目录
企业园区网基本架构图
园区—工厂、政府机关、商城、校园、公园等公共场所,为了实现数据的互通,所搭建的网络都可以称为是园区网
接入层
使用二层交换机—依靠MAC地址表进行转发的设备
WLAN—无线局域网—广义上指以无线电波、激光、红外线等,来替代有限局域网的部分或全部传输介质所构成的网络
AP—无线接入点
4G、5G—无线广域网
蓝牙—无线个域网
“无线永远是有线的最后一公里”
网线、同轴、光纤、无线—以太网技术
1.无线信号穿透性较差
频段:2.4G—有墙选
5G—无墙选
频率越高穿透性越差、频率越低传递速度越慢
2.人多延迟会比较高
CSMA/CD—载波侦听多路访问/冲突检测技术(排队)
CSMA/CA—载波侦听多路访问/冲突避免技术—①在侦听可以发送之前,先设置随机计时器②采用停等式流控保证数据传输的可靠性(每发一个数据包等一个ACK确认)
3.无线网络信号强度和发射源距离有关,导致传输速率过低
汇聚层
一般使用三层交换机—三层交换机既拥有三层口,也拥有二层口(三层口可以配置IP地址,二层口不可以)
三层交换机同时具有MAC地址表和路由表,是路由器和交换机集成的设备
三层架构的核心—冗余
线路冗余
设备冗余—STP(解决环路问题)—生成树
网关冗余—VRRP(解决网关故障自动切换问题)
UPS冗余—不间断电源—99.9999%
核心层
实现内网和外网的快速转发
路由器更适合做大批量的路由转发—BGP、MLPS等协议都需要用路由器启
三层交换机更适合运用在搭建企业内网
VLAN(VLAN 1是默认存在的)
V—虚拟
LAN—局域网—在此可以认为是一个广播域
VLAN—虚拟局域网技术—交换机和路由器协同工作后,将原本的一个广播域(LAN),逻辑上切分为多个虚拟的广播域(VLAN)
攻击手段:
ARP欺骗
DHCP欺骗
配置命令:
①创建VLAN
<Huawei>display vlan—查看VLAN信息—默认存在VLAN 1
VID—IEEE组织设计出来的—802.1Q—12位二进制构成—0-4095—其中0和4095是保留的—1-4094
[Huawei]vlan 2—创建VLAN
[Huawei]vlan batch 4 to 100—批量创建VLAN
②将接口划入VLAN
将VID和接口进行映射,区分VLAN的范围—物理VLAN/一层VLAN
将MAC地址和接口进行映射,区分VLAN的范围—二层VLAN
将数据帧中的类型和VID进行映射,区分VLAN的范围—三层VLAN
也可以基于IP地址进行划分VLAN/基于策略划分VLAN等
Preamble—前导符—区分一个一个数据帧的标识
Destination Address—目标MAC地址
Sourc Address—源MAC地址
Type—类型—上层使用协议的类型—三层VLAN
FCS—帧校验序列
802.1Q帧—在以太网Ⅱ型帧的基础上,添加了四个字节的tag(包含12位VID),添加在源地址和类型之间
我们将打上标签的数据帧称为tagged帧,将没有打标签的帧,称为untagged帧
根据这个特性,我们将交换机和电脑之间的链路称为—access链路—这样的链路,里面只能通过untagged帧,并且这些帧都属于某一种VLAN;我们将交换机一侧的接口称为access接口;我们将交换机和交换机之间的链路称为—trunk链路(trunk干道)—这样的链路,里面通过的是tagged帧,并且里面通过多种不同的VLAN的数据帧;我们将交换机一侧的接口称为trunk接口
配置命令:
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 2—创建单个vlan
[sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4—批量创建vlan
[sw1-port-group]p l a
[sw1-GigabitEthernet0/0/3]p l a
[sw1-GigabitEthernet0/0/4]p l a
[sw1-port-group]p d v 3
[sw1-GigabitEthernet0/0/3]p d v 3
[sw1-GigabitEthernet0/0/4]p d v 3
③配置trunk干道
配置命令:
[sw1-GigabitEthernet0/0/5]port link-type trunk
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan ?
INTEGER<1-4094> VLAN ID
all All—放通所有VLAN流量
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3—需要放通哪些流量就放通哪些,尽量不要放通所有
Hybrid—混杂口
[sw1]display port vlan active
Port—接口信息
Link Type—所有接口默认类型为hybird
PVID—接口所属的VID—所有接口的PVID默认为1
华为规定—所有进入交换机的流量都需要带标签;如果进入的数据帧没有标签,
则需要带上对应接口PVID的标签
VLAN List—允许列表—列表中有的数字就是可以转发的VLAN—所有接口默认放通VLAN 1的流量
U/T—如果是U,则发出到链路时,不带标签;如果是T,则发出到链路时,带标签
注意:在trunk链路中,一般流量需要带标签通过,但是,如果是PVID所对应的VID的流量,则将不带标签通过
ACCESS接口
①当一个ACCESS接口从链路上接收到一个untagged帧(电脑给交换机发送数据帧的场景)。交换机接收到这个数据帧后,将打上自己PVID对应的VID标签;因为ACCESS接口PVID和允许列表中的VID是相同的,所以接口将转发该流量
②当一个ACCESS接口从交换机的其他接口接收到一个数据帧(交换机内部转发数据帧的场景)。因为已经存在标签,所以不需要再打标签,之后是否需要转发,需要关注允许列表,如果允许列表中存在该数据帧中VID,则转发,因为ACCESS接口发出时都不允许带标签,所以将剥离标签发出;如果允许列表中没有该VID,则不转发
③当一个ACCESS接口从链路上收到一个tagged帧(一个交换机接口为trunk另一个交换机接口为access的场景)。因为已经存在标签,所以不需要打标签,之后看允许列表,如果允许列表中存在对应的VID,则转发;如果没有,则不转发
TRUNK接口
①当一个TRUNK接口从链路上接收到一个tagged帧。因为存在标签,所以不需要打标签,之后看允许列表,如果允许列表中存在该VID,则转发;如果不存在,则不转发
②当一个TRUNK接口从交换机的其他接口接收到一个数据帧。因为存在标签,所以不需要打标签,之后看允许列表,如果允许列表中存在该VID,则转发,注意:如果VID不是自己PVID,则直接转发;如果该VID和自己的PVID相同时,则将剥离标签转发;如果不存在,则不转发
③当一个TRUNK接口从链路上接收到一个untagged帧。交换机接收到这个数据帧后,将打上自己PVID对应的VID标签;之后看允许列表,如果允许列表中存在该VID,则转发;如果不存在,则不转发
ACESS接口—可以修改PVID;可以修改允许列表,但是只能通过一个VLAN的流量,并且必须是PVID所对应的VLAN;不能修改封装方式,只能是不带标签发送的
TRUNK接口—可以修改PVID;可以修改允许列表,并且可以放通多个VLAN流量;不能修改封装方式,如果不是PVID对应的VLAN,则必须带标签发出;如果是PVID对应的VLAN,则不带标签发出
HYBRID接口—可以修改PVID;可以修改允许列表,并且可以放通多个VLAN流量;可以修改封装方式
配置命令:
[sw3-GigabitEthernet0/0/1]port link-type hybrid
[sw3-GigabitEthernet0/0/1]port hybrid pvid vlan 2—修改混杂口PVID
[sw3-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4—放通不带标签vlan 2 3 4
[sw4-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 4—带标签
④VLAN间路由
配置命令:
创建子接口(针对vlan的虚拟接口)
[r1]int GigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2—支持802.1Q标准,识别802.1Q帧
[r1-GigabitEthernet0/0/0.1]arp broadcast enable—开启arp广播功能
使用三层交换机实现VLAN间的通讯
SVI接口—交换机虚拟接口—VLANif接口—虚拟的三层接口
管理VLAN—SVI接口所在的VLAN
(带内管理—通告网络管理:telnet、ssh等;带外管理—不通过网络管理:console)
三层交换机—每一个VLAN都创建一个VLANif接口—相当于一个网关
配置命令:
[sw1]interface Vlanif 2
[sw1–Vlanif 2]ip add 192.168.1.254 24—可配IP地址
原文链接:https://blog.csdn.net/2201_75581284/article/details/132274566?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171828119816800226580261%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=171828119816800226580261&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-9-132274566-null-null.nonecase&utm_term=%E8%B7%AF%E7%94%B1%E5%99%A8%E3%80%81%E4%B8%87%E5%85%86