现直接在楼之间拉一根普通的网线接入链路是行不通的因为普通网线只认“楼层”不认“部门”。这时候我们就需要在两栋楼之间修建一条特殊的“主干道”这条道有能力同时承载去往不同楼层的车流并且会给每辆车贴上明确的“目的地楼层”标签。这条“主干道”在网络里就是Trunk链路。而整个让不同大楼里相同部门互通的过程就是VLAN跨交换机通信。搞明白这个你就能解决园区网中至少一半的连通性问题。今天我就带你从最基础的Trunk配置一直玩到让不同VLAN不同部门也能互相访问的“单臂路由”全程实战保证你跟着做一遍就能彻底搞懂。2. 核心基石彻底搞懂Trunk链路与VLAN标识2.1 Trunk到底是什么一条顶十条的智能高速路很多教程一上来就扔给你一句“Trunk是干道链路可以承载多个VLAN”这话没错但太干巴了你很难理解它到底“智能”在哪。我更喜欢用一个快递分拣中心的例子来解释。想象一下你所在的城市有两个大型快递分拣中心两台交换机每个中心都负责处理寄往“A小区”VLAN 10和“B小区”VLAN 20的包裹。如果这两个中心之间只用一条普通传送带接入链路连接那会发生什么你必须在传送带入口就决定这条传送带今天只送A小区的货或者只送B小区的货。这显然效率极低为了同时服务两个小区你就得拉两条独立的传送带成本翻倍。Trunk技术的高明之处在于它把这条传送带升级成了“智能传送带”。所有包裹在进入这条传送带前都会被自动贴上一个电子标签标明“目的地A小区”或“目的地B小区”。到了对端分拣中心扫描器读取电子标签就知道该把这个包裹分拣到对应A小区或B小区的处理区了。这样一来一条物理链路就逻辑上变成了多条并行链路分别承载不同VLAN的数据。在实际配置中这条“智能传送带”就是交换机的某个物理端口我们通过一条简单的命令把它设置为Trunk模式。以华为交换机VRP系统为例[SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type trunk这条命令port link-type trunk就像给这个端口挂上了“智能传送带”的牌子。但光挂牌子还不够我们还得告诉它具体允许哪些“小区”VLAN的包裹通过。这就是VLAN允许列表白名单的作用。2.2 VLAN标识包裹上的“隐形邮票”数据包在Trunk链路上传输时是如何被打上标签的呢这就要提到两种主要的“贴标”协议ISL思科私有和行业通用的IEEE 802.1Q。现在几乎都是802.1Q的天下所以我们重点讲它。802.1Q标签就像一张透明的邮票它只有4个字节插在原始以太网帧的“源MAC地址”和“类型/长度”字段之间。这张“邮票”里最重要的信息就是12位的VLAN ID范围是1-4094。这就是数据包的“楼层门牌号”。当交换机从连接电脑的普通接入端口Access Port收到一个没有标签的“原始包裹”时它会根据这个端口所属的VLAN给包裹贴上对应的802.1Q标签然后才送往Trunk端口。对端的Trunk端口收到带标签的包裹后会先检查标签里的VLAN ID是否在自己的“允许通行名单”里。如果在就撕掉标签如果对端是接入端口或将标签保留继续转发如果对端仍是Trunk端口把原始数据帧送出去如果不在这个包裹就直接被丢弃。配置允许列表的命令也很直观[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30这条命令意思是我这条智能传送带只允许贴着VLAN 10, 20, 30标签的包裹通过。你也可以用port trunk allow-pass vlan all来允许所有VLAN但在生产环境我一般不这么干为了安全和控制最好按需放行。2.3 一个关键但常被忽略的细节Native VLAN在802.1Q里还有一个“特权”VLAN叫做Native VLAN本征VLAN。发往这个VLAN的包裹在Trunk链路上传输时是不贴标签的。这主要是为了兼容一些不认识802.1Q标签的老设备。默认情况下Native VLAN通常是VLAN 1。这里有个大坑我踩过链路两端的Native VLAN必须配置一致如果一端是VLAN 1另一端是VLAN 99那么对于不打标签的帧一端会认为是VLAN 1的另一端会当作VLAN 99的来处理导致严重的通信混乱和安全问题。你可以用下面的命令查看和修改[SW1-GigabitEthernet0/0/1] port trunk pvid vlan 1 # 设置Native VLAN为1通常默认就是 [SW1-GigabitEthernet0/0/1] display port vlan # 查看端口VLAN信息包括PVID即Native VLAN3. 手把手实验搭建跨交换机VLAN通信环境理论说再多不如动手配一遍。下面我设计一个最经典的实验拓扑咱们用真机或者模拟器如eNSP、EVE-NG一起来做。这个实验的目标是让连接在不同交换机上的、属于同一个VLAN的PC能够互通而属于不同VLAN的PC则相互隔离。3.1 实验拓扑与规划我们需要准备两台二层交换机型号不限我用SW1和SW2代表。四台PCPC1到PC4。网线若干。网络规划如下表设备连接端口所属VLANIP地址/网关PC1SW1 - GE0/0/1VLAN 10192.168.10.10/24PC2SW1 - GE0/0/2VLAN 20192.168.20.10/24PC3SW2 - GE0/0/1VLAN 10192.168.10.20/24PC4SW2 - GE0/0/2VLAN 20192.168.20.20/24SW1 - SW2SW1-GE0/0/24 - SW2-GE0/0/24Trunk链路允许VLAN 10, 20通过实验目标PC1 (VLAN10) 能和 PC3 (VLAN10) 互相ping通。PC2 (VLAN20) 能和 PC4 (VLAN20) 互相ping通。PC1 和 PC2不同VLAN即使在同一台交换机不能互通。PC1 和 PC4不同VLAN跨交换机不能互通。3.2 分步配置与详解第一步配置交换机SW1# 进入系统视图 Huawei system-view [Huawei] sysname SW1 # 创建VLAN 10和20 [SW1] vlan batch 10 20 # 配置连接PC的端口为Access模式并划分到相应VLAN [SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access # 设置为接入端口 [SW1-GigabitEthernet0/0/1] port default vlan 10 # 将端口划入VLAN 10 [SW1-GigabitEthernet0/0/1] quit [SW1] interface GigabitEthernet 0/0/2 [SW1-GigabitEthernet0/0/2] port link-type access [SW1-GigabitEthernet0/0/2] port default vlan 20 [SW1-GigabitEthernet0/0/2] quit # 配置连接SW2的端口为Trunk模式并允许VLAN 10和20通过 [SW1] interface GigabitEthernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type trunk [SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20第二步配置交换机SW2SW2的配置和SW1几乎是对称的。Huawei system-view [Huawei] sysname SW2 [SW2] vlan batch 10 20 [SW2] interface GigabitEthernet 0/0/1 [SW2-GigabitEthernet0/0/1] port link-type access [SW2-GigabitEthernet0/0/1] port default vlan 10 [SW2-GigabitEthernet0/0/1] quit [SW2] interface GigabitEthernet 0/0/2 [SW2-GigabitEthernet0/0/2] port link-type access [SW2-GigabitEthernet0/0/2] port default vlan 20 [SW2-GigabitEthernet0/0/2] quit [SW2] interface GigabitEthernet 0/0/24 [SW2-GigabitEthernet0/0/24] port link-type trunk [SW2-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20第三步配置PC IP地址按照规划表为四台PC配置好IP地址和子网掩码。网关暂时不配因为我们还没做VLAN间路由。第四步验证与排错现在开始测试。在PC1上 ping PC3 (192.168.10.20)应该能通。在PC2上 ping PC4 (192.168.20.20)也应该能通。但PC1 ping PC2或PC4应该会显示“目标主机不可达”或超时。如果不通别慌按这个顺序排查检查物理链路端口灯亮了吗检查Trunk配置在两台交换机的GE0/0/24口上执行display port vlan确认端口模式是trunk并且“VLANs Allowed”列表中包含了10和20。检查Access端口配置在SW1上display vlan看看VLAN 10和20里是否分别包含了GE0/0/1和GE0/0/2。检查PC配置IP地址是否配错是否在同一网段这个实验成功你就已经掌握了中小型网络里VLAN部署最核心的跨交换机通信技能。但故事还没完市场部的同事说他们需要访问研发部服务器上的一个资料怎么办这就需要打破VLAN间的壁垒引入我们的下一章主角——路由。4. 打破壁垒单臂路由原理与实战配置跨交换机通信解决了“同部门跨区域”问题但“不同部门之间”不同VLAN默认是隔离的因为VLAN的本质就是广播域隔离。要让它们互通必须借助能跨广播域的设备——路由器。单臂路由Router-on-a-Stick就是一种经典且成本低廉的实现方式。4.1 为什么叫“单臂”一个接口干多个活传统路由需要每个VLAN独占路由器的一个物理接口VLAN多了路由器接口不够用成本也高。单臂路由的巧妙之处在于它只使用路由器的一个物理接口通过在这个物理接口上创建多个“逻辑子接口”Sub-interface来承担与多个VLAN通信的任务。你可以把路由器的这个物理接口想象成一条主干道Trunk链路而每个子接口就是这条主干道上通往不同VLAN的“匝道”。交换机通过Trunk链路把带着不同VLAN标签的数据包送到路由器的主干道路由器根据数据包上的VLAN标签将其导向对应的子接口“匝道”进行处理路由转发处理完后再打上目标VLAN的标签通过同一条Trunk链路送回交换机。核心就两点交换机连接路由器的端口必须配置为Trunk允许需要互通的VLAN通过。路由器的物理接口本身不配IP而是为每个需要路由的VLAN创建一个子接口并在子接口上配置IP地址作为该VLAN内设备的默认网关并指定其处理的VLAN标签。4.2 实战配置让VLAN 10和VLAN 20互相访问我们在第三章实验的基础上增加一台路由器R1目标是让PC1 (VLAN 10) 能和 PC2/PC4 (VLAN 20) 互相通信。网络拓扑调整将SW1上连接路由器的端口例如GE0/0/48配置为Trunk允许VLAN 10, 20。用网线连接 SW1 GE0/0/48 和 R1 的某个接口例如GE0/0/0。第一步配置交换机SW1新增部分[SW1] interface GigabitEthernet 0/0/48 [SW1-GigabitEthernet0/0/48] port link-type trunk [SW1-GigabitEthernet0/0/48] port trunk allow-pass vlan 10 20第二步配置路由器R1关键步骤这是单臂路由配置的核心部分请仔细看注释。Huawei system-view [Huawei] sysname R1 # 进入连接交换机的物理接口先把它开启默认可能是shutdown状态 [R1] interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0] undo shutdown # 这个命令很重要经常被忘记 [R1-GigabitEthernet0/0/0] quit # 创建子接口并关联VLAN和配置IP作为网关 # 子接口编号是自定义的通常与VLAN ID一致方便管理 [R1] interface GigabitEthernet 0/0/0.10 # 创建子接口0/0/0.10用于VLAN 10 [R1-GigabitEthernet0/0/0.10] dot1q termination vid 10 # 指定该子接口处理带VLAN 10标签的帧 [R1-GigabitEthernet0/0/0.10] ip address 192.168.10.1 255.255.255.0 # 配置网关IP [R1-GigabitEthernet0/0/0.10] arp broadcast enable # 启用ARP广播使子接口能响应ARP请求 [R1-GigabitEthernet0/0/0.10] quit [R1] interface GigabitEthernet 0/0/0.20 # 创建子接口0/0/0.20用于VLAN 20 [R1-GigabitEthernet0/0/0.20] dot1q termination vid 20 [R1-GigabitEthernet0/0/0.20] ip address 192.168.20.1 255.255.255.0 [R1-GigabitEthernet0/0/0.20] arp broadcast enable [R1-GigabitEthernet0/0/0.20] quit命令解读dot1q termination vid 10这是华为设备的命令意思是这个子接口专门“终结”处理VLAN ID为10的802.1Q标签。数据包到达时路由器会剥离VLAN 10的标签后进行路由决策发送数据时又会重新打上VLAN 10的标签。arp broadcast enable在华为设备上默认子接口是不转发ARP广播包的需要手动开启否则PC可能无法学到网关的MAC地址。第三步修改PC的网关配置将PC1VLAN 10的默认网关设置为192.168.10.1。将PC2和PC4VLAN 20的默认网关设置为192.168.20.1。第四步最终验证现在进行终极测试同VLAN通信依然正常PC1 ping PC3 (192.168.10.20) 应通。跨VLAN通信成功PC1 ping PC2 (192.168.20.10) 或 PC4 (192.168.20.20) 应通在PC1上tracert 192.168.20.10你会看到数据包的第一跳是192.168.10.1网关第二跳就到达了目标清晰地展示了路由的过程。4.3 单臂路由的优缺点与适用场景搞定了配置咱们来聊聊它的优缺点这能帮你决定什么时候该用它。优点节省物理接口最大优势用一个路由器接口搞定多个VLAN互联硬件成本低。拓扑清晰所有VLAN间流量都集中到一条链路上便于管理和监控。概念清晰是学习VLAN和路由交互原理的绝佳模型。缺点也是我踩过的坑性能瓶颈所有VLAN间流量都要挤过那一条物理链路容易成为网络瓶颈。如果VLAN间流量很大这条链路会先达到饱和。单点故障那一条连接路由器和交换机的链路、端口或线缆如果故障所有VLAN间通信就中断了。所以单臂路由适合什么场景在我看来它非常适合实验室、教学演示、小型办公室或作为临时过渡方案。对于企业核心网络或VLAN间流量大的环境更推荐使用三层交换机来做VLAN间路由性能会好得多。三层交换机可以理解为在交换机内部集成了一个高速路由器每个VLAN的网关直接设在三层交换机的VLAN接口SVI上数据在交换机内部就完成路由转发效率极高。配置三层交换机实现VLAN间路由其实更简单大致步骤是创建VLAN给VLAN配置IP地址这就是网关然后开启路由功能。命令类似interface Vlanif 10-ip address 192.168.10.1 24。这或许是咱们下一篇可以深入聊聊的话题。好了从Trunk链路打通“部门主干道”到用单臂路由架起“部门间协作的桥梁”这一套组合拳打下来一个结构清晰、安全可控的中小型局域网规划就基本成型了。网络技术就是这样原理可能有点绕但一旦在实验环境里亲手配通几个来回看到ping通的那个瞬间所有的概念就都落地了。